主动预防全面保护 Windows XP SP2改进完全攻略(上）

　　自2001年微软发布Windows XP以来至今，信息安全形势发生了很大的变化。2002年9月9日，微软发布了Windows XP SP1 ，对Windows XP进行了325处修补，其中33处和安全性有关 。此后的两年间，针对Windows XP SP1的安全公告多达64个，其中紧急(Critical)和重要(Important)级别的安全公告超过80% 。在此期间，恶意攻击的另一个特点是利用操作系统的安全漏洞进行攻击，而用户的系统设置、网络环境和安全意识，也给这些攻击提供了可乘之机。　　　　事实上，在Windows XP发布一年后，微软开始实施了可信赖计算的计划 。在可信赖计算白皮书 中，微软提出了实施可信赖计算的手段(means)：　　　　设计安全：减少软件漏洞　　　　默认安全：减少攻击面　　　　部署安全：安全措施更容易实施　　　　用户沟通：帮助用户学会自我防护　　　　在Windows XP SP2中，上述方法和理念得到了很好的实践。首先，尽管SP2并不是一个新的操作系统，但在其所有818项修复中有140项是属于基础操作系统方面的(Base Operating System)修复 ，以弥补设计阶段的软件漏洞。此外，默认情况下的Windows防火墙、Internet Explorer、Outlook Express、Windows Update等都处于安全设置状态。第三，Windows安全中心不仅方便了对系统的安全设置，也会智能地提示用户安全性问题，例如，当没有及时更新病毒防护软件时，会弹出安全警告。　　　　Windows XP SP2特性概述　　在Windows XP SP2中，微软提供了多种安全技术帮助用户抵御恶意软件和其它风险，从而提高了Windows XP的整体安全防范能力。这些安全技术包括：　　　　网络保护 此类安全技术包括了Windows防火墙增强和远端过程调用接口限制(RPC Remote Procedure Call)，该技术有助于对类似冲击波(MSBlaster)等基于网络的攻击行为提供更好的保护。这些增强措施包括：默认开启Windows防火墙、关闭端口除非该端口被使用、改进的配置用户界面、改进的Windows防火墙开启时应用程序兼容性和通过组策略对Windows防火墙的企业管理工具。远端过程调用服务的受攻击面(attack surface)被减少，该对象以较低的权限级别运行。DCOM架构也增加了访问控制限制以减少被网络攻击击中的风险。　　　　内存保护 某些软件允许过多的数据复制到计算机内存中，恶意软件的攻击可以利用这一安全性弱点。通常这种现象被称作缓冲溢出。虽然，任何单一技术都不能完全消除这种问题，微软正在从不同角度采用多种安全技术减轻这类攻击。首先，利用最新的编译技术将核心Windows组件重新编译，增加了对缓冲溢出的保护。此外，微软正在与微处理器厂家合作以使Windows支持微处理器上基于硬件的数据执行保护(DEP Data Execution Prevention)特性。数据执行保护通过CPU将应用程序所有的内存位置标记为不可执行，除非这些位置显式地包含可执行代码。这样，当蠕虫或病毒插入到程序代码并进入到标记为仅为数据的存储部分，应用程序或Windows组件将不会运行它。　　　　若要查看和设置数据执行保护，单击"开始"按钮，在弹出的菜单中，右键单击"我的电脑"，并在快捷菜单中选择"属性"。在打开的"系统属性"对话框中，选择"高级"选项卡，在性能选项中单击"设置"按钮，在打开的"性能选项"对话框中选择"数据执行保护"选项卡。　　　　　 　　　 　　电子邮件处理 安全技术有助于中止通过电子邮件和即时消息传播的病毒(如SoBig.F)。这些技术包括安全性增强的默认设置、利用附件执行服务(AES Attachment Execution Service)应用程序接口的改进的附件控制。从而增强了Microsoft Outlook、Outlook Express和Windows Messenger等通信应用的安全性和可靠性。其结果是，通过e-mail和即时消息传递的潜在不安全附件被隔离，并尽可能少地影响系统的其它部分。　　　　浏览安全 Microsoft Internet Explorer中的安全技术提供了抵御Web中恶意内容的防护。改进之一是锁定本机区域以免运行恶意脚本和增强组织有害Web下载。此外，更好的用户控制和用户界面可帮助阻止恶意ActiveX控件和间谍软件在用户不知情的情况下运行。　　　　计算机维护 安全方案中非常重要的一部分是保持计算机最新的软件和安全更新，并且了解更新在保护计算机安全中的重要性。具有安全性攻击和趋势的知识同样也很重要。例如，一些已知病毒和蠕虫的有效攻击开始前若干天或若干周，相应的软件更新已经可用。所增加的新技术帮助最终用户保持最新。这些技术包括安全中心，提供了关于计算机安全性信息的统一位置，还有Windows Installer，提供了软件安装的安全性选项。　　　　安全中心　　安全中心是Windows XP SP2进行安全性设置和管理的统一界面，可以从控制面板访问安全中心，也可以在需要进行安全性设置的时候，从告警信息提示中快速地打开安全中心。安全中心如下图所示。　　　　　 　　安全中心自动监控防火墙、自动更新和病毒防护的状态，如果这些设置出现异常时，根据不同的严重程度，以不同的颜色和方式进行警告。例如，修改了自动更新的默认设置后，安全中心中有关自动更新的基础标记就会变为黄色，并提示检查设置。如下图所示。　　　 　　　 　　如果关闭了自动更新，则在通知区域会显示Windows安全警报 和信息提示，如下图所示。 　　　 　　单击警告信息，则可以打开安全中心，如下图所示。单击"启用自动更新"按钮，就可以恢复到正常安全设置状态。　　　　　 　　在安全中心中，可以管理安全设置，这些设置包括了Internet选项、自动更新和Windows防火墙。此外可以访问有关的资源。并可以设置安全中心通知用户的方式(可以关闭通知，但不建议这样做)。　　　　对于加入到域的Windows系统，安全性设置由网络管理员决定，安全中心将不再进行提示通知。　　　　防火墙　　Windows防火墙是Windows XP SP2的重要改进之一。和以前ICF(Internet Connection Firewall)不同的是，默认情况下，Windows防火墙处于启用的状态，而且一旦防火墙被关闭，安全中心也会发出警告信息。　　　　另一个重要的改进是，Windows防火墙在Windows启动时将利用静态规则进行状态过滤(stateful filtering)，该静态规则被称作启动时策略(boot-time policy)。此时允许计算机运行DNS和DHCP等基本网络任务。一旦Windows防火墙服务运行，将加载和应用运行时策略(run-time policy)并删除启动时过滤器。　　　　Windows防火墙的启动时安全性是基于操作系统的软件防火墙所独有的特性。尽管目前尚未发现任何启动时的网络攻击，Windows防火墙的这一安全性设计体现了主动防护、未雨绸缪的设计理念。　　　　可以通过多种方法对Windows防火墙进行设置。在"控制面板"中，可以通过"网络和Internet连接"以及"安全中心"访问Windows防火墙设置。如果网络连接被显示在任务栏右侧的通知区域，鼠标右键单击该网络连接，并选择"更改Windows防火墙设置"，如下图所示。　　　 　　"Windows防火墙"对话框共有3个选项卡　　　　常规选项卡：可以"启用"或"关闭"Windows防火墙，如果启用了防火墙，可以选择"不允许例外"，这将阻止所有主动到计算机的通信，并且在阻止时不通知用户。这将适合于较不安全的网络环境。　　　　例外选项卡：默认情况下，Windows防火墙允许例外，在例外选项卡中列出了4个程序和服务，并默认允许"远程协助"，如下图所示。其它3个程序和服务将根据Windows的设置自动启用。例如，如果设置了共享文件夹，则"文件和打印机共享"会被自动启用。　　　 　　当其它程序被阻止时，会询问用户，如果选择解除阻止，则该程序被添加到例外列表中。如下图所示。　　　 　　　 　　可以将程序添加到例外列表中或删除例外列表中的程序(默认的4个程序和服务除外)。也可以编辑例外程序的通信范围(IP地址)使其只和只定的计算机进行通信，如下图所示。同样的设置也适用于端口。　　　　高级选项卡：可以对选定的一个或多个网络连接进行设置，也可以指定安全日志以记录被丢弃数据包和成功的连接。"还原为默认值"按钮可以方便用户快速设置为默认的安全状态。如下图所示。