|
本文摘自《Windows & .NET
Magazine UPDATE,November 4, 2003》
上个星期,微软召开了2003年微软专业开发者大会(PDC)。PDC
2003展示了下一代Windows客户操作系统Longhorn,向开发者介绍了未来的新技术,比如Longhorn、Visual
Studio .NET (代码名为Whidbey)、Microsoft
SQL Server(代码名为Yukon),以及基于Microsoft.NET的Web
services架构(代码为Indigo)。
由于这些技术中有许多都是最新的,因此本周我将讨论一些在短期内将立即影响IT的微软产品,特别是Windows
XP Service Pack 2 (SP2)和Windows Server
2003 SP1。
XP SP2
8月份,微软在网站上悄悄地透漏XP
SP2的发布将从2003年底推迟到2004年中。XP
SP1在XP发行后大约10个月,即2002年8月推出。而新的日程计划意味着SP2将在SP1之后20个月或更长之间后发行。当你回顾微软自XP1之后发布的所有安全热修复和其它关键更新时,会发现那是一个长时间的等待,并且XP
SP1的全新安装意味着在首次启动时安装超过100MB的更新。这是不可接受的。
为了缓解这个问题,微软最近推出了Security Rollup Package 1 (SRP1)
for XP,它包含超过20个安全补丁,并且仅需一次重新启动。但是这个修正包仍然不能解释SP2的延期。
XP SP2曾被假设包含全部的热修复以及一个称为“concurrent
user Sessions”的新功能。这个新功能主要为Windows Powered
Smart Display用户设计,允许两个并发登录到XP Professional
Edition的机器上: 一个是交互的,另一个是远程的。不幸的是,concurrent
user sessions功能将不会包含在XP2中;相反微软将这个功能包装在下一版本的Smart
Displays中,预计在2004年推出。
XP SP2将包含一系列新功能,除了上述的补丁外,绝大多数的设计目的是使XP更为安全。正是由于这个原因,XP
SP2的发行对于整个产业一下子变得异常重要。
首先,XP SP2会主动将产品标记为微软新的“默认安全”状态。这意味着Windows消息服务默认是被禁用的,Internet连接防火墙(ICF)默认是被打开的,用户将能够配置多个安全配置文件,分别用于办公和家庭场合。某些改变将会改变XP的工作方式。例如,
微软将会为家庭网络文件共享默认使能防火墙。同样,更新还包括一些小的改变,比如启动时保护,以及配置组策略和无人值守安装的智能用户界面(UI)。
安装SP2后,XP系统将能够更好地抵御一般的电子攻击。例如,微软减少了DCOM的弱点,通过在默认接口要求身份验证减少RPC攻击,将RPC界面限制到本机,禁用RPC
over UDP等等。微软将向开发者发布新的RPC APIs,以帮助他们更好地利用这些改变。对于电子邮件攻击,微软创建了一个系统级的机制,它最初是用于Longhorn的,这个应用程序可以检测邮件附件是否安全;该机制称为Attachment
Execution Services (AES) API,默认不信任任何附件,微软将会把这个服务增加到Microsoft
Outlook和Outlook Express中。对于基于Web的攻击,微软在IE中锁定了本机和本地intranet区域,改变了ActiveX
控件和其它基于Web的应用程序的安装方法,并且禁止任何非用户启动的弹出广告。
在底层,XP SP2利用AMD和Intel处理器的内存保护功能,减少内存溢出错误。微软声称该功能对于多数现代32位和64位处理器都有效。
Windows 2003 SP1
在2004年,微软也计划为Windows
2003推出一个同样重要的安全服务包。Windows 2003 SP1将包含基于角色的安全配置向导,还有一系列至今仍未命名的面向企业的保护功能。另外,还会包含对客户网络隔离的支持,这样Windows
2003 SP1机器可以阻止客户访问,直到他们的安全状态被校验。一个VPN检疫功能可以让远程客户安全地访问网络。
不像XP
SP2, Windows 2003 SP1的功能集仍在增加中,因此很快我们就会知道更多的内容。XP
SP2和Windows 2003 SP1都将推迟发布,但是它们将变得更为安全。但对于个人来说,这个等待是否值得?我宁愿看到微软为所有受支持的操作系统递送常规的安全修正,就像最近的XP
SRP1一样。在日益危险的世界里,我们需要更简便的方法来保持现有系统的及时更新,在简化服务包和补丁的管理方面,微软还有很长的路要走。
| 
