自2001年微軟發(fā)布Windows XP以來至今，信息安全形勢發(fā)生了很大的變化。2002年9月9日，微軟發(fā)布了Windows XP SP1 ，對Windows XP進行了325處修補，其中33處和安全性有關(guān) 。此后的兩年間，針對Windows XP SP1的安全公告多達64個，其中緊急(Critical)和重要(Important)級別的安全公告超過80% 。在此期間，惡意攻擊的另一個特點是利用操作系統(tǒng)的安全漏洞進行攻擊，而用戶的系統(tǒng)設(shè)置、網(wǎng)絡(luò)環(huán)境和安全意識，也給這些攻擊提供了可乘之機。

事實上，在Windows XP發(fā)布一年后，微軟開始實施了可信賴計算的計劃 。在可信賴計算白皮書 中，微軟提出了實施可信賴計算的手段(means)：

設(shè)計安全：減少軟件漏洞

默認安全：減少攻擊面

部署安全：安全措施更容易實施

用戶溝通：幫助用戶學(xué)會自我防護

在Windows XP SP2中，上述方法和理念得到了很好的實踐。首先，盡管SP2并不是一個新的操作系統(tǒng)，但在其所有818項修復(fù)中有140項是屬于基礎(chǔ)操作系統(tǒng)方面的(Base Operating System)修復(fù) ，以彌補設(shè)計階段的軟件漏洞。此外，默認情況下的Windows防火墻、Internet Explorer、OutLook Express、Windows Update等都處于安全設(shè)置狀態(tài)。第三，Windows安全中心不僅方便了對系統(tǒng)的安全設(shè)置，也會智能地提示用戶安全性問題，例如，當沒有及時更新病毒防護軟件時，會彈出安全警告。

Windows XP SP2特性概述

在Windows XP SP2中，微軟提供了多種安全技術(shù)幫助用戶抵御惡意軟件和其它風(fēng)險，從而提高了Windows XP的整體安全防范能力。這些安全技術(shù)包括：

網(wǎng)絡(luò)保護 此類安全技術(shù)包括了Windows防火墻增強和遠端過程調(diào)用接口限制(RPC Remote Procedure Call)，該技術(shù)有助于對類似沖擊波(MSBlaster)等基于網(wǎng)絡(luò)的攻擊行為提供更好的保護。這些增強措施包括：默認開啟Windows防火墻、關(guān)閉端口除非該端口被使用、改進的配置用戶界面、改進的Windows防火墻開啟時應(yīng)用程序兼容性和通過組策略對Windows防火墻的企業(yè)管理工具。遠端過程調(diào)用服務(wù)的受攻擊面(attack surface)被減少，該對象以較低的權(quán)限級別運行。DCOM架構(gòu)也增加了訪問控制限制以減少被網(wǎng)絡(luò)攻擊擊中的風(fēng)險。

內(nèi)存保護 某些軟件允許過多的數(shù)據(jù)復(fù)制到計算機內(nèi)存中，惡意軟件的攻擊可以利用這一安全性弱點。通常這種現(xiàn)象被稱作緩沖溢出。雖然，任何單一技術(shù)都不能完全消除這種問題，微軟正在從不同角度采用多種安全技術(shù)減輕這類攻擊。首先，利用最新的編譯技術(shù)將核心Windows組件重新編譯，增加了對緩沖溢出的保護。此外，微軟正在與微處理器廠家合作以使Windows支持微處理器上基于硬件的數(shù)據(jù)執(zhí)行保護(DEP Data Execution Prevention)特性。數(shù)據(jù)執(zhí)行保護通過CPU將應(yīng)用程序所有的內(nèi)存位置標記為不可執(zhí)行，除非這些位置顯式地包含可執(zhí)行代碼。這樣，當蠕蟲或病毒插入到程序代碼并進入到標記為僅為數(shù)據(jù)的存儲部分，應(yīng)用程序或Windows組件將不會運行它。

若要查看和設(shè)置數(shù)據(jù)執(zhí)行保護，單擊'開始'按鈕，在彈出的菜單中，右鍵單擊'我的電腦'，并在快捷菜單中選擇'屬性'。在打開的'系統(tǒng)屬性'對話框中，選擇'高級'選項卡，在性能選項中單擊'設(shè)置'按鈕，在打開的'性能選項'對話框中選擇'數(shù)據(jù)執(zhí)行保護'選項卡。

電子郵件處理 安全技術(shù)有助于中止通過電子郵件和即時消息傳播的病毒(如SoBig.F)。這些技術(shù)包括安全性增強的默認設(shè)置、利用附件執(zhí)行服務(wù)(AES Attachment Execution Service)應(yīng)用程序接口的改進的附件控制。從而增強了Microsoft Outlook、Outlook Express和Windows Messenger等通信應(yīng)用的安全性和可靠性。其結(jié)果是，通過e-mail和即時消息傳遞的潛在不安全附件被隔離，并盡可能少地影響系統(tǒng)的其它部分。

瀏覽安全 Microsoft Internet Explorer中的安全技術(shù)提供了抵御Web中惡意內(nèi)容的防護。改進之一是鎖定本機區(qū)域以免運行惡意腳本和增強組織有害Web下載。此外，更好的用戶控制和用戶界面可幫助阻止惡意ActiveX控件和間諜軟件在用戶不知情的情況下運行。

計算機維護 安全方案中非常重要的一部分是保持計算機最新的軟件和安全更新，并且了解更新在保護計算機安全中的重要性。具有安全性攻擊和趨勢的知識同樣也很重要。例如，一些已知病毒和蠕蟲的有效攻擊開始前若干天或若干周，相應(yīng)的軟件更新已經(jīng)可用。所增加的新技術(shù)幫助最終用戶保持最新。這些技術(shù)包括安全中心，提供了關(guān)于計算機安全性信息的統(tǒng)一位置，還有Windows Installer，提供了軟件安裝的安全性選項。 安全中心

安全中心是Windows XP SP2進行安全性設(shè)置和管理的統(tǒng)一界面，可以從控制面板訪問安全中心，也可以在需要進行安全性設(shè)置的時候，從告警信息提示中快速地打開安全中心。安全中心如下圖所示。

安全中心自動監(jiān)控防火墻、自動更新和病毒防護的狀態(tài)，如果這些設(shè)置出現(xiàn)異常時，根據(jù)不同的嚴重程度，以不同的顏色和方式進行警告。例如，修改了自動更新的默認設(shè)置后，安全中心中有關(guān)自動更新的基礎(chǔ)標記就會變?yōu)辄S色，并提示檢查設(shè)置。如下圖所示。

如果關(guān)閉了自動更新，則在通知區(qū)域會顯示W(wǎng)indows安全警報 和信息提示，如下圖所示。

單擊警告信息，則可以打開安全中心，如下圖所示。單擊'啟用自動更新'按鈕，就可以恢復(fù)到正常安全設(shè)置狀態(tài)。

在安全中心中，可以管理安全設(shè)置，這些設(shè)置包括了Internet選項、自動更新和Windows防火墻。此外可以訪問有關(guān)的資源。并可以設(shè)置安全中心通知用戶的方式(可以關(guān)閉通知，但不建議這樣做)。

對于加入到域的Windows系統(tǒng)，安全性設(shè)置由網(wǎng)絡(luò)管理員決定，安全中心將不再進行提示通知。 防火墻

Windows防火墻是Windows XP SP2的重要改進之一。和以前ICF(Internet Connection Firewall)不同的是，默認情況下，Windows防火墻處于啟用的狀態(tài)，而且一旦防火墻被關(guān)閉，安全中心也會發(fā)出警告信息。

另一個重要的改進是，Windows防火墻在Windows啟動時將利用靜態(tài)規(guī)則進行狀態(tài)過濾(stateful filtering)，該靜態(tài)規(guī)則被稱作啟動時策略(boot-time policy)。此時允許計算機運行DNS和DHCP等基本網(wǎng)絡(luò)任務(wù)。一旦Windows防火墻服務(wù)運行，將加載和應(yīng)用運行時策略(run-time policy)并刪除啟動時過濾器。

Windows防火墻的啟動時安全性是基于操作系統(tǒng)的軟件防火墻所獨有的特性。盡管目前尚未發(fā)現(xiàn)任何啟動時的網(wǎng)絡(luò)攻擊，Windows防火墻的這一安全性設(shè)計體現(xiàn)了主動防護、未雨綢繆的設(shè)計理念。

可以通過多種方法對Windows防火墻進行設(shè)置。在'控制面板'中，可以通過'網(wǎng)絡(luò)和Internet連接'以及'安全中心'訪問Windows防火墻設(shè)置。如果網(wǎng)絡(luò)連接被顯示在任務(wù)欄右側(cè)的通知區(qū)域，鼠標右鍵單擊該網(wǎng)絡(luò)連接，并選擇'更改Windows防火墻設(shè)置'，如下圖所示。

'Windows防火墻'對話框共有3個選項卡

常規(guī)選項卡：可以'啟用'或'關(guān)閉'Windows防火墻，如果啟用了防火墻，可以選擇'不允許例外'，這將阻止所有主動到計算機的通信，并且在阻止時不通知用戶。這將適合于較不安全的網(wǎng)絡(luò)環(huán)境。

例外選項卡：默認情況下，Windows防火墻允許例外，在例外選項卡中列出了4個程序和服務(wù)，并默認允許'遠程協(xié)助'，如下圖所示。其它3個程序和服務(wù)將根據(jù)Windows的設(shè)置自動啟用。例如，如果設(shè)置了共享文件夾，則'文件和打印機共享'會被自動啟用。

當其它程序被阻止時，會詢問用戶，如果選擇解除阻止，則該程序被添加到例外列表中。如下圖所示。

可以將程序添加到例外列表中或刪除例外列表中的程序(默認的4個程序和服務(wù)除外)。也可以編輯例外程序的通信范圍(IP地址)使其只和只定的計算機進行通信，如下圖所示。同樣的設(shè)置也適用于端口。

高級選項卡：可以對選定的一個或多個網(wǎng)絡(luò)連接進行設(shè)置，也可以指定安全日志以記錄被丟棄數(shù)據(jù)包和成功的連接。'還原為默認值'按鈕可以方便用戶快速設(shè)置為默認的安全狀態(tài)。如下圖所示。

自動更新

保持Windows系統(tǒng)和軟件處于最新的狀態(tài)，使安全性的重要保障措施之一。實踐表明，開啟Windows自動更新，可以避免幾乎所有的利用系統(tǒng)漏洞的惡意攻擊。因此Windows自動更新被微軟認為是保證系統(tǒng)安全的重要的3個重要步驟之一 。事實上，很多用戶并沒有開啟自動更新的功能，致使系統(tǒng)處于被攻擊的危險之下，甚至遭到惡意的攻擊，造成了不必要的損失。

Windows XP SP2默認開啟了Windows自動更新，如果用戶更改了自動更新的設(shè)置，將會被提醒或警告，如前所示。Windows更新服務(wù)已升級到版本5，更新服務(wù)效率更高，用戶使用更方便。此外自動更新支持支持安全修補程序、關(guān)鍵更新、累積更新包、服務(wù)軟件包等更多類型。對于慢速網(wǎng)絡(luò)連接用戶，后臺智能傳輸服務(wù)(BITS Background Intelligent Transfer Service)極大地改進了傳輸帶寬效率。在使用Windows更新服務(wù)時，可以傳輸較少的數(shù)據(jù)并更快地傳輸數(shù)據(jù)，減少更新對企業(yè)網(wǎng)絡(luò)的壓力。主要特性如下：

可以指定時間下載更新，例如指定網(wǎng)絡(luò)空閑的時段

可以設(shè)置只使用部分可用網(wǎng)絡(luò)帶寬

僅下載文件變化的部分。例如如果一個1MB的文件僅變化了一個字節(jié)，BITS將只傳送若干字節(jié)，而不是整個1MB文件。

從網(wǎng)絡(luò)傳輸失敗中恢復(fù)。在下載過程中，如果網(wǎng)絡(luò)失敗或連接丟失，BITS可以從斷點繼續(xù)傳輸，而不是重新從頭開始下載。

病毒防護集成

Windows XP SP2并不包含病毒防護軟件，但可以和防病毒軟件進行集成，以更好地保證系統(tǒng)的安全。Windows XP SP2可以檢測是否安裝了反病毒軟件，如果檢測不到 ，將發(fā)出警告；對于檢測到的反病毒軟件，如果沒有更新到最新狀態(tài)，也會受到警告信息；此外，如果關(guān)閉了病毒實時監(jiān)控，或該服務(wù)啟動失敗，也會彈出警告信息。如下圖所示。

目前國內(nèi)主流的反病毒軟件廠商，都已經(jīng)推出了和Windows XP SP2兼容的軟件產(chǎn)品或補丁程序。

Internet Explorer

Microsoft Internet Explorer是Windows中主要的Internet瀏覽器程序，用戶的瀏覽體驗和安全性是Windows XP SP2的重要考慮因素。IE的安全同時也成為系統(tǒng)安全的基礎(chǔ)。

阻止彈出式窗口

鑒于彈出式窗口被濫用的現(xiàn)實，Windows XP SP2的彈出式窗口阻止程序，為用戶阻止不必要的彈出式窗口提供了控制選擇。默認情況下，大部分的彈出式窗口被阻止。一旦彈出式窗口被阻止，將會顯示一個信息提示窗口，并在信息欄中給出提示，同時可以聽到聲音提示。如下圖所示。

信息提示窗口解釋了信息欄的功能，可以選中不再新式此信息，則下次阻止了彈出式窗口時不再彈出該窗口。單擊'了解信息欄'可打開IE相關(guān)內(nèi)容的幫助窗口。

單擊信息欄，可以選擇多項操作，如下圖所示。如果是第一次訪問該站點，可選擇'臨時允許彈出窗口'以查看彈出窗口的內(nèi)容是否是有用信息；如果需要該站點的彈出式窗口信息，則可以選擇'總是允許來自該站點的彈出窗口'；單擊'設(shè)置'命令，可以對信息欄進行進一步的設(shè)置，'關(guān)閉彈出窗口阻止程序'，將允許任何站點顯示彈出窗口；不選中'顯示彈出窗口的信息欄'后，在彈出窗口被阻止時，將不顯示信息欄。此時可以從IE狀態(tài)欄中單擊按鈕 進行設(shè)置。

選擇'更多設(shè)置'，可以打開'彈出窗口阻止程序設(shè)置'對話框。在該對話框中，可以手工輸入允許站點的地址；可以選擇是否播放聲音和顯示信息欄，以及不同的篩選級別(默認級別為中)，如下圖所示。此外，在打開網(wǎng)頁時按下Ctrl鍵，將不會阻止彈出窗口。

下列情況下的彈出窗口仍將被顯示

通過用戶單擊鏈接打開

通過運行在本機的程序打開

由來自Web站點的實證(instantiated)ActiveX控件打開

從受信任的站點或本地Intranet區(qū)域打開

文件下載和安裝提示

從IE下載文件時，會出現(xiàn)提示窗口，如下圖所示。提示窗口會顯示文件的圖標和文件的大小。根據(jù)下載文件的不同類型和安全性，提示窗口的標題的下方的圖示也有所不同。

在安裝加載項或下載的程序時，同樣會收到安全警告。對于簽署過的程序，可以有更多的選項來決定今后如何處理來自同一發(fā)行者的程序。

加載項管理和崩潰檢測

加載項向IE中添加了多種功能(如額外的工具欄、按鈕等)，這會使瀏覽更加有趣或高效。許多加載項都來自Internet，大多數(shù)加載項在下載到本地計算機之前，都會提示病癥的用戶的授權(quán)下載和安裝。但是，有些加載項可能會未經(jīng)確認即進行下載。還有一些加載項是隨 Windows安裝的。

可以在Internet Explorer中管理加載項，從'工具'菜單選擇'管理加載項'命令，可以打開對話框。如下圖所示。

選擇'已啟用'的加載項，從對話框底部選擇'禁用'或者選擇'已禁用'的加載項，然后從對話框底部選擇'啟用'。重新啟動Internet Explorer后設(shè)置起效。

如果加載項導(dǎo)致網(wǎng)頁不能正常顯示或被迫關(guān)閉，并彈出崩潰報告檢測到加載項問題，則可以在加載項管理器中，僅用該加載項。或者如果是一個ActiveX加載項，可以嘗試更新它以解決問題。

Outlook Express

由于在較早版本的Windows XP中，Outlook Express會利用MSHTML控件處理HTML內(nèi)容，并自動運行HTML頭中所含的腳本，因而帶來潛在的安全隱患。現(xiàn)在，可以選擇以純文本的方式閱讀消息，以降低風(fēng)險。

一些垃圾郵件制造者會在電子郵件消息中包含引用到其站點的圖片。以前，當用戶收到這些郵件時會自動下載這個圖片，其電子郵件地址就被驗證有效，并可能被加入到垃圾郵件收件人地址列表中。在Windows XP SP2中，Outlook Express限制下載外部HTML內(nèi)容，避免用戶被垃圾郵件制造者驗證郵件地址而收到垃圾郵件。該特性也方便了撥號上網(wǎng)的用戶，免除了下載完郵件并斷開網(wǎng)絡(luò)連接后，在試圖閱讀郵件時可能自動撥號聯(lián)網(wǎng)的麻煩。

此外，更新后的Outlook Express集成了附件執(zhí)行服務(wù)(AES Attachment Execution Service)阻止保存或打開潛在的不安全郵件附件。

Windows Messenger

在Windows Messenger中，傳輸不安全文件會被自動拒絕。要了解通常認為是不安全的文件的列表，請參閱 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;291369

此外，Windows Messenger還有求用戶必須選用不同于其郵件地址的顯示名稱。這是因為一些病毒程序可以從保存的聊天記錄中發(fā)現(xiàn)e-mail地址和相關(guān)的聯(lián)系人，從而侵犯用戶的隱私。

Tablet PC

Windows XP Tablet PC Edition在安裝了Windows XP SP2后自動升級到 Tablet PC 2005。并且在輸入面板、手寫識別、與Office System程序的集成方面有了極大的改進。

Windows Installer 3.0

其它技術(shù)和改進

更好的無線網(wǎng)絡(luò)支持

藍牙設(shè)備支持

USB設(shè)備寫保護

添加和刪除程序列表中的顯示更新選項

更多改進的管理工具

結(jié)論

Windows XP SP2是對Windows XP的一項革命性的改進，它以安全性為出發(fā)點，從系統(tǒng)、管理、用戶等多方面進行了全面的改進和增強。同時兼顧到易用性和用戶體驗。Windows XP SP2不僅解決了以往出現(xiàn)的問題，更對今后可能引起攻擊的弱點進行了預(yù)防性修補。以期即使在沒有安裝補丁的情況下，緩解惡意軟件工具及造成的危害。