Windows XP SP2：后天您会是什么情况？

谁对安全性感兴趣？

　　有人听说过 Blaster 蠕虫吗？对，我肯定大多数人都知道这个病毒的危害，也许有人  
 
 
  
 
 
还亲身领教过。有了这种经历之后，您采取了哪些措施来增强计算机的安全性呢？您真的考虑过这个问题吗？您是否在自己的组织中安装、升级或增强了防火墙？如果进一步提高您增强策略规则或更改密的频度，会怎么样？您有没有建立相应的策略，让您的用户在其 PC 上使用“普通用户权限”而不是“管理员用户权限”？

　　我并没有采取所有这些措施。我的大多数客户都做不到这一点。这可不行。

　　只要有机会，我都会督促我的客户更加注意安全问题。不幸的是，大多数客户更关注的是用户的舒适性，而不是安全性。他们的“舒适性”甚至会达到这样的程度：15 分钟无操作之后，库也不强制实施屏幕保护锁定…

　　朋友们，提高警惕吧！黑客就是在我们的眼皮底下得逞的！想一想，黑客现在可以用多少办法通过 Internet Explorer 欺骗我们！他们可以创建一个弹出窗口，隐藏地址栏或者通知栏这样的重要信息，从而使我们误以为这是个安全站点。他们可以任意多次弹出 ActiveX 安装请求，干扰我们的 Web 页浏览体验。如果没有防火墙的保护，他们可以通过 TCP/IP 以未经请求的入站连接形式连接到我们的计算机。

　　Windows XP Service Pack 2 中有 150 多处旨在提高操作系统安全性和稳定性的更改。尽管有些更改与安全性无关，但是大多数都与安全性有关。

　　什么样的人需要个人防火墙？

　　现在，几乎所有企业环境都有一个边界防火墙，用它来阻止未经请求的入站连接。这显然意味着网络是受到保护的，Windows XP SP2 新防火墙只应该在家里使用...这种想法是错误的！现在每个人都可以通过 USB 磁盘、软盘、摄像机闪存等设备将某些软件带入他所在的组织。这样的人甚至有可能是有权访问所有环境的技术支持人员。您应该制定非常严格的策略，防止发生此类事情。

　　新的 Windows 防火墙(以前叫做 Internet 连接防火墙)已经进行了更改。它现在提供的保护程度可以阻止依靠未经请求的传入通信来攻击计算机的恶意用户和程序。

　　以下是新的 Windows 防火墙中的主要更改：

　　·Windows 防火墙在安装过程中已被默认启用。

　　·可以通过组策略、Netsh 命令行或者 Netfw.inf 文件控制其所有功能。

　　·更友好和能够更方便地提供帮助的新用户界面(见图 1)。

　　·一个例外列表，其中包含了您允许通过它从网络接收未经请求的连接的所有端口或程序(见图 2)。

　　·子网控制 – 现在您可以配置例外列表中的一个端口或程序，使之只能从本地子网的某个源地址接收网络通信(见图 3)。

　　·无例外 – 万一您的网络受到蠕虫攻击，您可以将 Windows 防火墙配置为拒绝所有入站连接，方法是在防火墙用户主界面、命令行或者“组策略”中启用“不允许例外”。

　　·全局配置 – 以前的 Internet 连接防火墙是逐个接口配置的。这意味着每个网络连接有自己的防火墙策略：例如无线连接采用一种策略，以太网采用另一种策略。使用“全局配置”，不论配置在什么时候出现更改，它都会被应用到所有网络连接。

　　·多配置文件 - Windows 防火墙中的多配置文件支持允许您创建两组防火墙策略：一组策略在计算机连接到企业网络时使用，另一组策略在计算机不连接企业网络时使用。

　　新的 Windows 防火墙旨在帮助您保证家庭和商务连接的安全。通过使用防火墙，您可以最大限度地减小组织遭受内部和外部攻击的风险。

图 1：Windows 防火墙

图 2：Windows 防火墙例外列表

图 3：配置例外范围

 　解决当今困扰 Internet 使用体验的问题
　　您以前有多少次遇到过要求您安装 Ac  
 
 
  
 
 
tiveX（且不接受就无法继续浏览）的 Web 页？您又有多次遇到过一个带有弹出窗口的 Web 页 — 大量弹出窗口覆盖整个屏幕，而在您关闭所有窗口后，您会发现连主页面也被关闭，可您却没有记住主页面的地址？

　　Windows XP SP2 对 Internet Explorer 的行为做了重大更改，可以阻止恶意 Web 页骗您安装会损害计算机的附加件或间谍组件。

主要的更改包括：

　　附件安装提示

　　任何试图安装 ActiveX 的 Web 页都会被阻止。屏幕上不会再出现一个很大的、要求您安装 ActiveX 的消息框打扰您。地址栏下新增的安全栏会立即通知您注意 Web 页，指明此 Web 站点试图在您的计算机上安装一个 ActiveX（见图 4）。右键单击此安全栏，您可以选择安装此 ActiveX。这种情况下会出现一个新窗口，该窗口只显示关于此 ActiveX 的最重要信息：名称、发布人、警告消息（见图 5）。您可以选择忽略以后的 ActiveX 安装请求。

图 4：IE 中阻止 ActiveX 的通知

图 5：新的 ActiveX 安全警告

　　附件管理器

　　如果您已经有意或者无意间安装了某个 ActiveX，您可以根据需要用新增的附件管理器删除此 ActiveX。使用附件管理器，您可以在 IE 中启用或者禁用任何附件。

　　注意： 您不能用附件管理器来卸载附件，只能禁用附件。

　　提示： 我用附件管理器来禁用“Shockwave Flash 对象”。此设置将禁用我访问的站点上的所有 Flash 对象，因为通常这些 Flash 推销对象都很讨厌。您可以用脚本来禁用或启用 Flash，这样便可通过一个快捷方式使用带 Flash 的 IE，通过另一个快捷方式使用不带 Flash 的 IE。

　　弹出窗口拦截器

　　如果 Web 页试图打开弹出窗口，拦截器会自动进行拦截。就像控制 ActiveX 控件的安装一样，安全栏在这种情况下也会提供通知。右键单击安全栏，您可以选择允许显示弹出窗口。您可以通过选择“工具”->“弹出窗口拦截器设置”来管理弹出窗口的行为。默认情况下，“允许站点”列表中是空的。

　　减少欺骗现象的措施
　　为了防范欺骗行为，弹出窗口不能在屏幕以外显示，不能没有边界，不能没有通知栏，不能覆盖在父页的地址栏或通知栏上面，也不能占据整个屏幕。　　其他更改
　　IE 中有许多其他更改可以帮助您更顺利地浏览 Internet，帮助您防范 Web 欺骗行为。

　　底线 – 我的 PC 安全吗？

　　它当然可以更加安全。Windows XP Service Pack 2 中有一项名为“安全中心”的新服务。这项新服务提供了一个更改安全性设置、学习更多安全性知识和确保计算机更新的中央位置，其基本的安全性设置是 Microsoft 推荐的。它以后台进程的形式运行，会检查您的个人防火墙、杀毒软件和 Windows 更新组件的状态。如果有 WMI 提供程序，它还会检查第三方软件。如果它发现缺少某个组件或者组件不符合您的安全策略，“安全中心”会在用户任务栏的通知区域显示红色图标，并且在您登录的时候显示警告消息。

　　远不止您所看到的

　　Windows XP Service Pack 2 中包括了许多其他更改。以下是部分更改的速查列表：
　　• 任何采用 RPC、DCOM 或 WebDAV 的程序将不再能够使用匿名连接。它们必须经过身份验证。
　　• 在 Windows Server 2003 Service Pack 1 中将提供支持新的 RADIUS 服务器的新的无线客户端。
　　• Outlook Express 不会自动下载外部 HTML 内容；它可通过禁止用户在不知情的情况下将其电子邮件地址授予垃圾邮件发件人来帮助用户避免接收重复的垃圾邮件。
　　• NX（“不执行”）技术 - 执行保护是一项新技术，它与支持此项技术的 CPU 一起保护计算机内存不执行会造成缓冲区溢出的程序。
　　• AES – 附件索要服务可帮助 IE、Windows Messenger 和 Outlook Express 检查可执行文件并判断它们是否安全。
　　• 支持大多数已知设备的蓝牙技术。
　　• MSI3 – Microsoft Installer 3 支持二进制数据压缩，使修补文件更小。
　　• 支持 Windows Update Server 的客户端即将推出。
　　• Tablet PC 增强功能可帮助您更顺利地编写内容。

　　后天您会是什么情况？

　　Windows XP Service Pack 2 中包含的不仅仅是几个安全性修复程序。它不仅是 Microsoft 发布过的最大的 Service Pack，而且展示了通过大大减小受攻击面来增强 PC 安全性的方法。它不