[操做系统]比尔·盖茨的信 -- 微软在平安范畴的勤奋和现阶段的功效(转载)

歹意软件代码已经存在了数十年，但是只在比来几年，因为互联网、高速收集毗连和数以百万台新式计算机设备的呈现，构成了实正意义上的全球收集，病毒和“蠕虫”才有前提在短短几分钟内残虐全球。

　　与此同时，黑客立功分子的手法也越来越疯狂，他们造造并漫衍了诸如Slammer、Blaster（冲击波）, Sobig（大无极）和Mydoom等数字病毒，那些病毒像瘟疫一样能够在霎时大规模扩散，威胁着高科技驱动消费、商务和交换的潜在能量。

　　病毒进攻的品种也在进化。例如Blaster（冲击波），那种病毒进攻小我电脑，将无辜的用户在不知不觉的情状下酿成了“蠕虫”的传布者。那些进攻体例的特征是：“密集”的进攻互相共同，产生成倍的、翻江倒海式的效果，对平安构成了更大的威胁。那就要求IT专业人员和消费者提早摘取预防性办法，同时也要求手艺范畴不竭改革和开发新的处理计划。

　　虽然将来充满了各类挑战，但微软甚至整个业界都正在平安方面不竭获得重要的停顿。本邮件将向您论述微软在平安的四个范畴中所做的严重投进：

　　平安隔离与弹性应对

　　更新

　　量量

　　验证与拜候掌握

　　此外，我们还许诺在客户教导和协做关系方面加大投进，因为那些将有助于加强计算情况的平安性和可靠性。

　　因为人的本性，不竭演进的威胁形式、越来越多的互联计算机、以及平安歹意操纵的数量永久都不会有消逝的一天，但是，我们仍然能够显著地提防并削弱收集立功所带来的影响。目前，我们正在把研发投进中相当大的一部门用在平安方面。

　　平安隔离与弹性应对

　　我们平安工做的中心使命是通过将歹意代码隔离来避免歹意代码摸索到缺陷，而且供给对计算机法式对话方或协同工做的对象的愈加有效的掌握，使系统面临威胁时能弹性的应对，如许系统就可以识别并阻遏可疑或者歹意的摸索行为。

　　Windows XP Service Pack 2：我们正在隔离和弹性应对办法方面获得良多停顿，那些停顿将能够搀扶帮助我们的重点客户对于操做系统所面对的四种进攻形式。Windows XP Service Pack 2 将在本年春夏之交面世。

　　收集庇护： Windows 防火墙将在默认形态下启动，全局防火墙设置以及防火墙中心治理设置装备摆设也将默认形态下启动。那些办法将削减病毒对小我电脑和收集的“进攻面”。

　　平安网页阅读：为了削弱歹意代码以及那些会毁坏计算机或哄骗用户的收集站点带来的冲击，IE将主动屏障非恳求的网站下载以及用户不想要的主动弹出窗口，除非用户点击下载链接。 IT 治理员也能够对此功用停止治理，以便在机构内部包管战略的一致性。此外，无线设置也将得到改进，以加强家庭无线收集阅读的平安性。

　　平安的电子邮件和立即通信：为了降低遭到进攻的风险，我们正在将Outlook Express和Windows Messenger立即通信的文件附加功用打造得愈加超卓，此外，在Outlook Express中加强了用户对外部内容的下载的掌握权，那些外部内容的下载会形成邮件发送者识别您的计算机。

　　内存庇护：专门操纵缓冲区溢出的歹意软件能够使大量的数据被复造到计算机的内存中。固然没有零丁的手艺能够完全消弭那种缺陷，但微软正在通过利用大量的平安手艺来削弱此类进攻带来的影响。起首，核心的Windows 组件都已经利用最新版本的编译手艺停止了从头编译以防溢出。微软还正在与Intel和AMD等微处置器厂家协做，搀扶帮助Windows撑持硬件加强数据施行庇护，也就是NX，或“no execute”。除非某个位置明显含有可施行代码，不然NX通过CPU将利用法式中所有的存储位置都标识成“不施行”。因而，当“蠕虫”或病毒在内存储中标识为“只存数据”的部门插历程序代码时，该代码将无法运行。

　　Windows Server 2003：因为每台计算机所处的情况都能够被认为是“敌对世界”，因而我们在Windows Server 2003 上的工做重点就是摸索若何降低、减轻或者抵抗威胁。我们方案在2004年的下半年推出Windows Server 2003 Service Pack 1，此中包罗基于办事器的平安加强特征，有一些平安手艺始自Windows XP SP2。为了改进隔离功用，Windows防火墙将在新办事器安拆时就启动，因而办事器能够在设置装备摆设期间更好地抵御基于收集的进攻。此外，我们还将供给一个平安设置装备摆设领导，一旦办事器角色（如文件办事器、利用办事器等）启动，就能够根据它们相对应的利用形式锁定办事器的角色。

　　Internet Security and Acceleration Server (ISA Server) 2004版：ISA Server 2004版中的平安功用包罗了大量的深度内容查抄，利用户能够更好地庇护微软利用法式并加强长途VPN毗连的平安。加强的用户界面和治理东西将利用户更便利地实行和治理平安战略，降低错误设置装备摆设的可能性，而错误设置装备摆设恰是招致收集被进侵最常见的原因。

　　Exchange鸿沟办事: 那项新手艺次要针对的是呈现在互联网邮件中越来越多的平安问题。Exchange鸿沟办事的设想目标是阻遏歹意邮件和垃圾邮件的领受和发送、庇护邮件办事器免受进攻、避免邮件照顾病毒，以及对信息停止加密以到达更佳平安效果。此外，它还为第三方开发者供给了一个根底，使他们能够开发新一代的邮件过滤器、邮件加密产物以及邮件传递处理计划。

　　积极的庇护手艺：阻遏和按捺进攻很关键的一点是，包管计算机即便是处在“蠕虫”和病毒越来越复杂的情状下，也有更强的弹性应对才能。为了做到那一点，微软正在投资开发一套完全的庇护手艺，它包罗：

　　动态的系统庇护：它能够根据每台计算机“形态”的改变主动调整防备办法。那些形态例如，新软件安拆、设置装备摆设的需要更新，或者毗连到其它收集，那样的话计算机更随便遭到进攻。动态的系统庇护能够侦测到那些改变而且对庇护品级做出响应的调整。如今，客户受益于Windows 的“主动更新”功用，因为它能够探测到计算机对平安更新的需要。在将来，微软想象的计算机不只可以侦测到改变，并且可以针对改变主动做出反响。例如，当一台条记本电脑从公司的收集转移到家庭的电缆调造解调器或DSL毗连时，它的防火墙就会封闭更多的端口，以供给更多的庇护。

　　行为屏障：那种办法能够拦截可疑行为并对其停止揣度，假设发现反常就加以阻遏，从而限造了计算机遭到“蠕虫”或病毒传染的可能性，避免病毒形成更多的毁坏。例如，Blaster（冲击波）“蠕虫”就是摸索到一个缺陷，招致Windows将“蠕虫”复造到其他计算机。而行为屏障能够按捺那种进攻。

　　利用感知防火墙和进侵防备：其目标是识别并屏障歹意的传输。隐躲在合法的收集传输中的病毒和“蠕虫”能够绕过传统的防火墙。但那项新的手艺将对收集传输停止深条理的查抄并阻遏或限造歹意内容的扩散。

　　反垃圾邮件东西：因为病毒、“蠕虫”以及其它歹意代码经常通过垃圾邮件传布，微软正在停止多方面的反垃圾邮件工做。往年11月，微软推出了“SmartScreen”手艺，那是一种能够用于客户端和在线邮件法式的过滤器。邮件用户能够通过操练过滤器识别垃圾邮件，让它能够变得越来越“伶俐”。上个月，微软又发布了Caller-ID手艺的一个典型利用，它能够对电子邮件的来源停止查验，类似于德律风的来电展现。在法令方面，微软往年在全球范畴内对垃圾邮件造造者提起了66起法令诉讼。

　　客户端查抄：关于公司来说，更大的一个担忧就是传染了病毒或“蠕虫”的家庭计算机或长途条记本电脑与公司的收集相毗连。我们正在研究的手艺能够对长途设备停止查抄，假设它们没能通过平安查抄就将无法登录到公司收集。

　　收集办事：2002年推出的“收集办事平安”（WS-Security）是一项原则化的标准，能够进步收集办事的完全性、平安性和奥秘性，它容许对信息停止加密并撑持数字签名，从而有助于商家以愈加平安、经济和乖巧的体例毗连内部和外部系统。WS-I Security 档案工做组比来发布的一项陈述介绍了一些新办法，那些办法能够避免在成立共享操做的收集办事中呈现的进攻和威胁。

　　更新

　　到目前为行，对软件停止更新不断是用户应对平安破绽的次要办法。日益严峻的威胁要求我们摘取愈加普遍和多样的办法来应对，微软正在陆续大幅度地进步更新法式和其它相关法式的量量，而且开发出愈加先辈的东西来搀扶帮助IT治理员优化他们的平安根底设备。

　　往年秋季，为了加强补钉更新法式的可揣测性和可治理性，我们起头了按月发布更新法式（当然，在有新威胁呈现的情状下我们也会随时推出更新法式来庇护客户）。同时，我们也在改进测试法式，争取将更新法式的纷歧致性和撤回率降到更低。到本年夏日以前，大大都的更新法式都将拥有完全的回滚功用。

　　往年11月发布的System Management Server 2003是一种综合的更新法式，也是一种软件治理和分配处理计划，它能够使机构敏捷便利地以系统体例摆设最新的更新法式。在1月份，我们发布了Microsoft Baseline Security Analyzer v1.2，那是一种免费的东西，它能够供给识别常见的平安错误设置装备摆设的最新办法。

　　Windows Update Services是Software Update Services 1.0（SUS）的新的开展，也是微软在补钉和更新治理战术中向前迈出的重要一步。做为 Windows 办事器的免费组件，Windows Update Services 付与了IT 治理员权限，使他们可以在Windows 办事器和客户端电脑长进行无缝地更新、扫描和安拆。新的特色包罗向用户供给更多主动操做和掌握的权限以削减系统更新时的中断现象，以及扩展功用以SQL Server、Exchange Server、Office 2003 和Office XP的更新。目前那种办事正处于测试阶段，方案于2004年的下半年发布。此外，关于消费者，我们还正在为Windows Update填补一项新的办事，使消费者能够主动随时获取Windows以及Windows 以外的更多的微软产物信息。那项名喊 Microsoft Update 的新办事将于本年晚些时候推出。

　　同时，我们还在整合一些功用以实现主动检测关键平安功用的情况（如防火墙、主动更新和反病毒）。在Windows XP 掌握面板中供给的新的“平安中心”功用将为用户供给信息，告诉他们关键平安功用能否已经启用以及能否过时。当发现问题时，用户将收到通知和选举摘取的平安办法。

　　验证与拜候掌握

　　计算机收集不再是个封锁的系统，在那个系统顶用户只要在收集上就已经供给了识别其身份的根据。在一个数百万台计算机设备彼此毗连、供货商和协做伙伴也经常能够拜候公司收集的时代，未经受权的小我有大量潜在的时机获取电子邮件、电子商务交易或受权文件等数字信息。在如许的情况中，拜候掌握（拜候者、拜候内容和拜候时间）以及验证就成了包管机构平安的关键办法。

　　密码：密码是验证拜候计算机和收集的用户的最常见机造。但假设用户为了便利记忆而抉择常见的密码，它们会很随便被攻破。Windows Server 2003 家族有一项新功用，能够在安拆时检测治理员帐户密码的复杂性。假设密码为空或者没有到达复杂要求，系统会弹出一个对话框，提醒用户不利用复杂密码将会带来什么样的求助紧急。我们还通过与RSA 平安公司和VeriSign公司的协做来加强对强大的、双要素验证机造的撑持。

　　智能卡：Windows Server 2003和Windows XP 还撑持智能卡，那是一种信誉卡大小的设备，此中平安地存储了证书、公共和小我密钥、密码以及其它小我信息。利用智能卡登录收集能够供给十分有效的验证，因为它利用以密码为根底的身份识别，用户要登录收集必需供给拥有智能卡上小我密钥的证明，换而言之，需要供给你所拥有和晓得的信息。

　　公钥根底设备（PKI）：Windows Server 2003 包罗的特色功用能够搀扶帮助机构实现一个公钥根底设备（包罗证书、相关办事和模板）。一个PKI供给了撑持数字证书的发行和末身治理所需要的机造。因为发行单元对数字证书确实认，其他方在验证时能够独登时揣度出示数字证书的客户端的身份。利用那种验证手艺能够供给基于业界原则的公钥加密手艺的有力验证。

　　生物特征身份识别卡：更进一步地，防窜改的生物特征身份识别卡系统将公钥、压缩和条码手艺并世无双地组合起来，为加密平安的照片身份识别卡供给一种新型、简易而经济的处理计划。

　　IPsec：做为综合性深条理信息庇护战术中的一个重要构成部门，IPsec能够通过计算机之间的彼此验证,，并根据验证成果来限造进进收集的信息量，以此来消弭良多威胁。此外，它还供给数字签名来确保完全性，并供给加密来确保隐私。微软的IPsec已经在我们本身公司的收集中利用，它完全兼容行业原则，能够施行其它IPsec兼容的彼此操做，包罗撑持收集地址转换的操做。

　　量量

　　正如我们以前所说，微软坚守本身的许诺，在开发软件时利用最为先辈的设想理念、原则和办法。我们不断严厉地理论“设想卓著”的主动性原则，确保我们的工程师在软件设想、开发、测试和发布的过程中理解和摘用更佳理念。

　　往年Windows Server 2003发布前我们所停止的平安开发过程就是一个更好的例子，足够阐了然我们的勤奋在一些方面产生了有益于用户的效果。在产物面市后的第一个320天中，针对Windows Server 2003所发布的“严峻”或“重要”的通知布告数量与Windows 2000 Server比拟从40下降到了9 。与此相类似，关于SQL Server 2000而言，在Service Pack 3发布后的15个月中，我们共发布了3个通知布告；而在Service Pack 3推出前的15个月中总共发布过13个通知布告。在Exchange 2000 SP3发布后的21个月中，我们只出了1次通知布告，但在发布之前的21个月中共有7个通知布告。

　　我们还在开发新的内部东西方面获得了显著的成就，那些东西能够软件开发时主动对代码停止检测并发现常见错误，还能够在软件发布前对其停止愈加彻底的测试。例如，我们利用代码检测东西主动觅觅各类可能招致平安缺陷、法式瓦解或中行的问题。我们许诺，将通过培训和东西（包罗Visual Studio的下一个版本）使其他软件开发商也能够有效地运用我们的手艺。

　　在Windows Server 2003的 Service Pack 1中，我们将陆续勤奋，放弃过时的和未利用的手艺，以削减可能遭受外表进攻的区域。

　　客户教导与协做关系

　　即便是世界上更好的手艺，假设不为人知某人们不会利用，那么也无法发扬感化。因为全世界有数亿名计算机用户，他们的平安常识程度也良莠不齐，因而那将是一个浩荡的挑战。但微软正在停止大量的投资，目标就是搀扶帮助用户领会若何使本身计算机运行的情况愈加平安可靠。

　　到本年岁尾前，我们的目标是使全球50万贸易用户领会若何从平安动身优化他们的系统和收集。我们也正在与业界的其他指导者停止协做，勤奋搀扶帮助用户优化更新治理和平安处理计划。此外，我们还向开发者供给论坛和出书物，搀扶帮助他们开发平安利用软件和收集办事。

　　从4月起头，微软将在美国的各个城市举办21场“平安峰会”，目标是向IT和开发专业人士供给深条理的手艺平安培训。培训是免费的，它和微软提赐与客户的其它时机（包罗Webcasts、self-paced learning 和 hands-on labs等）互为填补，搀扶帮助客户庇护他们的计算机和收集。我们还为全球的客户供给平安培训，假设您想领会详情，请向本地的微软分公司征询。

　　我们还在microsoft.com/security/guidance 为开发者和IT专业人士成立了一个平安批示中心。客户能够在那里获得全面的手艺批示、东西、培训以及更新法式，我们的目标是搀扶帮助您造定和治理愈加有效的平安战略。上述免费的信息还包罗了各类清单，便利您停止与平安相关的查询和处置，对笼盖面较广的平安使命供给了循序渐进的批示，而且针对特定产物和特定手艺供给批示，以搀扶帮助用户庇护平台、收集、计算机和数据。

　　我们正在与计算机造造商、零售商、ISP以及其他伙伴协做停止全球范畴内的客户教导工做，目标是使更多的人领会到若何养成使计算机连结“卫生”的优良习惯以及若何毫不吃力地启用庇护手艺。那项工做包罗了三个方面：安拆反病毒软件、利用互联网防火墙以及利用Windows的主动更新功用来主动下载微软最新的平安更新法式。

　　我们已同Computer Associates、Network Associates、Symantec、Trend Micro、F-Secure、ISS (BlackICE)、Tiny Software以及Zone Labs等公司联袂，配合在第三方反病毒软件和小我防火墙软件等范畴供给特殊办事。

　　在“病毒信息联盟”（该组织包罗了10个领先的反病毒销售商）的搀扶帮助下，我们向互联网用户供给对微软手艺产生影响的最新病毒威胁的信息。

　　上个月，全球互联网平安根底设备联盟（GIAIS）公布与微软及互联网办事供给商在平安问题上开展愈加密切的协做。GIAIS的成员已经在与微软的协做中发扬了关键感化，两边配合识别了MyDoom的病毒信号并开发了弥补手艺来确保用户平安。

　　微软的平安专家也参与了由美国疆土平安部和国会倡议的动作，那一动作的目标是稳固美国的关键性根底设备，包罗软件开发中的选举手艺处置、有效补钉治理、以及若何更好地创造出更具平安保障的贸易系统。

　　微软还与执法机构开展宽广的协做，阻遏黑客毁坏软件的行为。往年11月，微软成立了一个“反病毒奖励项目”，任何向美国联邦查询拜访局（FBI）或特工处供给线索并招致释放病毒或蠕虫者被捕或被宣判有功的人都能够从该项目获取现金奖励。

　　前景

　　平安问题是我们所处的行业有史以来碰着的更大也是最重要的挑战之一。那不是一个仅仅凭仗修复破绽就能够处理的问题。假设想要将病毒或“蠕虫”带来的冲击降低到可承受的水平，我们需要对以下问题停止全新的根究：软件量量、东西和法式不竭改进、对可恢复性的新平安手艺的继续投进（目标是在歹意或毁坏性软件代码形成严重缺失前阻遏它们）。此外，还需要计算机用户积极主动地摆设和治理在利用的产物。请拜候，那里有更多详尽信息能够搀扶帮助客户加强平安性。

　　在过往的20年中我们履历了令人难以置信的漫长的手艺立异的道路。手艺几乎太重要了，因而绝不克不及让一小撮立功分子障碍我们享受手艺所带来的惊人好处。