[摘要]恶意软件代码已经存在了数十年,但是只在最近几年,由于互联网、高速网络连接和数以百万台新式计算机设备的出现,组成了真正意义上的全球网络,病毒和“蠕虫”才有条件在短短几分钟内肆虐全球。 与此同时,黑客犯...
恶意软件代码已经存在了数十年,但是只在最近几年,由于互联网、高速网络连接和数以百万台新式计算机设备的出现,组成了真正意义上的全球网络,病毒和“蠕虫”才有条件在短短几分钟内肆虐全球。
与此同时,黑客犯罪分子的手法也越来越猖獗,他们制造并散布了诸如Slammer、Blaster(冲击波), Sobig(巨无霸、大无极)和 Mydoom(诺维格)等数字病毒,这些病毒像瘟疫一样可以在瞬间大规模扩散,威胁着高科技驱动生产、商务和交流的潜在能量。
病毒攻击的种类也在进化。例如Blaster(冲击波),这种病毒攻击个人电脑,将无辜的用户在不知不觉的情况下变成了“蠕虫”的传播者。这些攻击方式的特点是:“密集”的攻击互相配合,产生成倍的、排山倒海式的效果,对安全构成了更大的威胁。这就要求IT专业人员和消费者提前采取预防性措施,同时也要求技术领域不断革新和开发新的解决方案。
尽管未来充满了各种挑战,但微软乃至整个业界都正在安全方面不断取得重要的进展。本邮件将向您阐述微软在安全的四个领域中所作的重大投入:
·隔离与恢复
·更新
·质量
·验证与访问控制
此外,我们还承诺在客户教育和合作关系方面加大投入,因为这些将有助于加强计算环境的安全性和可靠性。
因为人的天性,不断演进的威胁模式、越来越多的互联计算机、以及安全恶意利用的数量永远都不会有消失的一天,但是,我们仍然可以显著地防范并减弱网络犯罪所带来的影响。目前,我们正在把研发投入中相当大的一部分用在安全方面。
隔离与恢复
我们安全工作的中心任务是通过将恶意代码隔离来防止恶意代码探索到缺陷,并且提供对计算机程序对话方或协同工作的对象的更加有效的控制,使系统更加容易恢复,这样系统就能够识别并阻止可疑或者恶意的探索行为。
Windows XP Service Pack 2
我们正在隔离和恢复措施方面取得很多进展,这些进展将可以帮助我们的重点客户对付操作系统所面临的四种攻击模式。Windows XP Service Pack 2 将在今年春夏之交面世。
网络保护
Windows 防火墙将在默认状态下启动,全局防火墙设置以及防火墙中心管理配置也将默认状态下启动。这些措施将减少病毒对个人电脑和网络的“攻击面”。
安全网页浏览
为了减弱恶意代码以及那些会破坏计算机或欺骗用户的网络站点带来的冲击,IE将自动屏蔽非请求的网站下载以及用户不想要的自动弹出窗口,除非用户点击下载链接。 IT 管理员也可以对此功能进行管理,以便在机构内部保证策略的一致性。此外,无线设置也将得到改进,以加强家庭无线网络浏览的安全性。
安全的电子邮件和即时通讯
为了降低受到攻击的风险,我们正在将Outlook Express和Windows Messenger即时通讯的文件附加功能打造得更加出色,此外,在Outlook Express中增强了用户对外部内容的下载的控制权,那些外部内容的下载会造成邮件发送者识别您的计算机。
内存保护
专门利用缓冲区溢出的恶意软件可以使大量的数据被复制到计算机的内存中。虽然没有单独的技术可以完全消除这种缺陷,但微软正在通过使用大量的安全技术来减弱此类攻击带来的影响。首先,核心的Windows 组件都已经使用最新版本的编译技术进行了重新编译以防溢出。微软还正在与Intel和AMD等微处理器厂家合作,帮助Windows支持硬件增强数据执行保护,也就是NX,或“no execute”。除非某个位置明显含有可执行代码,否则NX通过CPU将应用程序中所有的存储位置都标识成“不执行”。因此,当“蠕虫”或病毒在内存储中标识为“只存数据”的部分插入程序代码时,该代码将无法运行。
Windows Server 2003
由于每台计算机所处的环境都可以被认为是“敌对世界”,因此我们在Windows Server 2003 上的工作重点就是探索如何降低、减轻或者抵制威胁。我们计划在2004年的下半年推出Windows Server 2003 Service Pack 1,其中包含基于服务器的安全增强特性,有一些安全技术始自Windows XP SP2。为了改进隔离功能,Windows防火墙将在新服务器安装时就启动,因此服务器可以在配置期间更好地抵御基于网络的攻击。此外,我们还将提供一个安全配置向导,一旦服务器角色(如文件服务器、应用服务器等)启动,就可以根据它们相对应的使用模式锁定服务器的角色。
Internet Security and Acceleration Server (ISA Server) 2004版
ISA Server 2004版中的安全功能包含了大量的深度内容检查,使用户可以更好地保护微软应用程序并加强远程VPN连接的安全。增强的用户界面和管理工具将使用户更方便地实行和管理安全策略,降低错误配置的可能性,而错误配置正是导致网络被入侵最常见的原因。
Exchange边界服务
这项新技术主要针对的是出现在互联网邮件中越来越多的安全问题。Exchange边界服务的设计目的是阻止恶意邮件和垃圾邮件的接收和发送、保护邮件服务器免受攻击、防止邮件携带病毒,以及对信息进行加密以达到最佳安全效果。此外,它还为第三方开发者提供了一个基础,使他们可以开发新一代的邮件过滤器、邮件加密产品以及邮件传递解决方案。
积极的保护技术
阻止和遏制攻击很关键的一点是,保证计算机即使是处在“蠕虫”和病毒越来越复杂的情况下,也更加容易恢复。为了做到这一点,微软正在投资开发一套完整的保护技术,它包括:
动态的系统保护
它可以根据每台计算机“状态”的变化主动调整防御措施。这些状态例如,新软件安装、配置的必要更新,或者连接到其它网络,那样的话计算机更容易受到攻击。动态的系统保护可以侦测到这些变化并且对保护等级作出相应的调整。现在,客户受益于Windows 的“自动更新”功能,因为它可以探测到计算机对安全更新的需要。在未来,微软设想的计算机不仅能够侦测到变化,而且能够针对变化主动作出反应。例如,当一台笔记本电脑从公司的网络转移到家庭的电缆调制解调器或DSL连接时,它的防火墙就会关闭更多的端口,以提供更多的保护。
行为屏蔽
这种措施可以拦截可疑行为并对其进行判断,如果发现异常就加以阻止,从而限制了计算机受到“蠕虫”或病毒感染的可能性,防止病毒造成更多的破坏。例如,Blaster(冲击波)“蠕虫”就是探索到一个缺陷,导致Windows将“蠕虫”复制到其他计算机。而行为屏蔽可以遏制这种攻击。
应用感知防火墙和入侵防御
其目的是识别并屏蔽恶意的传输。隐藏在合法的网络传输中的病毒和“蠕虫”可以绕过传统的防火墙。但这项新的技术将对网络传输进行深层次的检查并阻止或限制恶意内容的扩散。
反垃圾邮件工具:由于病毒、“蠕虫”以及其它恶意代码经常通过垃圾邮件传播,微软正在进行多方面的反垃圾邮件工作。去年11月,微软推出了“SmartScreen”技术,这是一种可以用于客户端和在线邮件程序的过滤器。邮件用户可以通过训练过滤器识别垃圾邮件,让它可以变得越来越“聪明”。上个月,微软又发布了Caller-ID技术的一个典型应用,它可以对电子邮件的来源进行检验,类似于电话的来电显示。在法律方面,微软去年在全球范围内对垃圾邮件制造者提起了66起法律诉讼。
客户端检查
对于公司来说,最大的一个担忧就是感染了病毒或“蠕虫”的家庭计算机或远程笔记本电脑与公司的网络相连接。我们正在研究的技术可以对远程设备进行检查,如果它们没能通过安全检查就将无法登录到公司网络。
网络服务
2002年推出的“网络服务安全”(WS-Security)是一项标准化的规范,可以提高网络服务的完整性、安全性和机密性,它允许对信息进行加密并支持数字签名,从而有助于商家以更加安全、经济和灵活的方式连接内部和外部系统。WS-I Security 档案工作组最近发布的一项报告介绍了一些新措施,这些措施可以防止在建立共享操作的网络服务中出现的攻击和威胁。
更新
到目前为止,对软件进行更新一直是用户应对安全漏洞的主要方法。日益严重的威胁要求我们采取更加广泛和多样的措施来应对,微软正在继续大幅度地提高更新程序和其它相关程序的质量,并且开发出更加先进的工具来帮助IT管理员优化他们的安全基础设施。
去年秋季,为了加强补丁更新程序的可预测性和可管理性,我们开始了按月发布更新程序(当然,在有新威胁出现的情况下我们也会随时推出更新程序来保护客户)。同时,我们也在改进测试程序,争取将更新程序的不一致性和撤回率降到最低。到今年夏季以前,大多数的更新程序都将拥有完全的回滚功能。
去年11月发布的System Management Server 2003是一种综合的更新程序,也是一种软件管理和分配解决方案,它可以使机构迅速方便地以系统方式部署最新的更新程序。在1月份,我们发布了Microsoft Baseline Security Analyzer v1.2,这是一种免费的工具,它可以提供识别常见的安全错误配置的最新方法。
Windows Update Services是Software Update Services 1.0(SUS)的新的发展,也是微软在补丁和更新管理战略中向前迈出的重要一步。作为 Windows 服务器的免费组件,Windows Update Services 赋予了IT 管理员权限,使他们能够在Windows 服务器和客户端电脑上进行无缝地更新、扫描和安装。新的特色包括向用户提供更多自动操作和控制的权限以减少系统更新时的中断现象,以及扩展功能以SQL Server、Exchange Server、Office 2003 和Office XP的更新。目前这种服务正处于测试阶段,计划于2004年的下半年发布。此外,对于消费者,我们还正在为Windows Update补充一项新的服务,使消费者可以自动随时获取Windows以及Windows 以外的更多的微软产品信息。这项名叫 Microsoft Update 的新服务将于今年晚些时候推出。
同时,我们还在整合一些功能以实现自动检测关键安全功能的状况(如防火墙、自动更新和反病毒)。在Windows XP 控制面板中提供的新的“安全中心”功能将为用户提供信息,告诉他们关键安全功能是否已经启用以及是否过时。当发现问题时,用户将收到通知和推荐采取的安全措施。
质量
正如我们以前所说,微软坚守自己的承诺,在开发软件时使用最为先进的设计理念、标准和方法。我们一直严格地实践“设计卓越”的主动性原则,确保我们的工程师在软件设计、开发、测试和发布的过程中理解和采用最佳理念。
去年Windows Server 2003发布前我们所进行的安全开发过程就是一个最好的例子,充分说明了我们的努力在一些方面产生了有益于用户的成效。在产品面市后的第一个320天中,针对Windows Server 2003所发布的“严重”或“重要”的公告数量与Windows 2000 Server相比从40下降到了9 。与此相类似,对于SQL Server 2000而言,在Service Pack 3发布后的15个月中,我们共发布了3个公告;而在Service Pack 3推出前的15个月中总共发布过13个公告。在Exchange 2000 SP3发布后的21个月中,我们只出了1次公告,但在发布之前的21个月中共有7个公告。
我们还在开发新的内部工具方面取得了显著的成就,这些工具可以软件开发时自动对代码进行检测并发现常见错误,还可以在软件发布前对其进行更加彻底的测试。例如,我们使用代码检测工具自动寻找各种可能导致安全缺陷、程序崩溃或中止的问题。我们承诺,将通过培训和工具(包括Visual Studio的下一个版本)使其他软件开发商也可以有效地运用我们的技术。
在Windows Server 2003的 Service Pack 1中,我们将继续努力,摒弃过时的和未使用的技术,以减少可能遭受表面攻击的区域。
验证与访问控制
计算机网络不再是个封闭的系统,在这个系统中用户只要在网络上就已经提供了识别其身份的依据。在一个数百万台计算机设备相互连接、供货商和合作伙伴也常常可以访问公司网络的时代,未经授权的个人有大量潜在的机会获取电子邮件、电子商务交易或授权文件等数字信息。在这样的环境中,访问控制(访问者、访问内容和访问时间)以及验证就成了保证机构安全的关键措施。
密码
密码是验证访问计算机和网络的用户的最常见机制。但如果用户为了方便记忆而选择常见的密码,它们会很容易被攻破。Windows Server 2003 家族有一项新功能,可以在安装时检测管理员帐户密码的复杂性。如果密码为空或者没有达到复杂要求,系统会弹出一个对话框,提醒用户不使用复杂密码将会带来什么样的危险。我们还通过与RSA 安全公司和VeriSign公司的合作来加强对强大的、双要素验证机制的支持。
智能卡
Windows Server 2003和Windows XP 还支持智能卡,这是一种信用卡大小的设备,其中安全地存储了证书、公共和个人密钥、密码以及其它个人信息。使用智能卡登录网络可以提供非常有效的验证,因为它使用以密码为基础的身份识别,用户要登录网络必须提供拥有智能卡上个人密钥的证明,换而言之,需要提供你所拥有和知道的信息。
公钥基础设施(PKI)
Windows Server 2003 包含的特色功能可以帮助机构实现一个公钥基础设施(包括证书、相关服务和模板)。一个PKI提供了支持数字证书的发行和终身管理所需要的机制。由于发行单位对数字证书的确认,其他方在验证时可以独立地判断出示数字证书的客户端的身份。使用这种验证技术可以提供基于业界标准的公钥加密技术的有力验证。
生物特征身份识别卡
更进一步地,防篡改的生物特征身份识别卡系统将公钥、压缩和条码技术独一无二地组合起来,为加密安全的照片身份识别卡提供一种新型、简易而经济的解决方案。
IPsec
作为综合性深层次信息保护战略中的一个重要组成部分,IPsec可以通过计算机之间的相互验证,,并根据验证结果来限制进入网络的信息量,以此来消除很多威胁。此外,它还提供数字签名来确保完整性,并提供加密来确保隐私。微软的IPsec已经在我们自己公司的网络中使用,它完全兼容行业标准,可以执行其它IPsec兼容的相互操作,包括支持网络地址转换的操作。
客户教育与合作关系
即使是世界上最好的技术,如果不为人知或人们不会使用,那么也无法发挥作用。由于全世界有数亿名计算机用户,他们的安全知识水平也参差不齐,因此这将是一个巨大的挑战。但微软正在进行大量的投资,目的就是帮助用户了解如何使自己计算机运行的环境更加安全可靠。
到今年年底前,我们的目标是使全球50万商业用户了解如何从安全出发优化他们的系统和网络。我们也正在与业界的其他领导者进行合作,努力帮助用户优化更新管理和安全解决方案。此外,我们还向开发者提供论坛和出版物,帮助他们开发安全应用软件和网络服务。
从4月开始,微软将在美国的各个城市举办21场“安全峰会”,目的是向IT和开发专业人士提供深层次的技术安全培训。培训是免费的,它和微软提供给客户的其它机会(包括Webcasts、self-paced learning 和 hands-on labs等)互为补充,帮助客户保护他们的计算机和网络。我们还为全球的客户提供安全培训,如果您想了解详情,请向当地的微软分公司咨询。
我们还在microsoft.com/security/guidance 为开发者和IT专业人士建立了一个安全指导中心。客户可以在那里获得全面的技术指导、工具、培训以及更新程序,我们的目的是帮助您制定和管理更加有效的安全策略。上述免费的信息还包括了各种清单,方便您进行与安全相关的查询和处理,对覆盖面较广的安全任务提供了循序渐进的指导,并且针对特定产品和特定技术提供指导,以帮助用户保护平台、网络、计算机和数据。
我们正在与计算机制造商、零售商、ISP以及其他伙伴合作进行全球范围内的客户教育工作,目的是使更多的人了解到如何养成使计算机保持“卫生”的良好习惯以及如何毫不费力地启用保护技术。这项工作包括了三个方面:安装反病毒软件、使用互联网防火墙以及使用Windows的自动更新功能来自动下载微软最新的安全更新程序。
我们已同Computer Associates、Network Associates、Symantec、Trend Micro、F-Secure、ISS (BlackICE)、Tiny Software以及Zone Labs等公司携手,共同在第三方反病毒软件和个人防火墙软件等领域提供特别服务。
在“病毒信息联盟”(该组织包括了10个领先的反病毒销售商)的帮助下,我们向互联网用户提供对微软技术产生影响的最新病毒威胁的信息。
上个月,全球互联网安全基础设施联盟(GIAIS)宣布与微软及互联网服务提供商在安全问题上开展更加紧密的合作。GIAIS的成员已经在与微软的合作中发挥了关键作用,双方共同识别了MyDoom的病毒信号并开发了补救技术来确保用户安全。
微软的安全专家也参与了由美国国土安全部和国会发起的行动,这一行动的目的是巩固美国的关键性基础设施,包括软件开发中的推荐技术处理、有效补丁管理、以及如何最好地创造出最具安全保障的商业系统。
微软还与执法机构开展广阔的合作,阻止黑客破坏软件的行为。去年11月,微软建立了一个“反病毒奖励项目”,任何向美国联邦调查局(FBI)或特工处提供线索并导致释放病毒或蠕虫者被捕或被宣判有罪的人都可以从该项目获取现金奖励。
前景
安全问题是我们所处的行业有史以来遇到的最大也是最重要的挑战之一。这不是一个仅仅凭借修复漏洞就可以解决的问题。如果想要将病毒或“蠕虫”带来的冲击降低到可接受的程度,我们需要对以下问题进行全新的思考:软件质量、工具和程序不断改进、对可恢复性的新安全技术的持续投入(目的是在恶意或破坏性软件代码造成重大损失前阻止它们)。此外,还需要计算机用户积极主动地部署和管理在使用的产品。
在过去的20年中我们经历了令人难以置信的漫长的技术创新的道路。技术简直太重要了,因此绝不能让一小撮犯罪分子妨碍我们享受技术所带来的惊人益处。
(出处:viphot)
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。
关键词:比尔-盖茨:微软在安全方面的成就