而這距離最初預期的時間已經晚了九個月,距離Windows XP的前一個Service Pack間隔了一年半。姍姍來遲的號稱為史上最強的XPSP2中究竟都包含了哪些讓人期待已久的終極武器呢?還是讓我們一起來探個究竟吧。
終極武器之一:Windows有了安全總管
裝好XPSP2第一次啟動系統后可以看到這個安全中心窗口(如圖1所示),它是一個基于Web頁面的應用程序,在這里可以直接查看相關安全選項的設置情況,并對它們進行設置。
由于大多數用戶不知道自己的系統是否處于安全狀態,這給病毒或黑客的入侵留下了可乘之機。Windows 安全中心能夠監視系統安全組件是否正常工作,通過它可以在最短的時間內識別出Windows防火墻、自動更新、防病毒軟件是否已經正常工作。
對于狀態正常的設置,安全中心將會用綠色顯示出來;如果相應的選項狀態異常(例如被關閉或禁用),則會標示為紅色;狀態未知則用黃色表示(這個在殺毒軟件的選項上比較常見,主要是因為有些殺毒軟件可能因為某些原因而無法被系統識別。不過不用擔心,并不是說殺毒軟件不起作用或者和系統不兼容,紅色的警告和黃色的錯誤只是說明殺毒軟件無法在安全中心查看)。
有一點需要注意,雖然通過安全中心可設置防火墻以及殺毒軟件,不過這些功能并不是由安全中心提供的,安全中心只是起了一個集中管理的作用。
終極武器之二:Windows 防火墻全新亮相
在XPSP2里面,曾經的雞肋ICF(Internet Connection Firewall)以全新的面貌——Windows 防火墻登場了(如圖2所示)。
既然叫做Windows防火墻,那么功能上就應該對整個Windows而不僅僅是對網絡連接有效。實際上也是這樣,Windows防火墻在XPSP2里面作為核心安全組件,成了必不可少的安全衛士,相對于原來的ICF,有了明顯的改進。
1.全局的配置,對所有的網絡連接都有效。一改以往ICF必須針對單個網絡連接單獨配置的問題。
2.允許針對某個應用程序進行網絡連接配置(此前的ICF是不行的),具備了防火墻的基本功能。
3.使網絡服務在指定網絡區域里面有效成為可能。Windows防火墻能夠針對某一項網絡連接劃分作用范圍。例如,你可以將文件和打印機共享的作用范圍限制在你指定的某一個網絡區域(如:子網或IP范圍)里面,而這個區域以外的計算機就無法使用共享功能。
4.啟動時刻的安全保護。使用以前的Windows XP,計算機在網絡上進入活動狀態的時間與 ICF 開始保護連接的時間之間有一個延遲。這個延遲給未經請求的流量在啟動期間攻擊計算機留下了可乘之機。現在,啟動過程中只允許是否DNS和DHCP,其他網絡服務必須等Windows防火墻開始工作才能使用,黑客再想在啟動時攻擊已不可能。
5.Windows 防火墻還對兼容性做了修改,能夠和絕大多數程序和平共處。
雖然Windows防火墻提供了較強大的功能,但是和專業級別的防火墻軟件相比,功能上還顯得相對單薄。
終極武器之三:IE拒絕打擾保證穩定
作為使用人數最多的Web瀏覽器,IE的功能和安全一直受到非常多的關注。
1.拒絕彈出窗口打擾
在XPSP2之前,各種廣告彈出窗口屏蔽插件層出不窮,連微軟都在自己的MSN Toolbar里面加入了這個功能。現在,有了XPSP2,這些插件就可以丟棄了,因為微軟在IE6SP2里面也加入了屏蔽廣告彈出窗口功能(圖3)。
2.管理IE加載項
為了上網時能夠享受各種方便,不少用戶安裝了各種各樣的IE插件,如Flash的ActiveX插件等。插件多了,上網也許就很方便了,可是如果有插件互相“打架”,IE就會不堪重負,隨時處于崩潰的邊緣。在IE6SP2中增加了“加載項管理”功能來控制插件的沖突問題。
加載項,你可以安裝,也可以不安裝,更可以在安裝之后禁止掉,這些設定可以在加載項管理組件里面輕松完成(圖4)。
3.確保下載文件安全
安全作為XPSP2的發布思想,在IE6SP2里面也得到了眾多的體現。IE6SP2對于下載的文件會根據其文件內容而不是文件擴展名判斷出是否經過偽裝(MIME嗅探),并根據下載的文件是否安全在下載信息對話框下方給出相應圖形化警告提示。
此外,包括鎖定本地計算機區域、未經允許的ActiveX執行限制、數字簽名控制、MSJVM安全設定、IE二進制行為安全設定在內的安全增強技術也被加入到XPSP2里面。
雖然XPSP2提供了眾多安全設定選項,不過為了兼容性,很多安全設定并沒有默認開啟,需要用戶自己通過編輯注冊表或修改組策略才能使用上。幸好,微軟在其網站上提供了不少XPSP2安全設定方面的指導性文章,啟用這些安全設定也并非難事。
小知識:加載項
給瀏覽器添加功能的各種程序。如額外的工具欄、動畫鼠標指針等。常見的MSN Toolbar就屬于加載項的范疇。
終極武器之四:OE防護出新招
隨IE捆綁的Outlook Express(OE)是一個不錯的電子郵件軟件,不過它卻廣受非議。有人認為因為OE設置得不完善,非常易于病毒的感染和傳播,不過安裝了XPSP2后的OE卻安全了不少。
1.避免惡意代碼被無意中執行
以往OE會直接以Html形式顯示所有郵件,這樣如果郵件中包含有惡意代碼,可能會在查看或者預覽該郵件的時候直接感染電腦。而在XPSP2里面,微軟使用Richedit控件代替原先的MSHtml控件來閱讀純文本類型的郵件,避免了惡意代碼在無意中被執行。
2.避免暴露你的郵件地址
OE中還增加了一個最初出現于Outlook 2003的新功能,就是禁止從互聯網下載圖片。以前我們都知道,如果收到垃圾郵件一定不能回復,因為發送者只是向隨機生成的地址發送郵件,而并不知道這個地址是否真實,你一旦回復了發給你的郵件,那無異于向發送者宣告你的存在。這一點大家都記得很牢,不過現在垃圾郵件制造者又有了新花樣。
這個新花樣就是通過特殊的圖片,這圖片可能是郵件中的正常圖片,或者是一個0×0像素的不可見圖片。圖片的特殊性在于它是直接保存在服務器上的,并且有一個惟一的文件名(例如billgatesATmicroosftDOTcom.gif),這個文件名代表的就是發出的每封郵件的收件人的E-mail地址。這樣,一旦你收到并顯示這封郵件,OE就會自動從網絡服務器上下載這個圖片,下載過程會被服務器記錄下來,進而發件人就知道哪個郵箱是正在使用中的了(因為沒人用的郵箱中的郵件不會被查看,圖片文件也就不會被下載)。
現在OE可以在以Html格式顯示郵件的同時不下載其中的圖片,這樣你既能查看郵件,又不用擔心暴露你的存在。當然,如果你確信某封郵件不會有這種問題,也可以點擊那行提示的文字并下載圖片(如圖5所示)。
終極武器之五:系統更新不再是難事
Windows的安全常常是建立在各種補丁的基礎之上。也許為了讓Windows更安全,在XPSP2里面,微軟把“自動更新”從一個普通的組件提升成為系統安全關鍵組件。
新版本的自動更新程序將能夠提供安全更新、重要更新、累計更新和服務包的下載。另外,配合即將發布的Windows Update Services 套件,能夠使企業管理員便于分發各種補丁程序。
WindowsUpdate網站可能是大多數人訪問最多的補丁下載網站了。V5版本的WindowsUpdate在XPSP2里面全面啟用(如圖6所示),新版本的WindowsUpdate將更新分作2個層次:快速和定制。快速安裝模式只下載重要更新,而定制更新模式可以定制需要的更新程序。另外,V5版的WindowsUpdate允許隱藏更新,對于不需要的更新,用戶可以將它們隱藏。下次訪問WindowsUpdate的時候將不再提示是否安裝被隱藏的更新。
為了節省補丁下載時間,XPSP2里面優化了傳輸方式,可以在指定時間、使用指定帶寬工作方式下,只下載發生變化的文件部分,而且支持斷點續傳。
如果你非常忙,并忽略了自動更新程序的提醒,那么在關機的時候就會發現一個新玩意兒,在關機按鈕上新添加了一個小圖標,這意味著按下這個按鈕后系統會首先安裝補丁程序,然后自動關機。添加了這個功能后等于說Windows的更新功能已經完全不用專門操心了,下載和安裝都可以在后臺自動完成。
新的補丁發布方式再加上新增的關機前自動安裝方法,相信可以讓大多數人在最短的時間內獲取補丁。有了新的補丁程序,系統安全性又有了進一步的提高
終極武器之六:蠕蟲病毒克星DEP
作為系統安全的主要殺手,病毒的危害不會被人所忽視。特別是對于靠緩沖區溢出生存的類似于沖擊波、震蕩波一類的蠕蟲病毒,更是需要警覺。XPSP2激活了具備DEP功能的CPU的物理特性,讓物理設備也參與整個系統的安全防護工作。安全防護趨勢正從軟件逐漸向硬件過渡。
數據執行保護(DEP)是一種基于硬件的、防止緩沖區溢出的一種技術(圖7),它能夠讓CPU對內存數據區域標記為只讀,避免非正常代碼無意中被執行。通過這種方式,當某個發動攻擊的蠕蟲或病毒將程序代碼插入到一塊被標記為僅包含數據的內存部分時,應用程序或 Windows 組件將不會運行這些代碼。系統將給出相應的提示信息(圖8)。
這種方式對于緩沖區溢出問題的解決有著明顯的幫助,不過需要配合相應的硬件設備才能完全發揮功效。雖然支持此項技術的CPU目前只有Athlon 64和Intel 的Itanium CPU家族,但是XPSP2系統也可以通過軟件的方式讓我們在普通的處理器上使用部分功能。除此之外,對于在沖擊波爆發期間暴露出來的RPC和DCOM安全問題,微軟也做了徹底的修改。雖然這些修改對現有利用這2個接口的軟件影響很大,但是為了安全,微軟還是做了。
小知識:緩沖區溢出
緩沖區是隨機存儲器(RAM) 中的一個區域,是為了使用臨時存儲的數據而保留的。其中,這些臨時存儲的數據正等待在兩個位置之間(例如,在應用程序數據區域和輸入/輸出設備之間)進行傳輸。
所謂緩沖區溢出,是由于軟件代碼邊界處理缺陷或其他原因,造成破壞性代碼在緩沖區里面被執行,引起系統被病毒入侵或被破壞。大多數蠕蟲病毒(如沖擊波、震蕩波)均使用了這個方法來傳播。
防止緩沖區溢出,常見的方法還是通過程序員寫修正程序或對已知的緩沖區溢出特征進行攔截來實現。DEP技術讓緩沖區溢出問題在物理層面上得到了控制。
終極武器之七:全面支持Wi-Fi和藍牙
無線作為本年度的熱點,經常吸引著人們的眼球。但是由于Windows原先并沒有提供一個簡易的配置向導,當用戶面對廠商提供的復雜程序時,常常面現困惑。但在XPSP2里面,控制面板里面新增了無線網絡安裝向導。有了向導的幫助,還愁不會使用無線設備嗎?
另外,在Windows XP SP1中曾宣布已經支持藍牙設備,不過要正確使用藍牙設備,還是需要先安裝一個Q323183補丁程序。不過在安裝XPSP2后,藍牙設備得到了較好的支持。
在正確安裝藍牙適配器后,我們可以直接在文件夾的右鍵菜單中使用“發送到”功能把電腦中的文件發送到藍牙設備中,也可以通過“開始→所有程序→附件→通訊”中的藍牙文件傳輸向導接收來自藍牙設備發送的文件或者把文件發送到指定的藍牙設備上(如圖9所示)。
終極武器之八:眾多組件獲得升級
為了避免查看長串的補丁清單,支持補丁隱藏顯示的新版本的添加刪除程序在XPSP2里面被啟用。同時,為了讓3D效果更加突出,DirectX 9.0c被引入XPSP2,可惜目前只有Geforce6系列顯卡支持DirectX 9.0c。
為了提高多媒體播放質量,Windows Media Player 9.0也出現在了XPSP2里面;為了讓東亞語言用戶更好地使用Table PC,XPSP2進一步增強了Table PC中的手寫文字識別能力。
此外,Windows Installer 3.0、Windows Movie Maker 2.1等新版本組件也出現在了XPSP2里面。
認識Service Pack
微軟公司為了完善其軟件產品,將很多修補程序放入一個軟件包內提供給用戶,這些軟件包稱為Service Pack(服務軟件包)。
這里首先說說Windows操作系統的補丁,我們主要以Windows 2000/XP的補丁加以了解。一般需要安裝的補丁有兩種,Hotfix和Service Pack,Hotfix是針對某一具體問題而發布的專門解決這個問題的小程序(也可以叫做修復程序)。微軟一般會把在自己的軟件產品中發現的重大問題以安全公告(Security bulletin)的形式通知給大家,這些公告都有一個唯一的編號,即MS**-***。例如MS02-063,表示微軟公司在2002年發布的第63個安全公告。而這些公告所涉及的問題還有另外一個編號:Q******。MS02-063安全公告的編號就是Q 329834,這個號碼表明了該問題在微軟知識庫(Knowledge Base)中的編號,只要記住這個編號,隨時都可以查找到相應的文章和解決方案。因此,每個安全公告所發布的補丁也就有了相應的編號,例如Q329834針對Windows XP系統的補丁名稱就是Q329834_WXP_SP2_x86_ENU.exe(注:新的命名方式是以KB開頭) ,這表示這個補丁解決的問題在知識庫文章Q329834中討論過。
而Service Pack,即補丁包,一般會在操作系統正式上市一段時間后發布,包含了自發布之日起全部的Hotfix補丁。只要安裝了Service Pack,在這個Service Pack發布之前的所有Hotfix補丁都不用再安裝了。Service Pack補丁不是累加的,也就是說,對于一個新安裝的操作系統,你不必依次安裝SP1、SP2、SP3,只要裝了最新的Service Pack就可以了。
