許多人的電腦都會發生問題,我也不例外。前幾天,我的電氣工程師告訴我說,當他離開的時候,不管他離開多一會兒,都要關掉他的電腦。
他的電腦上安裝有防毒軟體和防火牆,但是當他回到家的時候就把它們關閉了,於是他就遭到了一些人的攻擊。
這件事情引起了我深深地思考,雖然這隻是一個一般性問題,但它有可能會使事情變得很糟。
想想最近的Zotob風波吧:當人們發現了漏洞並且發布了補丁程式之後不到一個星期,這個蠕蟲的第一個變種就出現了。
在那個時候不難找到一台沒有打過補丁的電腦,也不難找到聯在互連網上的新電腦在發現漏洞之後不到一周就可能受到攻擊。
事實上,最普通的安全建議就是:在你不使用電腦的時候,關掉它!這個理論成立的依據就是,減少你的電腦在互連網上的時間,就能降低受到攻擊的機率。
但是這也讓另一方面受到了損失,也就是說它同時減少了你能夠更新你的電腦的時間。這也就激發我去寫一個專欄告訴使用者時刻開著他們的電腦。
一個比較好的解決方案應該是一種特殊的通訊方式,通過這種通訊方式能夠在完全啟用網路堆棧之前進入Windows能夠進入的地方。一份需要嚴格保密的“白名單”(whitelist)地址,能夠定義一個唯一的web地址。有了這個地址電腦就能夠使用一些非常常用的使用者介面元素進行通訊,除非你強行把它從“白名單”中去掉。
在這個“白名單”中最顯而易見的條目可以說就是不同的微軟升級網站。在一個企業安裝中可能是一個SUS伺服器或一些其它相關的伺服器。一個OEM服務也能夠把它自己的更新網站和任何捆綁的安全軟體放到這些條目中,比如賽門鐵客的LiveUpdate。
一旦進入這種模式,就會有一些更新列表呈現在使用者面前,並且詢問他或者她是否想下載和應用這些更新。或者能夠定製一個策略自動安裝這些更新,然後退出這種模式。
我認為個人防火牆是實施這個策略的一個不錯選擇。一些流行的防火牆都可能經過升級來提供這種保護。
如果我沒有搞錯的話,Windows XP SP 2 在啟動網路堆棧之前載入Windows防火牆或者其它任何第三方的防火牆。
所以,防火牆軟體經銷商(包括微軟在內)能夠執行這個策略,但是我更希望能夠開發一些標準來定製“白名單”和這種模式的其它屬性。
在一段時間的非使用中之後,重新進入這種模式,就是容易理解的了。這樣,如果某個使用者徹夜離開他的系統,唯一能發生的一件事情就是軟體的更新。
當然,這可能會影響到在這台電腦上收回電子郵件和運行一些peer-to-peer服務,解決這個問題的方法就是把決定權交給使用者,由使用者來把握定製“白名單”的“度”。
就像我看到的那樣,“白名單”模式並不能指出一個主要的漏洞,那僅僅是一個低機率的邊緣事件。像這樣的邊緣事件即使是防護嚴謹的使用者也會發生的,純粹就是碰上壞運氣了。我認為這種模式將會彌補現在的不足,並且能夠全面增強系統安全性,也能夠讓使用者知道他們的安全措施以及他們的系統是否是最新的。
原文作者Larry Seltzer系eWeek資訊安全中心編輯,從1983年起就在從事電腦業界的編輯寫作報道工作。