您的位置:首页 / 软件 /Windows

微软让Windows 7减少安全预警 引爆批评声浪(图)

ZDNetnews 更新时间:2009-02-06 10:43:04作者:CNET科技资讯网

本文关键词: Windows | UAC | 微软 | Vista | Windows 7 |

CNET科技资讯网2月6日国际报道 微软让Windows 7减少安全警示的设计变更,竟引爆外界日益升高的批评声浪。

微软让Windows 7减少安全预警 引爆批评声浪(图)

在Windows Vista中,只要有变更系统就会跳出警示。而在Windows 7中,用户可自行设定警示出现的频率。

Windows Vista最让人困扰的部分之一,是每当系统有任何变更,便会自动跳出警告视窗通知使用者。微软在Windows 7变更这项设计,不但预设的警示范围较小,使用者也可自行决定警示出现的频率。

但有人指出,微软减少预设的警示范围,可能让恶意软件在使用者不察的情况下,对系统作出变更。不同于Windows Vista对任何大小变更一律跳出警示,Windows 7的预设只会在软件自行企图修改系统时才会警告使用者。

博客Long Zheng详列出若干他认为将因此产生的问题。他上周指出,这项改变可能让恶意软件完全关闭警示功能。前几天,Zheng向微软通报另一个他在Windows 7 beta发现的问题。他表示,这个问题能让某个程序提高其管理权限,且不需知会使用者。

微软表示,这部分还是需要恶意软件协助才能进入系统,而他们已在最近一次对内发布的Windows 7修补完成。下一次重要的对外发布,也就是所谓的“候选试用版”,就会加入这项修补。

至于有关User Account Control(使用者帐户控制,简称UAC)功能的更广泛问题,微软表示,那些批评都未考虑实际的使用行为。负责微软核心操作系统开发部门的Jon DeVaan指出,许多Vista使用者因为受不了经常跳出的警示,不是忽略这类信息,就是整个关闭警示功能。

他在4日受访时说:“很显然的,是我们造成……那种行为。”他以自己使用的银行为例,为了加强安全措施,银行的系统变得更难用,使得他考虑换银行。

虽然表面上,微软似乎是让系统的安全性降低。但DeVaan表示,微软实际应用测试显示,使用者反而会更注意跳出频率较少的警示。他也指出,近来这一波批评忽略了Windows 7在根本上减少恶意软件进入系统机率的改进。内建在Windows 7的浏览器Internet Explorer 8,提供若干新型态攻击的防护,如点阅绑架(clickjacking)。

DeVaan说:“那些是用来帮助民众,在有人试图损害系统前先获通知。在我们目前收到的民众反应中,还没有任何是针对我们改善的那些部分。”

然而,某些批评者说,微软对UAC的变更过于轻率。BeyondTrust CEO John Moyer说:“这是用减少警是的好处交换若干安全防护。”Moyer的公司生产让企业进一步控制哪些应用软件能提高权限的软件,他长期质疑UAC功能对减轻安全风险的效用。

安全软件厂商Veracode CTO Chris Wysopal表示,虽然微软降低其安全功能的变更,不构成名义上的软件弱点,却对终端使用者造成实际风险。他说:“微软在设计上,选择一个实际上放弃UAC的设定,因为这种中等的设定,让恶意软件可以把它关闭。我不清楚他们是否彻底考量过中等设定的意涵。问题在于这是一种中等设定,不是关闭,但其行为可导致(UAC)被恶意软件关闭。如果使用者以为他们能从这种设定得到一些保护,但实际上没有,那就是问题。”

但警示出现的时机和频率,的确是一个棘手问题。McAfee发言人Joris Evers说:“不幸的是,安全和可用性经常相互抵触。假如你家装了多重门锁和保全,进出家门通常需要更多时间。如果这让你觉得太麻烦,你可能会撤除一些门锁,或为了方便不把门锁上。”

安全专家和Ernst &Young资深经理Nitesh Dhanjani表示,即使其目的是可取的,微软或许可以、也应该有更好的作法。他说:“仅管Windows7团队在减少UAC警示上作出正确的选择,我认为他们还可以作更多的改进,例如列出硬件事件到软件事件,以进一步减少使用者间互动。我了解这或许是比表面上更复杂的一种解决方案。”

有些人建议,微软对预设的变更,最低限度应该让UAC设定的任何变更,都必须取得使用者同意。DeVaan说,在Windows 7正式出货前,微软仍会评估是直接变更UAC设定,或提供预设值的选项。他表示:“我们会认真看待每一个回应,并仔细地考虑。”

    

好看好玩

用户评论

用户评论

  • 用户名
  • 评论内容

热点新闻排行

CNET Networks
Copyright ? 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
京ICP证150369648号 京ICP备15039648号-2
京公网安备 11010802021500号