天 邊

(1)微軟已經(jīng)擁有非常龐大的用戶基礎(chǔ)，那么微軟在開發(fā)Win-dows 7時，最重要的安全挑戰(zhàn)是什么呢?

再好的技術(shù)保護措施，都需要用戶自己來作出明智的決策以保護自己免受惡意攻擊者和惡意軟件的攻擊。Windows 7中對UAC進行了改進，減少了彈出提示信息的數(shù)量，同時幫助將生態(tài)系統(tǒng)轉(zhuǎn)移到這樣一個環(huán)境，在此環(huán)境每個人都可以作為默認的標準用戶運行。其他改進功能還包括新的SmartScreen過濾器和Clickjacking防御技術(shù)，這兩個技術(shù)主要部署在IE8中。

(2)在開發(fā)新版本W(wǎng)indows的時候，惡意攻擊者以及各種攻擊是不是新操作系統(tǒng)面臨的主要問題?

很顯然，惡意攻擊者的攻擊動機和復雜程度在過去幾年中已經(jīng)發(fā)生了巨大的改變，我們的安全研究人員和其他人員仍然在繼續(xù)努力了解目前存在的以及將來可能出現(xiàn)的威脅，這能夠幫助我們更好地在新系統(tǒng)中構(gòu)筑保護機制，使用戶不會在未知的情況下獲取和運行惡意代碼。另外，我們也一直在努力使Windows內(nèi)部的保護機制能夠免受篡改和規(guī)避等威脅。

(3)安全社區(qū)對wIndows7操作系統(tǒng)發(fā)布以來有怎樣的反映呢?你們對于反饋意見是否滿意?從中學到什么?

到目前為止，安全社區(qū)對于Windows 7的反響還是不錯的，雖然對于UAC以及我們作出的部分修改存在些許問題，但是這也說明我們能夠認真傾聽大家的意見，并最終生產(chǎn)出大家滿意的產(chǎn)品。

(4)在安全保護方面，Windows 7和Vista的根本區(qū)別在于什么?

實際上，Windows 7操作系統(tǒng)是在Windows Vista的基礎(chǔ)之上構(gòu)建的，并且進行了完善，Windows 7還涵蓋了Security DevelopmentLifecycle(安全開發(fā)生命周期)，這是Vista最核心的安全技術(shù)。另外，來自Vista的其他重要安全功能，包括用戶賬戶控制(UAC)、內(nèi)核修補保護程序、windows Service Hardenlng、地址空間布局隨機化(ASLR)以及數(shù)據(jù)執(zhí)行防護(DEP)等也都保留在Windows 7中。此外，我們還增加了新的安全功能，如AppLocker能夠幫助控制在自我環(huán)境中運行的應用程序，我們還加強了核心BitLocker DriveEncryption的功能，讓IT企業(yè)更加容易在自身環(huán)境中部署和管理這項技術(shù)等。可以說，結(jié)合了lE8的Windows 7能夠提供靈活的安全保護。防止惡意軟件和攻擊。

(5)實用性問題方面是如何影響微軟的決策的?

我們對于Windows 7的目標就是，讓它成為有史以來最安全的操作系統(tǒng)，我們在開發(fā)該系統(tǒng)時，一直在思考如何將先進的安全性與易用性相結(jié)合。

(6)DirectAccess和BranchCache是能夠幫助遠程員工辦公的功能，那么這兩個功能是如何運作的呢?又是如何保護數(shù)據(jù)的呢7

DirectAccess是一項突破性技術(shù)，能夠讓員工通過互聯(lián)網(wǎng)無縫地安全地連接到他們的企業(yè)網(wǎng)絡。DirectAccess通過在客戶端計算機與企業(yè)網(wǎng)絡間自動建立雙向的安全連接來實現(xiàn)功能，該功能是建立在可靠的基于標準技術(shù)基礎(chǔ)上的，如Internet協(xié)議安全(IPsec)，這是一項通過驗證和加密幫助保護fP流量的協(xié)議，以及Internet協(xié)議第6版(IPv6)，IPsec被用來對計算機和用戶進行驗證，可以允許IT人員在用戶登錄之前來管理計算機，lT人員可以要求用戶使用智能卡進行驗證。DirectAocess還利用IPsec來對互聯(lián)網(wǎng)的通信進行AES加密。

在進行遠程訪問企業(yè)網(wǎng)絡時，BranchCache可以幫助增強網(wǎng)絡對于中央應用程序的響應能力，使用戶感覺在自己的局域網(wǎng)辦公一樣。BranchCache還可以有助于減少對廣域網(wǎng)的使用，當啟用BranchCache時，從內(nèi)部網(wǎng)絡和文件服務器訪問的數(shù)據(jù)復印件會緩存在本地辦公室，當相同網(wǎng)絡的另一個客戶要求使用該文件時，客戶端能夠從本地下載，而不需要通過廣域網(wǎng)下載相同的內(nèi)容。而且這是在不降低數(shù)據(jù)安全性的情況下實現(xiàn)的，訪問控制的緩存文件以對待原始文件相同的方式進行執(zhí)行。