微软改变安全更新策略 安全专家褒贬不一

赵培培 发表于:13年05月28日 11:32 [转载] 至顶网

  • 分享:
[导读]微软将发布针对Windows Store应用的安全修复程序,而不是之前我们熟悉的每个月一次的发布方式,而且微软还谈到了他们将如何提醒用户有安全更新。

微软将发布针对Windows Store应用的安全修复程序,而不是之前我们熟悉的每个月一次的发布方式,而且微软还谈到了他们将如何提醒用户有安全更新。

Windows Store应用是针对像Windows 8和Windows RT中的Metro这样的现代用户界面编写的。这些应用,例如Twitter近日推出的,仅通过Windows Store发布,就像iPad应用只在苹果自己的iOS App Store上提供一样。

微软表示,只要准备就绪就可以随时发布应用补丁,这和以前要花很长时间才发布补丁的“悠久历史”(周二补丁这个词儿就是这么来的,以前微软会在每个月的第二个星期二发布若干个补丁)大不相同了,只有紧急更新才会发生在其他的日子。

微软安全响应中心(MSRC)网站上是这么解释声明的:“应用安全更新可以随时发布,而不仅仅是在每个月的第二个星期二。”

该中心高级总监Mike Reavey在博客上表示:“更频繁地针对这些应用提供安全更新,这让我们能够增加更多新的功能、修复问题和加强安全性。”

不少安全专家对微软这个举动很赞赏。Qualys首席技术官Wolfgang Kandek表示:“这让普通的电脑在安全更新方面更加接近手机和平板电脑,不再是由IT控制的。相反,这些应用通常保持时时更新。平板电脑和手机所能替代的个人电脑越多,网络就越安全。”

但是他们对微软通知用户安全问题的方式却并不满意。

微软将建立一个永久性的安全咨询,其中将罗列出所有更新,包括从App Store上下载的,以及与Windows 8和RT捆绑的,例如Mail和Messaging——这样反过来将提供到个人支持(或者知识库)文档。后者将组成每个用户的更新内容。

微软可信赖计算群组经理Dustin Childs在电子邮件中是这样表示的:“Windows Store应用安全更新将被记录在一次安全咨询中,这将有一个永久性的URL链接,并且当有新发布的时候会进行审查。独有的微软知识库文章编号将与每次更新发布一一对应,以此提供针对个人安全更新的、透明的、独有的参考。”

但是一些专业人士却不认可这种做法。

nCircle安全运营总监Andrew Storms表示:“这是错误的战略。单一的咨询方法很混乱。保持对更新历史记录、最新更新内容以及更新时间的追踪是很难的。而且,如果针对某个特定漏洞发布了缓解指导,那么就更难追踪到并找到信息了。考虑到所有这些应用,试想一下,你怎么能细心地在一次咨询中整理出所有信息?”

Kandek认同这个看法,他补充说:“我更希望有更多细节的个人咨询,有足够的深度信息。”

Storms还提到了微软不提供预先通知的计划,因为IT部门或者企业安全人员需要及时地提醒用户存在的安全风险,并提醒他们安全可用的安全更新。

尽管IT管理员可以使用AppLocker来控制是否安装来自Windows Store的应用,甚至是启动自动更新下载,但是更新的安装必须是由用户触发的。

Windows RT平板设备是根本无法被管理的,因为这些设备是不能加入域的。

最好的情况是,企业IT部门必须把最重要的一步——安装更新——交给个人,而这又是与微软长期以来认为“要求用户做的越少,就越安全”的信念是背道而驰的。

但是微软对现代应用采用的升级和安全模式,是与苹果公司最早在其应用生态系统中提倡的以消费者为中心的策略是相同的:用户控制更新。

这个情况可能会有所改变。Kandek预测说:“我认为,不久我们将看到应用商店中会有更多控制类的功能。也许是和苹果所做的有些类似:如果不更新的话,就会拦截某些插件的运行。”

因为微软到目前为止还没有发布针对应用的任何安全更新,所以它还没有创建任何包含修复应用的永久性咨询建议。如果发布了,微软的安全咨询页面上将出现提醒信息。

[责任编辑:袁家驹]
在这个大数据的时代,数据库软件需要应对当前企业里不同来源的海量数据,并将这些不同结构的数据进行整合,进一步实时进行数据挖掘和分析。所以主打ERP软件的SAP公司肯定也会做出应对高性能的大数据分析软件来满足这一巨大的市场需要。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.