Windows XP到底有多安全（1）

不久前，微软推出了其新世纪的一款操作系统Windows XP。Windows XP的安全性怎样，我们是否可以放心地使用Windows XP，是否可以放心地从Windows 98、Windows Me、Windows2000升级到Windows XP？这是我们非常渴望得到回答的问题。但作为一个用户，在产品刚刚发布一个月之际，在没有对产品做全面的评测之前，要准确回答这些问题是不可能的。本文试图从Windows XP提供的安全功能，一些权威机构的评测，以及实际使用中的一些体会，对Windows XP Professional的安全性做一简要分析。

Windows XP哪儿安全

无疑，微软在Windows XP的安全性方面做了许多工作，增加了许多新的安全功能。例如，Internet连接防火墙，支持多用户的加密文件系统，改进的访问控制，对智能卡的支持等。

Internet连接防火墙
Internet连接防火墙是Windows XP的重要特性之一。它可用于在使用Internet连接共享时保护NAT机器和内部网络，也可用于保护单机。所以，看起来它既像主机防火墙，又像网络防火墙。实际上，Internet连接防火墙属于个人防火墙，它的功能比常见的主机防火墙BlackICE和ZoneAlarm以及网络防火墙PIX和Netscreen等都相差甚大。它最适合保护本机的Internet连接。事实上，一旦启用了Internet连接防火墙，只有经过域认证的用户才可以正常访问主机，而所有其他来自Internet的TCP/ICMP连接包都将被丢弃，这可以较好地防止端口扫描和拒绝服务攻击。

支持多用户加密文件系统
在Windows2000中，微软就采用了基于公共密钥加密技术的加密文件系统（EFS）。在Windows XP中，对加密文件系统做了进一步改进，使其能够让多个用户同时访问加密的文档。用户可以通过设置加密属性的方式对文件或文件夹实施加密，其操作过程就像设置其它属性一样。如果对一个文件夹进行加密，那么，在此文件夹中创建或添加的所有文件和子文件夹都将自动进行加密。因此，在文件夹级别上实施加密操作是比较合适的。EFS还允许在Web服务器上存储加密文件。这些文件通过Internet进行传输并且以加密的形式存储在服务器上。当用户需要使用自己的文件时，它们将以透明方式在用户的计算机上进行解密。这种特性允许以安全方式在Web服务器上存储相对敏感的数据，而不必担心数据被窃取，或在传输过程中被他人读取。

改进的访问控制
Windows XP对访问控制方面的策略做了较多的改进。主要有，限制网络用户为来宾账号的策略，空口令限制策略，借助Microsoft Passport实现的单一登录方式，针对漫游用户的凭证管理等。例如，凭证管理特性为包括密码和X.509证书在内的用户凭证提供了安全的存储方式。该特性为包括漫游用户在内的所有用户提供了一致性的单一签名体验。如果用户需要访问公司网络中的一个应用程序，那么，在首次进行尝试时，用户需要进行身份验证，并根据提示信息提供一个凭证。在提供该凭证后，它将与所请求的应用程序建立关联。今后，当用户再次访问该应用程序时，原先所保存的凭证将在无需重新输入的情况下再次使用。

支持智能卡
智能卡性能集成到操作系统中，包括支持智能卡登录到终端服务器会话。对智能卡的内在支持使基于智能卡的安全技术应用更为方便。例如，私有密钥和其他个人标识的存储等。