微軟要如何有效防範駭客？
 

微軟要如何有效防範駭客？

CNET新聞專區：Charles Cooper　　20/10/2003

儘管Bob Muglia這個名字還不至於家喻戶曉，然而他卻是多年以來深得Bill Gates(比爾蓋茲)和Steve Ballmer信任並常常被委以重任。

在微軟15年的職業生涯中，Muglia肩負了許多重任，如MSN網路、微軟Office套件以及Windows伺服器應用的開發管理。最近Muglia正在著手22月前啟動的儲存業務，與此同時他還負責微軟企業管理部的工作。




不過一些外來事件卻可能成為他最沈重的負擔。

在過去兩年來，駭客們利用Windows的安全漏洞頻頻攻擊微軟軟體系統。該公司稱其軟體的安全性不斷在改善中，然而在可見的未來中安全仍是其首要任務。

此一問題的核心是，這種曖昧態度是否將會阻礙微軟向擁有大型資料中心的企業銷售更多軟體？Muglia接受CNET 採訪時談及微軟為了改善企業管理而採取的步驟，以及安全問題給該公司帶來的深遠影響。

問: 微軟一直談論諸如讓用戶開啟防火牆功能等權宜措施，而不是先就軟體根本層面談探討，這是貴公司近期會採取的範圍嗎？

答：安全系統涉及的範圍很廣。顯然，我們一直在為消除問題而努力，並將繼續發現新問題，適時提供修補程式。然而這絕非我們唯一必須要做的事。

舉例說明？

在疾風病毒(又稱MSBlast)事件中，只要有開啟網路防火牆的客戶都沒有遭受攻擊。基本上，這種層次上的保護是非常有用的。我們軟體的架構還存在有待進一步改善的地方。

因此我們正努力尋求將防火牆（(Internet Connection Firewall)）打開的方法，並且盡可能提高其效率，此外，我們也會提供工具防止非法系統入侵。就像房子需要一扇門，這是一道防禦，接著你還需上鎖，或許再加裝警鈴，類似的情況。

數周前Steve Ballmer談到了「防護技術」 (shield technology)，這包含哪些內容？

這就是我談到的防禦。防禦(fences)和防護(shields)區別甚微。

什麼是防護呢？

防火牆就是一種防護。我想採用更廣義的術語「反制措施」(countermeasures)，因為這是一場持續進行中的戰爭。問題是：我們如何部署對策使得駭客攻擊變得極端困難？你希望他們轉到其他地方去，別來侵入你的屋子。

轉到Linux？

不是Linux。從根本上講，你希望用戶能構建自己的系統架構來防範駭客入侵。反制措施的概念是將駭客抵擋在門外，就像把大門上鎖一樣。

那麼真正的問題何在？究竟是大家沒有開啟防火牆？還是因為微軟軟體本身設計上的先天問題？

我想二者兼有。確實用戶有未盡之責，這也正是我們為什麼和設備商一道發起活動敦促客戶使用防火牆的原因。這是有益的，但是顯然我們軟體也卻有尚待完善之處。

譬如？

我們要確保切斷駭客的入侵途徑，這些安全漏洞一定要關閉才行。

市場對於遠端管理越來越感興趣，加上現在大家又流行使用刀鋒伺服器與大型資料中心，遠端管理工作的基本上是允許用戶從網路另外一端來接管控制你的電腦。這是否 打開了安全之門呢？因為若要具有遠端管理，則必需加入許多功能才行。

不儘然，如果透過安全機制保護存取管道，比如一個難以破解的密碼或一張智慧卡等，這就是一個非常安全的機制。你先要搜尋、然後要透過個人身份識別碼來解開認證，接著又要提供密碼，有了這種組合，外人很難破解密碼，不可能。

但現在大家希望的是在伺服器加入許多功能，讓其他用戶還能從別的地方進入。要入侵或許真的很難，一旦防護失敗，那麼豈不會給系統造成更大的損害？

如果你能有一套認證系統來進入系統，你就可根據權限來設定行動範圍。如果你具有管理員權限，那麼你可執行的權力就很大，而首要的重點就是如何讓具有合法權限者享有正當進入的管道。

這就是提倡採用難以破解的長密碼或密碼結合任認證來做有效的存取控管，同時也需注意是否無意間留下的後門。密碼不安全常常引發許多問題。 如果講密碼寫在顯示器上，那麼入侵易如反掌。

最近的一份報告指出微軟系統無處不在這一事實本身足以引發嚴重的安全風險。

市場上有Linux、Windows、蘋果以及各種Unix系統共存。人們可以對任何 其中之一系統進行破壞，所以對此一報告我難以確信。

我想他們所說的是基於單一Windows系統的企業可能有安全風險，因為只要其中一台遭到攻擊，同一網路上的其他系統也會受影響，但這種說法也不是很可信，因為絕大部分系統都有相連性，各種應用之間都具有很強的關聯性。因此任何一種系統遭癱瘓，公司業務受影響的機率就很大。

但後來又有一份報告指出，企業運算環境應該進行多元，你有何看法？

我不贊成這種看法，這樣會增加複雜性和潛在阻力，對於需要進行一般日常作業的員工非常麻煩。

聽你所言，好像微軟仍然是攻擊的目標。換言之，你難以訂下一個宣布獲勝的時間表。

我認為這需要按部就班來進行。

但整體策略呢？市場常聽到你們又推出修補程式，或者又有什麼新計劃，但沒有一個更全面性的作法嗎？

在更高的層次上，我們信賴運算與DS(動態系統計劃，這是微軟針對企業資料中心所推出的自我管理計劃)，二者都是我們投下許多心力的的防護計畫 。

它們之間有無關連？

當然有。DSI旨在跟蹤所有與管理系統有關的問題--包括安全漏洞。DSI的核心從開發流程開始，檢查應用的整個生命週期。

有人可能會說微軟現在所作的是原本早應該進行的？

這是目前我們最高優先事項。

但是你仍說你們無法永遠根治此問題。你認為IT產業還願意給予微軟多少時間來掃除這些問題？

我想IT產業應該清楚並非只有微軟存在這些問題，其他系統也有類似問題。客戶通常會因為我們專著於此並嚴肅對待而感覺良好，他們目前有許多措施可以增強安全性。

這沒錯，不過貴公司還是將責任推向客戶。每當攻擊發生，我們就會收到無數讀者的來函，其中大部分是針對微軟來的。

我們和這些客戶交流並聆聽他們關注的問題。實際上問題一部分是由於操作失誤，一部分在於我們的軟體。他們對於我們即時發現並解決問題都非常高興。

這些安全問題是否影響了微軟產品打入更多的企業資料中心？

確實有一些影響。一些客戶說他們需要確保我們解決了這些問題才會邁出下一步。然而我們也遇到另外一些客戶，他們在資料中心從未用過我們的軟體但對此卻非常感興趣。

儘管如此，這仍是一大議題？

和所有事情一樣，任何客戶對任何一家公司都會有一些存在的問題。目前安全對我們而言只是一個普遍並看見的問題而已，因此引發了一些人的非議 。隨著工作的進展，我們有能力度過難關。

你能否看到何時有所改善？

事實上，很多問題來自於老系統，隨著新系統的推出，問題情況將得到改善。我們認為修補和反制措施有助於此。