大多数IT部门正在缓慢地向Windows Vista过渡。他们担心整个公司范围内的应用将导致恶梦似的不兼容问题。但是,对于Papa Gino's Inc. & D'Angelo Sandwich Shops公司的网络管理员Chris Cahalin来说,微软最新的操作系统是必备的软件,因为这个软件大肆宣传其安全性能有了很大的改善。
Cahalin申请参加了微软的Vista技术应用计划(TAP)。这个计划允许参加这在Vista仍在测试阶段时就选择一部分Vista软件使用并且直接参加微软的各个工程组。他的IT部门被允许参加了这个计划,从而使这家位于马萨诸塞州Dedham饭馆连锁店在应用最新版本的Windows方面走在了其它公司的前面。
这家公司目前正在从测试阶段向应用阶段发展。这个机构中的笔记本电脑将首先采用Vista,随后是网络中剩余的Windows设备。
Cahalin说,我们已经有一位地区经理在笔记本电脑中配置了Vista操作系统。通过TAP计划,我们与微软建立了直接联系以便发生故障时进行咨询。发现问题的最好方法就是使用它。这些资源确实为我们发生了一些事情。
同许多早期的应用者一样,Cahalin的IT部门正在遇到一些不兼容的问题。当一种新技术在早期应用的时候通常会发生这个问题。在Papa Gino的案例中,这些问题不是Vista本身的瑕疵引起的。
Papa Gino没用很长时间就找到了问题的原因:Vista与该公司的虚拟专用网技术不兼容。Cahalin认为,这是该公司安全计划中的一个重要问题。该公司使用一个虚拟专用网加密企业中的移动机器。这家公司的许多员工使用笔记本电脑在该公司在新英格兰地区的400多个地方旅行,他们经常在IT部门控制以外的无线热点和饭店房间里上网联系。
Cahalin的大部分挫折是因为其虚拟专用网提供商思科系统公司没有为Vista的到来做好准备。由于虚拟专用网如此重要,他现在正在考虑使用其它厂商的产品。
Cahalin说,对于我来说,思科的进展速度太慢了。每一个人都知道Vista即将推出。所有的第三方厂商都应该在Vista推出之前开始解决潜在的不兼容问题。
早期应用的推动因素
Cahalin指出,Papa Gino公司对信用卡处理的依赖以及不愿意遭遇TJX公司那样的数据突破的决心是促使该公司早期应用Vista而不是等待第一个服务包发布之后再使用的主要原因。
Cahalin说,如果客户数据泄漏,任何一家公司的品牌都会遭到损失。信用卡对于我们的生意来说一直是很重要的。保护信用卡数据的安全是我们的责任。
HIPAA法案、Sarbanes-Oxley法和美国支付卡行业的数据安全标准等一些法规也对该公司有约束作用。所有这些法规都要求电子存储的数据都是准确的和安全的,没有在线掠夺者入侵的危险。
Cahalin说,Vista中的安全增强功能是值得他在虚拟专用网问题上耗费脑筋的。他说,使用Vista,他能够更容易锁定个人的机器和为最终用户制定网络政策。他还很容易保证老式应用程序与Vista的连接和安全。人们喜欢的安全功能之一是用户账户控制。这是用户在启动某些应用程序时看到的那些弹出式警告的来源。
他说,这种弹出式对话框过一段时间就会被用户忽略。当人们设法使用老式的应用程序时,这些对话框肯定要经常出现。但是,我们通过设置正确的政策就可以绕过这些警告提示。通过这些政策,你可以告诉Vista哪些应用程序是合法的,哪些是不合法的。
同许多Windows管理员一样, Cahalin一直不喜欢Windows为用户提供本地管理权限。这种做法很容易让攻击者控制有安全漏洞的计算机。Vista通过封锁机器以外的本地管理访问权限改正了这个问题。至于界面布局,Cahalin承认他还需要一些时间来适应。与早期版本的Windows不同,程序和选择不在同一个地方。但是,他说,考虑到Vista向IT管理员提供了这些程序的全部额外控制,这个代价是很小的。
他说,根据最终的分析,Vista没有任何代价地提供了“令人震惊的安全水平”。
当然,并非每一个人都赞成这个观点。安全厂商BeyondTrust的首席执行官John Moyer说,他听许多用户说Vista把太多的决定权留给了最终用户,而不是公司的安全部门。
Moyer说,微软喜欢说Vista是迄今为止最安全的操作系统。但是,现实是如果人们没有管理员权限就不能使用许多应用程序。企业不愿意用服务台处理用户每次遇到这个问题时打来的电话。当最终用户必须决定使用管理权限运行什么应用程序时,他们不喜欢这样做。对于用户来说还没有足够的透明度。
虚拟专用网僵局
虽然微软肯定要对人们部署Vista时遇到的挫折承担责任,无论设个挫折是由对话框引起的中断还是不兼容问题,但是,Cahalin对于他遇到的挫折没有对微软表示一点不满。相反,他指责思科没有在虚拟专用网方面做好准备。
他说,这个问题是,当你使用思科产品的时候,你需要在思科的岛屿上生活。它是非常专用的产品。这种虚拟专用网连接很不稳定。这总是思科要适当地支持Vista的事情。
虚拟专用网问题的核心是Papa Gino公司喜欢使用一种安全套接层虚拟专用网,而思科还没有完成其安全套接层虚拟专用网与Vista兼容的问题。作为一项临时的绕过措施,Cahalin正在转换到思科最近完成与Vista兼容的IPSec虚拟专用网。但是,许多IT专业人员认为,安全套接层虚拟专用网与基于IPSec虚拟专用网功能更全面。因此,目前这种状况是不理想的。
当获悉Vista的一些接口与安全套接层虚拟专用网有兼容性问题时,思科发言人证实思科已经在IPsec方面解决了这个问题并且正在努力使安全套接层兼容。思科不愿意让虚拟专用网团队的人出面详细说明这个问题。
Cahalin目前正在探索放弃思科5510自适应性安全设备更换Juniper或者其它厂商的虚拟专用网产品。思科并不是Cahalin批评没有为Vista的到来做好准备的惟一一家厂商。Citrix公司在兼容Vista方面也是行动迟缓。他说,Citrix最近才发布Citrix演示服务器第10版客户端软件。这个软件旨在兼容Vista。
Burton Group高级分析师Pete Lindstrom说,实施重要的操作系统升级的公司都将遇到不兼容的问题。他说,思科虚拟专用网与Vista的兼容性问题可能存在许多原因。一种最有可能的情况是思科正在花费时间研究这个问题,因为现在只有很少的思科用户正在积极地部署Vista。
他说,思科也许正在等待观察Vista的需求是什么。在某种程度上,并没有那样的多的公司像Papa Gino那样快地接受有风险的新事物。总的情况是采用的速度比较慢。思科也许看到了这种情况,认为他们有更多的时间解决虚拟专用网的问题。
保持第三方软件的安全
虽然Cahalin对Vista的安全功能感到很兴奋,但是,他认为采用多种来源的多层安全措施仍是有必要的。他指出,Papa Gino在2005年3月以后购买的全部台式电脑都配置了一个可信赖平台模块(TPM)。这种安装在主板上的芯片可用作硬件身份识别。TPM识别计算机,而不是识别用户。要实现这个功能,这个模块存储了专门发给主机系统的信息,如加密密钥、数字证书和口令等。
Cahalin说,虽然微软在把TPM管理建在Vista中取得了很大进步,但是,要真正有效地保证安全还需要安装第三方厂商的产品。他使用了Wave Systems公司的Embassy Trust安全套装软件进行加密并且正在考虑使用希捷技术公司的全面的硬盘加密选择。该公司还使用了配置指纹阅读器的戴尔笔记本电脑。
Cahalin说,长的和复杂的口令开始成为生产效率的一个障碍。因此,单一登录成为一种必要的东西。
Cahalin说,在他的第三方安全厂商和部署Vista之间,他更有信心地认为他的公司有足够的保护措施避免发生严重的数据突破事件。他说,如果思科研究出安全套接层虚拟专用网的兼容性方案,全世界都会感到很好。无论思科是否解决这个问题,或者Papa Gino是否选择其它的厂商,这个问题都将很快解决。
Moyer也赞成这个观点。他认为,为了纵深防御,第三方安全工具继续是必要的。他说,有一个标准的安全方法。这就是必须采取分层次的防御措施。如果你把全部安全都交给微软,那就好比让狐狸负责鸡窝的安全。
标签: