大多數(shù)IT部門正在緩慢地向Windows Vista過(guò)渡。他們擔(dān)心整個(gè)公司范圍內(nèi)的應(yīng)用將導(dǎo)致惡夢(mèng)似的不兼容問(wèn)題。但是，對(duì)于Papa Gino's Inc. & D'Angelo Sandwich Shops公司的網(wǎng)絡(luò)管理員Chris Cahalin來(lái)說(shuō)，微軟最新的操作系統(tǒng)是必備的軟件，因?yàn)檫@個(gè)軟件大肆宣傳其安全性能有了很大的改善。

Cahalin申請(qǐng)參加了微軟的Vista技術(shù)應(yīng)用計(jì)劃(TAP)。這個(gè)計(jì)劃允許參加這在Vista仍在測(cè)試階段時(shí)就選擇一部分Vista軟件使用并且直接參加微軟的各個(gè)工程組。他的IT部門被允許參加了這個(gè)計(jì)劃，從而使這家位于馬薩諸塞州Dedham飯館連鎖店在應(yīng)用最新版本的Windows方面走在了其它公司的前面。

這家公司目前正在從測(cè)試階段向應(yīng)用階段發(fā)展。這個(gè)機(jī)構(gòu)中的筆記本電腦將首先采用Vista，隨后是網(wǎng)絡(luò)中剩余的Windows設(shè)備。

Cahalin說(shuō)，我們已經(jīng)有一位地區(qū)經(jīng)理在筆記本電腦中配置了Vista操作系統(tǒng)。通過(guò)TAP計(jì)劃，我們與微軟建立了直接聯(lián)系以便發(fā)生故障時(shí)進(jìn)行咨詢。發(fā)現(xiàn)問(wèn)題的最好方法就是使用它。這些資源確實(shí)為我們發(fā)生了一些事情。

同許多早期的應(yīng)用者一樣，Cahalin的IT部門正在遇到一些不兼容的問(wèn)題。當(dāng)一種新技術(shù)在早期應(yīng)用的時(shí)候通常會(huì)發(fā)生這個(gè)問(wèn)題。在Papa Gino的案例中，這些問(wèn)題不是Vista本身的瑕疵引起的。

Papa Gino沒(méi)用很長(zhǎng)時(shí)間就找到了問(wèn)題的原因：Vista與該公司的虛擬專用網(wǎng)技術(shù)不兼容。Cahalin認(rèn)為，這是該公司安全計(jì)劃中的一個(gè)重要問(wèn)題。該公司使用一個(gè)虛擬專用網(wǎng)加密企業(yè)中的移動(dòng)機(jī)器。這家公司的許多員工使用筆記本電腦在該公司在新英格蘭地區(qū)的400多個(gè)地方旅行，他們經(jīng)常在IT部門控制以外的無(wú)線熱點(diǎn)和飯店房間里上網(wǎng)聯(lián)系。

Cahalin的大部分挫折是因?yàn)槠涮摂M專用網(wǎng)提供商思科系統(tǒng)公司沒(méi)有為Vista的到來(lái)做好準(zhǔn)備。由于虛擬專用網(wǎng)如此重要，他現(xiàn)在正在考慮使用其它廠商的產(chǎn)品。

Cahalin說(shuō)，對(duì)于我來(lái)說(shuō)，思科的進(jìn)展速度太慢了。每一個(gè)人都知道Vista即將推出。所有的第三方廠商都應(yīng)該在Vista推出之前開(kāi)始解決潛在的不兼容問(wèn)題。

早期應(yīng)用的推動(dòng)因素

Cahalin指出，Papa Gino公司對(duì)信用卡處理的依賴以及不愿意遭遇TJX公司那樣的數(shù)據(jù)突破的決心是促使該公司早期應(yīng)用Vista而不是等待第一個(gè)服務(wù)包發(fā)布之后再使用的主要原因。

Cahalin說(shuō)，如果客戶數(shù)據(jù)泄漏，任何一家公司的品牌都會(huì)遭到損失。信用卡對(duì)于我們的生意來(lái)說(shuō)一直是很重要的。保護(hù)信用卡數(shù)據(jù)的安全是我們的責(zé)任。

HIPAA法案、Sarbanes-Oxley法和美國(guó)支付卡行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)等一些法規(guī)也對(duì)該公司有約束作用。所有這些法規(guī)都要求電子存儲(chǔ)的數(shù)據(jù)都是準(zhǔn)確的和安全的，沒(méi)有在線掠奪者入侵的危險(xiǎn)。

Cahalin說(shuō)，Vista中的安全增強(qiáng)功能是值得他在虛擬專用網(wǎng)問(wèn)題上耗費(fèi)腦筋的。他說(shuō)，使用Vista，他能夠更容易鎖定個(gè)人的機(jī)器和為最終用戶制定網(wǎng)絡(luò)政策。他還很容易保證老式應(yīng)用程序與Vista的連接和安全。人們喜歡的安全功能之一是用戶賬戶控制。這是用戶在啟動(dòng)某些應(yīng)用程序時(shí)看到的那些彈出式警告的來(lái)源。

他說(shuō)，這種彈出式對(duì)話框過(guò)一段時(shí)間就會(huì)被用戶忽略。當(dāng)人們?cè)O(shè)法使用老式的應(yīng)用程序時(shí)，這些對(duì)話框肯定要經(jīng)常出現(xiàn)。但是，我們通過(guò)設(shè)置正確的政策就可以繞過(guò)這些警告提示。通過(guò)這些政策，你可以告訴Vista哪些應(yīng)用程序是合法的，哪些是不合法的。

同許多Windows管理員一樣, Cahalin一直不喜歡Windows為用戶提供本地管理權(quán)限。這種做法很容易讓攻擊者控制有安全漏洞的計(jì)算機(jī)。Vista通過(guò)封鎖機(jī)器以外的本地管理訪問(wèn)權(quán)限改正了這個(gè)問(wèn)題。至于界面布局，Cahalin承認(rèn)他還需要一些時(shí)間來(lái)適應(yīng)。與早期版本的Windows不同，程序和選擇不在同一個(gè)地方。但是，他說(shuō)，考慮到Vista向IT管理員提供了這些程序的全部額外控制，這個(gè)代價(jià)是很小的。

他說(shuō)，根據(jù)最終的分析，Vista沒(méi)有任何代價(jià)地提供了“令人震驚的安全水平”。

當(dāng)然，并非每一個(gè)人都贊成這個(gè)觀點(diǎn)。安全廠商BeyondTrust的首席執(zhí)行官John Moyer說(shuō)，他聽(tīng)許多用戶說(shuō)Vista把太多的決定權(quán)留給了最終用戶，而不是公司的安全部門。

Moyer說(shuō)，微軟喜歡說(shuō)Vista是迄今為止最安全的操作系統(tǒng)。但是，現(xiàn)實(shí)是如果人們沒(méi)有管理員權(quán)限就不能使用許多應(yīng)用程序。企業(yè)不愿意用服務(wù)臺(tái)處理用戶每次遇到這個(gè)問(wèn)題時(shí)打來(lái)的電話。當(dāng)最終用戶必須決定使用管理權(quán)限運(yùn)行什么應(yīng)用程序時(shí)，他們不喜歡這樣做。對(duì)于用戶來(lái)說(shuō)還沒(méi)有足夠的透明度。

虛擬專用網(wǎng)僵局

雖然微軟肯定要對(duì)人們部署Vista時(shí)遇到的挫折承擔(dān)責(zé)任，無(wú)論設(shè)個(gè)挫折是由對(duì)話框引起的中斷還是不兼容問(wèn)題，但是，Cahalin對(duì)于他遇到的挫折沒(méi)有對(duì)微軟表示一點(diǎn)不滿。相反，他指責(zé)思科沒(méi)有在虛擬專用網(wǎng)方面做好準(zhǔn)備。

他說(shuō)，這個(gè)問(wèn)題是，當(dāng)你使用思科產(chǎn)品的時(shí)候，你需要在思科的島嶼上生活。它是非常專用的產(chǎn)品。這種虛擬專用網(wǎng)連接很不穩(wěn)定。這總是思科要適當(dāng)?shù)刂С諺ista的事情。

虛擬專用網(wǎng)問(wèn)題的核心是Papa Gino公司喜歡使用一種安全套接層虛擬專用網(wǎng)，而思科還沒(méi)有完成其安全套接層虛擬專用網(wǎng)與Vista兼容的問(wèn)題。作為一項(xiàng)臨時(shí)的繞過(guò)措施，Cahalin正在轉(zhuǎn)換到思科最近完成與Vista兼容的IPSec虛擬專用網(wǎng)。但是，許多IT專業(yè)人員認(rèn)為，安全套接層虛擬專用網(wǎng)與基于IPSec虛擬專用網(wǎng)功能更全面。因此，目前這種狀況是不理想的。

當(dāng)獲悉Vista的一些接口與安全套接層虛擬專用網(wǎng)有兼容性問(wèn)題時(shí)，思科發(fā)言人證實(shí)思科已經(jīng)在IPsec方面解決了這個(gè)問(wèn)題并且正在努力使安全套接層兼容。思科不愿意讓虛擬專用網(wǎng)團(tuán)隊(duì)的人出面詳細(xì)說(shuō)明這個(gè)問(wèn)題。

Cahalin目前正在探索放棄思科5510自適應(yīng)性安全設(shè)備更換Juniper或者其它廠商的虛擬專用網(wǎng)產(chǎn)品。思科并不是Cahalin批評(píng)沒(méi)有為Vista的到來(lái)做好準(zhǔn)備的惟一一家廠商。Citrix公司在兼容Vista方面也是行動(dòng)遲緩。他說(shuō)，Citrix最近才發(fā)布Citrix演示服務(wù)器第10版客戶端軟件。這個(gè)軟件旨在兼容Vista。

Burton Group高級(jí)分析師Pete Lindstrom說(shuō)，實(shí)施重要的操作系統(tǒng)升級(jí)的公司都將遇到不兼容的問(wèn)題。他說(shuō)，思科虛擬專用網(wǎng)與Vista的兼容性問(wèn)題可能存在許多原因。一種最有可能的情況是思科正在花費(fèi)時(shí)間研究這個(gè)問(wèn)題，因?yàn)楝F(xiàn)在只有很少的思科用戶正在積極地部署Vista。

他說(shuō)，思科也許正在等待觀察Vista的需求是什么。在某種程度上，并沒(méi)有那樣的多的公司像Papa Gino那樣快地接受有風(fēng)險(xiǎn)的新事物。總的情況是采用的速度比較慢。思科也許看到了這種情況，認(rèn)為他們有更多的時(shí)間解決虛擬專用網(wǎng)的問(wèn)題。

保持第三方軟件的安全

雖然Cahalin對(duì)Vista的安全功能感到很興奮，但是，他認(rèn)為采用多種來(lái)源的多層安全措施仍是有必要的。他指出，Papa Gino在2005年3月以后購(gòu)買的全部臺(tái)式電腦都配置了一個(gè)可信賴平臺(tái)模塊(TPM)。這種安裝在主板上的芯片可用作硬件身份識(shí)別。TPM識(shí)別計(jì)算機(jī)，而不是識(shí)別用戶。要實(shí)現(xiàn)這個(gè)功能，這個(gè)模塊存儲(chǔ)了專門發(fā)給主機(jī)系統(tǒng)的信息，如加密密鑰、數(shù)字證書(shū)和口令等。

Cahalin說(shuō)，雖然微軟在把TPM管理建在Vista中取得了很大進(jìn)步，但是，要真正有效地保證安全還需要安裝第三方廠商的產(chǎn)品。他使用了Wave Systems公司的Embassy Trust安全套裝軟件進(jìn)行加密并且正在考慮使用希捷技術(shù)公司的全面的硬盤加密選擇。該公司還使用了配置指紋閱讀器的戴爾筆記本電腦。

Cahalin說(shuō)，長(zhǎng)的和復(fù)雜的口令開(kāi)始成為生產(chǎn)效率的一個(gè)障礙。因此，單一登錄成為一種必要的東西。

Cahalin說(shuō)，在他的第三方安全廠商和部署Vista之間，他更有信心地認(rèn)為他的公司有足夠的保護(hù)措施避免發(fā)生嚴(yán)重的數(shù)據(jù)突破事件。他說(shuō)，如果思科研究出安全套接層虛擬專用網(wǎng)的兼容性方案，全世界都會(huì)感到很好。無(wú)論思科是否解決這個(gè)問(wèn)題，或者Papa Gino是否選擇其它的廠商，這個(gè)問(wèn)題都將很快解決。

Moyer也贊成這個(gè)觀點(diǎn)。他認(rèn)為，為了縱深防御，第三方安全工具繼續(xù)是必要的。他說(shuō)，有一個(gè)標(biāo)準(zhǔn)的安全方法。這就是必須采取分層次的防御措施。如果你把全部安全都交給微軟，那就好比讓狐貍負(fù)責(zé)雞窩的安全。