自2001年微軟發布Windows XP以來至今，信息安全形勢發生了很大的變化。2002年9月9日，微軟發布了Windows XP SP1 ，對Windows XP進行了325處修補，其中33處和安全性有關 。此后的兩年間，針對Windows XP SP1的安全公告多達64個，其中緊急(Critical)和重要(Important)級別的安全公告超過80% 。在此期間，惡意攻擊的另一個特點是利用操作系統的安全漏洞進行攻擊，而用戶的系統設置、網絡環境和安全意識，也給這些攻擊提供了可乘之機。

事實上，在Windows XP發布一年后，微軟開始實施了可信賴計算的計劃 。在可信賴計算白皮書 中，微軟提出了實施可信賴計算的手段(means)：

設計安全：減少軟件漏洞

默認安全：減少攻擊面

部署安全：安全措施更容易實施

用戶溝通：幫助用戶學會自我防護

在Windows XP SP2中，上述方法和理念得到了很好的實踐。首先，盡管SP2并不是一個新的操作系統，但在其所有818項修復中有140項是屬于基礎操作系統方面的(Base Operating System)修復 ，以彌補設計階段的軟件漏洞。此外，默認情況下的Windows防火墻、Internet Explorer、OutLook Express、Windows Update等都處于安全設置狀態。第三，Windows安全中心不僅方便了對系統的安全設置，也會智能地提示用戶安全性問題，例如，當沒有及時更新病毒防護軟件時，會彈出安全警告。

Windows XP SP2特性概述

在Windows XP SP2中，微軟提供了多種安全技術幫助用戶抵御惡意軟件和其它風險，從而提高了Windows XP的整體安全防范能力。這些安全技術包括：

網絡保護 此類安全技術包括了Windows防火墻增強和遠端過程調用接口限制(RPC Remote Procedure Call)，該技術有助于對類似沖擊波(MSBlaster)等基于網絡的攻擊行為提供更好的保護。這些增強措施包括：默認開啟Windows防火墻、關閉端口除非該端口被使用、改進的配置用戶界面、改進的Windows防火墻開啟時應用程序兼容性和通過組策略對Windows防火墻的企業管理工具。遠端過程調用服務的受攻擊面(attack surface)被減少，該對象以較低的權限級別運行。DCOM架構也增加了訪問控制限制以減少被網絡攻擊擊中的風險。

內存保護 某些軟件允許過多的數據復制到計算機內存中，惡意軟件的攻擊可以利用這一安全性弱點。通常這種現象被稱作緩沖溢出。雖然，任何單一技術都不能完全消除這種問題，微軟正在從不同角度采用多種安全技術減輕這類攻擊。首先，利用最新的編譯技術將核心Windows組件重新編譯，增加了對緩沖溢出的保護。此外，微軟正在與微處理器廠家合作以使Windows支持微處理器上基于硬件的數據執行保護(DEP Data Execution Prevention)特性。數據執行保護通過CPU將應用程序所有的內存位置標記為不可執行，除非這些位置顯式地包含可執行代碼。這樣，當蠕蟲或病毒插入到程序代碼并進入到標記為僅為數據的存儲部分，應用程序或Windows組件將不會運行它。

若要查看和設置數據執行保護，單擊'開始'按鈕，在彈出的菜單中，右鍵單擊'我的電腦'，并在快捷菜單中選擇'屬性'。在打開的'系統屬性'對話框中，選擇'高級'選項卡，在性能選項中單擊'設置'按鈕，在打開的'性能選項'對話框中選擇'數據執行保護'選項卡。

電子郵件處理 安全技術有助于中止通過電子郵件和即時消息傳播的病毒(如SoBig.F)。這些技術包括安全性增強的默認設置、利用附件執行服務(AES Attachment Execution Service)應用程序接口的改進的附件控制。從而增強了Microsoft Outlook、Outlook Express和Windows Messenger等通信應用的安全性和可靠性。其結果是，通過e-mail和即時消息傳遞的潛在不安全附件被隔離，并盡可能少地影響系統的其它部分。

瀏覽安全 Microsoft Internet Explorer中的安全技術提供了抵御Web中惡意內容的防護。改進之一是鎖定本機區域以免運行惡意腳本和增強組織有害Web下載。此外，更好的用戶控制和用戶界面可幫助阻止惡意ActiveX控件和間諜軟件在用戶不知情的情況下運行。

計算機維護 安全方案中非常重要的一部分是保持計算機最新的軟件和安全更新，并且了解更新在保護計算機安全中的重要性。具有安全性攻擊和趨勢的知識同樣也很重要。例如，一些已知病毒和蠕蟲的有效攻擊開始前若干天或若干周，相應的軟件更新已經可用。所增加的新技術幫助最終用戶保持最新。這些技術包括安全中心，提供了關于計算機安全性信息的統一位置，還有Windows Installer，提供了軟件安裝的安全性選項。 安全中心

安全中心是Windows XP SP2進行安全性設置和管理的統一界面，可以從控制面板訪問安全中心，也可以在需要進行安全性設置的時候，從告警信息提示中快速地打開安全中心。安全中心如下圖所示。

安全中心自動監控防火墻、自動更新和病毒防護的狀態，如果這些設置出現異常時，根據不同的嚴重程度，以不同的顏色和方式進行警告。例如，修改了自動更新的默認設置后，安全中心中有關自動更新的基礎標記就會變為黃色，并提示檢查設置。如下圖所示。

如果關閉了自動更新，則在通知區域會顯示Windows安全警報 和信息提示，如下圖所示。

單擊警告信息，則可以打開安全中心，如下圖所示。單擊'啟用自動更新'按鈕，就可以恢復到正常安全設置狀態。

在安全中心中，可以管理安全設置，這些設置包括了Internet選項、自動更新和Windows防火墻。此外可以訪問有關的資源。并可以設置安全中心通知用戶的方式(可以關閉通知，但不建議這樣做)。

對于加入到域的Windows系統，安全性設置由網絡管理員決定，安全中心將不再進行提示通知。 防火墻

Windows防火墻是Windows XP SP2的重要改進之一。和以前ICF(Internet Connection Firewall)不同的是，默認情況下，Windows防火墻處于啟用的狀態，而且一旦防火墻被關閉，安全中心也會發出警告信息。

另一個重要的改進是，Windows防火墻在Windows啟動時將利用靜態規則進行狀態過濾(stateful filtering)，該靜態規則被稱作啟動時策略(boot-time policy)。此時允許計算機運行DNS和DHCP等基本網絡任務。一旦Windows防火墻服務運行，將加載和應用運行時策略(run-time policy)并刪除啟動時過濾器。

Windows防火墻的啟動時安全性是基于操作系統的軟件防火墻所獨有的特性。盡管目前尚未發現任何啟動時的網絡攻擊，Windows防火墻的這一安全性設計體現了主動防護、未雨綢繆的設計理念。

可以通過多種方法對Windows防火墻進行設置。在'控制面板'中，可以通過'網絡和Internet連接'以及'安全中心'訪問Windows防火墻設置。如果網絡連接被顯示在任務欄右側的通知區域，鼠標右鍵單擊該網絡連接，并選擇'更改Windows防火墻設置'，如下圖所示。

'Windows防火墻'對話框共有3個選項卡

常規選項卡：可以'啟用'或'關閉'Windows防火墻，如果啟用了防火墻，可以選擇'不允許例外'，這將阻止所有主動到計算機的通信，并且在阻止時不通知用戶。這將適合于較不安全的網絡環境。

例外選項卡：默認情況下，Windows防火墻允許例外，在例外選項卡中列出了4個程序和服務，并默認允許'遠程協助'，如下圖所示。其它3個程序和服務將根據Windows的設置自動啟用。例如，如果設置了共享文件夾，則'文件和打印機共享'會被自動啟用。

當其它程序被阻止時，會詢問用戶，如果選擇解除阻止，則該程序被添加到例外列表中。如下圖所示。

可以將程序添加到例外列表中或刪除例外列表中的程序(默認的4個程序和服務除外)。也可以編輯例外程序的通信范圍(IP地址)使其只和只定的計算機進行通信，如下圖所示。同樣的設置也適用于端口。

高級選項卡：可以對選定的一個或多個網絡連接進行設置，也可以指定安全日志以記錄被丟棄數據包和成功的連接。'還原為默認值'按鈕可以方便用戶快速設置為默認的安全狀態。如下圖所示。

自動更新

保持Windows系統和軟件處于最新的狀態，使安全性的重要保障措施之一。實踐表明，開啟Windows自動更新，可以避免幾乎所有的利用系統漏洞的惡意攻擊。因此Windows自動更新被微軟認為是保證系統安全的重要的3個重要步驟之一 。事實上，很多用戶并沒有開啟自動更新的功能，致使系統處于被攻擊的危險之下，甚至遭到惡意的攻擊，造成了不必要的損失。

Windows XP SP2默認開啟了Windows自動更新，如果用戶更改了自動更新的設置，將會被提醒或警告，如前所示。Windows更新服務已升級到版本5，更新服務效率更高，用戶使用更方便。此外自動更新支持支持安全修補程序、關鍵更新、累積更新包、服務軟件包等更多類型。對于慢速網絡連接用戶，后臺智能傳輸服務(BITS Background Intelligent Transfer Service)極大地改進了傳輸帶寬效率。在使用Windows更新服務時，可以傳輸較少的數據并更快地傳輸數據，減少更新對企業網絡的壓力。主要特性如下：

可以指定時間下載更新，例如指定網絡空閑的時段

可以設置只使用部分可用網絡帶寬

僅下載文件變化的部分。例如如果一個1MB的文件僅變化了一個字節，BITS將只傳送若干字節，而不是整個1MB文件。

從網絡傳輸失敗中恢復。在下載過程中，如果網絡失敗或連接丟失，BITS可以從斷點繼續傳輸，而不是重新從頭開始下載。

病毒防護集成

Windows XP SP2并不包含病毒防護軟件，但可以和防病毒軟件進行集成，以更好地保證系統的安全。Windows XP SP2可以檢測是否安裝了反病毒軟件，如果檢測不到 ，將發出警告；對于檢測到的反病毒軟件，如果沒有更新到最新狀態，也會受到警告信息；此外，如果關閉了病毒實時監控，或該服務啟動失敗，也會彈出警告信息。如下圖所示。

目前國內主流的反病毒軟件廠商，都已經推出了和Windows XP SP2兼容的軟件產品或補丁程序。

Internet Explorer

Microsoft Internet Explorer是Windows中主要的Internet瀏覽器程序，用戶的瀏覽體驗和安全性是Windows XP SP2的重要考慮因素。IE的安全同時也成為系統安全的基礎。

阻止彈出式窗口

鑒于彈出式窗口被濫用的現實，Windows XP SP2的彈出式窗口阻止程序，為用戶阻止不必要的彈出式窗口提供了控制選擇。默認情況下，大部分的彈出式窗口被阻止。一旦彈出式窗口被阻止，將會顯示一個信息提示窗口，并在信息欄中給出提示，同時可以聽到聲音提示。如下圖所示。

信息提示窗口解釋了信息欄的功能，可以選中不再新式此信息，則下次阻止了彈出式窗口時不再彈出該窗口。單擊'了解信息欄'可打開IE相關內容的幫助窗口。

單擊信息欄，可以選擇多項操作，如下圖所示。如果是第一次訪問該站點，可選擇'臨時允許彈出窗口'以查看彈出窗口的內容是否是有用信息；如果需要該站點的彈出式窗口信息，則可以選擇'總是允許來自該站點的彈出窗口'；單擊'設置'命令，可以對信息欄進行進一步的設置，'關閉彈出窗口阻止程序'，將允許任何站點顯示彈出窗口；不選中'顯示彈出窗口的信息欄'后，在彈出窗口被阻止時，將不顯示信息欄。此時可以從IE狀態欄中單擊按鈕 進行設置。

選擇'更多設置'，可以打開'彈出窗口阻止程序設置'對話框。在該對話框中，可以手工輸入允許站點的地址；可以選擇是否播放聲音和顯示信息欄，以及不同的篩選級別(默認級別為中)，如下圖所示。此外，在打開網頁時按下Ctrl鍵，將不會阻止彈出窗口。

下列情況下的彈出窗口仍將被顯示

通過用戶單擊鏈接打開

通過運行在本機的程序打開

由來自Web站點的實證(instantiated)ActiveX控件打開

從受信任的站點或本地Intranet區域打開

文件下載和安裝提示

從IE下載文件時，會出現提示窗口，如下圖所示。提示窗口會顯示文件的圖標和文件的大小。根據下載文件的不同類型和安全性，提示窗口的標題的下方的圖示也有所不同。

在安裝加載項或下載的程序時，同樣會收到安全警告。對于簽署過的程序，可以有更多的選項來決定今后如何處理來自同一發行者的程序。

加載項管理和崩潰檢測

加載項向IE中添加了多種功能(如額外的工具欄、按鈕等)，這會使瀏覽更加有趣或高效。許多加載項都來自Internet，大多數加載項在下載到本地計算機之前，都會提示病癥的用戶的授權下載和安裝。但是，有些加載項可能會未經確認即進行下載。還有一些加載項是隨 Windows安裝的。

可以在Internet Explorer中管理加載項，從'工具'菜單選擇'管理加載項'命令，可以打開對話框。如下圖所示。

選擇'已啟用'的加載項，從對話框底部選擇'禁用'或者選擇'已禁用'的加載項，然后從對話框底部選擇'啟用'。重新啟動Internet Explorer后設置起效。

如果加載項導致網頁不能正常顯示或被迫關閉，并彈出崩潰報告檢測到加載項問題，則可以在加載項管理器中，僅用該加載項。或者如果是一個ActiveX加載項，可以嘗試更新它以解決問題。

Outlook Express

由于在較早版本的Windows XP中，Outlook Express會利用MSHTML控件處理HTML內容，并自動運行HTML頭中所含的腳本，因而帶來潛在的安全隱患。現在，可以選擇以純文本的方式閱讀消息，以降低風險。

一些垃圾郵件制造者會在電子郵件消息中包含引用到其站點的圖片。以前，當用戶收到這些郵件時會自動下載這個圖片，其電子郵件地址就被驗證有效，并可能被加入到垃圾郵件收件人地址列表中。在Windows XP SP2中，Outlook Express限制下載外部HTML內容，避免用戶被垃圾郵件制造者驗證郵件地址而收到垃圾郵件。該特性也方便了撥號上網的用戶，免除了下載完郵件并斷開網絡連接后，在試圖閱讀郵件時可能自動撥號聯網的麻煩。

此外，更新后的Outlook Express集成了附件執行服務(AES Attachment Execution Service)阻止保存或打開潛在的不安全郵件附件。

Windows Messenger

在Windows Messenger中，傳輸不安全文件會被自動拒絕。要了解通常認為是不安全的文件的列表，請參閱 http://support.microsoft.com/default.aspx?scid=kb;zh-cn;291369

此外，Windows Messenger還有求用戶必須選用不同于其郵件地址的顯示名稱。這是因為一些病毒程序可以從保存的聊天記錄中發現e-mail地址和相關的聯系人，從而侵犯用戶的隱私。

Tablet PC

Windows XP Tablet PC Edition在安裝了Windows XP SP2后自動升級到 Tablet PC 2005。并且在輸入面板、手寫識別、與Office System程序的集成方面有了極大的改進。

Windows Installer 3.0

其它技術和改進

更好的無線網絡支持

藍牙設備支持

USB設備寫保護

添加和刪除程序列表中的顯示更新選項

更多改進的管理工具

結論

Windows XP SP2是對Windows XP的一項革命性的改進，它以安全性為出發點，從系統、管理、用戶等多方面進行了全面的改進和增強。同時兼顧到易用性和用戶體驗。Windows XP SP2不僅解決了以往出現的問題，更對今后可能引起攻擊的弱點進行了預防性修補。以期即使在沒有安裝補丁的情況下，緩解惡意軟件工具及造成的危害。