Windows 2000 微软最成功的失败.docVIP

有人问帕勃洛·毕加索在他的众多画中哪一幅是他最喜欢的。他的回答是：下一幅。如果问微软首席执行官史蒂夫·鲍尔默哪一款Windows是最安全的，那么你猜他会怎么回答呢？ 　　我注意到微软准备为Windows 2000发布最后一个安全补丁包Rollup 5。它不同于通常的服务补丁，而更像是一个方便性的补丁－自SP4以来的所有hotfix补丁程序积累成一个大的安装包。这个补丁将在微软终止对Windows 2000的主流支持之前，也就是本月底之前推出。 　　五年，难道真的已经过了如此长的时间了么？我曾经如此急切的放弃NT4而安装上闪亮的新的Windows 2000，这些好像是发生在不久前的事。但是细想一下，在这五年中发生了太多的事情。互联网改变了，安全改变了，整个世界都已经改变了。 　　我认为在整个微软的发展历史上，Windows 2000可能是微软最大的负面新闻的源头之一。但是它也造就了现在微软的地位。微软曾经想把Windows 2000打造成为他们最安全的操作系统，但是事实上成为一个绝对的安全灾难。微软一直设法不仅仅要从那场灾难中恢复过来，还要把安全性变为他们更大的资本。事实证明Windows 2000是微软迄今最成功的失败者。 　　2000年的情况与现在不同。程序员证明千年虫问题并没有带来巨大的麻烦。我们顺利的度过了2000年1月1日，一切都顺利进展。随之在第一季度Windows 2000到来了，更多的人开始对安全有了更多的兴趣－－Windows是一个不错的开始的场所。同时一些新的Windows黑客也开始出现了。 　　那一年在Windows 2000中漏洞潮水般的不断被发现，其中许多会对IIS造成破坏。任何一名黑客一旦发现他们在攻击的是一个基于IIS的站点，他们确信他们肯定能发现一个方式来攻破他。换言之，不管这家公司有多大，你都可以侵入他，在数分钟内就可以侵入他们的IIS服务器。这种情况一直持续到2001年。 　　情况有那么糟糕么？确实。不幸的是，许多入侵是悄无声息的，而发现被攻击的公司也对此讳莫如深。银行、政府、军方站点、商业站点都无一例外被黑过。但是你能真的完全责备微软么？大多数黑客并非能力超群，只是利用了微软已经修补过的漏洞，只是人们没有安装这些补丁来堵住这些漏洞。那个时候，无论我们怎么努力，似乎没有人接受安全的重要性。那个时候销售安全产品几乎是不可能的。我记得有一次问另一个顾问，“我们该怎么做才能引起人们对安全的重视，难道非要黑掉每一个人来让他们明白安全的重要性么？” 　　从2001年5月份开始，情况有所改变。我开始接到一些公司的电话，过去我曾经向他们试图销售过安全服务，但是他们对此从来没有兴趣。现在他们需要我的帮助因为发生了一些事情。许多人的站点被这样的词语所丑化：“fu*k 美国政府，fu*k PoinzonBOx（美国一黑客）。”那时第一次许多公司经历了蠕虫病毒的攻击。当然绝对不是最后一次。 　　sadmind/IIS蠕虫病毒比较有意思的是，它给安全业界带来了一些工作做，但是它与七月份发生的事情是没法相比的。 　　我依然非常清楚的记得那一天－网络变得非常慢，我的入侵监测设备（IDS）快要崩溃了，我发现许多来自Marc Maiffret的邮件出现在不同的安全邮件列表中。人们后来称它为红色代码。当时几乎每人都感染了它。 　　从那一晚起，我知道我们大多数人的工作不会像以前那样了，那就是互联网安全的911事件。但是，这并不是结束，只是变得更严重的恶梦的开始。到年底的时候你把一台装着Windows 系统的机器联到网络上，在你有机会下载最近的补丁之前可能已经被十几种病毒感染了。而现在不需要五分钟的时间。 　　那时候到处充满了谴责之声。有的人谴责安全专家公开了漏洞。追溯每一种主要病毒的根源，几乎都可以发现其是利用了被有的安全专家公开的漏洞。某些人声称假如安全专家不公开这些漏洞的话，他们就不会遭受到黑客的攻击。但是这种观点是很虚弱的，因为有的黑客已经知道了这些漏洞，不管你公开不公开并在偷偷的利用这些漏洞。 　　人们谴责微软，但是让我们来看一下真实的情况吧：系统管理员真的需要6个月以上安装一次更新么？是的，是微软程序员写出的这些有BUG的代码，但是在那时候他们和大多数程序员有什么区别么？他们难道不是整个社会对安全的态度的反映么？许多代码都是在5年前写的，那时候安全是一个增值功能而不是一个用户必须的要求。那时候的管理员也是懒惰的。 　　问题是那时候你不能简单去WindowsUpdate站点看一下你需要安装那些补丁。你不得不一个一个的浏览整个补丁列表来确认哪些你没有安装。更糟糕的是微软发布了太多的漏洞修补补丁以使管理员无法机警的迅速安装任何补丁。不得不承认那时微软的补丁策略真的是非常混乱的。一切都是那么不协调的，