想保证更新安全吗？请在防火墙上多下功夫 （1）

许多人的电脑都会发生问题，我也不例外。前几天，我的电气工程师告诉我说，当他离开的时候，不管他离开多一会儿，都要关掉他的电脑。

他的电脑上安装有防病毒软件和防火墙，但是当他回到家的时候就把它们关闭了，于是他就遭到了一些人的攻击。

这件事情引起了我深深地思考，虽然这只是一个一般性问题，但它有可能会使事情变得很糟。

想想最近的Zotob风波吧：当人们发现了漏洞并且发布了补丁程序之后不到一个星期，这个蠕虫病毒的第一个变种就出现了。

在那个时候不难找到一台没有打过补丁的电脑，也不难找到联在互联网上的新电脑在发现漏洞之后不到一周就可能受到攻击。

事实上，最普通的安全建议就是：在你不使用电脑的时候，关掉它！这个理论成立的依据就是，减少你的电脑在互联网上的时间，就能降低受到攻击的概率。

但是这也让另一方面受到了损失，也就是说它同时减少了你能够更新你的电脑的时间。这也就激发我去写一个专栏告诉用户时刻开着他们的电脑。

一个比较好的解决方案应该是一种特殊的通讯方式，通过这种通讯方式能够在完全启用网络堆栈之前进入Windows能够进入的地方。一份需要严格保密的“白名单”（whitelist）地址，能够定义一个唯一的web地址。有了这个地址电脑就能够使用一些非常常用的用户界面元素进行通讯，除非你强行把它从“白名单”中去掉。

在这个“白名单”中最显而易见的条目可以说就是不同的微软升级站点。在一个企业安装中可能是一个SUS服务器或一些其它相关的服务器。一个OEM服务也能够把它自己的更新站点和任何捆绑的安全软件放到这些条目中，比如赛门铁客的LiveUpdate。

一旦进入这种模式，就会有一些更新列表呈现在用户面前，并且询问他或者她是否想下载和应用这些更新。或者能够定制一个策略自动安装这些更新，然后退出这种模式。

1 2 下一页>>