大多數(shù)IT部門正在緩慢地向Windows Vista過渡。他們擔(dān)心整個公司范圍內(nèi)的應(yīng)用將導(dǎo)致惡夢似的不兼容問題。但是，對于Papa Gino's Inc. & D'Angelo Sandwich Shops公司的網(wǎng)絡(luò)管理員Chris Cahalin來說，微軟最新的操作系統(tǒng)是必備的軟件，因為這個軟件大肆宣傳其安全性能有了很大的改善。

Cahalin申請參加了微軟的Vista技術(shù)應(yīng)用計劃(TAP)。這個計劃允許參加這在Vista仍在測試階段時就選擇一部分Vista軟件使用并且直接參加微軟的各個工程組。他的IT部門被允許參加了這個計劃，從而使這家位于馬薩諸塞州Dedham飯館連鎖店在應(yīng)用最新版本的Windows方面走在了其它公司的前面。

這家公司目前正在從測試階段向應(yīng)用階段發(fā)展。這個機構(gòu)中的筆記本電腦將首先采用Vista，隨后是網(wǎng)絡(luò)中剩余的Windows設(shè)備。

Cahalin說，我們已經(jīng)有一位地區(qū)經(jīng)理在筆記本電腦中配置了Vista操作系統(tǒng)。通過TAP計劃，我們與微軟建立了直接聯(lián)系以便發(fā)生故障時進行咨詢。發(fā)現(xiàn)問題的最好方法就是使用它。這些資源確實為我們發(fā)生了一些事情。

同許多早期的應(yīng)用者一樣，Cahalin的IT部門正在遇到一些不兼容的問題。當(dāng)一種新技術(shù)在早期應(yīng)用的時候通常會發(fā)生這個問題。在Papa Gino的案例中，這些問題不是Vista本身的瑕疵引起的。

Papa Gino沒用很長時間就找到了問題的原因：Vista與該公司的虛擬專用網(wǎng)技術(shù)不兼容。Cahalin認(rèn)為，這是該公司安全計劃中的一個重要問題。該公司使用一個虛擬專用網(wǎng)加密企業(yè)中的移動機器。這家公司的許多員工使用筆記本電腦在該公司在新英格蘭地區(qū)的400多個地方旅行，他們經(jīng)常在IT部門控制以外的無線熱點和飯店房間里上網(wǎng)聯(lián)系。

Cahalin的大部分挫折是因為其虛擬專用網(wǎng)提供商思科系統(tǒng)公司沒有為Vista的到來做好準(zhǔn)備。由于虛擬專用網(wǎng)如此重要，他現(xiàn)在正在考慮使用其它廠商的產(chǎn)品。

Cahalin說，對于我來說，思科的進展速度太慢了。每一個人都知道Vista即將推出。所有的第三方廠商都應(yīng)該在Vista推出之前開始解決潛在的不兼容問題。

早期應(yīng)用的推動因素

Cahalin指出，Papa Gino公司對信用卡處理的依賴以及不愿意遭遇TJX公司那樣的數(shù)據(jù)突破的決心是促使該公司早期應(yīng)用Vista而不是等待第一個服務(wù)包發(fā)布之后再使用的主要原因。

Cahalin說，如果客戶數(shù)據(jù)泄漏，任何一家公司的品牌都會遭到損失。信用卡對于我們的生意來說一直是很重要的。保護信用卡數(shù)據(jù)的安全是我們的責(zé)任。

HIPAA法案、Sarbanes-Oxley法和美國支付卡行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)等一些法規(guī)也對該公司有約束作用。所有這些法規(guī)都要求電子存儲的數(shù)據(jù)都是準(zhǔn)確的和安全的，沒有在線掠奪者入侵的危險。

Cahalin說，Vista中的安全增強功能是值得他在虛擬專用網(wǎng)問題上耗費腦筋的。他說，使用Vista，他能夠更容易鎖定個人的機器和為最終用戶制定網(wǎng)絡(luò)政策。他還很容易保證老式應(yīng)用程序與Vista的連接和安全。人們喜歡的安全功能之一是用戶賬戶控制。這是用戶在啟動某些應(yīng)用程序時看到的那些彈出式警告的來源。

他說，這種彈出式對話框過一段時間就會被用戶忽略。當(dāng)人們設(shè)法使用老式的應(yīng)用程序時，這些對話框肯定要經(jīng)常出現(xiàn)。但是，我們通過設(shè)置正確的政策就可以繞過這些警告提示。通過這些政策，你可以告訴Vista哪些應(yīng)用程序是合法的，哪些是不合法的。

同許多Windows管理員一樣, Cahalin一直不喜歡Windows為用戶提供本地管理權(quán)限。這種做法很容易讓攻擊者控制有安全漏洞的計算機。Vista通過封鎖機器以外的本地管理訪問權(quán)限改正了這個問題。至于界面布局，Cahalin承認(rèn)他還需要一些時間來適應(yīng)。與早期版本的Windows不同，程序和選擇不在同一個地方。但是，他說，考慮到Vista向IT管理員提供了這些程序的全部額外控制，這個代價是很小的。

他說，根據(jù)最終的分析，Vista沒有任何代價地提供了“令人震驚的安全水平”。

當(dāng)然，并非每一個人都贊成這個觀點。安全廠商BeyondTrust的首席執(zhí)行官John Moyer說，他聽許多用戶說Vista把太多的決定權(quán)留給了最終用戶，而不是公司的安全部門。

Moyer說，微軟喜歡說Vista是迄今為止最安全的操作系統(tǒng)。但是，現(xiàn)實是如果人們沒有管理員權(quán)限就不能使用許多應(yīng)用程序。企業(yè)不愿意用服務(wù)臺處理用戶每次遇到這個問題時打來的電話。當(dāng)最終用戶必須決定使用管理權(quán)限運行什么應(yīng)用程序時，他們不喜歡這樣做。對于用戶來說還沒有足夠的透明度。

虛擬專用網(wǎng)僵局

雖然微軟肯定要對人們部署Vista時遇到的挫折承擔(dān)責(zé)任，無論設(shè)個挫折是由對話框引起的中斷還是不兼容問題，但是，Cahalin對于他遇到的挫折沒有對微軟表示一點不滿。相反，他指責(zé)思科沒有在虛擬專用網(wǎng)方面做好準(zhǔn)備。

他說，這個問題是，當(dāng)你使用思科產(chǎn)品的時候，你需要在思科的島嶼上生活。它是非常專用的產(chǎn)品。這種虛擬專用網(wǎng)連接很不穩(wěn)定。這總是思科要適當(dāng)?shù)刂С諺ista的事情。

虛擬專用網(wǎng)問題的核心是Papa Gino公司喜歡使用一種安全套接層虛擬專用網(wǎng)，而思科還沒有完成其安全套接層虛擬專用網(wǎng)與Vista兼容的問題。作為一項臨時的繞過措施，Cahalin正在轉(zhuǎn)換到思科最近完成與Vista兼容的IPSec虛擬專用網(wǎng)。但是，許多IT專業(yè)人員認(rèn)為，安全套接層虛擬專用網(wǎng)與基于IPSec虛擬專用網(wǎng)功能更全面。因此，目前這種狀況是不理想的。

當(dāng)獲悉Vista的一些接口與安全套接層虛擬專用網(wǎng)有兼容性問題時，思科發(fā)言人證實思科已經(jīng)在IPsec方面解決了這個問題并且正在努力使安全套接層兼容。思科不愿意讓虛擬專用網(wǎng)團隊的人出面詳細說明這個問題。

Cahalin目前正在探索放棄思科5510自適應(yīng)性安全設(shè)備更換Juniper或者其它廠商的虛擬專用網(wǎng)產(chǎn)品。思科并不是Cahalin批評沒有為Vista的到來做好準(zhǔn)備的惟一一家廠商。Citrix公司在兼容Vista方面也是行動遲緩。他說，Citrix最近才發(fā)布Citrix演示服務(wù)器第10版客戶端軟件。這個軟件旨在兼容Vista。

Burton Group高級分析師Pete Lindstrom說，實施重要的操作系統(tǒng)升級的公司都將遇到不兼容的問題。他說，思科虛擬專用網(wǎng)與Vista的兼容性問題可能存在許多原因。一種最有可能的情況是思科正在花費時間研究這個問題，因為現(xiàn)在只有很少的思科用戶正在積極地部署Vista。

他說，思科也許正在等待觀察Vista的需求是什么。在某種程度上，并沒有那樣的多的公司像Papa Gino那樣快地接受有風(fēng)險的新事物。總的情況是采用的速度比較慢。思科也許看到了這種情況，認(rèn)為他們有更多的時間解決虛擬專用網(wǎng)的問題。

保持第三方軟件的安全

雖然Cahalin對Vista的安全功能感到很興奮，但是，他認(rèn)為采用多種來源的多層安全措施仍是有必要的。他指出，Papa Gino在2005年3月以后購買的全部臺式電腦都配置了一個可信賴平臺模塊(TPM)。這種安裝在主板上的芯片可用作硬件身份識別。TPM識別計算機，而不是識別用戶。要實現(xiàn)這個功能，這個模塊存儲了專門發(fā)給主機系統(tǒng)的信息，如加密密鑰、數(shù)字證書和口令等。

Cahalin說，雖然微軟在把TPM管理建在Vista中取得了很大進步，但是，要真正有效地保證安全還需要安裝第三方廠商的產(chǎn)品。他使用了Wave Systems公司的Embassy Trust安全套裝軟件進行加密并且正在考慮使用希捷技術(shù)公司的全面的硬盤加密選擇。該公司還使用了配置指紋閱讀器的戴爾筆記本電腦。

Cahalin說，長的和復(fù)雜的口令開始成為生產(chǎn)效率的一個障礙。因此，單一登錄成為一種必要的東西。

Cahalin說，在他的第三方安全廠商和部署Vista之間，他更有信心地認(rèn)為他的公司有足夠的保護措施避免發(fā)生嚴(yán)重的數(shù)據(jù)突破事件。他說，如果思科研究出安全套接層虛擬專用網(wǎng)的兼容性方案，全世界都會感到很好。無論思科是否解決這個問題，或者Papa Gino是否選擇其它的廠商，這個問題都將很快解決。

Moyer也贊成這個觀點。他認(rèn)為，為了縱深防御，第三方安全工具繼續(xù)是必要的。他說，有一個標(biāo)準(zhǔn)的安全方法。這就是必須采取分層次的防御措施。如果你把全部安全都交給微軟，那就好比讓狐貍負(fù)責(zé)雞窩的安全。