微软改变安全更新策略 安全专家褒贬不一

ZDNET安全频道 05月27日 综合消息： 微软将发布针对Windows Store应用的安全修复程序，而不是之前我们熟悉的每个月一次的发布方式，而且微软还谈到了他们将如何提醒用户有安全更新。

Windows Store应用是针对像Windows 8和Windows RT中的Metro这样的现代用户界面编写的。这些应用，例如Twitter近日推出的，仅通过Windows Store发布，就像iPad应用只在苹果自己的iOS App Store上提供一样。

微软表示，只要准备就绪就可以随时发布应用补丁，这和以前要花很长时间才发布补丁的“悠久历史”(周二补丁这个词儿就是这么来的，以前微软会在每个月的第二个星期二发布若干个补丁)大不相同了，只有紧急更新才会发生在其他的日子。

微软安全响应中心(MSRC)网站上是这么解释声明的：“应用安全更新可以随时发布，而不仅仅是在每个月的第二个星期二。”

该中心高级总监Mike Reavey在博客上表示：“更频繁地针对这些应用提供安全更新，这让我们能够增加更多新的功能、修复问题和加强安全性。”

不少安全专家对微软这个举动很赞赏。Qualys首席技术官Wolfgang Kandek表示：“这让普通的电脑在安全更新方面更加接近手机和平板电脑，不再是由IT控制的。相反，这些应用通常保持时时更新。平板电脑和手机所能替代的个人电脑越多，网络就越安全。”

但是他们对微软通知用户安全问题的方式却并不满意。

微软将建立一个永久性的安全咨询，其中将罗列出所有更新，包括从App Store上下载的，以及与Windows 8和RT捆绑的，例如Mail和Messaging——这样反过来将提供到个人支持(或者知识库)文档。后者将组成每个用户的更新内容。

微软可信赖计算群组经理Dustin Childs在电子邮件中是这样表示的：“Windows Store应用安全更新将被记录在一次安全咨询中，这将有一个永久性的URL链接，并且当有新发布的时候会进行审查。独有的微软知识库文章编号将与每次更新发布一一对应，以此提供针对个人安全更新的、透明的、独有的参考。”

但是一些专业人士却不认可这种做法。

nCircle安全运营总监Andrew Storms表示：“这是错误的战略。单一的咨询方法很混乱。保持对更新历史记录、最新更新内容以及更新时间的追踪是很难的。而且，如果针对某个特定漏洞发布了缓解指导，那么就更难追踪到并找到信息了。考虑到所有这些应用，试想一下，你怎么能细心地在一次咨询中整理出所有信息?”

Kandek认同这个看法，他补充说：“我更希望有更多细节的个人咨询，有足够的深度信息。”

Storms还提到了微软不提供预先通知的计划，因为IT部门或者企业安全人员需要及时地提醒用户存在的安全风险，并提醒他们安全可用的安全更新。

尽管IT管理员可以使用AppLocker来控制是否安装来自Windows Store的应用，甚至是启动自动更新下载，但是更新的安装必须是由用户触发的。

Windows RT平板设备是根本无法被管理的，因为这些设备是不能加入域的。

最好的情况是，企业IT部门必须把最重要的一步——安装更新——交给个人，而这又是与微软长期以来认为“要求用户做的越少，就越安全”的信念是背道而驰的。

但是微软对现代应用采用的升级和安全模式，是与苹果公司最早在其应用生态系统中提倡的以消费者为中心的策略是相同的：用户控制更新。

这个情况可能会有所改变。Kandek预测说：“我认为，不久我们将看到应用商店中会有更多控制类的功能。也许是和苹果所做的有些类似：如果不更新的话，就会拦截某些插件的运行。”

因为微软到目前为止还没有发布针对应用的任何安全更新，所以它还没有创建任何包含修复应用的永久性咨询建议。如果发布了，微软的安全咨询页面上将出现提醒信息。