Windows内核保护功能敌友不分 已被黑客攻破

CNET科技资讯网8月11日国际报道 据安全软件厂商称，Windows 中的一项保护性功能“拦住了好人，却放进了坏人”。

微软设计PatchGuard的目的是确保Windows 内核不会受到恶意代码的攻击。但一些安全厂商称，这一功能给它们保护Windows PC的安全带来了困难，因为该功能使得它们无法访问Windows 内核。

在周三接受CNET News.com 采访时，赛门铁克的一名总工布鲁斯说，PatchGuard对安全厂商的影响要大于对恶意代码作者的影响。一些安全策略和新一代安全产品只有通过PatchGuard禁止的机制才能发挥作用。

赛门铁克不是唯一对该功能不满的安全厂商，却是公开自己不满的最大的安全厂商。Sana Security 和Agnitum 这二家较小的厂商表示，它们也有这样的担心。但思科和McAfee拒绝就此事发表评论。

微软为这一功能进行了辩护。微软安全技术集团的一名项目经理斯蒂芬说，黑客已经发现了利用操作系统内核的方法，这使得PatchGuard提供的保护对于确保内核安全显得十分必要。

与允许第三方软件厂商扩充内核相比，阻止恶意代码的安装显然要重要得多。这一功能不是针对安全软件的，而是64位Windows 的一个重大变化，目的是为了提供更安全的计算体验。

微软进入安全市场使许多安全厂商感到不安，赛门铁克的表现尤为明显。赛门铁克曾表示，只要确保公平的环境，它不惧怕微软的竞争。现在，赛门铁克首次表明微软正在限制消费者在安全解决方案的选择权。

Yankee Group分析师安德鲁说，PatchGuard将使第三方软件━━尤其是托管入侵探测软件，很难在Vista 中正常运行。第三方软件厂商面临二种选择：继续要求微软开发支持外挂的接口，或采用黑客技术绕过这一安全机制。

PatchGuard一年前出现在Windows XP x64 Edition中，但这一技术从来就没有大规模普及。专家预计，当Windows Vista 问世后，这种局面将得到改观。随着购买配置64位芯片的PC的用户增加，使用64位Windows 版本的用户也将增加。

安全厂商和分析人士表示，PatchGuard尤其对托管入侵探测服务不友好。布鲁斯说，PatchGuard能够封杀阻止恶意代码关闭安全工具的功能。越来越多的恶意代码都试图关闭安全工具。

据赛门铁克的博客称，PatchGuard还有另外一个讨厌的副作用。尽管合法安全软件厂商不再能够扩充Vista 的内核，但黑客已经找到了关闭和绕过该功能的方法。Sana Security 和Agnitum 表示了类似的担忧。

Sana Security技术总监弗拉德说，目前，黑客已经能够绕过PatchGuard. 微软也许这样认为，只要采取了安全措施，黑客就会退避三舍，但事实并不总是这样。这样，安全厂商将被迫用大刀长茅与用现代化武器武装的黑客决战。

弗拉德表示，访问Windows 内核的障碍迫使安全软件厂商采取黑客的技术。他说，我们也必须绕过PatchGuard。我们可以向黑客学习。

弗拉德表示，通过PatchGuard，微软有效地控制了Windows 内核的安全性。以前，第三方安全厂商也会采取措施保护Windows 内核的安全。现在，一旦PatchGuard失守，就需要微软发布补丁软件来确保内核的安全了。弗拉德指出，内核是最不容易打补丁的部分。

安全厂商呼吁微软在内核保护方面对可信赖的安全厂商网开一面。布鲁斯说，我不是要求微软废除PatchGuard，只是要求微软对于安全厂商网开一面。斯蒂芬说，微软反对这种做法，这会增加黑客攻破内核的可能性。

分析人士表示，随着rootkit 等新型威胁的出现，微软需要保护Windows 内核的安全。但是，微软应当允许其它安全软件厂商与它共同保护Windows 内核的安全。微软目前的这种做法有些欠妥，这会使它在竞争中具有不公平的优势。