2004年8月6號(hào)，微軟終于將XP SP2發(fā)布給了計(jì)算機(jī)制造商，這標(biāo)志XPSP2已經(jīng)通過了最終測(cè)試，到了RTM（提供給生產(chǎn)商的版本）階段，最終用戶將在幾周內(nèi)逐步獲得XP SP2。

　　而這距離最初預(yù)期的時(shí)間已經(jīng)晚了九個(gè)月，距離Windows xp的前一個(gè)Service Pack間隔了一年半。姍姍來遲的號(hào)稱為史上最強(qiáng)的XPSP2中究竟都包含了哪些讓人期待已久的終極武器呢？還是讓我們一起來探個(gè)究竟吧。

　　終極武器之一：Windows有了安全總管

　　裝好XPSP2第一次啟動(dòng)系統(tǒng)后可以看到這個(gè)安全中心窗口（如圖1所示），它是一個(gè)基于Web頁面的應(yīng)用程序，在這里可以直接查看相關(guān)安全選項(xiàng)的設(shè)置情況，并對(duì)它們進(jìn)行設(shè)置。

圖 1

　　由于大多數(shù)用戶不知道自己的系統(tǒng)是否處于安全狀態(tài)，這給病毒或黑客的入侵留下了可乘之機(jī)。Windows 安全中心能夠監(jiān)視系統(tǒng)安全組件是否正常工作，通過它可以在最短的時(shí)間內(nèi)識(shí)別出Windows防火墻、自動(dòng)更新、防病毒軟件是否已經(jīng)正常工作。

　　對(duì)于狀態(tài)正常的設(shè)置，安全中心將會(huì)用綠色顯示出來；如果相應(yīng)的選項(xiàng)狀態(tài)異常（例如被關(guān)閉或禁用），則會(huì)標(biāo)示為紅色；狀態(tài)未知?jiǎng)t用黃色表示（這個(gè)在殺毒軟件的選項(xiàng)上比較常見，主要是因?yàn)橛行⒍拒浖赡芤驗(yàn)槟承┰蚨鵁o法被系統(tǒng)識(shí)別。不過不用擔(dān)心，并不是說殺毒軟件不起作用或者和系統(tǒng)不兼容，紅色的警告和黃色的錯(cuò)誤只是說明殺毒軟件無法在安全中心查看）。

　　有一點(diǎn)需要注意，雖然通過安全中心可設(shè)置防火墻以及殺毒軟件，不過這些功能并不是由安全中心提供的，安全中心只是起了一個(gè)集中管理的作用。

　　終極武器之二：Windows 防火墻全新亮相

　　在XPSP2里面，曾經(jīng)的雞肋ICF（Internet Connection Firewall）以全新的面貌——Windows 防火墻登場(chǎng)了（如圖2所示）。

圖 2

　　既然叫做Windows防火墻，那么功能上就應(yīng)該對(duì)整個(gè)Windows而不僅僅是對(duì)網(wǎng)絡(luò)連接有效。實(shí)際上也是這樣，Windows防火墻在XPSP2里面作為核心安全組件，成了必不可少的安全衛(wèi)士，相對(duì)于原來的ICF，有了明顯的改進(jìn)。

　　1.全局的配置，對(duì)所有的網(wǎng)絡(luò)連接都有效。一改以往ICF必須針對(duì)單個(gè)網(wǎng)絡(luò)連接單獨(dú)配置的問題。

　　2.允許針對(duì)某個(gè)應(yīng)用程序進(jìn)行網(wǎng)絡(luò)連接配置（此前的ICF是不行的），具備了防火墻的基本功能。

　　3.使網(wǎng)絡(luò)服務(wù)在指定網(wǎng)絡(luò)區(qū)域里面有效成為可能。Windows防火墻能夠針對(duì)某一項(xiàng)網(wǎng)絡(luò)連接劃分作用范圍。例如，你可以將文件和打印機(jī)共享的作用范圍限制在你指定的某一個(gè)網(wǎng)絡(luò)區(qū)域（如：子網(wǎng)或ip范圍）里面，而這個(gè)區(qū)域以外的計(jì)算機(jī)就無法使用共享功能。

　　4.啟動(dòng)時(shí)刻的安全保護(hù)。使用以前的Windows XP，計(jì)算機(jī)在網(wǎng)絡(luò)上進(jìn)入活動(dòng)狀態(tài)的時(shí)間與 ICF 開始保護(hù)連接的時(shí)間之間有一個(gè)延遲。這個(gè)延遲給未經(jīng)請(qǐng)求的流量在啟動(dòng)期間攻擊計(jì)算機(jī)留下了可乘之機(jī)。現(xiàn)在，啟動(dòng)過程中只允許是否DNS和DHCP，其他網(wǎng)絡(luò)服務(wù)必須等Windows防火墻開始工作才能使用，黑客再想在啟動(dòng)時(shí)攻擊已不可能。

　　5.Windows 防火墻還對(duì)兼容性做了修改，能夠和絕大多數(shù)程序和平共處。

　　雖然Windows防火墻提供了較強(qiáng)大的功能，但是和專業(yè)級(jí)別的防火墻軟件相比，功能上還顯得相對(duì)單薄。

　　終極武器之三：IE拒絕打擾保證穩(wěn)定

　　作為使用人數(shù)最多的Web瀏覽器，IE的功能和安全一直受到非常多的關(guān)注。

　　1.拒絕彈出窗口打擾

　　在XPSP2之前，各種廣告彈出窗口屏蔽插件層出不窮，連微軟都在自己的MSN Toolbar里面加入了這個(gè)功能。現(xiàn)在，有了XPSP2，這些插件就可以丟棄了，因?yàn)槲④浽贗E6SP2里面也加入了屏蔽廣告彈出窗口功能（圖3）。

圖 3

　　2.管理IE加載項(xiàng)

　　為了上網(wǎng)時(shí)能夠享受各種方便，不少用戶安裝了各種各樣的IE插件，如Flash的ActiveX插件等。插件多了，上網(wǎng)也許就很方便了，可是如果有插件互相“打架”，IE就會(huì)不堪重負(fù)，隨時(shí)處于崩潰的邊緣。在IE6SP2中增加了“加載項(xiàng)管理”功能來控制插件的沖突問題。

　　對(duì)于加載項(xiàng)，你可以安裝，也可以不安裝，更可以在安裝之后禁止掉，這些設(shè)定可以在加載項(xiàng)管理組件里面輕松完成（圖4）。

圖 4

　　3.確保下載文件安全

　　安全作為XPSP2的發(fā)布思想，在IE6SP2里面也得到了眾多的體現(xiàn)。IE6SP2對(duì)于下載的文件會(huì)根據(jù)其文件內(nèi)容而不是文件擴(kuò)展名判斷出是否經(jīng)過偽裝（MIME嗅探），并根據(jù)下載的文件是否安全在下載信息對(duì)話框下方給出相應(yīng)圖形化警告提示。

　　此外，包括鎖定本地計(jì)算機(jī)區(qū)域、未經(jīng)允許的ActiveX執(zhí)行限制、數(shù)字簽名控制、MSJVM安全設(shè)定、IE二進(jìn)制行為安全設(shè)定在內(nèi)的安全增強(qiáng)技術(shù)也被加入到XPSP2里面。

　　雖然XPSP2提供了眾多安全設(shè)定選項(xiàng)，不過為了兼容性，很多安全設(shè)定并沒有默認(rèn)開啟，需要用戶自己通過編輯注冊(cè)表或修改組策略才能使用上。幸好，微軟在其網(wǎng)站上提供了不少XPSP2安全設(shè)定方面的指導(dǎo)性文章，啟用這些安全設(shè)定也并非難事。

　　小知識(shí)：加載項(xiàng)

　　給瀏覽器添加功能的各種程序。如額外的工具欄、動(dòng)畫鼠標(biāo)指針等。常見的MSN Toolbar就屬于加載項(xiàng)的范疇。

　　終極武器之四：OE防護(hù)出新招

　　隨IE捆綁的Outlook ExPRess（OE）是一個(gè)不錯(cuò)的電子郵件軟件，不過它卻廣受非議。有人認(rèn)為因?yàn)镺E設(shè)置得不完善，非常易于病毒的感染和傳播，不過安裝了XPSP2后的OE卻安全了不少。

　　1.避免惡意代碼被無意中執(zhí)行

　　以往OE會(huì)直接以Html形式顯示所有郵件，這樣如果郵件中包含有惡意代碼，可能會(huì)在查看或者預(yù)覽該郵件的時(shí)候直接感染電腦。而在XPSP2里面，微軟使用Richedit控件代替原先的MSHtml控件來閱讀純文本類型的郵件，避免了惡意代碼在無意中被執(zhí)行。

　　2.避免暴露你的郵件地址

　　OE中還增加了一個(gè)最初出現(xiàn)于Outlook 2003的新功能，就是禁止從互聯(lián)網(wǎng)下載圖片。以前我們都知道，如果收到垃圾郵件一定不能回復(fù)，因?yàn)榘l(fā)送者只是向隨機(jī)生成的地址發(fā)送郵件，而并不知道這個(gè)地址是否真實(shí)，你一旦回復(fù)了發(fā)給你的郵件，那無異于向發(fā)送者宣告你的存在。這一點(diǎn)大家都記得很牢，不過現(xiàn)在垃圾郵件制造者又有了新花樣。

　　這個(gè)新花樣就是通過特殊的圖片，這圖片可能是郵件中的正常圖片，或者是一個(gè)0×0像素的不可見圖片。圖片的特殊性在于它是直接保存在服務(wù)器上的，并且有一個(gè)惟一的文件名（例如billgatesATmicroosftDOTcom.gif），這個(gè)文件名代表的就是發(fā)出的每封郵件的收件人的E-mail地址。這樣，一旦你收到并顯示這封郵件，OE就會(huì)自動(dòng)從網(wǎng)絡(luò)服務(wù)器上下載這個(gè)圖片，下載過程會(huì)被服務(wù)器記錄下來，進(jìn)而發(fā)件人就知道哪個(gè)郵箱是正在使用中的了（因?yàn)闆]人用的郵箱中的郵件不會(huì)被查看，圖片文件也就不會(huì)被下載）。

　　現(xiàn)在OE可以在以Html格式顯示郵件的同時(shí)不下載其中的圖片，這樣你既能查看郵件，又不用擔(dān)心暴露你的存在。當(dāng)然，如果你確信某封郵件不會(huì)有這種問題，也可以點(diǎn)擊那行提示的文字并下載圖片（如圖5所示）。

圖 5

　　終極武器之五：系統(tǒng)更新不再是難事

　　Windows的安全常常是建立在各種補(bǔ)丁的基礎(chǔ)之上。也許為了讓W(xué)indows更安全，在XPSP2里面，微軟把“自動(dòng)更新”從一個(gè)普通的組件提升成為系統(tǒng)安全關(guān)鍵組件。

　　新版本的自動(dòng)更新程序?qū)⒛軌蛱峁┌踩隆⒅匾隆⒗塾?jì)更新和服務(wù)包的下載。另外，配合即將發(fā)布的Windows Update Services 套件，能夠使企業(yè)管理員便于分發(fā)各種補(bǔ)丁程序。

　　WindowsUpdate網(wǎng)站可能是大多數(shù)人訪問最多的補(bǔ)丁下載網(wǎng)站了。V5版本的WindowsUpdate在XPSP2里面全面啟用（如圖6所示），新版本的WindowsUpdate將更新分作2個(gè)層次：快速和定制。快速安裝模式只下載重要更新，而定制更新模式可以定制需要的更新程序。另外，V5版的WindowsUpdate允許隱藏更新，對(duì)于不需要的更新，用戶可以將它們隱藏。下次訪問WindowsUpdate的時(shí)候?qū)⒉辉偬崾臼欠癜惭b被隱藏的更新。

圖 6

　　為了節(jié)省補(bǔ)丁下載時(shí)間，XPSP2里面優(yōu)化了傳輸方式，可以在指定時(shí)間、使用指定帶寬工作方式下，只下載發(fā)生變化的文件部分，而且支持?jǐn)帱c(diǎn)續(xù)傳。

　　如果你非常忙，并忽略了自動(dòng)更新程序的提醒，那么在關(guān)機(jī)的時(shí)候就會(huì)發(fā)現(xiàn)一個(gè)新玩意兒，在關(guān)機(jī)按鈕上新添加了一個(gè)小圖標(biāo)，這意味著按下這個(gè)按鈕后系統(tǒng)會(huì)首先安裝補(bǔ)丁程序，然后自動(dòng)關(guān)機(jī)。添加了這個(gè)功能后等于說Windows的更新功能已經(jīng)完全不用專門操心了，下載和安裝都可以在后臺(tái)自動(dòng)完成。

　　新的補(bǔ)丁發(fā)布方式再加上新增的關(guān)機(jī)前自動(dòng)安裝方法，相信可以讓大多數(shù)人在最短的時(shí)間內(nèi)獲取補(bǔ)丁。有了新的補(bǔ)丁程序，系統(tǒng)安全性又有了進(jìn)一步的提高。

　　終極武器之六：蠕蟲病毒克星DEP

　　作為系統(tǒng)安全的主要?dú)⑹郑《镜奈：Σ粫?huì)被人所忽視。特別是對(duì)于靠緩沖區(qū)溢出生存的類似于沖擊波、震蕩波一類的蠕蟲病毒，更是需要警覺。XPSP2激活了具備DEP功能的CPU的物理特性，讓物理設(shè)備也參與整個(gè)系統(tǒng)的安全防護(hù)工作。安全防護(hù)趨勢(shì)正從軟件逐漸向硬件過渡。

　　數(shù)據(jù)執(zhí)行保護(hù)（DEP）是一種基于硬件的、防止緩沖區(qū)溢出的一種技術(shù)（圖7），它能夠讓CPU對(duì)內(nèi)存數(shù)據(jù)區(qū)域標(biāo)記為只讀，避免非正常代碼無意中被執(zhí)行。通過這種方式，當(dāng)某個(gè)發(fā)動(dòng)攻擊的蠕蟲或病毒將程序代碼插入到一塊被標(biāo)記為僅包含數(shù)據(jù)的內(nèi)存部分時(shí)，應(yīng)用程序或 Windows 組件將不會(huì)運(yùn)行這些代碼。系統(tǒng)將給出相應(yīng)的提示信息（圖8）。

圖 7



圖 8

　　這種方式對(duì)于緩沖區(qū)溢出問題的解決有著明顯的幫助，不過需要配合相應(yīng)的硬件設(shè)備才能完全發(fā)揮功效。雖然支持此項(xiàng)技術(shù)的CPU目前只有Athlon 64和Intel 的Itanium CPU家族，但是XPSP2系統(tǒng)也可以通過軟件的方式讓我們?cè)谄胀ǖ奶幚砥魃鲜褂貌糠止δ堋３酥猓瑢?duì)于在沖擊波爆發(fā)期間暴露出來的RPC和DCOM安全問題，微軟也做了徹底的修改。雖然這些修改對(duì)現(xiàn)有利用這2個(gè)接口的軟件影響很大，但是為了安全，微軟還是做了。

　　小知識(shí)：緩沖區(qū)溢出

　　緩沖區(qū)是隨機(jī)存儲(chǔ)器(RAM) 中的一個(gè)區(qū)域，是為了使用臨時(shí)存儲(chǔ)的數(shù)據(jù)而保留的。其中，這些臨時(shí)存儲(chǔ)的數(shù)據(jù)正等待在兩個(gè)位置之間（例如，在應(yīng)用程序數(shù)據(jù)區(qū)域和輸入/輸出設(shè)備之間）進(jìn)行傳輸。
　　所謂緩沖區(qū)溢出，是由于軟件代碼邊界處理缺陷或其他原因，造成破壞性代碼在緩沖區(qū)里面被執(zhí)行，引起系統(tǒng)被病毒入侵或被破壞。大多數(shù)蠕蟲病毒（如沖擊波、震蕩波）均使用了這個(gè)方法來傳播。
　　防止緩沖區(qū)溢出，常見的方法還是通過程序員寫修正程序或?qū)σ阎木彌_區(qū)溢出特征進(jìn)行攔截來實(shí)現(xiàn)。DEP技術(shù)讓緩沖區(qū)溢出問題在物理層面上得到了控制。

　　終極武器之七：全面支持Wi-Fi和藍(lán)牙

　　無線作為本年度的熱點(diǎn)，經(jīng)常吸引著人們的眼球。但是由于Windows原先并沒有提供一個(gè)簡易的配置向?qū)В?dāng)用戶面對(duì)廠商提供的復(fù)雜程序時(shí)，常常面現(xiàn)困惑。但在XPSP2里面，控制面板里面新增了無線網(wǎng)絡(luò)安裝向?qū)АＳ辛讼驅(qū)У膸椭€愁不會(huì)使用無線設(shè)備嗎？

　　另外，在Windows XP SP1中曾宣布已經(jīng)支持藍(lán)牙設(shè)備，不過要正確使用藍(lán)牙設(shè)備，還是需要先安裝一個(gè)Q323183補(bǔ)丁程序。不過在安裝XPSP2后，藍(lán)牙設(shè)備得到了較好的支持。

　　在正確安裝藍(lán)牙適配器后，我們可以直接在文件夾的右鍵菜單中使用“發(fā)送到”功能把電腦中的文件發(fā)送到藍(lán)牙設(shè)備中，也可以通過“開始→所有程序→附件→通訊”中的藍(lán)牙文件傳輸向?qū)Ы邮諄碜运{(lán)牙設(shè)備發(fā)送的文件或者把文件發(fā)送到指定的藍(lán)牙設(shè)備上（如圖9所示）。

圖 9

　　終極武器之八：眾多組件獲得升級(jí)

　　為了避免查看長串的補(bǔ)丁清單，支持補(bǔ)丁隱藏顯示的新版本的添加刪除程序在XPSP2里面被啟用。同時(shí)，為了讓3D效果更加突出，DirectX 9.0c被引入XPSP2，可惜目前只有Geforce6系列顯卡支持DirectX 9.0c。

　　為了提高多媒體播放質(zhì)量，Windows Media Player 9.0也出現(xiàn)在了XPSP2里面；為了讓東亞語言用戶更好地使用Table PC，XPSP2進(jìn)一步增強(qiáng)了Table PC中的手寫文字識(shí)別能力。

　　此外，Windows Installer 3.0、Windows Movie Maker 2.1等新版本組件也出現(xiàn)在了XPSP2里面。

　　認(rèn)識(shí)Service Pack

　　微軟公司為了完善其軟件產(chǎn)品，將很多修補(bǔ)程序放入一個(gè)軟件包內(nèi)提供給用戶，這些軟件包稱為Service Pack（服務(wù)軟件包）。

　　這里首先說說Windows操作系統(tǒng)的補(bǔ)丁，我們主要以Windows 2000/XP的補(bǔ)丁加以了解。一般需要安裝的補(bǔ)丁有兩種，Hotfix和Service Pack，Hotfix是針對(duì)某一具體問題而發(fā)布的專門解決這個(gè)問題的小程序（也可以叫做修復(fù)程序）。微軟一般會(huì)把在自己的軟件產(chǎn)品中發(fā)現(xiàn)的重大問題以安全公告（Security bulletin）的形式通知給大家，這些公告都有一個(gè)唯一的編號(hào)，即MS**－***。例如MS02-063，表示微軟公司在2002年發(fā)布的第63個(gè)安全公告。而這些公告所涉及的問題還有另外一個(gè)編號(hào)：Q******。MS02-063安全公告的編號(hào)就是Q 329834，這個(gè)號(hào)碼表明了該問題在微軟知識(shí)庫（Knowledge Base）中的編號(hào)，只要記住這個(gè)編號(hào)，隨時(shí)都可以查找到相應(yīng)的文章和解決方案。因此，每個(gè)安全公告所發(fā)布的補(bǔ)丁也就有了相應(yīng)的編號(hào)，例如Q329834針對(duì)Windows XP系統(tǒng)的補(bǔ)丁名稱就是Q329834_WXP_SP2_x86_ENU.exe（注：新的命名方式是以KB開頭） ，這表示這個(gè)補(bǔ)丁解決的問題在知識(shí)庫文章Q329834中討論過。

　　而Service Pack，即補(bǔ)丁包，一般會(huì)在操作系統(tǒng)正式上市一段時(shí)間后發(fā)布，包含了自發(fā)布之日起全部的Hotfix補(bǔ)丁。只要安裝了Service Pack，在這個(gè)Service Pack發(fā)布之前的所有Hotfix補(bǔ)丁都不用再安裝了。Service Pack補(bǔ)丁不是累加的，也就是說，對(duì)于一個(gè)新安裝的操作系統(tǒng)，你不必依次安裝SP1、SP2、SP3，只要裝了最新的Service Pack就可以了。