微软设计PatchGuard的目的是确保Windows 内核不会受到恶意代码的攻击。但一些安全厂商称,这一功能给它们保护Windows PC的安全带来了困难,因为该功能使得它们无法访问Windows 内核。
在周三接受CNET News.com 采访时,赛门铁克的一名总工布鲁斯说,PatchGuard对安全厂商的影响要大于对恶意代码作者的影响。一些安全策略和新一代安全产品只有通过PatchGuard禁止的机制才能发挥作用。
赛门铁克不是唯一对该功能不满的安全厂商,却是公开自己不满的最大的安全厂商。Sana Security 和Agnitum 这二家较小的厂商表示,它们也有这样的担心。但思科和McAfee拒绝就此事发表评论。
微软为这一功能进行了辩护。微软安全技术集团的一名项目经理斯蒂芬说,黑客已经发现了利用操作系统内核的方法,这使得PatchGuard提供的保护对于确保内核安全显得十分必要。
与允许第三方软件厂商扩充内核相比,阻止恶意代码的安装显然要重要得多。这一功能不是针对安全软件的,而是64位Windows 的一个重大变化,目的是为了提供更安全的计算体验。
微软进入安全市场使许多安全厂商感到不安,赛门铁克的表现尤为明显。赛门铁克曾表示,只要确保公平的环境,它不惧怕微软的竞争。现在,赛门铁克首次表明微软正在限制消费者在安全解决方案的选择权。
Yankee Group分析师安德鲁说,PatchGuard将使第三方软件━━尤其是托管入侵探测软件,很难在Vista 中正常运行。第三方软件厂商面临二种选择:继续要求微软开发支持外挂的接口,或采用黑客技术绕过这一安全机制。
PatchGuard一年前出现在Windows XP x64 Edition中,但这一技术从来就没有大规模普及。专家预计,当Windows Vista 问世后,这种局面将得到改观。随着购买配置64位芯片的PC的用户增加,使用64位Windows 版本的用户也将增加。
安全厂商和分析人士表示,PatchGuard尤其对托管入侵探测服务不友好。布鲁斯说,PatchGuard能够封杀阻止恶意代码关闭安全工具的功能。越来越多的恶意代码都试图关闭安全工具。
据赛门铁克的博客称,PatchGuard还有另外一个讨厌的副作用。尽管合法安全软件厂商不再能够扩充Vista 的内核,但黑客已经找到了关闭和绕过该功能的方法。Sana Security 和Agnitum 表示了类似的担忧。
Sana Security技术总监弗拉德说,目前,黑客已经能够绕过PatchGuard. 微软也许这样认为,只要采取了安全措施,黑客就会退避三舍,但事实并不总是这样。这样,安全厂商将被迫用大刀长茅与用现代化武器武装的黑客决战。
弗拉德表示,访问Windows 内核的障碍迫使安全软件厂商采取黑客的技术。他说,我们也必须绕过PatchGuard。我们可以向黑客学习。
弗拉德表示,通过PatchGuard,微软有效地控制了Windows 内核的安全性。以前,第三方安全厂商也会采取措施保护Windows 内核的安全。现在,一旦PatchGuard失守,就需要微软发布补丁软件来确保内核的安全了。弗拉德指出,内核是最不容易打补丁的部分。
安全厂商呼吁微软在内核保护方面对可信赖的安全厂商网开一面。布鲁斯说,我不是要求微软废除PatchGuard,只是要求微软对于安全厂商网开一面。斯蒂芬说,微软反对这种做法,这会增加黑客攻破内核的可能性。
分析人士表示,随着rootkit 等新型威胁的出现,微软需要保护Windows 内核的安全。但是,微软应当允许其它安全软件厂商与它共同保护Windows 内核的安全。微软目前的这种做法有些欠妥,这会使它在竞争中具有不公平的优势。