Windows7安全预警少 引爆批评声浪

　　微软让Windows 7减少安全警示的设计变更，竟引爆外界日益升高的批评声浪。

在Windows Vista中，只要有变更系统就会跳出警示。而在Windows 7中，用户可自行设定警示出现的频率。

Windows Vista最让人困扰的部分之一，是每当系统有任何变更，便会自动跳出警告视窗通知使用者。微软在Windows 7变更这项设计，不但预设的警示范围较小，使用者也可自行决定警示出现的频率。

但有人指出，微软减少预设的警示范围，可能让恶意软件在使用者不察的情况下，对系统作出变更。不同于Windows Vista对任何大小变更一律跳出警示，Windows 7的预设只会在软件自行企图修改系统时才会警告使用者。

博客Long Zheng详列出若干他认为将因此产生的问题。他上周指出，这项改变可能让恶意软件完全关闭警示功能。前几天，Zheng向微软通报另一个他在Windows 7 beta发现的问题。他表示，这个问题能让某个程序提高其管理权限，且不需知会使用者。

微软表示，这部分还是需要恶意软件协助才能进入系统，而他们已在最近一次对内发布的Windows 7修补完成。下一次重要的对外发布，也就是所谓的“候选试用版”，就会加入这项修补。

至于有关User Account Control(使用者帐户控制，简称UAC)功能的更广泛问题，微软表示，那些批评都未考虑实际的使用行为。负责微软核心操作系统开发部门的Jon DeVaan指出，许多Vista使用者因为受不了经常跳出的警示，不是忽略这类信息，就是整个关闭警示功能。

他在4日受访时说：“很显然的，是我们造成……那种行为。”他以自己使用的银行为例，为了加强安全措施，银行的系统变得更难用，使得他考虑换银行。

虽然表面上，微软似乎是让系统的安全性降低。但DeVaan表示，微软实际应用测试显示，使用者反而会更注意跳出频率较少的警示。他也指出，近来这一 波批评忽略了Windows 7在根本上减少恶意软件进入系统机率的改进。内建在Windows 7的浏览器Internet Explorer 8，提供若干新型态攻击的防护，如点阅绑架(clickjacking)。

DeVaan说：“那些是用来帮助民众，在有人试图损害系统前先获通知。在我们目前收到的民众反应中，还没有任何是针对我们改善的那些部分。”

然而，某些批评者说，微软对UAC的变更过于轻率。BeyondTrust CEO John Moyer说：“这是用减少警是的好处交换若干安全防护。”Moyer的公司生产让企业进一步控制哪些应用软件能提高权限的软件，他长期质疑UAC功能对 减轻安全风险的效用。

安全软件厂商Veracode CTO Chris Wysopal表示，虽然微软降低其安全功能的变更，不构成名义上的软件弱点，却对终端使用者造成实际风险。他说：“微软在设计上，选择一个实际上放弃 UAC的设定，因为这种中等的设定，让恶意软件可以把它关闭。我不清楚他们是否彻底考量过中等设定的意涵。问题在于这是一种中等设定，不是关闭，但其行为 可导致(UAC)被恶意软件关闭。如果使用者以为他们能从这种设定得到一些保护，但实际上没有，那就是问题。”