【TechTarget中国原创】当微软推出Vista操作系统时，随之而来的是Windows功能发生了一系列显著的变化。也许这些变化中，最显著的是一个称之为PatchGuard的全新功能。PatchGuard原本是为了提供一个更为安全的运算环境，但它已经成为类似于厂商和客户之间争议的来源。在这篇文章中， TechTarget中国的特约专家Tony Bradley 将研究PatchGuard及其原因，尽管其方法存在争议，但该功能有助于确保Windows操作系统更加安全。

　　Patchguard和内核补丁

　　在研究patchguard前，有必要先谈谈内核补丁。内核补丁，也称为内核连接，是修改操作系统内核以改变其行为，或捕捉某些事件的过程。特别是安全厂商，包括McAfee公司和赛门铁克公司，都使用内核补丁，通过拦截和阻止潜在的恶意行为或过程，来实现防毒服务，保护操作系统及其应用软件。
 
　　Patchguard，也是我们熟知的核心模式保护，因为它阻止对操作系统的这种类型的修改而引发争议。patchguard监控内核代码和内核使用的系统资源，如果它检测到未经授权的内核补丁，会自动关闭系统。

　　PatchGuard和rootkit防护

　　微软有一个很好的理由来锁定操作系统内核：预防rootkit。rootkit本质上是一种恶意隐藏文件，能获得计算机或网络的管理员级访问权。由于rootkit在内核层面上被钩住，它在获得实际无限制访问权的同时，通常能够避免检测。

　　2005年，人们发现，索尼BMG音乐娱乐公司使用基于rootkit防复制软件。索尼的rootkit使用内核连接，以拦截和拒绝烧录CD副本的企图。为防止rootkit或者其它恶意软件使用内核补丁进行攻击，微软使用PatchGuard加强了其系统内核的保护。

　　PatchGuard是关于安全的吗？

　　由于受到了内核补丁的阻止，第三方软件经销商，尤其是防病毒和安全软件制造商，对此怨声载道，因为这意味着需要重新设计他们的软件。他们声称，通过封锁了独立的软件厂商，微软相当于对恶意软件开发者的攻击开放内核。像任何安全功能一样，patchguard并非十全十美，但无论是来自安全软件厂商还是恶意软件的内核干扰，它都可以检测到，所以安全厂商声称它只封锁了好人的说法，纯属胡言乱语。

　　然而，一些安全软件厂商声称，没有了对系统内核的不受限访问权，他们就不能执行有效主机入侵防御系统（HIPS）所要求的复杂功能。根据定义，HIPS应该能够监测和分析进入或流出主机系统的一切信息，以及执行的一切进程和服务——包括内核在内——以便进行评估并做出相应的反应。尽管PatchGuard并不完全阻止HIPS的功能。安全软件厂商也许需要改进他们的安全模式，来从始至终信任内核并检测所有其它进程和事件，但是，微软正和安全软件经销商一起努力，共同开发应用程序接口（(application program interfaces，APIs），它允许安全软件经销商的产品，在授权的方式下，与内核互相作用。

　　尽管微软的策略迫使安全软件厂商对其如何保护计算系统进行调整，但为了提高经销商保护内核的能力，而要求微软有意开放内核，这种做法似乎不合逻辑。对于软件安全行业，PatchGuard本质上就是一个catch-22。Windows用户和ISVs（独立软件供应商），已经要求微软在Windows里构建更多的安全措施，这是PatchGuard产生的目的。然而，尽管PatchGuard在本质上使Windows更加安全，它已经迫使一些安全厂商，在丢掉修改操作系统内核的能力后，重新审视他们自己非常成功的Windows安全策略。一些杀毒厂商，比如Sophos，支持微软的新安全模式，并且批评他们的竞争对手，不应投入时间与微软对抗，而应该开发可行的工具。PatchGuard保护仅仅影响Windows Vista 的64位版本，这个版本的市场份额越来越大，但幸运的是，全部Windows Vista 市场中只有一小部分在使用这个版本的系统。

　　对企业而言，问题的根源归结为他们是否信任微软编写的安全软件。假设内核真正受到PatchGuard的保护，微软希望独立安全厂商承担的大部分工作是没有必要的。安全厂商已经取得一些成功，开发了可以绕过PatchGuard的工作区，这也表明黑客也可以绕过PatchGuard。使用Vista 64位版本并且依赖PatchGuard的企业，应该确保他们有微软的最新更新，以阻止这样的攻击。但是，企业也应该与他们的杀毒或者安全软件厂商联系，以了解他们的产品如何与PatchGuard协调工作，以及PatchGuard内核保护，是否造成了一些功能减弱或者安全性下降。

　　企业不应该要求微软通过开放操作系统内核，退回到一个安全性较弱的模式，而应该鼓励安全软件厂商继续调整他们的产品与PatchGuard共同工作。厂商需要不断地更新其安全方式，适应Windows操作系统的变化。他们需要定期评估什么需要保护，如何进行保护，同时需要与微软合作获得他们所需要的功能。但是，要求安全软件生产商与微软一起完善其安全模型，比要求微软停滞不前或者退回到一个不安全的系统，更有意义。

　　确保内核的安全

　　内核是操作系统的心脏和灵魂。内核补丁中的微小错误都能导致系统的不稳定和不可靠，rootkit秘密集成到操作系统内核，以避免操作系统或者第三方安全产品的监测，对企业是一个更为严重的风险，。正是出于这个原因，PatchGuard代表抗击目前的各种恶意软件，保护内核的功能更为强大的方法。