【51CTO精選譯文】在系統(tǒng)安全方面，Unix和Windows最大的不同在于，Unix系統(tǒng)強(qiáng)大的安全性是因?yàn)樗鼡碛辛己玫陌踩軜?gòu)設(shè)計(jì)，不得不承認(rèn)一個事實(shí)，在安全方面雙方有很多相同點(diǎn)，而微軟似乎更想將Unix的安全特性全部納入其Windows系統(tǒng)，但微軟有一點(diǎn)沒有做好的是，其安全性設(shè)計(jì)都是駕臨于操作系統(tǒng)之上，而不是從系統(tǒng)架構(gòu)出發(fā)考慮的。

例如，Windows中的特權(quán)隔離長期以來對Windows安全都有一個問題，在Windows架構(gòu)層面的確有一些特權(quán)隔離特性，但它只是一個半心半意的實(shí)現(xiàn)，依賴于用戶級功能行為和使用意圖。

系統(tǒng)模塊化是Unix架構(gòu)安全的另一個實(shí)例，而這是Windows所缺乏的。每一個Windows版本都捆綁了大量的應(yīng)用程序，如IE瀏覽器。即使一次針對瀏覽器的攻擊，也很容易獲得內(nèi)核空間的訪問權(quán)，從而獲得整個系統(tǒng)的控制權(quán)，而這種情況在Unix的基礎(chǔ)系統(tǒng)中是不存在的。

特權(quán)隔離的重要性

有人可能會抱怨你想保護(hù)的系統(tǒng)信息存放在其他用戶也能訪問到的位置，因此特權(quán)隔離不能起到真正的作用。其實(shí)他們沒有完全理解特權(quán)隔離的好處：可以防止入侵者獲得root權(quán)限。

服務(wù)器進(jìn)程通常運(yùn)行在Unix系統(tǒng)一個特殊用戶賬戶下，這意味著入侵者通過網(wǎng)絡(luò)入侵得逞后，也只能拿到該服務(wù)對應(yīng)用戶賬戶的權(quán)限。大多數(shù)情況下這些用戶都屬于普通用戶，大部分惡意軟件都需要管理員賬戶才能正常工作。

鍵盤記錄器是Windows用戶的惡夢，但在Unix系統(tǒng)上，它們需要管理員級的系統(tǒng)組件才能正常運(yùn)行。這意味著即使鍵盤記錄器通過某些非特權(quán)用戶賬戶成功注入到系統(tǒng)，但因沒有足夠的權(quán)限也不能開始它的工作。

其它安全威脅，如rootkit，木馬和僵尸網(wǎng)絡(luò)客戶端也需要Unix系統(tǒng)的root用戶權(quán)限才能工作。而在Windows系統(tǒng)上，缺乏嚴(yán)格的特權(quán)隔離致使其對惡意軟件的防護(hù)能力不足。

用戶控制和自動執(zhí)行

眾所周知，Windows很容易感染病毒，主要是因?yàn)樗霝橛脩糇鎏嗟氖虑椤阂廛浖ǔS不相干的軟件運(yùn)行而自動啟動，例如，當(dāng)你打開一個Word文檔時，巧妙設(shè)計(jì)的惡意軟件也跟著運(yùn)行，而這時Windows將重定向文件的執(zhí)行路徑，從Word文件轉(zhuǎn)向惡意軟件執(zhí)行需要的文件。

相反，Unix系統(tǒng)在默認(rèn)情況下是不會干這種蠢事的。在Unix上運(yùn)行程序更規(guī)范，要打開的文件將作為一個參數(shù)傳遞給主程序。因此如果惡意軟件試圖用偽裝的OpenOffice.org文檔誘騙OO.o執(zhí)行，操作系統(tǒng)是不會上當(dāng)?shù)?；相反，文字處理軟件無法打開該文件，因?yàn)樗奈募愋筒徽_。

在Windows下還有一種無安全保證的自動執(zhí)行 – 臭名昭著的AutoRun（自動運(yùn)行）。美國國防部就曾被搞得很窩火，有人用U盤接入國防部電腦，惡意軟件利用Windows的AutoRun特性自動運(yùn)作，繼而使它許多安裝有Windows的電腦遭到入侵，雖然可以關(guān)閉Windows的自動運(yùn)行功能，但并不是那么容易，這樣的功能本身默認(rèn)就不應(yīng)該開啟，不知為何微軟沒有意識到這一點(diǎn)，更糟糕的是，即便你關(guān)閉了自動運(yùn)行功能，Windows自動更新也會暗中自動激活它。

不同的設(shè)計(jì)理念

Unix和Windows在安全方面的設(shè)計(jì)差異體現(xiàn)了不同的理念。遺憾的是，Unix從底層設(shè)計(jì)開始就將安全考慮進(jìn)去了，而Windows的理念是“誰在乎安全呢？”。

但Windows并不孤單，類Unix的系統(tǒng)也正在朝這條路走去，如廣為人知的Linux，拿現(xiàn)在最流行的Ubuntu為例吧，它在安全和受歡迎方面的平衡也如Windows一樣，Ubuntu更注重用戶體驗(yàn)，安全似乎不是它最關(guān)心的，但始終流淌著Unix系統(tǒng)安全設(shè)計(jì)的血液，可悲的是，它們之間的差距可能會隨時間而越來越小。

原文：http://blogs.techrepublic.com.com/security/?p=4627

作者：Chad Perrin

【編輯推薦】

1. 十年的演變：Linux安全的過去與現(xiàn)在
2. Windows 7五大企業(yè)安全功能點(diǎn)評
3. Windows Server 2008安全性和高可用性