2004年8月6號，微軟終于將XP SP2發(fā)布給了計算機制造商，這標志XPSP2已經(jīng)通過了最終測試，到了RTM（提供給生產(chǎn)商的版本）階段，最終用戶將在幾周內(nèi)逐步獲得XP SP2。

而這距離最初預(yù)期的時間已經(jīng)晚了九個月，距離Windows XP的前一個Service Pack間隔了一年半。姍姍來遲的號稱為史上最強的XPSP2中究竟都包含了哪些讓人期待已久的終極武器呢？還是讓我們一起來探個究竟吧。

終極武器之一：Windows有了安全總管

裝好XPSP2第一次啟動系統(tǒng)后可以看到這個安全中心窗口（如圖1所示），它是一個基于Web頁面的應(yīng)用程序，在這里可以直接查看相關(guān)安全選項的設(shè)置情況，并對它們進行設(shè)置。

圖 1

由于大多數(shù)用戶不知道自己的系統(tǒng)是否處于安全狀態(tài)，這給病毒或黑客的入侵留下了可乘之機。Windows 安全中心能夠監(jiān)視系統(tǒng)安全組件是否正常工作，通過它可以在最短的時間內(nèi)識別出Windows防火墻、自動更新、防病毒軟件是否已經(jīng)正常工作。

對于狀態(tài)正常的設(shè)置，安全中心將會用綠色顯示出來；如果相應(yīng)的選項狀態(tài)異常（例如被關(guān)閉或禁用），則會標示為紅色；狀態(tài)未知則用黃色表示（這個在殺毒軟件的選項上比較常見，主要是因為有些殺毒軟件可能因為某些原因而無法被系統(tǒng)識別。不過不用擔(dān)心，并不是說殺毒軟件不起作用或者和系統(tǒng)不兼容，紅色的警告和黃色的錯誤只是說明殺毒軟件無法在安全中心查看）。

有一點需要注意，雖然通過安全中心可設(shè)置防火墻以及殺毒軟件，不過這些功能并不是由安全中心提供的，安全中心只是起了一個集中管理的作用。

終極武器之二：Windows 防火墻全新亮相

在XPSP2里面，曾經(jīng)的雞肋ICF（Internet Connection Firewall）以全新的面貌——Windows 防火墻登場了（如圖2所示）。

圖 2

既然叫做Windows防火墻，那么功能上就應(yīng)該對整個Windows而不僅僅是對網(wǎng)絡(luò)連接有效。實際上也是這樣，Windows防火墻在XPSP2里面作為核心安全組件，成了必不可少的安全衛(wèi)士，相對于原來的ICF，有了明顯的改進。

1.全局的配置，對所有的網(wǎng)絡(luò)連接都有效。一改以往ICF必須針對單個網(wǎng)絡(luò)連接單獨配置的問題。

2.允許針對某個應(yīng)用程序進行網(wǎng)絡(luò)連接配置（此前的ICF是不行的），具備了防火墻的基本功能。

3.使網(wǎng)絡(luò)服務(wù)在指定網(wǎng)絡(luò)區(qū)域里面有效成為可能。Windows防火墻能夠針對某一項網(wǎng)絡(luò)連接劃分作用范圍。例如，你可以將文件和打印機共享的作用范圍限制在你指定的某一個網(wǎng)絡(luò)區(qū)域（如：子網(wǎng)或IP范圍）里面，而這個區(qū)域以外的計算機就無法使用共享功能。

4.啟動時刻的安全保護。使用以前的Windows XP，計算機在網(wǎng)絡(luò)上進入活動狀態(tài)的時間與 ICF 開始保護連接的時間之間有一個延遲。這個延遲給未經(jīng)請求的流量在啟動期間攻擊計算機留下了可乘之機。現(xiàn)在，啟動過程中只允許是否DNS和DHCP，其他網(wǎng)絡(luò)服務(wù)必須等Windows防火墻開始工作才能使用，黑客再想在啟動時攻擊已不可能。

5.Windows 防火墻還對兼容性做了修改，能夠和絕大多數(shù)程序和平共處。

雖然Windows防火墻提供了較強大的功能，但是和專業(yè)級別的防火墻軟件相比，功能上還顯得相對單薄。

終極武器之三：IE拒絕打擾保證穩(wěn)定

作為使用人數(shù)最多的Web瀏覽器，IE的功能和安全一直受到非常多的關(guān)注。

1.拒絕彈出窗口打擾

在XPSP2之前，各種廣告彈出窗口屏蔽插件層出不窮，連微軟都在自己的MSN Toolbar里面加入了這個功能。現(xiàn)在，有了XPSP2，這些插件就可以丟棄了，因為微軟在IE6SP2里面也加入了屏蔽廣告彈出窗口功能（圖3）。

圖 3

2.管理IE加載項

為了上網(wǎng)時能夠享受各種方便，不少用戶安裝了各種各樣的IE插件，如Flash的ActiveX插件等。插件多了，上網(wǎng)也許就很方便了，可是如果有插件互相“打架”，IE就會不堪重負，隨時處于崩潰的邊緣。在IE6SP2中增加了“加載項管理”功能來控制插件的沖突問題。

對于加載項，你可以安裝，也可以不安裝，更可以在安裝之后禁止掉，這些設(shè)定可以在加載項管理組件里面輕松完成（圖4）。

圖 4

3.確保下載文件安全

安全作為XPSP2的發(fā)布思想，在IE6SP2里面也得到了眾多的體現(xiàn)。IE6SP2對于下載的文件會根據(jù)其文件內(nèi)容而不是文件擴展名判斷出是否經(jīng)過偽裝（MIME嗅探），并根據(jù)下載的文件是否安全在下載信息對話框下方給出相應(yīng)圖形化警告提示。

此外，包括鎖定本地計算機區(qū)域、未經(jīng)允許的ActiveX執(zhí)行限制、數(shù)字簽名控制、MSJVM安全設(shè)定、IE二進制行為安全設(shè)定在內(nèi)的安全增強技術(shù)也被加入到XPSP2里面。

雖然XPSP2提供了眾多安全設(shè)定選項，不過為了兼容性，很多安全設(shè)定并沒有默認開啟，需要用戶自己通過編輯注冊表或修改組策略才能使用上。幸好，微軟在其網(wǎng)站上提供了不少XPSP2安全設(shè)定方面的指導(dǎo)性文章，啟用這些安全設(shè)定也并非難事。

小知識：加載項

給瀏覽器添加功能的各種程序。如額外的工具欄、動畫鼠標指針等。常見的MSN Toolbar就屬于加載項的范疇。

終極武器之四：OE防護出新招

隨IE捆綁的Outlook Express（OE）是一個不錯的電子郵件軟件，不過它卻廣受非議。有人認為因為OE設(shè)置得不完善，非常易于病毒的感染和傳播，不過安裝了XPSP2后的OE卻安全了不少。

1.避免惡意代碼被無意中執(zhí)行

以往OE會直接以Html形式顯示所有郵件，這樣如果郵件中包含有惡意代碼，可能會在查看或者預(yù)覽該郵件的時候直接感染電腦。而在XPSP2里面，微軟使用Richedit控件代替原先的MSHtml控件來閱讀純文本類型的郵件，避免了惡意代碼在無意中被執(zhí)行。

2.避免暴露你的郵件地址

OE中還增加了一個最初出現(xiàn)于Outlook 2003的新功能，就是禁止從互聯(lián)網(wǎng)下載圖片。以前我們都知道，如果收到垃圾郵件一定不能回復(fù)，因為發(fā)送者只是向隨機生成的地址發(fā)送郵件，而并不知道這個地址是否真實，你一旦回復(fù)了發(fā)給你的郵件，那無異于向發(fā)送者宣告你的存在。這一點大家都記得很牢，不過現(xiàn)在垃圾郵件制造者又有了新花樣。

這個新花樣就是通過特殊的圖片，這圖片可能是郵件中的正常圖片，或者是一個0×0像素的不可見圖片。圖片的特殊性在于它是直接保存在服務(wù)器上的，并且有一個惟一的文件名（例如billgatesATmicroosftDOTcom.gif），這個文件名代表的就是發(fā)出的每封郵件的收件人的E-mail地址。這樣，一旦你收到并顯示這封郵件，OE就會自動從網(wǎng)絡(luò)服務(wù)器上下載這個圖片，下載過程會被服務(wù)器記錄下來，進而發(fā)件人就知道哪個郵箱是正在使用中的了（因為沒人用的郵箱中的郵件不會被查看，圖片文件也就不會被下載）。

現(xiàn)在OE可以在以Html格式顯示郵件的同時不下載其中的圖片，這樣你既能查看郵件，又不用擔(dān)心暴露你的存在。當然，如果你確信某封郵件不會有這種問題，也可以點擊那行提示的文字并下載圖片（如圖5所示）。

圖 5

終極武器之五：系統(tǒng)更新不再是難事

Windows的安全常常是建立在各種補丁的基礎(chǔ)之上。也許為了讓W(xué)indows更安全，在XPSP2里面，微軟把“自動更新”從一個普通的組件提升成為系統(tǒng)安全關(guān)鍵組件。

新版本的自動更新程序?qū)⒛軌蛱峁┌踩隆⒅匾隆⒗塾嫺潞头?wù)包的下載。另外，配合即將發(fā)布的Windows Update Services 套件，能夠使企業(yè)管理員便于分發(fā)各種補丁程序。

WindowsUpdate網(wǎng)站可能是大多數(shù)人訪問最多的補丁下載網(wǎng)站了。V5版本的WindowsUpdate在XPSP2里面全面啟用（如圖6所示），新版本的WindowsUpdate將更新分作2個層次：快速和定制。快速安裝模式只下載重要更新，而定制更新模式可以定制需要的更新程序。另外，V5版的WindowsUpdate允許隱藏更新，對于不需要的更新，用戶可以將它們隱藏。下次訪問WindowsUpdate的時候?qū)⒉辉偬崾臼欠癜惭b被隱藏的更新。

圖 6

為了節(jié)省補丁下載時間，XPSP2里面優(yōu)化了傳輸方式，可以在指定時間、使用指定帶寬工作方式下，只下載發(fā)生變化的文件部分，而且支持斷點續(xù)傳。

如果你非常忙，并忽略了自動更新程序的提醒，那么在關(guān)機的時候就會發(fā)現(xiàn)一個新玩意兒，在關(guān)機按鈕上新添加了一個小圖標，這意味著按下這個按鈕后系統(tǒng)會首先安裝補丁程序，然后自動關(guān)機。添加了這個功能后等于說Windows的更新功能已經(jīng)完全不用專門操心了，下載和安裝都可以在后臺自動完成。

新的補丁發(fā)布方式再加上新增的關(guān)機前自動安裝方法，相信可以讓大多數(shù)人在最短的時間內(nèi)獲取補丁。有了新的補丁程序，系統(tǒng)安全性又有了進一步的提高。

終極武器之六：蠕蟲病毒克星DEP

作為系統(tǒng)安全的主要殺手，病毒的危害不會被人所忽視。特別是對于靠緩沖區(qū)溢出生存的類似于沖擊波、震蕩波一類的蠕蟲病毒，更是需要警覺。XPSP2激活了具備DEP功能的CPU的物理特性，讓物理設(shè)備也參與整個系統(tǒng)的安全防護工作。安全防護趨勢正從軟件逐漸向硬件過渡。

數(shù)據(jù)執(zhí)行保護（DEP）是一種基于硬件的、防止緩沖區(qū)溢出的一種技術(shù)（圖7），它能夠讓CPU對內(nèi)存數(shù)據(jù)區(qū)域標記為只讀，避免非正常代碼無意中被執(zhí)行。通過這種方式，當某個發(fā)動攻擊的蠕蟲或病毒將程序代碼插入到一塊被標記為僅包含數(shù)據(jù)的內(nèi)存部分時，應(yīng)用程序或 Windows 組件將不會運行這些代碼。系統(tǒng)將給出相應(yīng)的提示信息（圖8）。

圖 7圖 8

這種方式對于緩沖區(qū)溢出問題的解決有著明顯的幫助，不過需要配合相應(yīng)的硬件設(shè)備才能完全發(fā)揮功效。雖然支持此項技術(shù)的CPU目前只有Athlon 64和Intel 的Itanium CPU家族，但是XPSP2系統(tǒng)也可以通過軟件的方式讓我們在普通的處理器上使用部分功能。除此之外，對于在沖擊波爆發(fā)期間暴露出來的RPC和DCOM安全問題，微軟也做了徹底的修改。雖然這些修改對現(xiàn)有利用這2個接口的軟件影響很大，但是為了安全，微軟還是做了。

小知識：緩沖區(qū)溢出

緩沖區(qū)是隨機存儲器(RAM) 中的一個區(qū)域，是為了使用臨時存儲的數(shù)據(jù)而保留的。其中，這些臨時存儲的數(shù)據(jù)正等待在兩個位置之間（例如，在應(yīng)用程序數(shù)據(jù)區(qū)域和輸入/輸出設(shè)備之間）進行傳輸。所謂緩沖區(qū)溢出，是由于軟件代碼邊界處理缺陷或其他原因，造成破壞性代碼在緩沖區(qū)里面被執(zhí)行，引起系統(tǒng)被病毒入侵或被破壞。大多數(shù)蠕蟲病毒（如沖擊波、震蕩波）均使用了這個方法來傳播。防止緩沖區(qū)溢出，常見的方法還是通過程序員寫修正程序或?qū)σ阎木彌_區(qū)溢出特征進行攔截來實現(xiàn)。DEP技術(shù)讓緩沖區(qū)溢出問題在物理層面上得到了控制。

終極武器之七：全面支持Wi-Fi和藍牙

無線作為本年度的熱點，經(jīng)常吸引著人們的眼球。但是由于Windows原先并沒有提供一個簡易的配置向?qū)В斢脩裘鎸S商提供的復(fù)雜程序時，常常面現(xiàn)困惑。但在XPSP2里面，控制面板里面新增了無線網(wǎng)絡(luò)安裝向?qū)АＳ辛讼驅(qū)У膸椭€愁不會使用無線設(shè)備嗎？

另外，在Windows XP SP1中曾宣布已經(jīng)支持藍牙設(shè)備，不過要正確使用藍牙設(shè)備，還是需要先安裝一個Q323183補丁程序。不過在安裝XPSP2后，藍牙設(shè)備得到了較好的支持。

在正確安裝藍牙適配器后，我們可以直接在文件夾的右鍵菜單中使用“發(fā)送到”功能把電腦中的文件發(fā)送到藍牙設(shè)備中，也可以通過“開始→所有程序→附件→通訊”中的藍牙文件傳輸向?qū)Ы邮諄碜运{牙設(shè)備發(fā)送的文件或者把文件發(fā)送到指定的藍牙設(shè)備上（如圖9所示）。

圖 9

終極武器之八：眾多組件獲得升級

為了避免查看長串的補丁清單，支持補丁隱藏顯示的新版本的添加刪除程序在XPSP2里面被啟用。同時，為了讓3D效果更加突出，DirectX 9.0c被引入XPSP2，可惜目前只有Geforce6系列顯卡支持DirectX 9.0c。

為了提高多媒體播放質(zhì)量，Windows Media Player 9.0也出現(xiàn)在了XPSP2里面；為了讓東亞語言用戶更好地使用Table PC，XPSP2進一步增強了Table PC中的手寫文字識別能力。

此外，Windows Installer 3.0、Windows Movie Maker 2.1等新版本組件也出現(xiàn)在了XPSP2里面。

認識Service Pack

微軟公司為了完善其軟件產(chǎn)品，將很多修補程序放入一個軟件包內(nèi)提供給用戶，這些軟件包稱為Service Pack（服務(wù)軟件包）。

這里首先說說Windows操作系統(tǒng)的補丁，我們主要以Windows 2000/XP的補丁加以了解。一般需要安裝的補丁有兩種，Hotfix和Service Pack，Hotfix是針對某一具體問題而發(fā)布的專門解決這個問題的小程序（也可以叫做修復(fù)程序）。微軟一般會把在自己的軟件產(chǎn)品中發(fā)現(xiàn)的重大問題以安全公告（Security bulletin）的形式通知給大家，這些公告都有一個唯一的編號，即MS**－***。例如MS02-063，表示微軟公司在2002年發(fā)布的第63個安全公告。而這些公告所涉及的問題還有另外一個編號：Q******。MS02-063安全公告的編號就是Q 329834，這個號碼表明了該問題在微軟知識庫（Knowledge Base）中的編號，只要記住這個編號，隨時都可以查找到相應(yīng)的文章和解決方案。因此，每個安全公告所發(fā)布的補丁也就有了相應(yīng)的編號，例如Q329834針對Windows XP系統(tǒng)的補丁名稱就是Q329834_WXP_SP2_x86_ENU.exe（注：新的命名方式是以KB開頭） ，這表示這個補丁解決的問題在知識庫文章Q329834中討論過。

而Service Pack，即補丁包，一般會在操作系統(tǒng)正式上市一段時間后發(fā)布，包含了自發(fā)布之日起全部的Hotfix補丁。只要安裝了Service Pack，在這個Service Pack發(fā)布之前的所有Hotfix補丁都不用再安裝了。Service Pack補丁不是累加的，也就是說，對于一個新安裝的操作系統(tǒng)，你不必依次安裝SP1、SP2、SP3，只要裝了最新的Service Pack就可以了。