windows 2000的开发工作是在互联网正在以笨拙的方式繁荣的时候完成的。但是,微软并不是那种愚笨的公司。微软是由很多有经验的人经营的。在windows 2000发布之前9个月,melissa电子邮件病毒已经在网络上传播了。基于网络的缓存溢出安全漏洞早在1988年的“morris”蠕虫时代就有了。当时的主流操作系统还是dos。我们还有很多例子表明,高级的攻击原来是那样容易。
然而,微软推出windows 2000时,所有的服务功能都是缺省的设置。这是微软犯下的最根本的错误。微软在windows server 2003中完全改变了这个做法。微软也许不会再为当时的这种做法进行辩护了。
微软的开发人员还是重视安全的。在纪念windows 2000五周年的时候,微软的开发人员说到了许多他们为windows 2000开发的安全功能。例如,efs(加密文件系统)。这个系统尽管还不完善,但是却是一个重要的物理安全工具。此外,windows 2000还是全球第一个内置128位加密技术的操作系统。
但是,windows 2000仍存在很多安全问题。直到一两年前以及windows xp sp2推出之后微软才对安全采取了正确的态度。你要是考察了windows server 2003,特别是与即将推出的sp1配套的windows server 2003,你就会发现他们在windows 2000安全方面的错误。
微软推迟在安全问题上做出战略转变实际上是令人钦佩的。微软不想作出一些事情,破坏应用程序的完整性,使消费者很难使用这些产品。我们希望微软保持这种正确的态度,并且希望微软的开发人员做出的产品既好用又安全。