如果一个操作系统安全性比较薄弱的话，在商业上的应用是不可能有太大作为的，而这是微软所绝对不能允许的。微软准备推出的Windows XP适用于家用PC，商用台式机，笔记本电脑和工作站。如果Windows XP在安全性方面不能有所保障，至少在商用台式机，笔记本电脑和工作站方面的市场份额就不可能达到微软的预期目标。

　　近几年，微软通过不断的努力开发出一系列安全可靠（宣传称）的产品，而即将要发售的Windows XP就是其中之一。Windows XP包含了多种安全要素，这些要素联合起来的作用是保护系统和针对终端用户提供比较易用的安全措施。这些要素包括：附加的网际互联防火墙（ICF，Internet Connection Firewall），自动更新且先进的加密文件系统（EFS，Encrypting File System），安全模板（security templates）和智能卡（smart card）支持等等。 www.ITExamPrep.com防伪标记版权所有

　　在默认状态下当用户使用网络向导阻塞任何进入系统的信息流时就会激活ICF。用户可以比较容易的通过查看网络的链接情况来断定防火墙是否被激活，而任何受ICF保护的网络链接其指示灯都是红色的。其实ICF是一种强有力的信息包防火墙，但是它并不适用于企业级的解决方案。这是因为ICF不包括专业防火墙所有的功能和特性，它的主要目的是保护具有开放的Internet链接的单机版系统。另外对于远程办公和远程存取访问，ICF同样是理想的保护解决手段。 www.ITExamPrep.com防伪标记版权所有

　　不管ICF是否开启，用户都不能有选择的保护特定的端口或协议。除此之外，用户可以允许一些协议，如HTTP、FTP和L2TP通过，另外也可以定义附加的端口。ICF具有日志功能，以便用户记录不成功的入站信息流和成功的出站信息流。记录所有的成功的出站信息流将会产生一些大的，不易处理的日志文件，但是通过监视不成功的入站尝试，用户能够清楚试图攻击系统的信息。网络管理员可以访问日志文件和基于网络拷贝日志文件，以此能够判定个别的计算机是否受到攻击。

　　在企业环境中，系统管理员想要限制个别用户调节ICF设置的权限，使其在没有正式的授权和批准下不能够关闭防火墙或开启端口。假如在用户持有以上权限并关闭了防火墙功能的情况下，而此时管理员在主观上却认为所有用户的系统都是受到保护，不会被外界所攻击的，其结果可想而知。为了防止此种事件的发生，在Windows XP中可以通过组策略（Group Policy）的设定来改变ICF的设置，例如组策略能够强制用户在没有相关网络链接的状况下开启防火墙。 www.ITExamPrep.com防伪标记版权所有

　　为了保护系统免受恶意代码的为害，Windows XP同样支持软件注册策略。管理员可以在组策略中定义控制软件运行的规则。这些规则是基于文件的扩展名、散列信息、路径、签名认证和区域等来定义的。例如，Visual Basic Script (VBS)除非具有特定组织或团体的数字签名，否则将被拒绝执行。现在管理员终于可以在晚上美美地睡上一觉了，因为就算是用户打开可疑的E-MAIL附件，他们的网络也是安全的。

　　EFS首次出现在Windows 2000中，而Windows XP支持的EFS允许多个用户访问同一个加密的文件。在EFS的默认设置状态下，经过加密的文件在文件列表中呈现绿色以便于识别。EFS也可以与脱机文件夹协作，不论文件在线或不在线依然保持加密属性。另外现在通过WebDAV，一种使用HTTP的文件共享协议，不用单独购买第三方的产品就可以基于Internet共享加密文件。IIS5.0和即将到来的IIS6.0都支持WebDAV作为Web文件夹，使文件的共享在Pointing和Clicking间轻松实现。

　　Windows XP也包括针对组策略的security templates（安全模板，即预先设定的与安全相关的策略集合），以确保系统安全具有适当的级别。这些模板提供低，中，高的安全设置，当然也可以通过自定义设置来满足特定团体的安全需要。

　　对于管理员来说，不断的升级系统和不断的分配、安装安全补丁确实是令人头痛的事情。微软当然也考虑到这些情况，所以在Windows XP中提供了自动更新的功能。利用这种功能，用户可以配置系统令其从Windows updates站点自动下载新的更新文件。其实可以自动安装的也包括Service packs，而且管理员可以有比较多的选择来配置应用Service packs的时间调配和机制。另外微软也已比较成功地写出程序安装后一般不需要系统重启的Service packs和Hot fixes。 www.ITExamPrep.com防伪标记版权所有

　　在Windows 2000中增加了使用smart card（智能卡）登录系统的功能，而Windows XP则将之扩展到Terminal Servers和管理程序应用中。拥有智能卡识别器的用户可以在其客户端上完成需要在Terminal Servers上执行的智能卡操作。Windows XP同样针对网络管理工具和应用程序提供了智能卡支持，因为如果这些程序一旦落入动机不良的人的手中就会严重危及公司的安全，也就是说Windows XP允许管理员通过要求有智能卡才能运行这些程序（如net.exe）的方法来控制对这些工具的访问。

　　对于微软来说，Windows XP的推出是其许诺促进企业安全的重要一步。不论是管理员还是一般用户都可以通过Windows XP具有功能非常容易地完成安全方面的工作。