該升級Windows XP SP2嗎？

應用程式相容性、防火牆性能、技術支援都該考慮

傳統的Windows Service Pack是將之前釋出的修正檔集合成一個安裝檔，但Windows XP SP2並非如此，它還新增所多功能，以提高系統安全性。雖然提升安全是當務之急，但應用程式的相容性也是一個大麻煩。

許多程式開發人員寧願微軟只是釋出修正檔，而不新增功能，這樣他們就不需重新測試程式碼，因為SP2修改許多的系統預設值，例如防火牆預設是開啟、IE瀏覽器會阻擋彈跳出視窗。如果開發人員使用了舊的預設值，就會影響到應用程式的執行，所以程式開發人員必須再次檢視應用程式，以確保能在Windows XP SP2上正常運作。不可忽視的相容性問題

根據英國ZDNet的報導，微軟承認每10種應用程式中，就會有一種因為SP2更新而發生問題。微軟認為，SP2會影響到「不安全」的應用程式，所以他們提供線上訓練課程，介紹SP2可能產生的影響，並降低這些影響。

SP2的影響範圍包括RPC、DCOM、Windows Firewall及記憶體執行防護，這些改變都會影響到系統與應用程式的相容性。其中以RPC的改變最有可能與既有的應用程式不相容，因為目前有數十種應用程式使用RPC服務，但它也是駭客入侵的主要通道，隨著SP2的發布，也許情況即將改觀。

此外，由於系統會開啟預設的安全設定（開啟防火牆、RPC），意味著許多使用者要連上無線網路、遊戲伺服器、P2P伺服器……，都必須重新設定，甚至連微軟本身的SQL Server、CRM 1.2、Visual Studio .Net及PowerPoint 2000/XP/2003，與SP2 RC2版本有相容性的問題。

另外要注意的是本土廠商所開發的應用程式，因為大型軟體供應商會由微軟提供相關的協助，但小型軟體供應商就必須自行處理，以筆者使用的Dr.Eye譯典通為例，廠商表示要等到9月中才會釋出修正檔，也就是說，筆者有兩種選擇，等到修正檔釋出才升級SP2，或等到9月才使用Dr.Eye。

對企業的MIS人員而言，如果要升級SP2，他們就必須測試內部所有與個人電腦有關的應用程式，包含防毒、防火牆、ERP、CRM…等上百種程式。當然，企業內部並不僅只有Windows XP一種作業系統，可能還有Window 98、NT、2000及2003等作業系統，他們也同樣需要修補漏洞，需要相同的測試步驟。

安全是一個重要的議題，不僅只是微軟的問題，也是軟體供應商的共同問題，更是使用者個人的問題，必須大家共同努力才能達成這個目標。找不到的病毒防護

我們在測試SP2 RC2時，不論是升級前或升級後安裝Symantec Antivirus 8.0防毒軟體，資訊安全中心都無法正確顯示防毒軟體的狀態，並且一直跳出紅色盾牌，這也意味著安全中心無法偵測到防毒軟體，當然也不知道病毒碼是否有更新。比較令我們意外的是，SP2可以正確偵測到Trend Micro、McAfee、McAfee及Kaspersky的產品，但一些知名大廠的產品卻有問題，如Symantec、F-Security及Zone Labs。

這個問題有兩種解決方式，一種是不理會資訊安全中心的警示，以手動的方式監控防毒軟體，但病毒防護狀態會呈現黃色狀態，另一種則是由防毒廠商提供升級檔。賽門鐵克表示，他們認為資訊安全軟體不應該輕易地被第三方軟體探知其運作狀態，因此產品具備防竄改特性（tamper-resistant），所以其他軟體很難得知產品實際運作狀態，目前賽門鐵克正積極研發與「Windows安全中心」相容的更新，並預計在SP2上市前完成。要特別注意的是，廠商建議先安裝防毒軟體的更新檔，然後再升級SP2，但我們不禁要質疑，如果系統隨機所附的作業系統版本就是SP2版本，那麼該如何處理呢？先找技術支援再升級

Windows XP SP2不只是一堆修補程式的大雜燴，還增加不少安全性功能。安全功能增強，是否意味著微軟需要接聽更多的技術支援電話？目前出現兩種說法。

有人認為，SP2的安全功能會造成許多服務與應用程式無法使用，這會導致使用者電話求助，以恢復安裝前所使用的功能。

微軟則認為，SP2意味著支援電話將會減少，因為SP2能保護使用者不受攻擊，暴露於安全威脅的人數將降低，如此一來，求助的人數也將降低。不過，微軟也會針對合作夥伴進行SP2教育訓練，如果真的有大量的技術支援電話湧入，可以立即提供服務。

我們從現實面來看，企業會先進行測試，然後再升級SP2，技術支援及教育訓練是透過代理商，比較少利用技術支援電話，而且升級的時間也會依照需求而定；一般使用者必須是使用「正版」的合法軟體，才能夠使用電話支援。

我們也要提醒企業，由於SP2與應用程式的相容性問題，微軟可以解決作業系統本身的問題，但應用程式的相容性問題，就要由各家開發商解決，也就是說，防毒軟體找防毒廠商，ERP找ERP廠商。照這樣看來，技術支援似乎不是一時之間就能找齊。該用哪一種防火牆？

通常企業內部都會建置防火牆，個人電腦的安全性也有一定的保障，但經過疾風病毒肆虐之後，不少企業開始在個人電腦上安裝個人防火牆。只是，根據微軟的調查，在桌上型電腦安裝企業版防火牆的企業，數量遠低於預期。

雖然原先的網際網路連線防火牆就可以阻擋許多病毒和蠕蟲的入侵，但卻很少人使用，除了有些人根本不知道有這項功能，微軟的防火牆也不如其他防火牆產品來的好用。那麼新的Windows防火牆有改進嗎？如果是跟市面上的個人防火牆相比，它還是不怎麼樣。

Windows防火牆仍存在一些「弱點」，例如Windows防火牆只能監控對內的流量，無法監控對外的流量；Windows防火牆信任子網域內的所有系統，很可能會讓電腦遭受攻擊；木馬、間諜程式和廣告軟體並不需要透過對內連結即可攻擊；Windows防火牆很容易就可以被關閉，防禦性不足。對P2P和網路遊戲的使用者而言，他們可能會開啟一些非標準的通訊埠，Windows防火牆要手動加入例外名單，但市面上的個人防火牆能夠自動判斷；在管理方面，Windows防火牆是透過AD進行群組政策，但一般的防火牆則有更好用的管理工具。如果你用過其他個人防火牆，相信你就不會想用Windows防火牆。但顯然，微軟把Windows防火牆和市售個人防火牆的距離又拉近了一些，而且它也會影響到某些使用者，如果他們認為Windows防火牆已經足夠，就不會再去安裝其他的個人防火牆。

想要升級，最好再等等
為什麼每次微軟都要花很長的時間才會釋出Service Pack，還要經過RC1、RC2等階段，才會推出正式版？主要的原因就是為了能夠延續系統與其他軟體的相容性，有一些軟體已經開始支援SP2，例如Symantec PCAnywhere 10.5.1以上的版本，不過，大多數的軟體開發商才剛開始而以，解決現有產品的相容性，才是他們的當務之急。

有人希望微軟能把Windows XP SP2新增的安全功能移植到其他舊版本的Windows作業系統中，增加舊作業系統的安全性；但也有人認為，像Windows 95/98等老舊的作業系統，原本的設計就已經不安全，微軟應該把資源用到現有的產品上，而不是舊產品，如果使用者需要更安全的系統，那就升級吧。筆者同意後者的說法，如果你要更安全，建議使用新版的作業系統。

也許有人會問，現在該不該升級Windows XP SP2呢？我們建議你先確認軟體相容性，不要輕易就當白老鼠。文⊙陳世煌