焦點速訊：XPE有哪些安全特性？XPE優勢與常見問題二

由于XPE采用了與經典XP完全相同的二進制代碼，因此它也就具備了XP所有的特性，提供了業內領先的可靠性、安全性與性能，并且具備最新的多媒體、Web瀏覽、電源管理及設備支持能力。同時，XPE還集成了最新的嵌入式支持能力，例如EWF,無頭支持及靈活的啟動與存儲選項。

1、設備合法性驗證問題，設備安全接入問題：

【資料圖】

XPE的設備合法性驗證只能通過設備上是否貼有微軟授權許可的COA標簽來判斷。

XPE具備的“設備驅動程序的重新運行”即：如果在為新增設備添加驅動程序時發生問題，那么，系統將保存以前安裝的驅動程序副本，這使得用戶可以重新運行原有的設備驅動程序。以及“Windows 驅動程序保護”，即它將驅動程序與已知的有缺陷驅動程序數據庫中所列出的內容進行比較，避免意外安裝和裝載有缺陷的設備驅動程序。這種措施將能夠避免裝載有缺陷的驅動程序，而不是僅僅給出一個錯誤信息提示和一個能夠提供更多信息的Web頁面鏈接。這兩項功能可以有效地管理接入的設備，保證設備接入不會影響系統的正常運行。

2、操作系統的防病毒問題：

首先，XPE具有Windows標準的防火墻組件，

其次，XPE特有的系統級EWF，FBWF寫過濾功能可以有效的保護操作系統被惡意程序或者病毒所感染，加上注冊表過濾器功能，可以有效的保證操作系統的安全性和穩定性，

再次，XPE是一個可定制的操作系統，我們可以選取我們需要的功能來構建操作系統，而不用具有全部的XP操作系統功能，這樣可以大大減少容易被感染病毒的幾率，

最后，XPE允許最終用戶安裝第三方的殺毒軟件。

3、操作系統的安全性問題，是否存在安全漏洞：

XPE具備以下的安全特性

Windows 文件保護：保護核心系統文件不會在應用程序安裝時被改寫。如果某個文件被改寫，那么，Windows文件保護將自動恢復正確的版本。

Windows升級程序：這一特性用來發布關鍵的操作系統（OS）升級程序。這些系統升級程序將被下載到用戶的計算機中，用戶可以選擇具體的安裝時間。

支持多用戶加密文件系統（EFS）: 使用隨機生成的密鑰對每個文件進行加密。對于用戶來說，加密和解密過程是透明的。在Windows XP Embedded中，EFS允許多個授權用戶訪問同一個加密文檔。

互聯網協議安全性:使用密碼安全性設備，使得企業能夠在虛擬專用網絡中安全的傳輸數據。

智能卡支持: Windows XP Embedded在OS中集成了智能卡功能，包括支持終端服務器會話中的智能卡登錄。

Kerberos身份驗證協議:提供安全的行業標準身份驗證功能。

互聯網連接防火墻：一種防火墻客戶端，它可以保護設備抵御常見的互聯網攻擊。

Microsoft Passport：這種在線用戶身份驗證服務允許客戶創建一組唯一的注冊名稱與口令，從而方便、安全的訪問所有Passport支持的Web站點與服務。Microsoft Passport使得開發人員無需構建專門的客戶身份驗證系統，這樣他們就能夠將精力集中在站點的增值特性上。

軟件限制策略：這項特性提供了一種由策略驅動的機制，它能夠識別在域中運行的軟件，并控制軟件的運行能力。該特性可以識別惡意或不需要的軟件，并避免這種軟件在基于Windows XP Embedded的設備上運行。

證書服務：Windows XP Professional使用數字簽名的證書，它支持多種等級的證書授權層次以及跨越證書的信任網絡。

憑證管理器：一種安全的口令信息存儲特性。它允許用戶一次性輸入用戶名和口令，這樣一來，系統便能夠自動為后續訪問提供這些信息。

訪問控制基礎架構：這種特性支持數千個與安全相關的設置，例如用戶訪問權限，這些設置可以獨立的保護選定文件、應用程序及其它資源。這些特性包括：

訪問控制列表（ACL）：創建一個資源，例如文件夾或文件共享，既可以接受默認的訪問控制列表設置，也可以實現定制化訪問控制列表設置。

安全組：將用戶放置到標準的安全組中，例如用戶（Users）、高級用戶（Power Users）和管理員（Administrator），并接受應用在這些安全組上的默認ACL設置。

組策略：使用操作系統所提供的具備高度兼容性與安全性的基本組策略模板。

安全性配置管理器：這是一組工具，您可以通過它們來管理計算機、組織單元或域中的安全性策略。

增強型寫過濾器：增強型寫過濾器（EWF）將所有對保護分區的寫操作重定向到RAM或磁盤的一個保護分區中去，在系統被惡意軟件攻擊后可以方便恢復到初始狀態。

4、   kiosk終端程序的下發與升級的問題：

首先，從應用程序層來講，XPE具有自己的設備更新代理功能，我們可以通過添加DUA(Device update Agent)組件來完成自定義的設備更新和應用程序升級功能。這個功能是傳統操作系統所沒有的。

其次，我們也可以通過微軟提供的SMS服務器來升級更新，但是這項功能是需要單獨付費的。

最后，從操作系統層來講，XPE本身具有Windows Update的功能，i像普通XP操作系統那樣在線更新和升級微軟發布的系統補丁。

5、   kiosk終端狀態的監控問題，如是否開機、是否缺紙等：

對于終端監控，XPE提供了四中遠程監控的手段：

(1)     通過RDP(遠程桌面控制)來完成遠程終端的維護，適用于XPE操作系統啟動后維護；

(2)     通過Telnet的方式從命令行進行遠程控制，適用于在不影響客戶端運行的前提下進行維護；

(3)     通過PXE網卡喚醒功能進行遠程維護，適用于在關機狀態喚醒進行維護；

(4)     通過WinPE的方式來遠程監控，適用于XPE未啟動的情況下進行維護；

6、   kiosk終端的遠程訪問控制，如關機、重啟、喚醒等：

XPE具備靈活強大的遠程管理及監控功能

設備更新代理：設備更新代理是一種運行在嵌入式設備中的Windows服務。在啟動時它會自動開始運行，負責遠程維護和/或管理工作。

監視計時器：監視計時器能夠保證系統始終處于某種已知的狀態，從而創建非?？煽康南到y。當使用監視計時器時，Windows軟件必須定期向監視計時器報告它在正常運行狀態。如果出于某種原因，Windows軟件無法在預定時間內向監視計時器做出報告，那么，監視計時器將認為系統處于凍結或非正常狀態。當發生這種情況時，監視器的硬件通常會重新啟動這個系統。這使得系統能夠自動從非正常狀態下恢復。很多第三方廠商都提供了監視計時器的硬件設備和相應的設備驅動程序支持。

集成現有管理工具：通過與后端系統及工具的互用性，能夠很方便的對設備進行管理，這些工具包括Windows管理設備（WMI）、Windows腳本主機（WSH）、Microsoft管理控制臺（MMC）和Microsoft系統管理服務器（SMS）。

活動目錄客戶端：使得設備能夠加入到活動目錄域中，從而體驗到成為活動目錄客戶端的優勢。例如，您可以擁有對自己的信息和軟件的固定訪問，不管您正在使用哪種設備，您是否連接到網絡上--該特性均能保證您的數據得到安全的維護并隨時供您使用。

具備終端服務功能的遠程GUI桌面：提供終端服務功能，可以應用于嵌入式系統的遠程GUI管理領域中。

改進的組策略支持：這項特性增強了組策略管理模板的擴展管理單元，從而使其能夠查看各種不同可用策略設置的詳細信息，例如遠程援助設置、控制面板設置等。

7、   kiosk終端的界面風格是否可以客戶自行訂制：

可以

8、   對外部設備如何支持：

即插即用（PnP）：自動檢測、配置和安裝設備，無需用戶介入

另外，XPE還具有以下嵌入式特性：

靈活的啟動與存儲選項：除磁盤外，其他非易失性（永久）讀/寫存儲設備同樣具備啟動能力，例如Flash ROM和具備電池支持的RAM。在使用El Torito的可啟動CD-ROM驅動程序和增強型寫過濾器以及ROM時，也可以通過CD-ROM進行啟動。 Windows XP Embedded還支持DiskOnChip Flash、PCMCIA ATA、 CompactFlash、MultiMediaCard和Memory Stick。

HORM（Hibernate Once Reboot Multi）：可將系統啟動時間縮短至15秒以內。

SDI工具：SDI工具可以用來簡化Runtime映像的準備和維護工作。作者：雷志剛