正版化软件,既培养了师生的正版化意识,又提高了网络安全水平和意识,属于花钱买好评,维护工作量可控,已经成为各大高校信息化部门的标配了,但是有些学校在实施过程中有些地方不是太注意,在安全的前提下引入正版化,却又带来其他一些安全问题。

提供已经没有安全更新的软件

有些高校为了师生方便,还在提供诸如Windows7、8,Office 2016(Office 2019在3个月之内也要EOL了)和之前的版本,这是不对的。一方面我们在师生的网络安全意识培训中推荐任何软件都要及时升级到最新版,但是官方又在提供过期的版本下载和使用说明,这个实际上是互相冲突的。

如果实在要提供,应当在明显的位置进行免责申明和提示。

提供灰色软件下载

有些高校,已经购买了某个正版软件,但是可能数量不够,于是有意无意地通过某些第三方服务商,通过合规的方法提供非正版的下载。如果这些是使用安全的激活方式,只能说技术上是OK的,但是第三方服务商的安全素养和文件来源是否正确,需要仔细甄别。

提供的是第三方服务商打包过的软件

有时候在一些学校官方网站去下载安装文件,在你检查MD5或者SHA1发现互联网都没有,但是各大高校会有:),这也是不太安全的。建议尽量只提供官方的ISO等文件下载,不要去做为了用户方便的各类打包安装版。你要保证你提供的下载,MD5或者SHA1在互联网一搜索,第一条就是官方网站公布的MD5或SHA1,并且出现几万条搜索记录,而不是只有某个第三方服务器为各个高校打包定制的页面。

使用了错误的激活模式

购买过正版化软件的学校应该都知道,激活方式是很多种的,有些是一个个通过账户授权的,有些是场地授权,有些都不需要激活,有些给个激活码,有些下载一个bat或者exe运行激活。

这里面最危险的是提供一个bat或者exe激活的。我们一般会建议用户不要随意下载一个不明来源的可执行文件执行,但是在这里,我们却在用户首次安装完操作系统后,第一件事是教他下载一个bat或者未签名的exe,甚至有些杀毒软件会报警,然后推荐临时关闭杀毒软件的exe,这也是跟安全意识培训冲突的。

在实际场景中,还会存在以下多个安全隐患。

  • 在二级单位内,有些老师不知道哪里去下载这个可执行文件,就会从同事那里拿到。这不是一个良好的习惯。
  • 即使是从学校官方网站下载,也无法确保是否会遭遇水坑攻击。

当然,如果可以避免,应当尽量避免下载可执行文件的激活方式,比如以微软正版化来说,通过服务自发现,在DNS的_vlmcs._tcp条目宣告你的KMS服务器,在DHCP自动或者手动设置你的DNS后缀,再通过自动或者手动运行系统自带命令slmgr.vbs /ato来激活,就是一种非常安全方便的做法。

退而求其次,可以将bat文本代码贴出,对于有高安全需求的用户来说,他可以选择手动运行bat的各个命令。exe文件,花点钱去签名,并且在其他渠道提供MD5、SHA1值。

总之,就是不能没有任何提醒就提供可执行文件让用户下载。对于一些动手能力比较弱的人,应当将任何风险提示后,如果用户还是选择了,那也是一个成年人通过深思熟虑后的自由选择。

未进行替代方案的推广

一般高校会请软件提供商或者自己做很多关于正版化软件的宣传和使用,但是会忽略对替代方案的推广,比如相比Visio,diagrams.net 我认为更轻量,等保的定级网络拓扑图怎么画?用什么画? ,但是由于可能Visio是花钱买的,要花得值,最好只推广这个。

这个是不对的。有时候购买正版软件是不得不为的,是为了让工作可以延续,让用户学习成本降低,但是,也是可以为替代方案争取时间的。通过持续提供老旧的收费正版化软件,再通过适当的方式引导用户使用一些可替代的开源软件或者免费软件,慢慢将用户引导到摆脱对某个特定的软件的依赖上,也是实施正版化的一个策略。

正版化,不一定就是收费软件,如果你的正版化平台都是收费软件,显得财大气粗,可能得考虑改改了。

多个互相冲突的软件

比如PDF编辑和Office文档的编辑,由于历史原因,由于成本原因,可能会提供2个可以完成同样功能的软件。

提供多个互相竞争的软件是应该的,保持多样性是物种延续的很重要的前提。包括前面提到的替代方案,国产方案,开源方案,免费方案,都是应当提供的,只有这样,才能保证供应链的安全,这不是浪费钱。当然选择什么软件,这是另外一个问题。

忽略统计工作

如何对正版化软件的使用进行监控和统计,并最终为荐购或采购提供决策,也是正版化实施过程中一个非常重要的工作。

收到几份零星的感谢信,不一定代表做得好,只有自己去收集数据,才是比较可靠的。可以通过发问卷,提供商提供的数据,在激活服务器收集到的日志,在网络层被动发现的激活流量,这些才是真实的。