微软是否应该改变安全补丁的周期？

IT专业人员表示，微软在2003年10月开始实施的每月发布一次补丁的周期仍是解决微软安全漏洞的最佳方法。然而，随着零日安全漏洞的增多，IT专业人员认为，微软应该愿意更经常地打破发布补丁的周期。

　　在SearchSecurity.com网站的进行的采访中，大多数IT专业人员支持微软当前实行的在每个月的第二个星期二发布补丁的制度，因为他们可以更方便地制定有关这些补丁的计划。

　　但是，像WMF(Windows Meta File)和createTextRange这类的零日安全威胁在最近几个月频繁出现，使IT部门容易受到各种攻击。WMF安全漏洞是在补丁周期之外修复的，距离1月份的补丁星期二还差5天时间，而createTextRange安全漏洞是在4月份的正常的补丁周期内修复的。

　　由于利用安全漏洞的代码往往在安全漏洞披露几个小时之后就出现，佛罗里达州佩里镇的泰勒县学区的IT经理John Hornbuckle就支持在周期之外发布补丁。他说，零日安全漏洞令我担心，尽管我很幸运，没有受到这种安全漏洞影响。我们的运气不可能永远都这样好。因此，我很高兴地看到微软加快速度发布这种安全漏洞的补丁。

　　速度与测试

　　马萨诸塞州的IT管理公司MIS Alliance的技术经营经理Brad Dinerman说，IT部门需要一个他们能够做计划的时间表。但是，一旦在周期之外发布了补丁，管理员最好是赶快使用这个补丁，因为攻击者正在试图通过公开的漏洞攻击他们的网络。

　　尽管如此，安全专业人员表示，微软也不应该使用没有经过测试的补丁对安全漏洞做出反应。Hornbuckle说，虽然他愿意看到经常在周期之外发布安全补丁，但是，他不愿意用牺牲可靠性来交换速度。

　　Hornbuckle说，在微软内部进行测试是必须的。遗憾的是测试的需要使零日补丁很难满足零日威胁的需求。

　　IT专业人员必须要自己帮助自己

　　科罗拉多州的一位入侵测试员Jeremy Martin说，无论微软制作一个补丁需要多长时间，IT专业人员都可以做更多的工作来缓解零日威胁。Martin的日常工作就是设法突破大企业的网络，以帮助企业找到和修复安全漏洞。

　　他说，我曾到过许多企业。这些企业都等到发布补丁，而不是采取缓解安全漏洞的措施。IT部门应该做的一件事情就是教育雇员，使雇员们知道在发生蠕虫攻击的时候应该采取什么步骤。

　　这可能意味着IT部门要发出一封电子邮件，告诉雇员某些地方有危险，告诫雇员远离不可靠的网站，当心钓鱼攻击电子邮件和遵守统一的公司用户政策。

　　Martin说，虽然在没有首先听到微软的消息之前IT部门也有很多事情要做，但是，微软应该在安全公告中包含更多的信息以便帮助网络管理员做一些事情。

　　他说，如果微软在安全公告中包含有关安全漏洞的更详细的信息，这对IT专业人员是有帮助的。向IT专业人员提供更多的信息，IT专业人员就可以在防火墙中针对具体的漏洞更有效地封锁这个威胁。