大多數IT部門正在緩慢地向Windows Vista過渡。他們擔心整個公司范圍內的應用將導致惡夢似的不兼容問題。但是，對于Papa Gino's Inc. & D'Angelo Sandwich Shops公司的網絡管理員Chris Cahalin來說，微軟最新的操作系統是必備的軟件，因為這個軟件大肆宣傳其安全性能有了很大的改善。

Cahalin申請參加了微軟的Vista技術應用計劃(TAP)。這個計劃允許參加這在Vista仍在測試階段時就選擇一部分Vista軟件使用并且直接參加微軟的各個工程組。他的IT部門被允許參加了這個計劃，從而使這家位于馬薩諸塞州Dedham飯館連鎖店在應用最新版本的Windows方面走在了其它公司的前面。

這家公司目前正在從測試階段向應用階段發展。這個機構中的筆記本電腦將首先采用Vista，隨后是網絡中剩余的Windows設備。

Cahalin說，我們已經有一位地區經理在筆記本電腦中配置了Vista操作系統。通過TAP計劃，我們與微軟建立了直接聯系以便發生故障時進行咨詢。發現問題的最好方法就是使用它。這些資源確實為我們發生了一些事情。

同許多早期的應用者一樣，Cahalin的IT部門正在遇到一些不兼容的問題。當一種新技術在早期應用的時候通常會發生這個問題。在Papa Gino的案例中，這些問題不是Vista本身的瑕疵引起的。

Papa Gino沒用很長時間就找到了問題的原因：Vista與該公司的虛擬專用網技術不兼容。Cahalin認為，這是該公司安全計劃中的一個重要問題。該公司使用一個虛擬專用網加密企業中的移動機器。這家公司的許多員工使用筆記本電腦在該公司在新英格蘭地區的400多個地方旅行，他們經常在IT部門控制以外的無線熱點和飯店房間里上網聯系。

Cahalin的大部分挫折是因為其虛擬專用網提供商思科系統公司沒有為Vista的到來做好準備。由于虛擬專用網如此重要，他現在正在考慮使用其它廠商的產品。

Cahalin說，對于我來說，思科的進展速度太慢了。每一個人都知道Vista即將推出。所有的第三方廠商都應該在Vista推出之前開始解決潛在的不兼容問題。

早期應用的推動因素

Cahalin指出，Papa Gino公司對信用卡處理的依賴以及不愿意遭遇TJX公司那樣的數據突破的決心是促使該公司早期應用Vista而不是等待第一個服務包發布之后再使用的主要原因。

Cahalin說，如果客戶數據泄漏，任何一家公司的品牌都會遭到損失。信用卡對于我們的生意來說一直是很重要的。保護信用卡數據的安全是我們的責任。

HIPAA法案、Sarbanes-Oxley法和美國支付卡行業的數據安全標準等一些法規也對該公司有約束作用。所有這些法規都要求電子存儲的數據都是準確的和安全的，沒有在線掠奪者入侵的危險。

Cahalin說，Vista中的安全增強功能是值得他在虛擬專用網問題上耗費腦筋的。他說，使用Vista，他能夠更容易鎖定個人的機器和為最終用戶制定網絡政策。他還很容易保證老式應用程序與Vista的連接和安全。人們喜歡的安全功能之一是用戶賬戶控制。這是用戶在啟動某些應用程序時看到的那些彈出式警告的來源。

他說，這種彈出式對話框過一段時間就會被用戶忽略。當人們設法使用老式的應用程序時，這些對話框肯定要經常出現。但是，我們通過設置正確的政策就可以繞過這些警告提示。通過這些政策，你可以告訴Vista哪些應用程序是合法的，哪些是不合法的。

同許多Windows管理員一樣, Cahalin一直不喜歡Windows為用戶提供本地管理權限。這種做法很容易讓攻擊者控制有安全漏洞的計算機。Vista通過封鎖機器以外的本地管理訪問權限改正了這個問題。至于界面布局，Cahalin承認他還需要一些時間來適應。與早期版本的Windows不同，程序和選擇不在同一個地方。但是，他說，考慮到Vista向IT管理員提供了這些程序的全部額外控制，這個代價是很小的。

他說，根據最終的分析，Vista沒有任何代價地提供了“令人震驚的安全水平”。

當然，并非每一個人都贊成這個觀點。安全廠商BeyondTrust的首席執行官John Moyer說，他聽許多用戶說Vista把太多的決定權留給了最終用戶，而不是公司的安全部門。

Moyer說，微軟喜歡說Vista是迄今為止最安全的操作系統。但是，現實是如果人們沒有管理員權限就不能使用許多應用程序。企業不愿意用服務臺處理用戶每次遇到這個問題時打來的電話。當最終用戶必須決定使用管理權限運行什么應用程序時，他們不喜歡這樣做。對于用戶來說還沒有足夠的透明度。

虛擬專用網僵局

雖然微軟肯定要對人們部署Vista時遇到的挫折承擔責任，無論設個挫折是由對話框引起的中斷還是不兼容問題，但是，Cahalin對于他遇到的挫折沒有對微軟表示一點不滿。相反，他指責思科沒有在虛擬專用網方面做好準備。

他說，這個問題是，當你使用思科產品的時候，你需要在思科的島嶼上生活。它是非常專用的產品。這種虛擬專用網連接很不穩定。這總是思科要適當地支持Vista的事情。

虛擬專用網問題的核心是Papa Gino公司喜歡使用一種安全套接層虛擬專用網，而思科還沒有完成其安全套接層虛擬專用網與Vista兼容的問題。作為一項臨時的繞過措施，Cahalin正在轉換到思科最近完成與Vista兼容的IPSec虛擬專用網。但是，許多IT專業人員認為，安全套接層虛擬專用網與基于IPSec虛擬專用網功能更全面。因此，目前這種狀況是不理想的。

當獲悉Vista的一些接口與安全套接層虛擬專用網有兼容性問題時，思科發言人證實思科已經在IPsec方面解決了這個問題并且正在努力使安全套接層兼容。思科不愿意讓虛擬專用網團隊的人出面詳細說明這個問題。

Cahalin目前正在探索放棄思科5510自適應性安全設備更換Juniper或者其它廠商的虛擬專用網產品。思科并不是Cahalin批評沒有為Vista的到來做好準備的惟一一家廠商。Citrix公司在兼容Vista方面也是行動遲緩。他說，Citrix最近才發布Citrix演示服務器第10版客戶端軟件。這個軟件旨在兼容Vista。

Burton Group高級分析師Pete Lindstrom說，實施重要的操作系統升級的公司都將遇到不兼容的問題。他說，思科虛擬專用網與Vista的兼容性問題可能存在許多原因。一種最有可能的情況是思科正在花費時間研究這個問題，因為現在只有很少的思科用戶正在積極地部署Vista。

他說，思科也許正在等待觀察Vista的需求是什么。在某種程度上，并沒有那樣的多的公司像Papa Gino那樣快地接受有風險的新事物。總的情況是采用的速度比較慢。思科也許看到了這種情況，認為他們有更多的時間解決虛擬專用網的問題。

保持第三方軟件的安全

雖然Cahalin對Vista的安全功能感到很興奮，但是，他認為采用多種來源的多層安全措施仍是有必要的。他指出，Papa Gino在2005年3月以后購買的全部臺式電腦都配置了一個可信賴平臺模塊(TPM)。這種安裝在主板上的芯片可用作硬件身份識別。TPM識別計算機，而不是識別用戶。要實現這個功能，這個模塊存儲了專門發給主機系統的信息，如加密密鑰、數字證書和口令等。

Cahalin說，雖然微軟在把TPM管理建在Vista中取得了很大進步，但是，要真正有效地保證安全還需要安裝第三方廠商的產品。他使用了Wave Systems公司的Embassy Trust安全套裝軟件進行加密并且正在考慮使用希捷技術公司的全面的硬盤加密選擇。該公司還使用了配置指紋閱讀器的戴爾筆記本電腦。

Cahalin說，長的和復雜的口令開始成為生產效率的一個障礙。因此，單一登錄成為一種必要的東西。

Cahalin說，在他的第三方安全廠商和部署Vista之間，他更有信心地認為他的公司有足夠的保護措施避免發生嚴重的數據突破事件。他說，如果思科研究出安全套接層虛擬專用網的兼容性方案，全世界都會感到很好。無論思科是否解決這個問題，或者Papa Gino是否選擇其它的廠商，這個問題都將很快解決。

Moyer也贊成這個觀點。他認為，為了縱深防御，第三方安全工具繼續是必要的。他說，有一個標準的安全方法。這就是必須采取分層次的防御措施。如果你把全部安全都交給微軟，那就好比讓狐貍負責雞窩的安全。