正是因為(wèi)无法执行这一主要的软件控制问题，才不得不在后来的日子里执行不计其数的安全防御措施，而这些防御措施又(yòu)总是被攻破。常常会有(yǒu)人告诉我说，要花(huā)费时间和精力来确定和控制什么样的软件可(kě)以运行是一个极大的浪费。而我认為(wèi)，在后来的日子里不得不持续不断地和恶意软件、病毒、蠕虫、木(mù马、垃圾邮件、僵尸网络，以及各种各样自动的恶意软件做斗争是对时间和精力的更大的浪费。IT部门实际上每天都在和这些玩意做拼得你死我活。 

我们大家都知道，大多(duō)数终端用(yòng)户的问题都是来自于新(xīn)近安装的软件或者是随意的配置改变。我也知道，大多(duō)数公司都无法组织他(tā)们的用(yòng)户安装想要安装的软件。实际上我要控制自己的家用(yòng)PC上可(kě)以安装什么样的软件也不那么容易。如果你不能(néng)保证不安装新(xīn)的软件，那你必须事先做好准备，以控制安装新(xīn)软件带来的危险。这里给出几点建议： 

1 让用(yòng)户了解公司的软件安装政策（比如说，他(tā)们需要IT许可(kě)吗？）。 

2 让用(yòng)户知道為(wèi)了避开那些带有(yǒu)间谍软件或其它恶意软件的程序，需要安装哪种类型的软件。 

3 在合适的地方设立审查机制，检查终端用(yòng)户所运行的软件。即便你无法控制他(tā)们安装什么样的软件，你也必须知道他(tā)们正在运行的软件。审查程序在IP端口监听。 

4 设计这样一个过程，来保证新(xīn)安装的应用(yòng)程序是以安全的方式安装的（你不可(kě)以用(yòng)文(wén)件共享、p-to-p应用(yòng)程序共享私密目录）。 

5 确保任何安装的程序如果有(yǒu)自动更新(xīn)功能(néng)都要启用(yòng)该功能(néng)。另外，还要认识到哪些程序在更新(xīn)版本安装之后不能(néng)很(hěn)好地去除老的、易受攻击的代码。最近，Adobe Acrobat和Sun的Java都因此备受指责。 

6 在管理(lǐ)上，要移除任何高风险的程序，对于累犯要进行惩罚。 

7 建立一个内容层的检查策略，防止未授权协议利用(yòng)授权端口（比如说，IM利用(yòng)80端口）。 

8 培训你们的IT团队，让他(tā)们对新(xīn)程序做到心中有(yǒu)数，并尽快上报给IT管理(lǐ)部门，以便潜在的危险可(kě)以在最短时间内得到分(fēn)析从而排除。 

道理(lǐ)非常简单，用(yòng)户将要安装新(xīn)的软件，你对此一无所知，这样就增加了遭受恶意攻击的可(kě)能(néng)性。我能(néng)给出的最好的建议就是，控制在所有(yǒu)受管PC上安装和运行的程序。如果在这一点上失败了，那就要对你不可(kě)控制的软件做好准备。