企業終端安全比較：Windows對比Mac

我們到處都會看見或聽到關於麥金塔電腦（Macintosh，簡稱Mac機或蘋果機）正 “大舉入侵”企業的報道和趣聞軼事。更確切地說，當你奔走於技術會議時，比起聽到熟悉的微軟Windows系統啟動聲，你更多的是看到精巧奪目的蘋果產品正盯著你。還有個安全會議上永遠不變的話題，“蘋果產品還沒到適合企業部署的時候”。

那麼，真相何在？Mac機比Windows平台更加安全？它們對你的企業網路而言是安全的嗎？在本文中，我們將提供一個簡要的企業終端安全對比，看看這兩種設備在幾個關鍵類別方面表現如何，並總結了一些建議，幫助你評估增加更多的Mac終端產品到以Windows為主的環境中的風險。

首先，為了充分的披露，我最近已承認自己實際上是個蘋果粉絲。我完全不知道怎麼會這樣，但幾年前我買了第一代iPhone，然後突然間，我的家庭和辦公室就充滿了蘋果產品。最近我才意識到，任我驅使的Windows平台僅僅是一個運行著Vista的老爺車，被我的孩子用來做家庭作業和玩遊戲。除此之外，現在對我來說，Windows完全是一個通過使用Boot Camp或是Parallels軟體的虛擬體驗而已（註：Boot Camp和Parallels都是用於在Mac主機上運行Windows系統的軟體）。當我們探索網路上Windows與Mac的安全性時，我會把這些個人喜好放一邊。

讓我們從以下類別看看Mac與Windows設備的表現：

網路安全協議

網路安全專業人士依靠常見的工具包來保護網路上傳輸的敏感信息。我們使用VPN來保護連接到家庭網路的遠程用戶，並且依賴強健的IPsec和SSL VPN技術來提供如岩石般可靠的安全。我們也花了很多時間關注無線網路的安全，並依靠WPA（WiFi Protected Access）標準來確保這些通信的安全。

結論是什麼呢？

平局。Mac和PC主機都支持需要的基本網路安全工具，從而在公共網路和私人網路上提供安全的通信。只要你在這兩種設備上都配置使用強加密，那這裡就沒有一個平台擁有優勢。

基於網路的管理

你的企業越龐大，你越可能依賴中心化的工具來管理你的桌面配置、反惡意軟體防護、數據防泄漏以及其它網路安全技術。Windows商店通常依賴活動目錄（AD）來管理這些任務，而且尚沒有一個可靠的、始終如一的方法來接手AD策略並將它們應用於你的MAC平台。

當談及對Mac主機的支持時，即使是原本打算減輕集中化設備管理的第三方產品，通常也不符合要求。他們給管理員這樣的感覺（可能不是錯覺！），那就是廠商的開發人員幾個月或是多年來專註於開發基於Windows系統的產品，但隨後他們迅速地趕工出對Mac主機的支持，然後他們就可以宣稱他們支持Mac系統。事實上，在最近的一款DLP產品發布中，我就經歷了這種感覺。通過AD，PC上的部署進展很順利，但在Mac主機上部署，要求技術人員訪問每個單獨的機器並安裝客戶端。這可真不是一個流暢的體驗！

這裡的關鍵問題是，對於企業管理來說PC機擁有絕對的優勢。蘋果還沒有發展到足夠對企業提供真正的支持。這局中，Redmond的人們佔據優勢（註：Redmond是微軟在華盛頓州的總部所在地）。

伺服器網路安全

你考慮過在環境中運行一台Mac OS X系統的伺服器嗎？你可能想三思而後行。從網路安全的角度來看，微軟已經投入更多的時間和努力來開發可用於企業部署的產品。

在2011年的黑帽大會上，來自iSEC Partners公司的研究人員分享了一份關於Windows和Mac機安全比較的詳細結果。其中一個章節中，他們比較了Windows Server 2008 R2版本與Mac OS X 10.7版本伺服器的漏洞。結論是什麼呢？根據iSEC的結果，Windows以令人震驚的成績取得全面優勢，“OS X網路更容易遭到網路許可權提升攻擊。幾乎每台OS X伺服器的服務提供的都是脆弱或已被攻破的認證方法”。

再一次，微軟在這個類別中拔得頭籌。事實上，我不知道一家企業會試圖完全的依賴於蘋果產品。（在你開始朝我發火前，我說過我個人不了解這樣的案例——我敢肯定，你也不知道！）

那你該做什麼？

首先，接受你不再可能運行一個純Windows環境的事實。科技的消費化以及用戶對Mac產品的需求的共同推動意味著，在不久的將來你會在你的網路中看到更多的Mac設備，假設它們還沒有部署在你的網路中。

也就是說，即使像我這樣很多的Mac愛好者討厭承認這個事實，但蘋果還沒有生產出一件產品可以用於任何大型的企業環境。我懷疑他們會繼續把那些能自己維護設備、並只需要能在Mac主機上運行的工具（並且有專門的IT支持人員來做他們的後援）的創新型IT專業人員攥在手裡面（你會不得不把我的手從Macbook上撬開），但是在企業能容易地支持並確保混合環境的安全之前， Cupertino（註：蘋果總部所在地）的員工們仍然有許多工作要做。

所以在此期間，確保你仔細地考慮過擁有Mac機對網路安全意味著什麼。當你選擇並且部署配置管理產品來幫助你的網路安全管理時，確保Mac產品出現在你考慮到的使用案例中。如果你將使用VPN或是無線網路，確保在其部署到生產環境前，在一些不同版本的Mac OS X 系統上進行了測試。在我們的網路中，Mac產品的出現是不可避免的，並且該輪到我們來保證它們的安全了。