正是因为无法执行这一主要的软件控制问题，才不得不在后来的日子里执行不计其数的安全防御措施，而这些防御措施又总是被攻破。常常会有人告诉我说，要花费时间和精力来确定和控制什么样的软件可以运行是一个极大的浪费。而我认为，在后来的日子里不得不持续不断地和恶意软件、病毒、蠕虫、木马、垃圾邮件、僵尸网络，以及各种各样自动的恶意软件做斗争是对时间和精力的更大的浪费。IT部门实际上每天都在和这些玩意做拼得你死我活。 

我们大家都知道，大多数终端用户的问题都是来自于新近安装的软件或者是随意的配置改变。我也知道，大多数公司都无法组织他们的用户安装想要安装的软件。实际上我要控制自己的家用PC上可以安装什么样的软件也不那么容易。如果你不能保证不安装新的软件，那你必须事先做好准备，以控制安装新软件带来的危险。这里给出几点建议： 

1 让用户了解公司的软件安装政策（比如说，他们需要IT许可吗？）。 

2 让用户知道为了避开那些带有间谍软件或其它恶意软件的程序，需要安装哪种类型的软件。 

3 在合适的地方设立审查机制，检查终端用户所运行的软件。即便你无法控制他们安装什么样的软件，你也必须知道他们正在运行的软件。审查程序在IP端口监听。 

4 设计这样一个过程，来保证新安装的应用程序是以安全的方式安装的（你不可以用文件共享、p-to-p应用程序共享私密目录）。 

5 确保任何安装的程序如果有自动更新功能都要启用该功能。另外，还要认识到哪些程序在更新版本安装之后不能很好地去除老的、易受攻击的代码。最近，Adobe Acrobat和Sun的Java都因此备受指责。 

6 在管理上，要移除任何高风险的程序，对于累犯要进行惩罚。 

7 建立一个内容层的检查策略，防止未授权协议利用授权端口（比如说，IM利用80端口）。 

8 培训你们的IT团队，让他们对新程序做到心中有数，并尽快上报给IT管理部门，以便潜在的危险可以在最短时间内得到分析从而排除。 

道理非常简单，用户将要安装新的软件，你对此一无所知，这样就增加了遭受恶意攻击的可能性。我能给出的最好的建议就是，控制在所有受管PC上安装和运行的程序。如果在这一点上失败了，那就要对你不可控制的软件做好准备。