正是因為無法執行這一主要的軟件控制問題，才不得不在后來的日子里執行不計其數的安全防御措施，而這些防御措施又總是被攻破。常常會有人告訴我說，要花費時間和精力來確定和控制什么樣的軟件可以運行是一個極大的浪費。而我認為，在后來的日子里不得不持續不斷地和惡意軟件、病毒、蠕蟲、木馬、垃圾郵件、僵尸網絡，以及各種各樣自動的惡意軟件做斗爭是對時間和精力的更大的浪費。IT部門實際上每天都在和這些玩意做拼得你死我活。 

我們大家都知道，大多數終端用戶的問題都是來自于新近安裝的軟件或者是隨意的配置改變。我也知道，大多數公司都無法組織他們的用戶安裝想要安裝的軟件。實際上我要控制自己的家用PC上可以安裝什么樣的軟件也不那么容易。如果你不能保證不安裝新的軟件，那你必須事先做好準備，以控制安裝新軟件帶來的危險。這里給出幾點建議： 

1 讓用戶了解公司的軟件安裝政策（比如說，他們需要IT許可嗎？）。 

2 讓用戶知道為了避開那些帶有間諜軟件或其它惡意軟件的程序，需要安裝哪種類型的軟件。 

3 在合適的地方設立審查機制，檢查終端用戶所運行的軟件。即便你無法控制他們安裝什么樣的軟件，你也必須知道他們正在運行的軟件。審查程序在IP端口監聽。 

4 設計這樣一個過程，來保證新安裝的應用程序是以安全的方式安裝的（你不可以用文件共享、p-to-p應用程序共享私密目錄）。 

5 確保任何安裝的程序如果有自動更新功能都要啟用該功能。另外，還要認識到哪些程序在更新版本安裝之后不能很好地去除老的、易受攻擊的代碼。最近，Adobe Acrobat和Sun的Java都因此備受指責。 

6 在管理上，要移除任何高風險的程序，對于累犯要進行懲罰。 

7 建立一個內容層的檢查策略，防止未授權協議利用授權端口（比如說，IM利用80端口）。 

8 培訓你們的IT團隊，讓他們對新程序做到心中有數，并盡快上報給IT管理部門，以便潛在的危險可以在最短時間內得到分析從而排除。 

道理非常簡單，用戶將要安裝新的軟件，你對此一無所知，這樣就增加了遭受惡意攻擊的可能性。我能給出的最好的建議就是，控制在所有受管PC上安裝和運行的程序。如果在這一點上失敗了，那就要對你不可控制的軟件做好準備。