biweekly spotlights
==== 2012. 8 . 31 – 2012. 9 . 13 第 20 期 ====
微軟免費安全工具——系統威脅建模工具
2012
年8 月
23日
在設計和架構系統時,需要周期性地分析系統存在的安全隱患,從而改進設計方案或構建對應的防禦手段。針對此微軟發布了一款免費的安全工具:安全開發生命週期威脅建模工具
security development lifecycle threat modeling tool
。該工具可以從設計層面檢測系統存在的安全和隱私弱點,進而指導設計者和架構師選擇正確的緩解方案,以降低系統整體的安全風險。使用者在該工具中輸入系統的資料流圖後,便可以在分析模組中模擬多種攻擊,例如身份欺騙、篡改、否認、資訊洩漏、拒絕服務和特權提公升等,以獲取針對不同型別攻擊的緩解措施。該工具還可根據使用者環境生成威脅分析報告,列出改進建議及其它安全注意事項。需要注意的是,威脅建模需要在整個開發和部署過程中隨著系統的改變迭代進行,是安全開發生命週期中不可或缺的一部分。
windows 8
為系統安全創立新標桿
2012
年8 月
21日
windows
8為使用者帶來了新穎的介面,其新增的安全功能也是一大亮點。第一,建立在統一可擴充套件韌體介面(
uefi
)基礎上的安全啟動功能,使作業系統可以對所有啟動元件的數字簽名進行驗證,防止載入惡意驅動程式,並對所有篡改操作進行監控。第二,安全啟動功能會先行載入反病毒軟體,保證惡意軟體不能提前控制整個作業系統。第三,將
ie 9
中的智慧型窗**術
(smart screen
)擴充套件到了整個作業系統,可對
url、檔案和應用程式進行聲譽檢測。第四,擁有多樣化的動態訪問控制,不同於以往只能對組和使用者設定訪問許可權,在
windows
8中可以針對登陸方式、登入位置和個人資訊等設定不同的訪問許可權。安全功能雖不如新穎的介面引人注目卻至關重要,微軟從未鬆懈對系統安全的嚴格要求,此次
windows 8
的發布將系統安全帶入了乙個新的高度。
2012
年9月
1日
微軟持續提醒
it人員:十月份將全面推送更新來禁止使用金鑰長度少於
1024
位的rsa
證書,請做好準備!自八月份起,該更新
kb2661254
已可從及
microsoft update
目錄獲取,十月份將在
microsoft update
中正式發布此更新。此更新不適用於
windows 8 release preview
或 windows server 2012
,因為這些作業系統已經包含了要求具有
rsa
金鑰的證書使用至少
1024
位金鑰的功能。此外,
kb2661254
也為使用者提供了四種主要方法來查詢金鑰長度少於
1024
位的rsa
證書,分別是:手動檢查證書和認證路徑、使用
capi2
日誌記錄、檢查證書模板、在安裝該更新的計算機上啟用日誌記錄。我們建議使用者使用金鑰長度至少為
2048
位的證書。 !
2012 年9
月27
日。敬請期待!
微軟大中華區安全團隊
microsoft gcr security team
微軟安全新聞聚焦 雙週刊第二十九期
biweekly spotlights 2013.3 4 2013.3 20 第 29期 微軟 3月發布 7個安全補丁 2013 年3 月 13日 微軟於北京時間3月 13日清晨發布 7個安全補丁,其中 4個為最高端別嚴重等級,3個為重要等級,共修復 microsoft windows office...
微軟安全新聞聚焦 雙週刊第二十八期 補發
biweekly spotlights 2013.2 6 2013.3 4 第 28期 金融軟體安全和 bits 框架2013 年3 月 4日 不論是在個人主機 筆記本 還是雲服務平台上執行的金融軟體,都對保護使用者和金融服務機構的安全起著至關重要的作用。這些軟體都應該具有防禦惡意攻擊 避免使用者交...
微軟安全新聞聚焦 雙週刊第二十二期(補發)
biweekly spotlights 2012.9 28 2012.10 17 第 22 期 微軟發布安全通報 2755801 2012 年 9 月 21 日微軟於本月 21日發布 安全通報2755801 為ie10 中的 adobe flash player 外掛程式發布安全更新。該更新通過修復...