• 新版微软威胁建模工具 2014 现已发布

    今天,我们宣布发布 微软 威胁建模工具 2014 。这是 2011 年发布的免费的 安全开发生命周期(SDL)威胁建模工具 的最新版本。 通过交流,我发现越来越多的客户将威胁建模做为一种系统化的方法,用以在他们构建和运行的系统中查找设计层面的安全及隐私漏洞。威胁建模还可用来鉴定可降低系统及其所处理数据整体风险的缓解措施。客户一旦试用过威胁建模,便会发现它是风险管理方法的有效辅助方式。 威胁建模在微软的使用时间已超过十年。 它是 微软安全开发生命周期 (SDL) 设计阶段的重要组成部分...
  • 针对 Windows XP 的网络威胁以及针对小型企业和个人消费者的指导

    众所周知,微软将于 2014 年 4 月 8 日停止对 Windows XP 的产品支持。我们在 2001 年发布了 Windows XP,随后在 2002 年 10 月发布了其生命周期支持政策。2007 年 9 月,我们宣布 Windows XP 支持将额外延长两年至 2014 年 4 月 8 日。我们对 我们产品的生命周期 很了解,之所以提前几年传达这一信息,是因为我们知道客户需要时间来规划其技术投资更改以及管理到更高系统和服务的升级。 我们还注重于定期沟通,如去年 8 月发表了一篇 文章...
  • 创建智能“沙盒”,协调根除恶意软件

    大家好!我目前正在中国北京举行的 2014 PCSL 信息安全技术年会 上倡议协调根除恶意软件。 协调根除恶意软件也是我 上一篇博文 的主题。我当时就说,如果我们要摆脱当前各自为政而遭受恶意软件 侵害 的状态,转向协调 根除 恶意软件,反恶意软件生态系统就必须开始新型合作伙伴合作。从那以后,我们一直在世界各地举行的会议上谈论这些观点,包括在美国旧金山举行的 RSA 年会、在新加坡举行的数字犯罪联盟会议以及在中华台北举行的科技展暨亚太信息安全论坛。反恶意软件生态系统的参与度一直以来都很高。安全与防病毒...
  • 协调根除恶意软件

    在当下,作为一个行业,我们能够非常有效地打击恶意软件系列,但是却很难将其根除。相反,这些死灰复燃的恶意软件系列,给我们的客户造成了一次又一次的严重威胁。 要改变这种状况,我们就需要改变工作方式。 如果考虑不周,效果可能会适得其反。反恶意软件生态系统包含许多强大的群体:安全供应商、服务提供商、CERT、反欺诈部门和执法部门。每个群体都会利用自己的优势和方法来保护其客户和委托人。每个群体都宣称在其努力下取得了可喜的胜利,但是恶意软件系列仍具有明显的优势。不管每一个反恶意软件生态系统的成员如何努力...
  • 微软中国携手阿里巴巴集团开启特惠活动,轻松优享更安全的现代Windows操作系统

    2013 年 12 月 06 日,北京 — 微软(中国)有限公司宣布加深与阿里巴巴集团的合作,将通过阿里巴巴集团旗下的 淘宝网 、 天猫 或 聚划算网站 ,让用户能够更加直接、便捷地寻找和购买现代 Windows 操作系统及 Windows 设备。 微软中国与阿里巴巴此次携手开启“Windows XP升级特惠”活动。从12月6日起,用户通过 Windows XP 系统的电脑点开 淘宝网 、 天猫 或 聚划算网站 时,相应网页上方将会自动弹出一个提示信息条...
  • 全新网络安全报告阐述运行不受支持软件的风险

    可信赖计算部于上周二发布了第 15 期微软安全报告,该报告提供了全球 100 多个国家/地区的威胁情况并对网络威胁进行了分析。 新报告中列举了许多重要的发现,其中由于使用不受支持的软件而导致风险增加是较引人关注的内容之一。报告发现,在 2013 年上半年,全球运行微软实时安全产品的计算机中约有 17% 遭遇了企图登录或驻留在系统上的恶意软件,不过,微软反恶意软件产品成功阻止了这种情况的发生。 需要注意的是,遭遇恶意软件与被恶意软件实际感染之间存在很大区别。2013 年上半年,目前受支持的...
  • 奖金发展计划:针对新缓解规避技术的10万美元“生死悬赏”

    私下里了解我或者在 Twitter 上关注我的人都很熟悉我对卡拉 OK 的痴迷。我经常一有时间就强迫大家和我一起去唱,但从不强迫他们唱,尽管最后每个人都会唱,或者至少从不熟悉的跟唱开始唱到他们熟悉的歌。我最喜欢的必点歌曲之一是Bon Jovi 的《Wanted Dead or Alive》(生死悬赏)。在我写这篇博客的时候,这首歌不断萦绕在我脑海中。最后,我希望能有更多的人和我一起唱。大家可以把它加到播放列表中,边读本文边听。 今天,微软宣布了奖金计划的首个发展计划(第一个奖金计划发布于 2013...
  • 全新安全报告,新数据,新观点!

    上周,微软发布了第 15 期 微软安全报告 (SIRv15)。报告根据来自全球十亿多个系统以及互联网上部分最繁忙在线服务的数据对恶意软件、攻击等情况进行了分析。 过去的一年里,在我们规划本期安全报告并考虑如何提高客户指南内容的广度和准确度时,我们就如何跳出之前报告所提供数据的框架,采用最佳方式来介绍恶意软件的流行程度进行了大量思考。 我们需要建立一个指标,以便根据实时保护产品来衡量恶意软件的影响。 我们已使用名为“每千次执行清理的计算机数量 (Computers Cleaned...
  • 2014 年 4 月对 Windows XP 的支持停止后,运行 Windows XP 所带来的风险

    今年 4 月,我发表了一篇名为 倒计时开始:对 Windows XP 的支持将于 2014 年 4 月 8 日结束 的关于停止提供对 Windows XP 的支持的文章。从那时起,许多与我交谈过的客户都已经或者正在将其组织从 Windows XP 迁移到现代操作系统,如 Windows 7 或 Windows 8 。 由于在 2013 年 4 月 8 日以后, Windows XP Service Pack 3 (SP3) 客户将再也无法获得新的安全更新、非安全修补程序、免费或付费的协助支持选项或在线技术内容更新...
  • 全新指南用以缓解顽固攻击者偏爱的攻击手段:哈希传递

    作者:可信赖计算部,总经理 Matt Thomlinson 由顽固的攻击者所发起的针对性攻击(也称为高级持续性威胁,或称 APT)最近成为了一个热门话题。尽管针对性攻击在我们目前所见的攻击数量中依然只占很小一部分,但以组织和政府机构为目标进行攻击的报道还是引起了极大关注。我们知道,顽固的攻击者要想成功入侵目标组织的网络,首先要做的事情之一就是尝试入侵该组织的目录服务。原因很明确:目录服务包含用户、管理员和系统在网络中进行身份验证和访问组织各类资源时要使用的凭据。如果攻击者能够获得对 Active...
  • 新奖励计划详情

    今天 ,我们在此 宣布 即将推行以下有奖计划:缓解措施绕过奖金计划,蓝帽子防御奖金计划以及 IE 11 预览版漏洞奖金计划。我们很高兴终于能够对外公布这些活动,并期望能够从安全研究社区收到一些优秀的提案。我们将通过这些计划奖励研究人员的出色工作,并提升软件的安全性 —— 这一切都将使我们的客户受益。而且,我们也热衷于分析和修复高难度的漏洞! 缓解措施绕过奖金计划 数据执行保护 (DEP) 和地址空间布局随机化 (ASLR) 等安全功能使得利用漏洞来攻击现代系统的成本和难度都在不断增大...
  • EMET 4.0 现已提供下载

    我们很高兴地宣布 EMET 4.0 最终发布版 (Enhanced Mitigation Experience Toolkit,增强的缓解体验工具包)终于提供下载了。您可以从以下链接下载 : http://www.microsoft.com/en-us/download/details.aspx?id=39273 。 我们 已提到过 EMET 4 中引入的一些新功能: 证书信任功能 、 缓解改进强化 以及 预警程序 。在测试版期间,我们添加了新功能并同时解决了由内部和外部报告的应用程序兼容性问题...
  • 就是现在。安全开发必须成为每个人优先考虑的事。

    今天是 2013 年安全开发大会 的第一天。来自企业、政府机构和学术机构的安全专业人士从世界各地赶来,学习、交流和分享已经证实的能够降低组织风险的安全开发实践。当我坐在这里等待 Scott Charney 登台演讲时,我想起微软的 安全开发生命周期 (SDL) 已经实施了十年了。这段时间里发生了很大的变化。 在过去的十年中, 互联网使用 人口 已经由约 3 亿 5 千万增长到超过 24 亿。现在,开发人员的机会比以往任何时候都要多。Windows 8 仍然相对较新,云尚处于采用的早期阶段,而新型的移动设备和平台已经出现了迅猛发展...
  • 2013互联网产业安全论坛 微软发言

    2013 年 4 月 11 日,由 互联网企业安全工作组 主办,中国计算机学会计算机安全专业委员会指导,北京邮电大学、西安交通大学协办的 2013 互联网产业安全论坛在北京隆重召开。论坛旨在分享互联网安全最佳实践,呼吁业界采取行动共同保护用户,并向社会宣告互联网企业安全工作组成立。 作为工作组的发起成员及理事成员,微软中国安全战略中心总经理陈静在论坛上发表了演讲,阐述了工作组成立的初衷与工作核心: 提高中国互联网用户安全意识 提高互联网产品与服务的安全可靠性,增强对隐私的保护...
  • Windows 商店应用程序的安全更新

    我们一直致力于调整我们的策略以适应世界的发展,所以针对全新的 Windows 商店,我们对其上应用程序安全更新的最佳发布方式进行了评估。我们的目标是得到一个快速、透明且轻松的安全更新过程。鉴于此,我们将在 Windows 商店应用程序的高质量安全更新可用时进行推送。这不仅适用于通过 Windows 商店进行安装的微软应用程序,也同样适用于预装在 Windows 8 但通过 Windows 商店进行更新的应用程序,如 Mail 。适时的为这些应用程序提供安全更新,可以让我们及时的添加新功能、修补漏洞和提升安全性...
  • 微软为国家/地区代码顶级域名 (ccTLD) 注册机构提供安全评估服务

    利用国家/地区代码顶级域名 (ccTLD) 注册机构的漏洞已经成为一个越来越普遍的问题,这个问题在世界上相对较小的市场中尤为突出。ccTLD 是指一般由国家/地区、主权国家或属地使用或为其预留的互联网注册域名,如 .co.uk(用于英国)或 .fr(用于法国)。这使得网站可以与特定国家 / 地区、地域或地理位置相关联,并确保人们能够通过互联网访问他们期望的服务,从而为互联网体验奠定基础。如今,有 300 多个国家/地区代码顶级域名注册机构负责为全球亿万个域名提供服务。 对 ccTLD 注册机构的攻击...
  • RSA 美国大会更新 第二部分

    在美国旧金山举行的 RSA 大会 2013 已经圆满结束,正因为没有亲临大会现场而遗憾?没有关系,请观看我们的短片,一起来体验 RSA 大会现场的热烈气氛: 下面我们将对微软在本次大会中的众多精彩一刻进行简短的回顾: 云安全联盟( CSA )表彰微软的安全领导力 RSA 大会的 云安全联盟( CSA )峰会上 ,微软可信赖计算部( Trustworthy Computing )全球副总裁 Scott Charney 被授予了 CSA 行业领导力奖。 Scott Charney...
  • 合规系列:软件、服务安全和 PCI DSS/PA-DSS

    合规系列的这篇文章着眼于介绍 微软安全开发生命周期(SDL) 是如何帮助企业在金融机构的支付卡行业数据安全标准(PCI DSS)和支付应用数据安全标准(PA-DSS)下达到合规性要求的。 PCI DSS 是一项由 PCI 安全标准委员会(PCI SSC) 撰写并批准的业界公认的信息安全标准。它主要适用于企业在美国国内处理借记卡、信用卡、预付费、电子钱包、自动取款机(ATM)和销售点(POS)卡持卡人信息的行为。该标准是围绕着加强对持卡人数据的管控,以帮助减少信用卡欺诈行为而设立的。 PA...
  • RSA 美国大会更新 第一部分

    在上周举行的 RSA 大会上,微软公司全球副总裁 Scott Charney 先生发表了题为“乐观面对网络安全挑战” (Making the Case for Security Optimism)的主题演讲。 Scott Charney 说,他为当今政府和业界在安全方面所做的广泛而有益的尝试感到振奋。业界和政府所取得的这些进展将会对信息安全产生深远影响,并将为安全乐观主义奠定基础。这些工作中,有一些的影响我们今天就能感受到,而另外一些则为将来打下了坚实的基础。 ...
  • 使用 SCM 3.0 保护您的环境!

    Security Compliance Manager (SCM) 是一款由微软解决方案加速器团队提供的免费工具,能够帮助您使用组策略和 Microsoft ® System Center Configuration Manager 快速配置并管理您的环境和私有云中的计算机。此版 SCM 支持 Windows Server 2012、Windows 8 和 IE10。 SCM 根据微软安全指南的建议和业界最佳做法提供可以部署的策略和 DCM 配置包,使您能够轻松管理 Windows...
  • 自动化集体行动与更加安全可信的互联网

    到 2020 年,互联网用户的数量有望翻倍,从今天的 20 亿增长到 40 亿。互联网仍在不断演变以更好地满足人们的需求,在此期间我们很可能会看到一些在技术、用途和方法上的巨大进步。如此大规模的用户增长和创新着实让人振奋,但又让人有一点困惑,甚至让一些人感到有一丝吓人。我们的世界互相联系的越来越紧密,人们对抓住随之而来的机遇和挑战的需求催生了一些全新的想法,即如何将“现实世界”中的现有模型应用到互联网中,以改善和提高整个互联网的健康和安全状况。 Scott Charney...
  • 从最新测试结果获得的重要经验教训

    AV-Test 刚刚发布了最新的反恶意软件供应商测试结果,他们没有为 Microsoft Security Essentials 和 Microsoft Forefront Endpoint Protection 授予“AV-Test 认证”资格。 我们对该测试中指出的问题,进行了一次严格的复审。我们非常重视对用户的保护,这次复审所做的投入便是履行这一承诺的体现。 我们的复审表明:0.0033% 的 Microsoft Security Essentials 和...
  • 以用户为中心的优先级策略

    微软恶意软件防护中心 (MMPC) 的目标是让所有用户免受恶意软件的影响。我们的研究团队和自动化系统夜以继日地工作,力求实现此愿景。 攻击者制造的威胁数量还在不断增加。例如,上个月我们收集并分析了 2000 万个疑似恶意软件的新文件。这些文件中有 6% 属于恶意软件。为了检测出这 6% 的恶意软件,我们对大约 100,000 多个文件开发提取了特征码– 全部用于尽快地保护尽可能多的用户。这些新特征码阻止了 400 万个恶意软件对 300 万用户的感染,而我们已有的特征码则使另外...
  • 合规系列:软件安全与合规简介

    当今企业所面临的挑战中,最紧迫的之一就是实现并保持对各种行业与政府法规、标准的合规性。因未能遵守法规而导致的严厉经济处罚,往往会给企业带来沉重的负担。这一系列博客将着眼于阐述 微软安全开发生命周期 ( SDL ) 是如何帮助企业达到各种合规性要求的。 初看之下,软件安全与合规这两个领域的重叠似乎只局限在针对特定软件所发布的标准中,例如支付应用数据安全标准( PA-DSS )。然而,事实上软件安全与合规这两个领域是紧密交织在一起的。现今大多数企业的关键流程都极其依赖软件。例如,在很多合规认证中...
  • 影响 IE8 用户的新漏洞

    此前, MSRC 发布了 安全公告 2794220 ,提醒 IE6 至 IE8 的用户注意由该问题引起的针对性攻击,而 IE9 和 IE10 的用户是安全的。 有关漏洞和攻击的更多信息 在此特定漏洞中, IE 尝试引用并使用之前已释放的对象。针对此类漏洞的攻击通常由以下部分组成: 用于触发 IE 漏洞的 Javascript Heap Spray 或类似的内存攻击,以确保被访问的内存在其释放后仍是有用的 突破平台级别的 ASLR 防护 突破平台级别的 DEP...