微软为国家/地区代码顶级域名 (ccTLD) 注册机构提供安全评估服务

利用国家/地区代码顶级域名 (ccTLD) 注册机构的漏洞已经成为一个越来越普遍的问题，这个问题在世界上相对较小的市场中尤为突出。ccTLD 是指一般由国家/地区、主权国家或属地使用或为其预留的互联网注册域名，如 .co.uk（用于英国）或 .fr（用于法国）。这使得网站可以与特定国家/地区、地域或地理位置相关联，并确保人们能够通过互联网访问他们期望的服务，从而为互联网体验奠定基础。如今，有 300 多个国家/地区代码顶级域名注册机构负责为全球亿万个域名提供服务。

对 ccTLD 注册机构的攻击，对个人、大公司和小公司、非营利组织和政府机构都有着深远影响。尝试访问某些 Web 服务的个人可能会被重定向到不适当的内容，造成他们的电脑被恶意软件感染，进而使个人信息处于危险境地。此外，人们很难确定究竟是 ccTLD 注册机构，还是运行他们试图访问服务的公司出了问题。这往往会打击人们对互联网服务提供商的信心，而实际上，他们对这种状况也无计可施。

如今，在于旧金山召开的信息安全 RSA 大会上，微软公司可信赖计算部副总裁 Scott Charney 在演讲中宣布推出全新的 微软国家 / 地区代码顶级域名 (ccTLD) 注册机构安全评估服务 ，以帮助注册机构运营商在安全漏洞被利用前找到并修复漏洞。这项服务现已提供，并且不向注册机构运营商收取任何费用。

我所领导的在线服务安全与合规 (OSSC) 团队负责保护微软云计算基础架构和数据中心的安全，这些数据中心托管着 200 多项云计算服务，服务于全球十亿多名客户、两千万余家企业和 76 个市场。我们很自豪地说，我们有能力为更多的网络社区提供这项服务，并分享我们在自己环境中获得的一些经验。

微软 对国家 / 地区代码顶级域名注册机构的支持历史

OSSC 团队一直与业内团体密切合作，如管理市场域名注册的机构——互联网名称与数字地址分配机构 (ICANN)。许多管理 ccTLD 注册机构的公司都是小公司，它们可能缺乏资源来保护自己免受源源不断的攻击。在过去的三个月里，我们观察到在世界各地发生了多起域名注册机构遭受攻击的事件。和其他网络社区一样，微软也需要保护我们自己的 Web 服务免受这些类型的攻击。

微软一直致力于与业内同行协作，支持并敦促 ccTLD 注册机构运营商采用重要的安全做法。我们也参加了与 ICANN 的协作，并在确保会员采用这些做法方面努力提供更多监督。这些措施对整个行业都有着积极影响，而我们的新服务也会努力提供更多的支持。

微软 国家 / 地区代码顶级域名 (ccTLD) 注册机构安全评估服务

微软ccTLD 注册机构安全评估服务是基于我们用于更好地保护自己的网站和在线服务的已有内部程序。它为 ccTLD 注册机构面向外部的 Web 应用程序和服务器提供安全漏洞扫描和报告。在提出安全评估服务的要求之后，ccTLD 注册机构将收到漏洞评估报告。如果发现漏洞，微软将就如何修复该问题提供咨询和指导。我们也将定期进行重新扫描，以帮助 ccTLD 注册机构不间断地持续保护自己的域名注册服务。微软还将免费提供安全发展指导和业务最佳方法，这些均已在微软自己的云计算环境中加以采用。

这项服务可为任何顶级域名注册机构提供，包括国家/地区代码顶级域名 (ccTLD) 注册机构、通用顶级域名 (gTLD) 注册机构和专用顶级域名 (sTLD) 注册机构。

ccTLD 注册机构运营商如何获得这项服务

如果您拥有一个域名注册机构，并且正在寻找一个解决方案来帮助您识别漏洞并接收可能有助于提高服务安全性的指导，请访问：www.microsoft.com/cctldregsec 以安排评估。

通过这样的方案和措施，我们希望能够帮助大家创建更加安全、更加值得信赖的在线体验，并提供一个动态环境来增加业内对话并分享最佳做法。

Pete Boden
总经理
在线服务安全与合规团队