台灣微軟資安部落格

這個部落格提供微軟資安相關訊息,研究報告與微軟資安解決方案的相關新聞,歡迎透過RSS追蹤本部落格最新訊息。

台灣微軟資安部落格

  • [資安小常識] Microsoft 資訊安全情報報告第 17 卷摘要

    圖(一)、微軟資訊安全情報報告第 17 卷 在本期的Microsoft 資訊安全情報報告中提到,部分安全防護軟體提供使用者「免費試用」版本,並在有限的時效內更新惡意程式特徵碼-通常為三個月。試用期結束後,使用者可選擇付費訂閱產品,以持續接收各項防護的更新。然而試用期結束後,許多使用者可能認為若沒有選擇付費版本,過期的試用版本應該還是可以提供持續阻止並移除可偵測到之惡意程式的能力。不幸的是,缺乏更新的安全防護軟體,將會大大降低保護電腦的成效。 編寫惡意軟體的攻擊者為了避開安全防護軟體的偵測...
  • [資安小常識] 搶先預覽Windows 10為企業帶來的先進資安防護特色

    2014年10月1日凌晨,台灣本地尚未日出,然微軟已準備迎接睽違兩年新一代作業系統的曙光到來;不是Windows 9、Windows Threshold或是Windows TH,而是「 Windows 10 」 (現為 技術預覽版 )。Windows 10不僅集結了Windows 7與Windows 8的各項優點,更有包含「身分安全認證」與「資料保護」等資安防護特色。 而就微軟新一代作業系統以資安防護為主打,不難從近日頻傳的資安攻擊事件體認到其必要性;紐約時報於八月份的報導指出,全球十八億網路人口中就有十二億筆使用者帳號密碼遭到竊取...
  • 微軟認證考試限時 85 折優惠活動

    IT 專家與開發人員們,2014 年進入最後一季了,今年取得微軟認證的目標是否已達成?! 為了幫助您順利取得認證,即日起到 2014/12/31,微軟提供報考 MCP 考試即享 85 折優惠的促銷代碼,助您考試一臂之力!立即用促銷代碼到 VUE 或是 Prometric 考場參加微軟認證專家考試就享有限時限量 85 折優惠! 一般考生身份促銷代碼:15OFF 學生身份(校園)促銷代碼:STU15OFF 台灣報考 MCP 考試費用 USD$100,促銷代碼打 85...
  • [資安小常識] Windows Server 2003 即將終止支援,企業須提早開始準備

    距離 Windows Server 2003 2015/7/14 終止支援 ,已經剩下不到9個月的時間,根據業界經驗, 伺服器升級評估與移轉至少需要 200 至 350 天 ,台灣微軟建議企業現在就應及早開始準備。 Windows Server 2003 終止支援後,IT 人員需注意後續帶來的連鎖效應,包括 : 資安風險 : 終止支援後,微軟不再提供資訊安全修補程式和 Hotfix,伺服器和應用程式很容易遭受資訊安全威脅並造成停機時間。 成本提升 : 不再有任何付費或免費的協助支援選項...
  • [資安小常識] 雲端「照」得住?!─ 淺談使用智慧型手機存取雲端服務的潛在風險與防範方法

    近期上映的好萊塢電影描述男女主角將夫妻間的私密照片上傳到雲端後不小心分享給親朋好友,千方百計想要取回檔案的故事。而本月初近百位的知名女星也因雲端服務被入侵而致個人私密照外洩,電影情節不僅搬上現實舞台,這次駭客攻擊事件也名列智慧型手機雲端服務史上危害最廣的資安事件之一。 和電影男女主角意外將自己的私密照外洩情節不同的是,此次事件乃為駭客針對特定受害者的雲端帳號「集中攻擊」。根據該科技公司與FBI的調查,這場隱私風暴源於「手機協尋」服務身分登入介面的設計盲點;而駭客正是針對好萊塢女星的帳戶進行集中攻擊...
  • [資安小常識] 您下載的App真的安全嗎?請檢查您App的授權行為!

    圖1: 絕大部分的民眾經常使用智慧型手機中的App 圖片來源: Silicon Republic http://www.siliconrepublic.com/digital-life/item/34214-more-than-half-of-irish-peo 相信您經常在您的智慧型手機內下載有趣、方便又實用的App。然而,不是所有App都是安全的。從2014年6月的McAfee實驗室威脅報告(McAfee Labs Threats Report)指出, 今年第一季統計智慧型手機惡意程式...
  • [資安小常識] 世足意外掀起的網路攻擊熱

    隨著世界足球賽邁入八強,賽程逐漸升溫,然在巴西本地破億觀眾熱情吶喊支持聲中, 另一股意想不到的熱潮也在意外蔓延─網路攻擊。 在一份由世足期間以保護巴西政府的科技設備為任務的義大利虎安全公司出爐的報告指出─“破壞政府基礎設施攻擊以指數增長至每天近2000個目標“。在這些逐步擴大攻擊範圍的數據之外,據信這些駭客攻擊大多數並非從本地,而是來自印度、土耳其、歐洲、墨西哥和美國等境外地區。 自直昇機上拍攝的里約熱內盧照片。(圖片來源:維基百科) ...
  • [資安小常識] Microsoft 資訊安全情報報告第 16 卷內容摘要

    編者:Cho-Han Wu 圖一、 微軟資訊安全情報報告第 16 卷 (圖片來源) Microsoft 資訊安全情報報告第 16 卷 (SIRv16) 提供了有關 Microsoft 和協力廠商軟體中的軟體漏洞、攻擊和惡意程式碼威脅的深入研究。這些研究基於 Microsoft 過去多年的詳細趨勢分析,本期分析重點在於 2013 年下半年(7 月到 12 月) 的資料。針對資安漏洞、惡意軟體分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本次資安小常識擷自該報告的主要結論...
  • 請盡速更新您的 Internet Explorer 瀏覽器

    編者:Cho-Han Wu 根據 Microsoft 資訊安全摘要報告 2963983 指出, Internet Explorer 的資訊安全風險可能會允許攻擊者遠端執行程式碼。 而且此資訊安全風險將包含 Internet Explorer 的所有版本 ( Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9、Internet Explorer 10 及 Internet Explorer...
  • [資安小常識] 持續使用 Windows XP 可能會造成的資安風險

    編者:Cho-Han Wu 圖一、Window XP 即將在 2014年4月8日終止支援 (圖片來源) Windows XP 是微軟從2001 年就發行的作業系統,至今已經超過十個年頭了。微軟相當了解該產品的生命週期,也了解升級需要花上一段時間,所以提前在 2007年就宣布Windows XP 將在 2014年的四月八日終止支援。目前大部分的企業都已經將系統升級了,但是仍有部分客戶尚未升級。但由於使用過期的 Windows 版本可能會危害系統的安全,故本次資安小常識將介紹持續使用...
  • [資安小常識] 淺談公有雲和私有雲的資安考量

    編者:Cho-Han Wu 圖一、公有雲與私有雲之選擇 (圖片來源) 近年來雲端運算已經相當成熟且蓬勃發展,在資源愈來愈充沛且資訊相對透明的情況下,無論各個產業的公司都想在雲端上尋找長遠的解決方案。然而雲端運算的種類眾多,企業需要好好地評估最適合的雲端服務種類才有辦法達到將成本效益最大化。本次資安小常識,將從公有雲和私有雲的資安考量做切入,提供您在選擇雲端服務上的指引。 首先,先了解一下何謂公有雲以及私有雲: 私有雲是企業自有或共有伺服器基礎架構,並利用虛擬化等方式來創造專屬企業本身的雲端服務...
  • 清查盤點加集中管控 確保機敏個資絕不落地

    編者:Cho-Han Wu 圖一、 Share Point 2013 (來源) 前言: 依iThome進行的2013年CIO大調查,發現近六成台灣2000大企業的最高資訊主管,皆將個資法列為驅動資安投資的關鍵項目,但此事知易行難,普遍存在不知如何下手之嘆;當務之急,便是尋求一套有效方案,以嚴密保護機敏個資。 新版個人資料保護法,已於前年(2012)底正式上路;儘管該法施行迄今,尚未出現驚天動地的求償訴訟案件,但援引日本前例,求償事件係於個資施行2...
  • [資安小常識] 密碼儲存要加”鹽”才夠安全

    編者:Cho-Han Wu 圖一、 ”鹽”是一個特定的字串用以增加密碼複雜度 (圖片來源) 今年一月SplashData 公司公布了2013年最不安全的密碼排行榜,由「123456」取代「password」奪下最不安全密碼排行榜冠軍。其他不安全的密碼還包含了「qwerty」,「abc123」及「123456789」等等。在眾多網路平台興盛的時代,使用者往往必須記憶一組或多組密碼組合,而 密碼的強度 也是決定帳戶安全性的因素之一。 ...
  • [資安小常識] 透過 Azure Rights Management 服務在雲端上安全地管理文件

    編者:Cho-Han Wu 圖一、 Windows Azure Rights Management 服務讓您更輕易地管理雲端文件 (圖片來源) Rights Management Services (RMS) 是一款提供企業在分享檔案和文件時,能夠同時保護機敏資訊安全的解決方案。最新的 RMS 讓企業組織能夠輕易的分享各種檔案類型的機敏性資料,同時也支援跨平台行動裝置的讀取。而新版 RMS 新增的 Azure RMS 功能,更簡化了舊版 RMS 繁瑣的分享步驟...
  • Exchange 搭配 RMS 企業郵件防護實力大躍進

    編者:Cho-Han Wu 圖一、 Exchange 2013 (來源) 前言: 無論任何系統,一旦儲存使用者的文件或資訊,皆可能面臨個資洩漏問題,雲端系統也不例外;因此企業如何打造安全無虞的文件管控系統、電子郵件防護平台,藉以強化個資保全,無疑當務之急。 面對個資法,經營 B2C 業務的企業如臨大敵,但某些從事 B2B 業務的公司,則相對無感;然台灣微軟技術經理常志誠認為,就個資法衍生的郵件或資訊安全議題,實與企業文件控管、智財權保護息息相關...
  • [資安小常識] 透過Windows Azure Pack 安全地管理您的網站

    編者:Cho-Han Wu 圖一、 Windows Azure Pack 讓您更輕易地管理網路服務 (圖片來源) Windows Azure Pack 是一套 System Center 2012 R2 上的套件,讓您的資料中心可以提供類似 Windows Azure 的簡易管理網站、部屬虛擬機器或是 Service Bus 等服務的自助入口網站,並且同時可以整合 Windows Server 2012 R2 Hyper-V 和 System Center 2012...
  • [資安小常識] Microsoft 資訊安全情報報告第 15 卷內容摘要

    作者:Cho-Han Wu 微軟資訊安全情報報告書 (Microsoft® Security Intelligence Report)呈現的是每半年一次的產業資安觀察,提供企業資安負責人更深入的見解。本期的資訊安全情報報告書主要觀察的時間是在2013年上半年(一月至六月),並歸納了全球Windows 使用者以及網際網路上所提供的一些熱門線上服務所收集到的資料。針對軟體公開弱點、惡意程式分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本期資安小常識將針對第十五期的資訊安全情報報告書的內容做一個重點整理及報導...
  • 資訊安全與文件保護

    編者:Cho-Han Wu 圖一、 Share Point 2013 (來源) 前言: 無論任何系統,只要涉及使用者文件或資訊儲存,都可能面臨個資洩漏,即便雲端系統也不例外;因此企業莫不期盼打造安全無虞的文件平台,並結合適當技術,讓各項重要資料即使攜出,也毋需擔心外洩問題。 個資法上路迄今屆滿一年,雖然這段期間,多數企業並非因觸法而慘遭鉅額求償,但這並不代表企業都已將個資保全做到滴水不漏,尚有很大進步空間。 環顧個資保全議題,不可諱言,文件的管理與保護確實是重要一環...
  • [資安小常識] 使用 Windows Intune 讓您安全地管理行動裝置

    作者:Cho-Han Wu 圖一、 使用 Windows Intune 管理各種裝置 (圖片來源) Windows Intune 是一套行動裝置與個人電腦的整合性管理系統,功能上類似System Center 2012 Configuration Manager,但實際運作則是建立在雲端架構上,讓企業用戶可以更便利的使用。它除了可以在管理中心統一替所有的裝置進行應用程式的佈署外,也可以提供升級授權的資訊,讓您的裝置保持在最新的韌體版本,並定期接收更新,以保護裝置不會受到惡意軟體的侵入...
  • [資安小常識] 如何安全的使用第三方支付來進行網路購物

    作者:Cho-Han Wu 圖一、 使用第三方支付進行網路購物 (圖片來源) 所謂的第三方支付就是指在進行網路交易時,消費者將應付的款項匯入一個線上的帳號並透過第三方的仲介交給商家,而非直接的將錢轉到商家戶頭。此種型態的付款方式對於使用者來說除了可以加速付款流程,同時也可以避免因為將信用卡或是個人帳戶資訊暴露給商家而造成個人隱私的損失。 台灣已經在今年的8/7正式拍板定案了第三方支付的 業務開放問題 ,將全面開放銀行、非銀行業者經營第三方支付服務,也將訂定專門的法條來規範...
  • [資安小常識] 如何安全地開發軟體及應用程式

    作者:Cho-Han Wu 圖一、 使用微軟SDL的比例統計 (圖片來源) 根據最新的 Trust in Computing 報告 (註1)指出, 42% 的開發者在開發軟體或是應用程式時並非把資訊安全當成最優先考慮的因素。且雖然使用安全的軟體發展過程被視為是減少軟體遭受攻擊的有效方法,仍有 44% 的開發者並不使用。不使用的原因包括了:1) 花費 (34%)。 2)缺乏技術資源 (33%)。 3) 缺乏主管的同意 (24%) 等等。 在安全的軟體開發過程的使用者中...
  • 設定具有進階安全性的 Windows 防火牆的步驟、技巧與觀念

    編者:Chohan Wu 圖一、 防火牆的運作方式示意圖 (來源) 本篇文章主要針對 Windows Server 2008 及 Windows Server 2008 R2 的防火牆設定做介紹,使用這兩個版本的使用者可以參考。使用其他版本 Windows Server 的使用者,若有資安上更新的運用,我們將會在第一時間與大家分享。 本文作者為 黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。 ...
  • 如何封鎖 Windows 遠端桌面的檔案傳輸與剪貼簿傳輸能力

    編者:Chohan Wu 圖一、 Windows 8 遠端桌面連線 (來源) 本篇文章主要介紹如何安全的使用 Windows 遠端桌面連線功能,各版本的 Windows 用戶皆可參考本篇文章來設定。若有更新的資安應用,我們會在第一時間跟大家分享。 本文作者為 黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。 去年的時候有一次客戶急忙來電說伺服器中毒了導致網站掛點,請我幫他修復網站,不過這案子已經結案超過三年...
  • 在 IIS7 IIS7.5 安裝 SSL 憑證的注意事項

    編者:Chohan Wu 圖一、 Windows IIS (來源) 本篇文章提供了 Windows IIS 7 / IIS 7.5 在安裝伺服器憑證的操作說明,針對新版本的 Windows IIS ,若有最新資安上的應用,我們也會在第一時間提供給您。 本文作者為 黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。 先前我曾經寫過一篇【 購買與安裝 SSL 憑證完全攻略 (以 IIS7 為例...
  • 上傳檔案至 IIS 的檔案名稱有三個字元最好禁止使用 % # +

    編者:Chohan Wu 本篇文章中,將由微軟的 MVP 分享 Microsoft IIS 取用檔名時所需要注意的事項, Microsoft IIS 的使用者可以參考。若有更新的資安應用,我們會在第一時間跟大家分享。 本文作者為 黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。 上個月有個客戶提到他們從後台上傳的檔案不知為何在前台就是看不到,我查看了一下發現檔名中有個加號 ( + ),但奇怪的是原本網站明明就是好的...