台灣微軟資安部落格

這個部落格提供微軟資安相關訊息,研究報告與微軟資安解決方案的相關新聞,歡迎透過RSS追蹤本部落格最新訊息。

台灣微軟資安部落格

  • [資安小常識] 世足意外掀起的網路攻擊熱

    隨著世界足球賽邁入八強,賽程逐漸升溫,然在巴西本地破億觀眾熱情吶喊支持聲中, 另一股意想不到的熱潮也在意外蔓延─網路攻擊。 在一份由世足期間以保護巴西政府的科技設備為任務的義大利虎安全公司出爐的報告指出─“破壞政府基礎設施攻擊以指數增長至每天近2000個目標“。在這些逐步擴大攻擊範圍的數據之外,據信這些駭客攻擊大多數並非從本地,而是來自印度、土耳其、歐洲、墨西哥和美國等境外地區。 自直昇機上拍攝的里約熱內盧照片。(圖片來源:維基百科) ...
  • [資安小常識] Microsoft 資訊安全情報報告第 16 卷內容摘要

    編者:Cho-Han Wu 圖一、 微軟資訊安全情報報告第 16 卷 (圖片來源) Microsoft 資訊安全情報報告第 16 卷 (SIRv16) 提供了有關 Microsoft 和協力廠商軟體中的軟體漏洞、攻擊和惡意程式碼威脅的深入研究。這些研究基於 Microsoft 過去多年的詳細趨勢分析,本期分析重點在於 2013 年下半年(7 月到 12 月) 的資料。針對資安漏洞、惡意軟體分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本次資安小常識擷自該報告的主要結論...
  • [資安小常識] 如何因應 Heartbleed 資安漏洞所造成的影響

    編者:Cho-Han Wu 圖一、Heartbleed 資安漏洞可能造成個資的外洩 (圖片來源) Heartbleed 是近期內發生的嚴重SSL資安事件,許多服務都深受其影響。不管是服務開發者或是使用者都必須要密切注意這件資安事件。因此,本次資安小常識整理了Heartbleed 的相關資訊,並提供開發者以及使用者建議的因應對策,讓您對這個事件有更深的了解。 簡介 Heartbleed OpenSSL 是一套開放原始碼的SSL 套件,其函式庫是使用C...
  • 請盡速更新您的 Internet Explorer 瀏覽器

    編者:Cho-Han Wu 根據 Microsoft 資訊安全摘要報告 2963983 指出, Internet Explorer 的資訊安全風險可能會允許攻擊者遠端執行程式碼。 而且此資訊安全風險將包含 Internet Explorer 的所有版本 ( Internet Explorer 6、Internet Explorer 7、Internet Explorer 8、Internet Explorer 9、Internet Explorer 10 及 Internet Explorer...
  • [資安小常識] 持續使用 Windows XP 可能會造成的資安風險

    編者:Cho-Han Wu 圖一、Window XP 即將在 2014年4月8日終止支援 (圖片來源) Windows XP 是微軟從2001 年就發行的作業系統,至今已經超過十個年頭了。微軟相當了解該產品的生命週期,也了解升級需要花上一段時間,所以提前在 2007年就宣布Windows XP 將在 2014年的四月八日終止支援。目前大部分的企業都已經將系統升級了,但是仍有部分客戶尚未升級。但由於使用過期的 Windows 版本可能會危害系統的安全,故本次資安小常識將介紹持續使用...
  • [資安小常識] 淺談公有雲和私有雲的資安考量

    編者:Cho-Han Wu 圖一、公有雲與私有雲之選擇 (圖片來源) 近年來雲端運算已經相當成熟且蓬勃發展,在資源愈來愈充沛且資訊相對透明的情況下,無論各個產業的公司都想在雲端上尋找長遠的解決方案。然而雲端運算的種類眾多,企業需要好好地評估最適合的雲端服務種類才有辦法達到將成本效益最大化。本次資安小常識,將從公有雲和私有雲的資安考量做切入,提供您在選擇雲端服務上的指引。 首先,先了解一下何謂公有雲以及私有雲: 私有雲是企業自有或共有伺服器基礎架構,並利用虛擬化等方式來創造專屬企業本身的雲端服務...
  • 清查盤點加集中管控 確保機敏個資絕不落地

    編者:Cho-Han Wu 圖一、 Share Point 2013 (來源) 前言: 依iThome進行的2013年CIO大調查,發現近六成台灣2000大企業的最高資訊主管,皆將個資法列為驅動資安投資的關鍵項目,但此事知易行難,普遍存在不知如何下手之嘆;當務之急,便是尋求一套有效方案,以嚴密保護機敏個資。 新版個人資料保護法,已於前年(2012)底正式上路;儘管該法施行迄今,尚未出現驚天動地的求償訴訟案件,但援引日本前例,求償事件係於個資施行2...
  • [資安小常識] 密碼儲存要加”鹽”才夠安全

    編者:Cho-Han Wu 圖一、 ”鹽”是一個特定的字串用以增加密碼複雜度 (圖片來源) 今年一月SplashData 公司公布了2013年最不安全的密碼排行榜,由「123456」取代「password」奪下最不安全密碼排行榜冠軍。其他不安全的密碼還包含了「qwerty」,「abc123」及「123456789」等等。在眾多網路平台興盛的時代,使用者往往必須記憶一組或多組密碼組合,而 密碼的強度 也是決定帳戶安全性的因素之一。 ...
  • [資安小常識] 透過 Azure Rights Management 服務在雲端上安全地管理文件

    編者:Cho-Han Wu 圖一、 Windows Azure Rights Management 服務讓您更輕易地管理雲端文件 (圖片來源) Rights Management Services (RMS) 是一款提供企業在分享檔案和文件時,能夠同時保護機敏資訊安全的解決方案。最新的 RMS 讓企業組織能夠輕易的分享各種檔案類型的機敏性資料,同時也支援跨平台行動裝置的讀取。而新版 RMS 新增的 Azure RMS 功能,更簡化了舊版 RMS 繁瑣的分享步驟...
  • Exchange 搭配 RMS 企業郵件防護實力大躍進

    編者:Cho-Han Wu 圖一、 Exchange 2013 (來源) 前言: 無論任何系統,一旦儲存使用者的文件或資訊,皆可能面臨個資洩漏問題,雲端系統也不例外;因此企業如何打造安全無虞的文件管控系統、電子郵件防護平台,藉以強化個資保全,無疑當務之急。 面對個資法,經營 B2C 業務的企業如臨大敵,但某些從事 B2B 業務的公司,則相對無感;然台灣微軟技術經理常志誠認為,就個資法衍生的郵件或資訊安全議題,實與企業文件控管、智財權保護息息相關...
  • [資安小常識] 透過Windows Azure Pack 安全地管理您的網站

    編者:Cho-Han Wu 圖一、 Windows Azure Pack 讓您更輕易地管理網路服務 (圖片來源) Windows Azure Pack 是一套 System Center 2012 R2 上的套件,讓您的資料中心可以提供類似 Windows Azure 的簡易管理網站、部屬虛擬機器或是 Service Bus 等服務的自助入口網站,並且同時可以整合 Windows Server 2012 R2 Hyper-V 和 System Center 2012...
  • [資安小常識] Microsoft 資訊安全情報報告第 15 卷內容摘要

    作者:Cho-Han Wu 微軟資訊安全情報報告書 (Microsoft® Security Intelligence Report)呈現的是每半年一次的產業資安觀察,提供企業資安負責人更深入的見解。本期的資訊安全情報報告書主要觀察的時間是在2013年上半年(一月至六月),並歸納了全球Windows 使用者以及網際網路上所提供的一些熱門線上服務所收集到的資料。針對軟體公開弱點、惡意程式分佈以及軟體弱點攻擊程式碼趨勢提供深入的分析觀點。本期資安小常識將針對第十五期的資訊安全情報報告書的內容做一個重點整理及報導...
  • 資訊安全與文件保護

    編者:Cho-Han Wu 圖一、 Share Point 2013 (來源) 前言: 無論任何系統,只要涉及使用者文件或資訊儲存,都可能面臨個資洩漏,即便雲端系統也不例外;因此企業莫不期盼打造安全無虞的文件平台,並結合適當技術,讓各項重要資料即使攜出,也毋需擔心外洩問題。 個資法上路迄今屆滿一年,雖然這段期間,多數企業並非因觸法而慘遭鉅額求償,但這並不代表企業都已將個資保全做到滴水不漏,尚有很大進步空間。 環顧個資保全議題,不可諱言,文件的管理與保護確實是重要一環...
  • [資安小常識] 使用 Windows Intune 讓您安全地管理行動裝置

    作者:Cho-Han Wu 圖一、 使用 Windows Intune 管理各種裝置 (圖片來源) Windows Intune 是一套行動裝置與個人電腦的整合性管理系統,功能上類似System Center 2012 Configuration Manager,但實際運作則是建立在雲端架構上,讓企業用戶可以更便利的使用。它除了可以在管理中心統一替所有的裝置進行應用程式的佈署外,也可以提供升級授權的資訊,讓您的裝置保持在最新的韌體版本,並定期接收更新,以保護裝置不會受到惡意軟體的侵入...
  • [資安小常識] 如何安全的使用第三方支付來進行網路購物

    作者:Cho-Han Wu 圖一、 使用第三方支付進行網路購物 (圖片來源) 所謂的第三方支付就是指在進行網路交易時,消費者將應付的款項匯入一個線上的帳號並透過第三方的仲介交給商家,而非直接的將錢轉到商家戶頭。此種型態的付款方式對於使用者來說除了可以加速付款流程,同時也可以避免因為將信用卡或是個人帳戶資訊暴露給商家而造成個人隱私的損失。 台灣已經在今年的8/7正式拍板定案了第三方支付的 業務開放問題 ,將全面開放銀行、非銀行業者經營第三方支付服務,也將訂定專門的法條來規範...
  • [資安小常識] 如何安全地開發軟體及應用程式

    作者:Cho-Han Wu 圖一、 使用微軟SDL的比例統計 (圖片來源) 根據最新的 Trust in Computing 報告 (註1)指出, 42% 的開發者在開發軟體或是應用程式時並非把資訊安全當成最優先考慮的因素。且雖然使用安全的軟體發展過程被視為是減少軟體遭受攻擊的有效方法,仍有 44% 的開發者並不使用。不使用的原因包括了:1) 花費 (34%)。 2)缺乏技術資源 (33%)。 3) 缺乏主管的同意 (24%) 等等。 在安全的軟體開發過程的使用者中...
  • 設定具有進階安全性的 Windows 防火牆的步驟、技巧與觀念

    編者:Chohan Wu 圖一、 防火牆的運作方式示意圖 (來源) 本篇文章主要針對 Windows Server 2008 及 Windows Server 2008 R2 的防火牆設定做介紹,使用這兩個版本的使用者可以參考。使用其他版本 Windows Server 的使用者,若有資安上更新的運用,我們將會在第一時間與大家分享。 本文作者為 黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。 ...
  • 如何封鎖 Windows 遠端桌面的檔案傳輸與剪貼簿傳輸能力

    編者:Chohan Wu 圖一、 Windows 8 遠端桌面連線 (來源) 本篇文章主要介紹如何安全的使用 Windows 遠端桌面連線功能,各版本的 Windows 用戶皆可參考本篇文章來設定。若有更新的資安應用,我們會在第一時間跟大家分享。 本文作者為 黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。 去年的時候有一次客戶急忙來電說伺服器中毒了導致網站掛點,請我幫他修復網站,不過這案子已經結案超過三年...
  • 在 IIS7 IIS7.5 安裝 SSL 憑證的注意事項

    編者:Chohan Wu 圖一、 Windows IIS (來源) 本篇文章提供了 Windows IIS 7 / IIS 7.5 在安裝伺服器憑證的操作說明,針對新版本的 Windows IIS ,若有最新資安上的應用,我們也會在第一時間提供給您。 本文作者為 黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。 先前我曾經寫過一篇【 購買與安裝 SSL 憑證完全攻略 (以 IIS7 為例...
  • 上傳檔案至 IIS 的檔案名稱有三個字元最好禁止使用 % # +

    編者:Chohan Wu 本篇文章中,將由微軟的 MVP 分享 Microsoft IIS 取用檔名時所需要注意的事項, Microsoft IIS 的使用者可以參考。若有更新的資安應用,我們會在第一時間跟大家分享。 本文作者為 黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。 上個月有個客戶提到他們從後台上傳的檔案不知為何在前台就是看不到,我查看了一下發現檔名中有個加號 ( + ),但奇怪的是原本網站明明就是好的...
  • 如何設定 SQL Server 2008 接受 SSL 加密連接 (需設定憑證)

    編者:Chohan Wu 圖一、 SQL Server (來源) 本次主題針對 SQL Server 2008 的 SSL 加密連線提供了一個很好的操作說明,使用SQL Server 2008的使用者可以參考,若有新版本SQL Server 在資安上的其他相關運用,我們將會在第一時間跟大家分享。 本文作者為 黃保翕 (Will 保哥) ,為微軟的最有價值專家,專長領域為 ASP.NET / IIS 。 前陣子在研究如何讓 SQL Server...
  • 員工可攜自有設備上班(BYOD),公司如何面對這樣的新潮流?

    作者:Chohan Wu 圖一、各個國家的公司對於BYOD 的態度 (來源) 智慧型手機以及平板電腦等行動裝置在最近幾年來有顯著的成長,在這樣的趨勢下,員工可攜自有設備上班(Bring Your Own Device, BYOD)已成為現在大多數的公司需要面臨的課題。所謂的員工可攜自有設備上班(BYOD)就是指員工可以在公司內使用自己的筆電、手機、平板等行動裝置來連結外部網路,同時也能利用自己的裝置來存取公司內部資料以及應用程式等。 對員工來說,BYOD...
  • [資安小常識] 認識進階持續性滲透攻擊 (APT)

    作者:Chohan Wu 圖一、認識進階持續性滲透攻擊 (APT) (圖片來源) 進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 是一種最近常見的網路攻擊型態,攻擊者往往都是相當龐大且有組織的駭客集團,而並非像一般的駭客事件可由單一駭客所為。駭客集團會針對特定的攻擊對象設計一套專屬的攻擊策略,攻擊的手法除了以電腦入侵方式外,也會透過其他的傳統的手法達到竊取資料的目的(如電話竊聽等)。 APT 的攻擊者往往都會透過長時間且持續性的潛伏及監控...
  • [資安小常識] 駭客破解實驗結果出爐!您的密碼小於 16 字元嗎?

    作者:Vavrin Chen 圖一、顯示一小部分被破解的雜湊密碼 (圖片來源) 美國科技網站 Ars Technica 實驗發現就算密碼以加密的雜湊碼形式呈現 (例如實際為 arstechnica 的密碼經雜湊處理後會變成 c915e95033e8c69ada58eb784a98b2ed),駭客仍能在 1 小時內破解逾 1 萬筆密碼,其中還包含長達 16 字元、夾雜英文與數字的密碼。 駭客主要利用字典 (以某本字典的字庫進行攻擊。) 及暴力破解法 ...
  • [資安小常識] Microsoft 資訊安全情報報告第 14 卷 – 台灣地區報告發佈

    作者:Vavrin Chen 隨著行動裝置大量普及、上網人數遽增的同時,伴隨而來的是網路病毒、惡意程式的威脅,哪些惡意程式需要使用者特別留意?根據微軟安全反應中心 (MSRC) 的研究,發現在 2012 年下半年惡意程式碼及釣魚網站在台灣的分佈有以下四個重點: 1. 台灣在 2012 Q4 平均每千台電腦掃描出感染惡意程式的電腦數量為 5.3 台,相較於全球平均 6.0 台稍低。 圖一、台灣平均每千台電腦掃描出感染惡意程式的電腦數量 2...