圖（一）、微軟資訊安全情報報告第 17 卷

在本期的Microsoft 資訊安全情報報告中提到，部分安全防護軟體提供使用者「免費試用」版本，並在有限的時效內更新惡意程式特徵碼－通常為三個月。試用期結束後，使用者可選擇付費訂閱產品，以持續接收各項防護的更新。然而試用期結束後，許多使用者可能認為若沒有選擇付費版本，過期的試用版本應該還是可以提供持續阻止並移除可偵測到之惡意程式的能力。不幸的是，缺乏更新的安全防護軟體，將會大大降低保護電腦的成效。

編寫惡意軟體的攻擊者為了避開安全防護軟體的偵測，會不斷找尋漏洞、增強惡意軟體的穿透力。提供即時安全防護的廠商會定期更新其特徵碼資料庫，提高對每一個威脅性軟體的防護能力。當一個安全程式停止接收更新，它將很快地失去其檢測資安威脅的能力。在Microsoft 資訊安全情報報告中指出，被「保護」的電腦一旦過期，其即時保護的成效只會比「未保護」的電腦稍微好一點。

圖（二）、加入網域的電腦及未加入網域的電腦使用安全防護軟體的狀態比例

由Malicious Software Removal Tool （MSRT）產生一份關於被感染的電腦是否屬於Active Directory Domain Service（AD DS）的遙測數據。加入網域中的電腦通常是在企業環境中使用，未加入網域的電腦則較可能在家裡或非企業環境中使用。由圖（二）所示，加入網域的電腦（左）有0.7%使用過期的安全防護軟體，未加入網域的電腦（右）則高達9.3%，兩者其餘安全防護軟體的狀態數據則大致相似。使用過期安全防護軟體的比例成為兩者之間主要的差異，這也解釋了為什麼未加入網域的電腦通常未受到足夠的保護，無法避免惡意軟體攻擊。

圖（三）、運行Windows 8 及 Windows 8.1系統之未加入網域的電腦，使用安全防護軟體的狀態及受惡意軟體感染比率。

使用過期的安全防護軟體能提供您多少保護呢？由圖（三）所示，未加入網域的電腦若使用過期的安全防護軟體，其保護電腦的感染率約為正常更新安全防護軟體的四倍之高。讓人驚訝的是，此比率更與直接關閉安全防護軟體的感染率相差不遠。唯有正常更新特徵碼的安全防護軟體，能夠有效的降低感染率，真正達到即時防護電腦的功效。

電腦使用者必須了解到，過期的安全防護軟體僅能提供非常少的保護。Windows 8和Windows 8.1的應用商店中，您可以找到一系列有信譽的廠商提供反惡意軟體解決方案，並進行購買或免費下載，其餘Windows版本的使用者則可以存取消費者安防護軟體提供者，尋求更多的幫助。使用者也可以免費下載Microsoft Security Essentials （Windows Vista和Windows 7版本）或Windows Defender （Windows 8和Windows 8.1版本），啟用即時反惡意軟體，有效防護您的電腦！

參考資料：

• 微軟資訊安全情報報告第17卷

• 消費者安全防護軟體提供者

• Microsoft Security Essentials

• 使用 Windows Defender

2014年10月1日凌晨，台灣本地尚未日出，然微軟已準備迎接睽違兩年新一代作業系統的曙光到來；不是Windows 9、Windows Threshold或是Windows TH，而是「Windows 10」 (現為技術預覽版)。Windows 10不僅集結了Windows 7與Windows 8的各項優點，更有包含「身分安全認證」與「資料保護」等資安防護特色。

而就微軟新一代作業系統以資安防護為主打，不難從近日頻傳的資安攻擊事件體認到其必要性；紐約時報於八月份的報導指出，全球十八億網路人口中就有十二億筆使用者帳號密碼遭到竊取，而這高達六成以上的竊取率更突顯了傳統帳號密碼的認證方式已不足保護企業與消費者的資訊安全。

有鑑於此，Windows 10在安全認證方面，以多重驗證的方式帶領身分驗證進入新的層級；使用者可以利用手邊的移動裝置如智慧型手機進行多一重的認證。 換句話說，使用者只要先將智慧型手機透過Wi-Fi或藍芽連結到電腦，在手機端輸入PIN碼抑或按壓指紋認證後，即可登入他們搭載Windows 10的本機。此類似遠端智慧卡的雙重認證方式不但可以帶來企業級的便利性與安全性，也無須額外的硬體安全週邊設備，可說是作業系統在身分安全認證上革命性的解決方案。

圖一、多重認證方式(一)

(註：此畫面可能不是最終版使用者體驗或登入流程)

圖二、多重認證方式(二)

(註：此畫面可能不是最終版使用者體驗或登入流程)

圖三、多重認證方式(三)

(註：此畫面可能不是最終版使用者體驗或登入流程)

然而，在使用者通過驗證後，其所取得的憑證 (user access tokens)安全也是個課題。攻擊者不僅常以Pass the Hash與Pass the ticket 等類型攻擊取得使用者憑證，也會一齊發動進階持續性滲透攻擊(APT)進一步地竊取個資 (關於APT請參照[資安小常識]認識進階持續性滲透攻擊)。因此，為因應上述憑證攻擊��Windows 10透過將使用者憑證存放在運行  Hyper-V的安全容器，防範憑證從裝置中被讀取出來，增強了憑證的安全。

圖四、認證方式

另一方面，在資訊保護上Windows 10也建立了相當的保護機制。Windows 10針對公司App、資料、電子郵件、網頁內容或其他進入公司的敏感資料開啟自動加密以保護企業資料。而即使受保護的文件需要在不同的裝置平台上開啟，微軟跨作業系統的能力也能讓他們在其他平台下被存取。最後，針對使用如BYOD裝置的遠端使用者，Windows 10建立App白名單與黑名單以定義哪些App被授權存取VPN，提供使用者安全的遠端資料存取解決方案。

圖五、佈建金鑰及政策

據統計，約有百分之八十七的主管會將工作檔案上傳至私人信箱或雲端空間，其中更有百分之五十八的比例曾將敏感資料寄給錯誤的收件者。因此在存取管理外，更需要防範使用者在操作上的疏忽而將資料外洩的問題。因此除了MDM (Mobile Device Management)機制外，Windows 10也以資料外洩防護 (DLP) (關於DLP可參照資料外洩防護)解決方案將公司與個人資料分開存放並使用防堵政策來協助保護資料。資料版權管理 (Information Rights Management)因使用者未主動啟動而易洩漏公司資料的盲點也會因DLP獲得補足。

淺白而言，Windows 10在身分驗證防護不僅增加了金鑰的數量、金鑰的獨特性，更加強了金鑰保管的強度。而不論是建立App信任名單與定義授權存取的VPN抑或DLP解決方案， Windows 10建立的層層機制都進一步加強了使用者在資訊安全方面的保障。雖Windows 10正式版本尚未發佈，但已讓人期待新一代作業系統帶來的嶄新資安保障。

參考資料：

• Windows 測試人員計畫

• Windows 10：為現今世界提供資訊安全與身份驗證防護  

• 資料外洩防護

• [資安小常識]認識進階持續性滲透攻擊(APT)      

• Microsoft unveils the future of Windows

• 紐約時報─資安攻擊報導

距離 Windows Server 2003 2015/7/14 終止支援，已經剩下不到9個月的時間，根據業界經驗，伺服器升級評估與移轉至少需要 200 至 350 天，台灣微軟建議企業現在就應及早開始準備。

Windows Server 2003 終止支援後，IT 人員需注意後續帶來的連鎖效應，包括 :

• 資安風險 : 終止支援後，微軟不再提供資訊安全修補程式和 Hotfix，伺服器和應用程式很容易遭受資訊安全威脅並造成停機時間。
  
  
• 成本提升 : 不再有任何付費或免費的協助支援選項，伺服器及應用程式維護費用將快���高漲。
  
  
• 法規風險 : 不符合法規與政策，可能導致信用評等降低、認證不通過，例如SSAE 16或ISO 27001等。

坊間所謂的補救方案，其實並無法完全解決問題，其迷思在於 :

• 把伺服器虛擬化就好了？使用虛擬機器一樣還是Windows Server 2003，一樣要面對終止支援問題。
  
  
• 靠資安軟體防護？第三方廠商的資安軟體並無法解決系統核心漏洞，一樣沒有Windows Update提供修補程式。

面對 Windows Server 2003終止支援，企業升級路徑有以下兩條：

1. 升級 Windows Server 2012 R2。Windows Server 2012 R2 在擴充性、效能、安全性等方面都居於業界領先地位，升級 Windows Server 2012 R2 不只解決終止支援問題，更帶領企業走向現代化。並帶給企業以下優點：

• • 更快：各項效能評比皆優於舊版，提升企業生產力
    
    
  • 直接內建 Hyper-V 3.0 虛擬化技術
    
    
  • 儲存功能強化：支援重複資料刪除（Data Deduplication），節省儲存空間
    
    
  • 網路連結能力提升：支援 NIC Teaming，提供更先進的網路負載平衡與故障轉移
    
    
  • 透過 Windows Management Framework，協助使用 Windows PowerShell 等工具來自動化日常工作
    
    
  • 強大的 BYOD 管理能力，當行動裝置遺失時，能直接移除公司資料和應用程式
    
    
  • 跨越內部及雲端應用，管理每位使用者的單一身份識別
    

2. 轉移至 Microsoft Azure。企業可以選擇把原本部署在伺服器上的應用，轉移至 Microsoft Azure，Azure 可快速建置 Windows Server、SQL Server 等，配合企業各種需求，且能與本地端的 Windows Server 應用（如 AD）完美整合，建置未來的 Cloud OS 商業架構，不需考慮硬體汰舊換新問題且享受未來擴充性。

更多內容，請參考台灣微軟Windows Server 2003終止支援網站:

http://www.microsoft.com/taiwan/promo/windows-server-2003-eos

參考資料：

• Windows Server 2012 Compatibility Cookbook，提供關於新伺服器的功能資訊及現有應用程式的修改指南  
  
  
• Microsoft Assessment and Planning Toolkit，自動化的資產盤點工具幫助移轉、升級及虛擬化的部署 
  
  
• Microsoft Platform Ready Test Tool，幫助測試應用程式相容性的工具       
  
  
• Windows Server App Certification Kit，幫助確認相容性及安全性，評估第三方應用程式及測試內部的應用程式 
  
  
• AppZero，透過 AppZero 簡單一步驟升級到 Windows Server 2012 R2 
  
  
• Windows Server Migration Tools，伺服器升級工具官方網站 

近期上映的好萊塢電影描述男女主角將夫妻間的私密照片上傳到雲端後不小心分享給親朋好友，千方百計想要取回檔案的故事。而本月初近百位的知名女星也因雲端服務被入侵而致個人私密照外洩，電影情節不僅搬上現實舞台，這次駭客攻擊事件也名列智慧型手機雲端服務史上危害最廣的資安事件之一。

和電影男女主角意外將自己的私密照外洩情節不同的是，此次事件乃為駭客針對特定受害者的雲端帳號「集中攻擊」。根據該科技公司與FBI的調查，這場隱私風暴源於「手機協尋」服務身分登入介面的設計盲點；而駭客正是針對好萊塢女星的帳戶進行集中攻擊，以暴力法 (Brutal Force)破解密碼進而竊取私密照片。暴力破解法若以六個位元的密碼設定為例，其會由「aaaaaa」按照順序嘗試破解排列到「//////」的組合。而原登入介面便是由於密碼錯誤次數未設限制，才導致駭客利用此途徑，針對包括奧斯卡影后珍妮佛羅倫斯等人進行個人資料竊取。在此資安事件後，該登入介面也被更改設定為五次的密碼嘗試錯誤機會，以防堵類似的駭客攻擊。

(圖片來源：http://research.microsoft.com/en-us/UM/redmond/groups/ccs/ )

若要保護個人隱私，除了注意不將個人敏感資料上傳雲端外，也建議避免將個人密碼設定為出生年月日、身分證字號等不法人士可利用社群工具獲取的資料。另一方面，新一代資安軟體也可用來協助保護使用者的密碼被破解的可能。如近期由瑞典資安公司BehavioSec開發的軟體便可藉由比對使用者在輸入密碼時的方式，以輸入密碼的快慢節奏判斷輸入者的身份，區分駭客與使用者，以達到更紮實的資安保護。

在自家存放的錢財可能會被偷走，在銀行金庫的珠寶也可能被竊取，但若多加強認證手續、增加金庫的鑰匙，在享有雲端便利的同時也可擁有安心的保障。以下整理幾個要點做為參考:

• 避免使用連續的阿拉伯數字或英文當作密碼
• 建議以中文注音輸入法的字母位置輸入英文密碼，如：密碼→au4(密)u83(碼)
• 避免使用「password」當作密碼
• 定期更換密碼
• 避免使用個人社群可得資料當作密碼，如出生年月日或身分證字號

參考資料

• http://time.com/3247717/jennifer-lawrence-hacked-icloud-leaked
• http://www.nbcnews.com/tech/security/forget-passwords-future-logging-n188386
• http://www.dailymail.co.uk/sciencetech/article-2739764/Did-iClouds-Find-My-iPhone-function-help-hackers-steal-celebrities-nude-photos-Flaw-exposed-hundreds-images.html
• http://en.wikipedia.org/wiki/Brute-force_attack