微软安全新闻聚焦-双周刊第二十期


Biweekly Spotlights

==== 2012. 8 . 31 – 2012. 9 . 13 第 20  期 ====

微软免费安全工具——系统威胁建模工具

2012 8 23

                  clip_image002[4]

在设计和架构系统时,需要周期性地分析系统存在的安全隐患,从而改进设计方案或构建对应的防御手段。针对此微软发布了一款免费的安全工具:安全开发生命周期威胁建模工具 Security Development Lifecycle Threat Modeling Tool。该工具可以从设计层面检测系统存在的安全和隐私弱点,进而指导设计者和架构师选择正确的缓解方案,以降低系统整体的安全风险。用户在该工具中输入系统的数据流图后,便可以在分析模块中模拟多种攻击,例如身份欺骗、篡改、否认、信息泄漏、拒绝服务和特权提升等,以获取针对不同类型攻击的缓解措施。该工具还可根据用户环境生成威胁分析报告,列出改进建议及其它安全注意事项。需要注意的是,威胁建模需要在整个开发和部署过程中随着系统的改变迭代进行,是安全开发生命周期中不可或缺的一部分。

 

Windows 8 为系统安全创立新标杆

2012 8 21

clip_image004

Windows 8为用户带来了新颖的界面,其新增的安全功能也是一大亮点。第一,建立在统一可扩展固件接口(UEFI)基础上的安全启动功能,使操作系统可以对所有启动组件的数字签名进行验证,防止加载恶意驱动程序,并对所有篡改操作进行监控。第二,安全启动功能会先行加载反病毒软件,保证恶意软件不能提前控制整个操作系统。第三,将 IE 9中的智能窗口技术Smart Screen)扩展到了整个操作系统,可对 URL、文件和应用程序进行声誉检测。第四,拥有多样化的动态访问控制,不同于以往只能对组和用户设定访问权限,在 Windows 8中可以针对登陆方式、登录位置和个人信息等设定不同的访问权限。安全功能虽不如新颖的界面引人注目却至关重要,微软从未松懈对系统安全的严格要求,此次 Windows 8的发布将系统安全带入了一个新的高度。

微软再次提醒:最小证书密钥长度更新     

201291

       clip_image002[8]

微软持续提醒 IT 人员:十月份将全面推送更新来禁止使用密钥长度少于1024位的 RSA 证书,请做好准备!自八月份起,该更新 KB2661254已可从下载中心 Microsoft Update 目录获取,十月份将在 Microsoft Update 中正式发布此更新。此更新不适用于 Windows 8 Release Preview Windows Server 2012,因为这些操作系统已经包含了要求具有 RSA 密钥的证书使用至少 1024 位密钥的功能。此外,KB2661254 也为用户提供了四种主要方法来查找密钥长度少于1024位的 RSA 证书,分别是:手动检查证书和认证路径、使用 CAPI2 日志记录、检查证书模板、在安装该更新的计算机上启用日志记录。我们建议用户使用密钥长度至少为 2048 位的证书。

感谢您的关注!


下期双周刊发布时间:2012 9 27 日。敬请期待!

微软大中华区安全团队

Microsoft GCR Security Team

  

  

 

Comments (0)

Skip to main content