关于Exchange的安全通告-ADV180010

北京时间今晨,我们为Exchange发布了安全通告ADV180010,用于解决其中Oracle Outside in Libraries模块的三个安全漏洞CVE-2018-2768, CVE-2018-2806, CVE-2018-2801。 安全通告访问地址 https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180010 注1:Oracle官方文档, http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html 注2:更新安装前要求具备VC++模块。请参考https://support.microsoft.com/en-us/help/4295081

0

Windows XP 网络威胁及面向小型企业和个人客户的处理指南

Tim Rains – Microsoft 众所周知,Microsoft 已于 2014 年 4 月 8 日结束了对 Windows XP 的产品支持。2001 年,Microsoft 发布了 Windows XP;在不久之后的 2002 年 10 月,又发布了 Windows XP 支持生命周期策略。2007 年 9 月,我们宣布 Windows XP 的支持将额外延长两年,延至 2014 年 4 月 8 日。我们非常明确地指出了产品的生命周期,提前数年便开始有意传播这一消息。因为我们深知,客户需要一段时间来规划技术投资,管理升级到更新系统和服务的过程。 我们也非常注重定期进行沟通,例如去年 8 月发表的一篇文章。此文主要阐述:受支持的版本能获得安全更新以防范新发现的漏洞;而 2014 年 4 月 8 日以后,Windows XP 将无法再获得安全更新。这意味着在 Windows XP 过时后(即结束支持后),再运行这种产品将导致技术风险上升,更容易受到恶意网络犯罪分子影响。这篇博客文章继续讨论上述话题,还提供了一些在采取后续举措时可以借鉴的指导信息。 近来,我跟一些企业客户进行过交流,其中许多企业都已经完成或即将完成将桌面计算环境从 Windows XP…

0

[技术分享]20120118用户密码安全存储建议

安全小测验:存储机密信息最安全的办法是什么?   a)   利用 256 位密钥的强对称加密算法(例如 AES)进行加密。 b)   利用 4096 位密钥的非对称强加密算法(例如 RSA)进行加密。 c)   利用平台内置的加密系统进行加密,例如 Windows 的数据保护 API (DPAPI)。 做出选择了吗?正确的答案实际上是:   d)   既然是机密数据,就完全不要存储! 好吧,这个问题看上去有点难,但其答案是很有道理的:窃贼无法窃取根本不存在的东西。我们把这个原则应用到身份验证操作,如网站登录。如果一个网站永远不存储用户的密码,那么即使网站受到攻击,这些密码也不能被盗走。但是网站如何在不存储用户密码的情况下来验证用户的身份呢?答案就是网站存储密码的加密哈希,而不是明文密码本身。(如果你对哈希的概念不熟悉,我们建议你在继续前阅读 http://msdn.microsoft.com/zh-cn/library/92f9ye3s.aspx#hash_values。)通过比较哈希而不是明文,网站仍然可以验证用户确实知道自己的密码,不然哈希将不会匹配,而实现这个过程并不需要网站实际存储密码(如图1所示)。这是一个不错的解决方案,但是仍有一些设计方面的注意事项,以确保你不会无意间削弱系统的强度。   第一个设计问题是,简单地对密码进行哈希计算并不能提供充分的保护:你还需要在计算哈希值前为每个密码添加随机盐值(Salt)。切记,对于给定的哈希函数,对某个输入值计算哈希值始终会得到相同的输出值。如果时间充裕,攻击者可能会计算出明文字符串及其相应哈希值的表。事实上,已经存在很多这样的表(称为“彩虹表”),并且可在互联网上免费下载。有了彩虹表后,如果攻击者通过任意方式设法获取了某网站的密码哈希列表,那么他可以使用该表轻松地确定初始的明文密码。当你对哈希加盐值时,你就可以从攻击者手中夺走这个“武器”。另外,要为每个用户生成(并存储)特定的盐值,而不是每个用户使用相同的盐值,这一点很重要。如果你始终使用相同的盐值,则攻击者可能会构建一个使用该单一盐值的彩虹表,从而提取出密码。   图 1:比较加盐值后的哈希值   另一个重要的设计问题是,一定要使用强加密哈希算法。MD5 可能是比较常见的选择,但是密码学家已经论证了 MD5 的脆弱性,近年来它一直被认为是不安全且“可破解”的算法。SHA-1 安全性稍微强一些,但它也开始显现被破解的迹象,现在密码学家建议避免使用 SHA-1。SHA-2 哈希算法系列当前被视为最强健的算法,是唯一获得微软安全开发生命周期 (SDL) 加密标准策略批准,可以在微软 产品中使用的哈希算法系列。   相比将SHA-2硬编码入程序,一个更好的办法是实施 “加密灵活性”,就是说即使应用程序已经部署到生产中,也仍然可以改变哈希算法。毕竟,加密算法会过时;密码学家会发现其弱点,并且随着计算能力的增强,使用暴力攻击破解越来越轻松可行。某一天,SHA-2 可能会被认为和 MD5 一样脆弱,未雨绸缪不失为明智的选择。对哈希灵活性进行深入分析讨论已经超出了本篇博文的讨论范围,不过,你可以在 MSDN 杂志文章“加密灵活性”[ http://msdn.microsoft.com/zh-cn/magazine/ee321570.aspx] 中阅读了解关于建议解决办法的更多信息。就像 SDL 强制在微软 产品中使用强加密算法一样,它也鼓励产品团队尽可能使用加密灵活性,这样可以在当前强算法遭到破解的情况下更敏捷地迁移到新算法。   到目前为止,我们已经讨论了要对哪些内容进行哈希计算(密码和随机的特定盐值)以及如何进行哈希计算(使用…

0

20101122, Windows 7 防火墙, 计算机的保卫长城

从建筑学的角度来看,防火墙是用砖石材料、钢筋混凝土等非可燃材料建造,能够切断一切燃烧体。而在计算机系统中,防火墙根据安全策略对网络之间或网络与主机之间的通信进行限制,是计算机的安全防线。下面我将详细介绍 Windows 7 内置的防火墙,与大家共同体验它的灵活与专业。 Windows 7 防火墙总览 从 Windows XP 开始,Windows 系统就自带防火墙,防止黑客或恶意软件通过网络入侵您的计算机。经过 Windows Vista 的发展,Windows 7中的防火墙日臻完善。首先,通过控制面板中的选项您就可以直观地完成防火墙的所有设置,界面简洁清晰。再者,Windows 7的防火墙中集成了高级安全 Windows 防火墙,能够更加专业、全面地进行防火墙策略配置。 依次打开“控制面板”->“系统和安全”->“Windows 防火墙”,您就可以进入 Windows 防火墙的界面了。这个界面下您可以直观地看到当前计算机与不同网络的连接状态,以及相应的网络保护措施。 图1  Windows 防火墙界面 Windows 7 防火墙常规设置 对于普通用户而言,Windows 防火墙常规设置即可满足您通常的安全需求。您可以自定义每种网络的防火墙设置,还可以选择允许通过防火墙的程序或功能。 > 自定义每种类型的网络的设置 通过对不同的网络位置使用不同的保护措施,可以更加灵活地保护计算机安全。比如,计算机在公用网络中面临的威胁往往多于家庭或工作网络,因此对于公用网络可以设置更加严格的传入连接规则,以获得更有保障的安全防护。 注:传入连接表示网络中发来的数据包的目的地为本机(如即时通讯软件接收文件),而传出连接则表示数据包由本机发出(如应用程序连接某个网站)。 点击图1界面左侧的“打开或关闭 Windows 防火墙”或者“更改通知设置”即可针对每一种网络位置进行独立的设置,如下图所示。 图2  自定义每种类型的网络的设置界面 启用 Windows 防火墙的情况下,您可以进行如下两个设置: 1. 阻止所有传入连接,包括位于允许程序列表中的程序。如果阻止所有传入连接,可能会影响允许程序列表中的程序正常使用,因此默认情况下,该选项是不选中的。 2. Windows 防火墙阻止新程序时通知我。该选项能够便于对是否让防火墙阻止该新程序做出判断响应,建议选中。 > 设置允许通过 Windows 防火墙的程序或功能 点击图1界面左侧的“允许程序或功能通过 Windows 防火墙”即可在程序和功能层面进行传入连接的规则设置,如下图所示。…

0

20101014 – 2,IE9的 InPrivate 和 SmartScreen 功能大揭秘

第一部分 序言 在近日推出的 IE9 测试版中,我们发现 IE8 中的几个实用的安全功能被保留了下来,并被进一步的完善,其中就包括 InPrivate 浏览和 InPrivate 筛选,以及在 IE8 中成功阻止10亿次试图下载恶意软件行为的 SmartScreen 筛选器。 图1:各版本 IE 功能比较 在这篇文章中,我们就要向大家介绍如何在 IE9 中使用这几项安全功能,来保护个人隐私,保障系统安全。 第二部分 InPrivate 浏览 很多时候,我们不得不使用公用的电脑浏览网页,但是并不想让他人知道我们访问网页的记录和信息,这时,InPrivate 浏览就能帮助我们解决该问题。InPrivate 浏览可以让浏览器不保留我们的浏览历史记录、Internet 临时文件、表单数据、Cookie 以及用户名和密码。 我们可以通过三种方法使用InPrivate 浏览: 方法一:在“安全”菜单中点击“InPrivate 浏览”项: 图2:InPrivate 浏览的方法一 方法二:在新标签页右下角点击“InPrivate 浏览”链接: 图3:InPrivate 浏览的方法二 方法三:使用快捷键“Ctrl+Shift+P” 在启用InPrivate 浏览后,Internet Explorer 会启动新的浏览器会话,该会话不会保留有关访问的网站或执行的搜索的任何信息,关闭该浏览器窗口即可结束 InPrivate 浏览会话。 我们很容易在 IE9 的界面中看出普通浏览和InPrivate 浏览的区别: 图4:InPrivate 浏览的界面 图5:普通浏览的界面 第三部分 InPrivate…

0

20101014 – 1,IE9 下载管理,轻松您的下载

众里寻她千百度,IE9作为浏览器的二次革命,其测试版在万众瞩目之下于9月15日全球发布。IE9在速度与性能上尽显品质,带给您快速、高效的浏览体验和清新、简洁的视觉盛宴。同时,在网络安全备受关注的时代,IE9着眼安全,为您撑起互联网中一片宁静的天空。 图1 IE9界面总览 简洁且清新,高速且安全,IE9,带您尽享网络之美。下面我们将带您一同体验 IE9在安全性上的一大亮点——下载管理器。 IE9下载管理,用户安全下载的福音 文件下载是恶意软件传播到客户端主机的主要途径之一,而这些恶意软件善于易容,经常伪装成视频、pdf 等看似无害的文件,甚至混入邮件附件。所谓暗箭难防,一旦您稍有疏忽,这些恶意软件就可能趁虚而入,破坏您的计算机或信息。而 IE9堪为您的忠实卫士,能帮助您严格把关,保证下载文件的安全。 IE9 中自带集成了 SmartScreen 的下载管理器,对您即将下载的文件进行全面检查,包括病毒扫描、验证可执行文件是否来自可信数据源和使用应用程序声誉服务。当您点击下载链接下载文件时,下载管理器将自动开启。如果您需要对已经下载的文件进行操作,可以点击“工具”->“查看下载”进入查看和跟踪下载界面。 图2 打开下载管理器 IE9下载管理器的新功能中,下载声誉 (Download Reputation) 可谓一项突破性进展,借助下载声誉,IE9能够明确区分常见的下载内容与危险的内容,为您提供高可信度的安全决策。 具体而言,应用程序声誉服务能够对即将下载的内容进行检查,如果下载的内容声誉较差,则表示该内容十分危险,浏览器将弹出警示框。 图3 警示框 同时,在查看和跟踪下载列表中也会进行相应的提示。 图4 查看和跟踪下载列表 下载管理器还会为您提供可选操作,推荐操作为删除危险的文件。 图5 下载管理器提供操作 对于常见的下载内容,IE9则无任何警告,能够保证极低的误报率。 注:在IE9的测试版中,可能暂时不包含下载声誉功能。经过评估与完善后,该功能将会对所有启用了 SmartScreen 的用户开启,并且无需通过任何代码更新。 透视应用程序声誉,开发者最佳实践 既然下载声誉如此重要,那么对于应用程序开发者而言,如何构建良好的声誉呢? 对您的应用程序进行认证码签名 与特定的文件相同,数字证书同样具有声誉。您可以选择一个声誉较好的数字证书对您的应用程序进行签名。 确保应用程序不包含恶意代码 一旦您的应用程序被确定为含有恶意代码,该程序的下载声誉和相应的数字证书的声誉都会降低。 申请 Windows Logo 支持 对于通过微软针对兼容性和可靠性测试的程序,可以获得 Windows Logo 支持。具体参考 Windows 7 Logo Program (英文)。 IE9下载管理,对下载内容全面检测,显著降低误报,为您提供可信赖的下载安全保障。IE9,轻松您的下载,安全您的下载。 小贴士:请注意 IE9 目前发布的是测试版,…

0

20100830 – 2,Windows Live 家庭安全设置,为您的孩子营造良好的上网环境

一 背景介绍 随着科技的不断发展,网络已经延伸到全球的各个角落,它的使用者覆盖到近乎每个年龄段。随之而来的就是全球越来越多的孩子在网络包围的环境中成长。尤其是近来常被提到的90后,他们掌握了驾驭网络的能力,但也会面临许多不良体验的困扰。 全球知名信息安全厂商诺顿公司最新发布的一项有关儿童上网行为的调研报告(报告链接)显示:超过60%的孩子有过不良的网络体验,这些内容从接触色情和暴力信息到尝试与陌生人在现实环境中会面等,半数以上的孩子对有过不良体验深感自责。孩子们认为不良网络活动会对他们的情绪产生巨大影响,孩子们可能因此类事件而生气(39%)、沮丧(36%)。全球1/5的孩子表示,他们对自己在网上做过的事感到后悔。 因此,在为孩子营造一个良好的上网环境的过程中,家长起到了至关重要的作用。家长在日常生活中,若能给予孩子正确的上网引导和适当的约束,孩子才能够从网络中汲取有用的知识,同时尽可能地避免网络带来的不良体验。但是家长不可能时刻盯着孩子,那怎样才能给予孩子适度有效的关怀和约束呢?Windows Live 简单方便的“家庭安全”功能可以助家长一臂之力。 二 如何使用 安装并使用 Windows Live“家庭安全”十分的简单,完成下面的几个步骤后,家长就可以开始全方位的管理孩子的上网情况。 1. 下载并安装 访问Windows Live 家庭安全下载页面,单击“下载”。按照屏幕上的说明安装“家庭安全”。安装完成后,即可运行 Windows Live “家庭安全”。 2. 登录并选择监控对象 图1:登录并选择监控对象 选中要在该计算机上监视的孩子的 Windows 帐户旁边的复选框,然后单击“下一步” 或“保存”(首次选择孩子的账户时)。如果孩子没有 Windows 帐户,可以使用“新建 Windows 帐户”按钮创建新的 Windows 账户。点击“下一步”后,我们还需要将“Windows 帐户”与家庭成员相关联。 3. 开始监控账户 选择孩子的账户之后,家长就可以在任意一台计算机上使用家长的 Windows Live ID 登录到家庭安全网站,对孩子的账户进行监控。我们将在接下来的部分向大家具体介绍几个很实用的监控功能。 图2:开始监控账户 三 功能亮点 1. 网页过滤 Windows Live “家庭安全”有强大的网页过滤功能,家长可以依据孩子的年龄,轻松地修改孩子访问网页的权限,给孩子最好的保护。 网页过滤提供了五大级别,包括“仅限白名单”、“适合孩子”、“一般兴趣”、“联机通信”以及“成员警告”。 家长可以灵活设置网页过滤列表,包括:白名单,即允许孩子访问的 URL ( e.g. www.bing.com…

0

20100830 – 1,MSN 全新亮相 之 “我的隐私我做主”

古有滕王阁“落霞与孤鹜齐飞,秋水共长天一色”,现有 Windows Live 隐私与分享并重,为您提供安全而又多彩的社交体验。 随着社交化网络的普及,人们愈加普遍地利用网络平台分享着喜怒哀乐,渲染着生活的七彩霞光。在社交化网络开放、共享的主题之下,如何保护隐私成为重中之重,也是微软开发团队为保证用户安全的精心考量。如果您的个人信息遭到公开,垃圾邮件、骚扰电话不约而至尚是小事,不法分子可能通过这些信息获取您的账户、密码等,而后盗用您的钱财甚至借助您的身份肆意妄为,可谓丢了夫人又折兵。 全新亮相的 Windows Live Windows Live 集 Facebook、开心网的社交功能与 QQ、飞信的即时通讯功能于一身。不但具有丰富多彩的社交平台,还为用户提供了全面便捷、功能强大的隐私保护机制,使您体验春色满园之时,再无红杏出墙之忧。 全面的隐私级别设置 Windows Live 的隐私设置功能全面,且操作便捷。 1. 当您首次登陆 Windows Live Messenger 或进入个人资料界面时,Windows Live 服务会邀请您进行简单、基本的隐私级别设置,共分为公开、受限和私人三种级别。系统默认选择为“受限”级别,仅向您的朋友公开您的活动、更新和个性内容,其他人只是可以搜索到您并查看您的个人资料,或发送朋友邀请。您可以根据页面的文字解释和您的个人需求来选择一个合适的隐私级别。 2. 在您今后的使用过程中,可以通过个人资料中的隐私选项随时更改隐私级别,如下图所示。 3. 如果您需要对个人资料、相册、文档等进行详尽的设置,高级隐私设置帮您实现。在高级隐私设置中,将公开信息的对象分为五种,分别为只有我、部分朋友、朋友、我的朋友和他们的朋友、所有人。您可以针对教育、朋友列表、好友动态这样细致的内容逐一进行隐私设置,如下图所示。事无巨细,Windows Live都为您做到。 周全的访问权限控制 当您上传文件、相册或是完善个人信息时,Windows Live 都会为您提供访问权限的设置。与高级隐私设置相同,有权访问的联系人共分为所有人、我的朋友和他们的朋友、好友、其他朋友和只有我五类,您能够针对某类联系人具体设置其访问权限。 以共享文件为例,您可以选择您的好友、我的朋友和他们的朋友等具有添加、编辑详细信息和删除文件的权限,抑或只有查看文件的权限,如下图所示。横看成岭侧成峰,如何分配访问权限由您灵活选择。 另外,如果您需要对某个特定的联系人区别对待,可以在添加特定联系人中通过输入名字或电子邮件地址、或直接从联系人列表中选择的方式进行添加,并可以设置这位特殊联系人的访问权限。设置完成后,Windows Live 会向该联系人发送电子邮件,告知您与他分享了文件,并提供文件的访问链接,如下图所示。 灵活的好友共享设置 Windows Live 还为您提供了因人而异的隐私设置,您可以针对任何一个好友进行详细的共享内容设置。 1. 当您收到朋友邀请时,如果您不希望与此人深交,可以选择“限制此人访问我的内容和信息”,这样他无法向您发送即时消息、或是查看您的照片、文件等内容,只是可以看到您的网络更新。值得一提的是,他并不知晓您限制了他的访问权限,避免了尴尬场面的出现。 2. 如果您不想与此人成为朋友,Windows Live 为您提供了礼貌的拒绝方式,您选择“不,谢谢”后即拒绝了朋友邀请,他无法查看只对好友共享的内容,却仍然可以看到您的公开信息和更新提示。如下图所示。 3. 对于您的现役好友,能够在他的个人资料中查看“您与其他人的共享内容”进行所有共享信息的单独设置,如下图所示。您可以对任意一个共享内容进行该好友访问权限的重新设置。 踏遍青山人未老,风景这边独好。这就是新版 Windows Live 为您提供的全面便捷、功能强大的隐私保护机制,让您轻松保护自己的隐私,真正做到“我的隐私我做主”! 微软安全支持部…

0

20100607, Microsoft Office 2010 保护文档 之 给您的文档加把“智能锁”

在 Microsoft Office 2007 中,您可能已经享用过它的加密文档、限制权限等保证文档安全性的功能;Office 2010 延续了这些功能,并在用户体验方面进行了升级与完善,为您提供了更加明了清晰的界面和简洁易用的操作。下面就让我们看看 Office 2010 下保护文档的使用方法吧! 每个人都有自己的空间,您可以为自己的日记本加锁来防止他人阅读,那么对于电子文档,是不是也可以加一把更加安全且无形的锁呢?这就是 Office 2010 使用密码加密文档的功能。 如果您不想让“密码”这种原始的钥匙把“密友”也拒之门外,您也可以自己来把门,让他们享有特权哦,至于其他人,只有征得您的同意才能阅读或者修改文档。是不是比密码更加灵活而且安全呢?这就是 Office 2010 按人员限制权限的功能。 怎么样,Office 2010 保护文档的功能很强大吧,您一定跃跃欲试了,就让我们一起来看看吧。 1. 如何进入保护文档的设置 Office 2010 中使用保护文档的方式与 Office 2007 略有不同,点击“文件”->“信息”即可看到保护文档,并且显示了当前文档的安全设置。点击“保护文档”即可看到可设置的各个安全策略。是不是与 Office 2007 相比,界面更加易用、明了了呢? 2. 用密码加密文档 这个功能就相当于给文档加了把锁,只有拥有正确的钥匙(也就是密码)才能打开哦。设置密码加密的方法也非常容易,只要点击保护文档中的“用密码进行加密”,然后设置好密码就 OK 了。 小提示:密码最好包含字母、数字和特殊字符,而且要长一点哦。 输入密码后再次确认一下就设置完成了,让我们具体试试看吧,直接打开这个加密的文档,OK,密码验证对话框出现了。 只有输入正确的密码才能打开哦。小提示:如果您担心别人使用其他的编辑工具打开,那么您尽可放心啦,其他的编辑工具都会显示错误信息,根本无法打开。Office 2010 已经全面地考虑了在其他编辑工具下文档的安全性。 3. 按人员限制权限 这个功能可以限制具体某个具体用户的权限,这样您就可以给您的“密友”一点特权啦。小提示:这种方式不仅可以限制用户的访问,还会对文档本身进行加密呢,而且这种加密不是使用“密码”来解开的哦。因此,没有特权的用户是不可能读取或修改文档的,就没有了使用密码加密方式中密码被破译的后顾之忧了。 同样,点击保护文档中的“按人员限制权限”,并选中“限制访问”,将弹出对话框让您选择用户,这个用户可以创建或打开受限权限的内容,也可以说是对文档具有完全的控制权。 也可以点击“添加”添加新的用户,添加的步骤如下。首先选择“是,我希望注册使用 Microsoft 的这一免费服务”。 而后,会询问您是否拥有 Windows Live ID,如果有,那再好不过了,直接选择“是”就 OK 了。如果没有,您要花一点点时间去注册啦。登录到…

0

紧急安全补丁概述 [转译]

《本文转译自 Security Research & Defense 博客文章 “Overview of the out-of-band release”》 今天我们发布了 安全通报973882,同时还有两个紧急的安全公告,分别是 MS09-034(Internet Explorer 更新)和 MS09-035(Visual Studio 更新)。到目前为止,对于已经部署了 MS09-032 的用户,我们没有发现任何 “不可控” 的利用了 973882 和 MS09-035 中所述漏洞的攻击。MS09-034 和 MS09-035 共同构建了进一步的防御,以防范针对 ATL 中已知漏洞的攻击。 为什么发布额外的安全补丁? 微软获悉这些漏洞已经有一段时间了,在过去的几周内,关于这个漏洞的额外信息一直在增加。随着 Black Hat 和 Def Con 安全大会的临近,有着相同爱好的人们聚集到一起,如果有更多信息被泄露,他们天生的好奇心会导致用户面临的危险增加。我们已经获悉了一个利用 ATL 漏洞的攻击,该攻击针对的是 msvidctl.dll 控件。目前,所有已知的攻击在 MS09-032 更新面前都偃旗息鼓。我们决定主动提前发布这些安全更新,以一种更可控的方式来保护用户和发现威胁,而不是在发现更多利用 ATL 漏洞的威胁和攻击后才采取行动。因为预感在下个补丁日到来之前威胁会增加,所以,在这种特殊情况下,我们相信用额外的补丁来为用户提供保护是最正确的做法。 为什么发布两个独立的安全公告? 这两个安全更新共同解决了独立的 CVE(Common Vulnerabilities and Exposures)问题,它们之间是有关联的。解释如下: 促使额外发行安全公告的相关…

0