微软安全新产品和趋势——2018 RSA 会议

本周在美国旧金山2018年RSA会议上,微软为大家带来了全方位新安全产品、安全特性。 企业安全教育利器 ——Office 365中的攻击模拟器(Attack Simulator) https://support.office.com/en-us/article/attack-simulator-office-365-da5845db-c578-4a41-b2cb-5a09689a551b?ui=en-US&rs=en-US&ad=US 为企业打造的终端智能保护方案——Windows Defender Advanced Threat Protection https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-atp/portal-overview-windows-defender-advanced-threat-protection 安全工具管理分析利器——智能安全图谱开放接口Microsoft Graph Security API(预览版) https://developer.microsoft.com/en-us/graph/docs/api-reference/beta/resources/security-api-overview 智能安全物联网平台解决方案—— Azure Sphere(预览版) https://azure.microsoft.com/en-us/blog/introducing-microsoft-azure-sphere-secure-and-power-the-intelligent-edge/ 其它会议上更多的微软安全信息技术,欢迎参考https://www.microsoft.com/en-us/security/rsa。   相关信息 RSA会议视频回放,https://www.rsaconference.com/events/us18/rsac-ondemand  

0

每月发布的Windows Defender防病毒平台更新

企业用户的管理员可能注意到从2017年12月开始,在Windows Server Update Service (WSUS)上,针对Windows Defender产品,除了每天三次的定义更新外,每月还会有一个防病毒平台更新(Antimalware Platform Update)。 例如下图: 上图标题中的4.12.17007.18022是版本号。下图是在Windows 10 1709上查看确认版本号。 这一变化是为了更快应对不断演化的各式攻击和威胁。因此我们推荐您: 除了每天更新病毒库(定义更新),也记得要每月升级防病毒平台。 这个更新独立于Windows 10的累积更新,可以通过Microsoft Update或者WSUS获取。企业环境中要部署的话,请注意属于“定义更新”分类,“Windows Defender”产品。 这个更新不需要重新启动系统。 参考链接 Monthly antimalware platform updates for Windows Defender Update for Windows Defender antimalware platform  

0

如何理解”安全通告——ADV180002″

近日大家都在关注披露的CPU漏洞。微软安全公告 (中文版本请点击这里)提供了全面指导、缓解修复方案和对应官方技术文档链接。为便于广大用户的理解,我们这里试着为大家再深入解读一下。   涉及的安全漏洞 CVE-2017-5715 – Bounds check bypass CVE-2017-5753 – Branch target injection CVE-2017-5754 – Rogue data cache load 微软受到影响并已经提供缓解方案的产品 浏览器 Windows SQL Server Surface Microsoft Cloud 兼容性 请咨询防病毒厂商以便确认您所使用的防病毒系列产品是否兼容修复CPU安全漏洞所需安装的Windows安全更新。企业用户请咨询防病毒厂商,以便了解用于标示 “兼容”的注册表项和对应的键值可以通过哪些方式在大量系统上自动配置部署。详细情况请参考Microsoft Knowledge Base Article 4072699 *微软防病毒软件(Windows 8.1/Windows 10上的Windows  Defender)对安全更新兼容的。 *更多与硬件兼容信息请参考我们的安全通告微软安全公告 (中文版本请点击这里) 性能 我们之前的测试显示,安装安全修复不会对桌面系统有明显性能影响。对于服务器系统,我们建议您在生产环境部署应用之前一定要做好测试。每个服务器所提供的服务,由于所处环境千差万别,我们不能随意预测对您服务器的可能影响。 对于SQL服务器,请阅读我们的指南Microsoft Knowledge Base Article 4073225来测试实施。 <北京时间1月10日凌晨>我们最新关于安全补丁对性能影响方面的建议, 请进一步参考Understanding the performance impact of Spectre and Meltdown…

0

CPU微码安全漏洞 (Vulnerability in CPU Microcode)

各位新年好!2018年的首个重要安全公告是影响CPU和操作系统的——“猜测执行边信道攻击安全漏洞”。这类漏洞刚被公开披露。它们影响了整个行业、多个厂商的不同硬件(Intel, AMD和ARM)、软件(Windows, Linux, Android, Chrome, iOS, Mac OS)等 。 微软作为行业重要一员,一直以来始终把用户安全放在首位。我们积极展开研究开发工作,并以最快速度推出缓解漏洞影响的各种安全更新。这些更新除了修复针对本地计算平台,也对云平台(Azure, Office 365, Dynamic等)做了相应修复处理。 微软安全通告北京时间今早(第一时间)发布。 ADV180002 | Vulnerability in CPU Microcode Could Allow Information Disclosure 中文链接:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/ADV180002 英文链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002 CVE-2017-5715 – Bounds check bypass CVE-2017-5753 – Branch target injection CVE-2017-5754 – Rogue data cache load 对应的安全漏洞、受到影响的产品(包括物理机和虚拟机),是否已经观测到活跃的攻击,这些信息都在上述安全通告中得到发布。 这里我们提请大家注意,因为这个安全问题影响到硬件,因此是否需要升级固件,请大家一定要关注对应硬件厂商的官方准确信息。仅仅完成软件修复并不完整。 对于安全修复潜在的性能影响,我们恳请大家不要因为潜在的性能影响而无视安全。尤其对企业用户,请有计划地测试。如果发现问题,及时联络软硬件厂商研究解决。  

0

Windows 10 1709 的安全特性 – 2018年1月9日网络直播

<更新, 2018年1月9日,产品组将提供网络直播(英文),您可以注册收看。担心错过的话,请先注册,之后回放地址会发送给您。>   Windows 10 秋季创新者更新(1709)推出已经有两个多月了。这个版本的Windows操作系统添加并强化了很多安全特性。 Windows Defender Advanced Threat Protection (Windows Defender 高级威胁防护) Windows Defender Application Guard (Windows Defender应用程序防护) – 利用Hyper-V技术为浏览器创建沙盒,隔离潜在威胁和恶意软件。 Windows Defender Exploit Guard (Windows Defender攻击防护)– 继之前EMET(Enhanced Mitigation Experience Toolkit)后,作为 Windows 10 的一组新的主机入侵防护功能,能够管理和减少所使用的应用的攻击面。这也是对抗勒索软件的一大利器,详情可以参考英文博客。 Windows Information Protection可以和Office 365及Azure Information Protection一起部署。 系统默认初始直接安装时不再囊括SMB v1 模块(原系统如已经启用该模块,升级安装到Windows 10 1709将继续保留这个模块)。   关于这些特性的部署使用,我们有几个英文的免费虚拟实验,欢迎大家体验。 Deploy Windows Information Protection 部署Windows Information Protection来加密企业数据并远端从设备上擦除数据。…

0

部分EPSON针打和微打工作异常的问题——全部解决

我们上周观察到在我们的TechNet 论坛和其它一些安全论坛社区中,有用户提出安装了本月安全更新后,部分EPSON SIDM(Dot Matrix)和TM(POS)打印机工作异常。对此,微软和EPSON第一时间展开合作和分析。   北京时间11月22日,对于受到影响的Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2平台,率先发布了更新KB4055038(请注意这是一个非安全更新)以解决问题。您可以参考以下知识库文章了解技术细节。问题的原因已经明确,我们确认这个问题不会影响全部EPSON打印机。 https://support.microsoft.com/zh-cn/help/4055038/november-21-2017-kb4055038 “此更新解决了阻止某些 Epson SIDM(点阵)和 TM (POS) 打印机在基于 x86 和 x64 的系统上打印的问题”   其它受影响平台的问题解决进展情况(全部解决)。 <北京时间11月23日,Windows 10 1703最新版本更新KB4055254修复此问题> <北京时间11月28日,Windows 10 1607/Windows Server 2016最新版本更新KB4051033修复此问题> <北京时间12月1日,Windows 10 1709最新版本更新KB4051963修复此问题> <北京时间12月13日,Windows 10 1511和Windows 10 1507 LTSB最新版本修复此问题。注:Windows 10 1511已经于2017年10月结束支持周期。> <北京时间12月15日,Windows Server 2008…

0

病毒再次来袭

透过微软历年来发布的微软安全情报报告,我们可以看到全球所面临的安全形势在不断地发生着变化。战争、国际间纠纷以及自然灾害等这些看似和网络安全无关的事件其实都会对全球的安全形势造成影响。而病毒感染率就统计数据来看,相对于其他的恶意软件,如今已经降低到了较低的水平,攻击者似乎已经不再钟爱于病毒了。 在互联网还不是太普遍的时候,病毒始终是计算机安全的主要威胁来源,它们会感染系统中特定的文件,如exe、.dll和scr文件等,威胁用户的系统安全。但是如今互联网已经步入寻常百姓家,大部分计算机都会接入到互联网中。因此,木马、蠕虫等借助网络传播的恶意软件可以在数分钟内在世界范围内广泛传播,相比之下,通过文件互相感染的病毒传播起来就慢得多。再加上病毒更容易被检测出来,这些都导致了病毒在这些年的安全威胁中都始终在低位徘徊。 近几年,病毒的感染率始终都低于5%,但是最近,通过统计发现,病毒大有再次来袭的趋势。在图1中,我们可以看到在2012年的第四季度,病毒感染率达到了7.8%,并且呈现出了上升的趋势。 图1 3Q11–4Q12中安全威胁种类统计图 其中病毒感染率较高的国家包括巴基斯坦(44%)、印度尼西亚(40%)、埃塞俄比亚(40%)、孟加拉国(38%)、索马里(37%)、埃及(36%)和阿富汗(35%)。通过国际电信联盟在2011年发布的数据来看,这些地区都有一个共同的特点,就是他们的互联网地接通率和带宽都低于平均水平。因此我们看到了,低网络带宽的地区往往病毒感染率越高。究其原因,是因为网络环境差的地区的用户,其反病毒软件以及其他软件得不到及时地更新,从而导致病毒的肆意感染。后来统计出的结果——这些地区有30%-40%的反病毒软件没有得到及时更新也证明了我们的推断。 当前,微软发现在全球最为广泛传播的病毒是Win32/Sality,Sality病毒是会感染scr或者exe为后缀名的文件,终止系统中与安全相关的服务。对于没有安装MS10-046更新的系统,该病毒还可以对漏洞CVE-2010-2568进行利用。如图2所示,在2012年,微软在全球共检测出8,204,434台感染的计算机。 图2 2012年第四季度恶意软件排行榜 图3 恶意软件在不同系统中分布 如图3所示,在Windows XP 中,Sality 病毒排在前5名之中,而在更新版本的操作系统中,Sality的威胁较Windows XP要小很多。 Sality 病毒的成功提醒我们对于通过文件感染传播的病毒仍不能掉以轻心,用户可以通过以下方法抵御Sality病毒: 1. 知己知彼,百战不殆。通过微软恶意软件防护中心的博客http://blogs.technet.com/b/mmpc/archive/2010/07/30/stuxnet-malicious-lnks-and-then-there-was-sality.aspx 深入了解Sality。 2. 升级系统中的软件到最新版本。 3. 使用实时的反病毒软件。   英文原文链接:http://blogs.technet.com/b/security/archive/2013/05/16/are-viruses-making-a-comeback.aspx

0

微软发布安全通报2847140

微软在5月3日发布了安全通报2847140以解决在 Internet Explorer 8 中的一个安全漏洞。当用户使用 IE 8 被攻击者诱使浏览一些恶意站点时,该漏洞可能触发远程代码执行。攻击者通常使用邮件或者即时消息来传播恶意站点。Internet Explorer 6、7、9和10并不受该漏洞的影响,所以通过升级 IE 到版本9或者10均可避免该漏洞的影响。 微软正在积极地解决该漏洞,于此期间,微软希望受影响的用户采取以下在通报中所提到的措施,以缓解该漏洞的影响: 将IE浏览器中 Internet 和本地 Intranet 的安全级别调整至“高”,以阻止 Active X 控件和动态脚本。 配置 IE 浏览器,使其在 Internet 和本地 Intranet 中,在运行动态脚本前提示或者直接禁止动态脚本。 以上两个防护措施可能都会影响到用户的正常使用,因此建议用户将常用的可信的站点添加到IE中的受信任站点中。 微软建议用户根据在安全中心网站“保护我的计算机”中给出的指导,开启防火墙、升级软件、安装反病毒软件和反间谍软件。同时在平时要养成良好的上网习惯,不要点击可疑链接,对于陌生人的邮件要谨慎处理。 谢谢! 大中华区软件安全项目组

0

微软发布安全情报报告卷14

 微软于4月17日发布了《安全情报报告卷14》,该报告主要总结和分析了2012年下半年,全球的安全威胁形势。下面将会首先介绍该报告主要内容,然后针对报告中的三个话题做重点导读。 报告主要内容 整个行业中软件漏洞出现的趋势和分析 世界范围内的恶意软件和垃圾软件的趋势和分析 超过100个国家和地区的安全形势分析 深度分析垃圾邮件和其他邮件安全威胁 世界范围内恶意站点分析,包括钓鱼站点、含恶意软件站点和路过式下载站点 报告中还用一章的篇幅分析了使用最新反病毒软件的重要性,对于企业的安全管理人员,可以通过该章节了解到企业在安全方面的投入的重要性。   恶意站点成为企业最大的安全威胁 Win32/Conficker蠕虫大家肯定都不陌生,微软安全情报报告从2008年就开始关注该病毒的状况。该蠕虫在过去的三年半的时间里,一直蝉联恶意软件排行榜第一名。但是在这次报告中我们可以看到,JS/IframeRef木马已经超过了 Conficker,成为了感染率(CCM)最高的恶意软件。IframeRef 是一段恶意的 JavaScript 代码,嵌入被感染或者恶意的站点中,当用户浏览该站点的时候,会强制用户的浏览器跳转到其他站点并下载恶意软件。通过统计发现,在2012年下半年,安全威胁前十名中有七个都是基于网站的安全威胁,其中IframeRef 的感染率较2011年上升了32%,JS/BlacoleRef则上升了25%。微软建议企业采取以下措施进行防护: 及时更新软件:所有厂商的软件产品都有可能是攻击者攻击的目标,因此用户要及时更新相应的软件,尽可能使用最新版本软件,这样可以很大程度地增加攻击者攻击的难度。 软件开发需要使用安全开发生命周期:企业定制的软件最好是使用安全开发生命周期开发的软件,这样的软件在安全方面有更好的保障。 限制网站站点访问:在企业中,限制员工可以访问的站点,该方法将会有效地降低基于网站的恶意软件的攻击。 处理好自己网站的安全问题:很多企业可能没有注意到其实自己的网站中就含有恶意软件。因此建议企业对自己的网站做定期的安全检查。 提升网络安全技术:使用一些新的安全技术以提升网络安全保障,如Network Access Protection (NAP)。   每个人都是反病毒软件的受益者 很多用户可能都有过这样的疑问:反病毒软件真的有用么?而在这次发布的报告中,微软用大量的数据事实回答了这个问题:每个人都是反病毒软件的受益者。微软通过分析2012年下半年从超过10亿台计算机中收集到的数据发现,未受保护的计算机的恶意软件感染率是受保护计算机感染率的5.5倍。报告还通过格鲁吉亚和芬兰的数据对比说明了未受保护的计算机比例越高,该地区的恶意软件感染率也就越高的现象。在格鲁吉亚,未受保护的计算机比例高达33%,而该地区未受保护计算机的恶意软件感染率为75%-95.5%。在芬兰,未受保护计算机比例只有14.6%,而该地区未受保护计算机的恶意软件感染率只有1.9%-5.4%。因此可以看出反病毒软件在抵御恶意软件方面的重要性。尽管没有完美的反病毒软件,但是其在降低恶意软件风险方面的作用是不言而喻的,一个简单的安装或是更新都能够使企业或者个人减少至少80%的恶意软件感染风险。     生活和工作中的安全威胁 从该报告中,我们还可以看到由于用户在工作中和在生活中的系统环境、操作内容的不同,受到的恶意软件也不尽相同。首先在工作中,像 Conficker 这样的蠕虫仍然是主要的威胁来源,同时IframeRef 木马的急速增长也使我们不能轻视。而在生活中,用户受到的最大威胁则来源于Keygens恶意软件,该恶意软件主要利用用户希望使用免费软件的心理,借助密钥生成软件进行传播。而在企业中,由于使用的软件是受证书审计约束的,因此该恶意软件在企业环境中较为少见。同样广告插件也主要影响日常生活中的用户。   我们建议用户下载阅读该报告,通过报告中的各种数据统计及其分析,了解当前的安全威胁形势,做到知己知彼,以减轻安全威胁,更好的构建安全的网络环境。

0

微软如何保障其云数据和设施安全

    为了使用户能够对微软的云服务有信心,微软一直乐于向用户公开一些其云服务的技术信息,并且同企业分享我们所积累下来的云最佳解决方案,尽我们最大可能地保持技术的公开和透明,以同业界共同促进云服务的发展。尽管云服务的安全性是一个十分复杂的问题,但是本文将尽可能做到深入浅出,便于读者理解。在开始之前,我们首先向用户推荐我们最近在 Security and Compliance 网站上发布的一系列视频和白皮书,用户可以从中深入详细地了解到微软保证云服务安全的各种策略。 云服务在安全方面所面临的挑战     如今,公共服务和私有服务的相互依赖程度越来越高,全球各个企业对数据安全的规章和行业标准越来越复杂,云服务的规模越来越大,攻击者使用的攻击手段也越来越复杂多样,这些是所有的用户和提供商面临的云时代的挑战。而微软在这些问题上的研究已经有了24年的经验。微软现在在为全球76个地区的超过10亿用户提供200多种云在线服务,如此规模的云服务所伴随的数据的安全性、私密性对我们来讲都是极大地挑战。微软在用户数据安全方面从未有过丝毫马虎和懈怠,我们在云服务设施(如数据中心,网络等相关基础设施)上部署完善的安全策略,采用恰当的技术和规范的操作流程,以确保数据不被泄露。     当看到越来越多的企业和组织开始使用将服务转移至云端,我们对于云服务的未来也越来越充满信心。在上周的 RSA 会议中,众多厂商都对云服务的安全性问题献计献策,共同致力于提供可信安全的云。其中我推荐来自微软可信计算的 Scott Charney 所做的报告——“The Case for Optimism”。 微软的信息安全管理系统      我们将企业安全最佳实践和数十年来我们在安全方面的经验相结合,运用于云安全管理程序中。该程序的核心基础是信息安全管理系统,它能在满足用户业务需求的同时,能够兼顾行业安全标准,确保用户的数据安全。此外,我们还采取全面、深入的安全控制策略,以应对各种安全威胁。     云服务的安全形势错综复杂,提供商需要时时保持警惕:你的云平台是否有严格的保护机制,是否有缓解风险的策略,针对具有不同敏感程度的数据和实施,是否采用了不同级别安全保护措施,会不会在安全事故发生时候手足无措,这些都是提供商应该考量的问题。我们将这些来之不易的经验和一些创新的防范相结合,应用于我们的系统中,这就是我们值得用户信赖的地方。     很多用户会对云服务提供商的能力提出质疑,而微软能够向全球范围内的用户提供云服务,我们不仅满足政府和企业的强制安全要求,更在努力为他们提供理想的安全保障。我们还拥有一系列的第三方资质认证。这些都是提高用户信任度的重要因素。     微软将同其他企业一道致力于解决云服务所带来的安全风险,为用户提供安全可靠,值得信赖的云服务。如果您希望了解更多有关微软云安全管理系统的信息,或者希望得到有关企业使用云服务的建议,请参照 Security and Compliance 网站。 原文链接:How Microsoft Secures its Cloud-Scale Data Centers and Infrastructure

0