微软安全新闻聚焦-双周刊第二十期

Biweekly Spotlights

==== 2012. 8 . 31 – 2012. 9 . 13 第 20 期 ====

微软免费安全工具——系统威胁建模工具 2012 年 8 月 23 日
在设计和架构系统时，需要周期性地分析系统存在的安全隐患，从而改进设计方案或构建对应的防御手段。针对此微软发布了一款免费的安全工具：安全开发生命周期威胁建模工具 Security Development Lifecycle Threat Modeling Tool。该工具可以从设计层面检测系统存在的安全和隐私弱点，进而指导设计者和架构师选择正确的缓解方案，以降低系统整体的安全风险。用户在该工具中输入系统的数据流图后，便可以在分析模块中模拟多种攻击，例如身份欺骗、篡改、否认、信息泄漏、拒绝服务和特权提升等，以获取针对不同类型攻击的缓解措施。该工具还可根据用户环境生成威胁分析报告，列出改进建议及其它安全注意事项。需要注意的是，威胁建模需要在整个开发和部署过程中随着系统的改变迭代进行，是安全开发生命周期中不可或缺的一部分。

Windows 8 为系统安全创立新标杆

2012 年 8 月 21 日

Windows 8为用户带来了新颖的界面，其新增的安全功能也是一大亮点。第一，建立在统一可扩展固件接口（UEFI）基础上的安全启动功能，使操作系统可以对所有启动组件的数字签名进行验证，防止加载恶意驱动程序，并对所有篡改操作进行监控。第二，安全启动功能会先行加载反病毒软件，保证恶意软件不能提前控制整个操作系统。第三，将 IE 9中的智能窗口技术（Smart Screen）扩展到了整个操作系统，可对 URL、文件和应用程序进行声誉检测。第四，拥有多样化的动态访问控制，不同于以往只能对组和用户设定访问权限，在 Windows 8中可以针对登陆方式、登录位置和个人信息等设定不同的访问权限。安全功能虽不如新颖的界面引人注目却至关重要，微软从未松懈对系统安全的严格要求，此次 Windows 8的发布将系统安全带入了一个新的高度。

微软再次提醒：最小证书密钥长度更新 2012年9月1日

微软持续提醒 IT 人员：十月份将全面推送更新来禁止使用密钥长度少于1024位的 RSA 证书，请做好准备！自八月份起，该更新 KB2661254已可从下载中心及 Microsoft Update 目录获取，十月份将在 Microsoft Update 中正式发布此更新。此更新不适用于 Windows 8 Release Preview 或 Windows Server 2012，因为这些操作系统已经包含了要求具有 RSA 密钥的证书使用至少 1024 位密钥的功能。此外，KB2661254 也为用户提供了四种主要方法来查找密钥长度少于1024位的 RSA 证书，分别是：手动检查证书和认证路径、使用 CAPI2 日志记录、检查证书模板、在安装该更新的计算机上启用日志记录。我们建议用户使用密钥长度至少为 2048 位的证书。 感谢您的关注! 下期双周刊发布时间：2012 年 9 月 27 日。敬请期待！ 微软大中华区安全团队 Microsoft GCR Security Team