2009年10月28日 星期三

[台灣微軟] 2009 年 十月份資訊安全電子報

反應: 

重點新聞

保護 Microsoft 雲端基礎結構 (英文)
藉由建立與用來管理 Microsoft 軟體開發和作業環境之風險相同的安全性原則,Microsoft 的「線上服務安全性和符合性 (OSSC)」團隊已建立一線上「資訊安全性程式」,可用來持續提升 Microsoft 雲端運算環境的安全性。立即瞭解 Microsoft 雲端運算所代表的意義。

政府對安全性雲端的需求 (英文)
瞭解美國政府對雲端運算的願景就從 Apps.gov 開始:它是一個線上市場,聯邦機構可在此找到並購買以雲端為主的 IT 服務。

更新的《支付卡產業資料安全標準遵循規劃指南》已發行 (英文)
瞭解如何使用標準的 Microsoft 產品和技術來符合「支付卡產業資料安全標準」(PCI DSS) 的需求。

安全性指引

BinScope Binary Analyzer (英文)
這個 Microsoft 驗證工具可分析整個專案的二進位檔案,以確保這些二進位檔案已內建並遵循「Microsoft 安全性開發生命週期」(SDL) 的需求和建議。

MiniFuzz File Fuzzer (英文)
MiniFuzz 是簡易的模糊器,設計目的是讓非安全性人員能夠輕鬆進行模糊測試,這些非安全性人員不熟悉、或未曾在目前軟體開發過程中使用過檔案模糊工具。

本月的安全性秘訣:使用 BinScope Binary Analyzer 改善程式碼的安全性 (英文)
由於軟體變得更容易受到攻擊,因此您的團隊必須備有這些工具,以有效協助撰寫更安全的程式碼。瞭解如何使用 BinScope,快速且輕鬆地確認您的程式碼是否符合 Microsoft SDL 的需求。

Channel 9 影片:開發及部署您的第一個 Windows Azure Service (英文)
使用平台 SDK 來建立並執行簡單的服務以參與 Microsoft 雲端平台的功能導覽。這個著重示範的影片強調平台的一些功能,包括服務管理、儲存和整合的開發人員體驗。

Windows Azure Blob:Programming Blob Storage (英文)
Windows Azure Storage 針對雲算提供耐久、可擴展、可用、安全和高效能的儲存服務,且只需透過熟悉又簡單易用的程式設計介面就能做到。Windows Azure Blob 提供簡易介面以儲存具名的檔案及檔案的中繼資料。瞭解 Windows Azure Blob 程式設計介面和進階的 Blob 概念。

我該如何:在雲端運算應用程式使用智慧加密技術?(英文)
熟悉雲端應用程式的加密演算法以及用於建立密碼編譯架構的實例。瞭解對稱和不對稱加密演算法的詳細資訊、SHA256 雜湊加密演算法以及如何使用簡單的應用程式將其實作。

Windows Azure 平台訓練套件 - 10 月更新 (英文)
這套完整的技術內容組合包括實作實驗室、簡報和示範,設計的目的在於幫助您瞭解如何使用和開發 Windows Azure 平台 (包含 Windows Azure、SQL Azure 和 .NET Services)。

雲端運算的設計考量:安全防護 .NET Service Bus (英文)
探索安全防護 .NET Services Bus 的方法,以及瞭解協助程式類別和公用程式以自動化許多細節。

本月的安全性公告

重大更新:

MS09-050:SMBv2 存在可讓遠端程式碼執行的漏洞 (975517) (英文)
MS09-051:Windows Media Runtime 存在可讓遠端程式碼執行的漏洞 (975682) (英文)
MS09-052:Windows Media Player 存在可讓遠端程式碼執行的漏洞 (974112) (英文)
MS09-054:Internet Explorer 的累積安全性更新 (974455) (英文)
MS09-055:ActiveX 刪除位元的累積安全性更新 (973525) (英文)
MS09-060:Microsoft Office 的 Microsoft Active Template Library (ATL) ActiveX 控制項存在可讓遠端程式碼執行的漏洞 (973965) (英文)
MS09-061:Microsoft .NET Common Language Runtime 存在可讓遠端程式碼執行的漏洞 (974378) (英文)
MS09-062:GDI+ 存在可讓遠端程式碼執行的漏洞 (957488) (英文)

重要更新:

MS09-053:Internet Information Services 的 FTP Service 存在可讓遠端程式碼執行的漏洞 (975254) (英文)
MS09-056:Windows CryptoAPI 存在可能造成詐騙的漏洞 (974571) (英文)
MS09-057:索引服務存在可讓遠端程式碼執行的漏洞 (969059) (英文)
MS09-058:Windows Kernel 存在可讓權限升級的漏洞 (971486) (英文)
MS09-059:「本地安全性授權」+子系統服務存在會導致拒絕服務的漏洞 (975467) (英文)

2009 年 10 月份的安全性公告概觀

Microsoft 安全性回應中心 (MSRC) 部落格文章 (英文)
Windows Media 視訊 (WMV)
Windows Media 音訊 (WMA)
iPod 視訊 (MP4)
MP3 音訊
高品質 WMV (2.5 Mbps)
Zune 視訊 (WMV)

企業安全性

當我雇用的 IT 安全性人員時我需要注意什麼 (英文)
作者:德意志銀行 (Deutsche Bank) IT 經理及風險、遵循和安全性專業人員 Andreas Wuchner
在現今的 IT 安全性市場中,有越來越多人競爭角逐同一個職位。公司尋求的技能是什麼?您如何提升自己的機會,讓自己脫穎而出?從證照到溝通技巧,IT 經理 Andreas Wuchner 分享他超過十年雇用 IT 安全性和風險專業人員經驗所得的心得感想。

Microsoft 產品生命週期資訊

您可以在Microsoft 產品生命週期網站上,尋找有關您特定產品的資訊。
請參閱支援 Service Pack 清單: Microsoft 會免費提供所有支援的 Service Pack 的安全性和非安全性問題軟體更新。

安全性活動和訓練

安全性學習途徑:計畫將安全性納入您的雲端策略中 (英文)
雲端中的安全性必須將對外網站 (連絡、客戶互動) 的功能與組織的對內需求 (資料保留、安全性、員工產能) 結合。使用此學習途徑,瞭解如何在內部、雲端或兩者之中,靈活部署應用程式的方法,並瞭解如何協助企業達到靈活性、實用性和安全性的目標。

新效率 (英文)
透過免費的即時活動「新效能」,以及安全傳訊、安全共同作業、資訊防護和識別及存取管理的講習會和示範,瞭解 Windows 7 核心平台安全性的改善內容。

近期的安全性網路廣播

互動式安全性網路廣播節目表 (英文)
使用這個動態且互動式的格式來尋找近期的安全性網路廣播。

專為 IT 專業人員提供:

TechNet 網路廣播:發佈 Data Protection Manager 2010 Beta (技術等級 300) (英文)
太平洋時間 10 月 21 日星期三上午 10:00

TechNet 網路廣播:改善 Microsoft 的無線網路基礎結構 (技術等級 300) (英文)
太平洋時間 11 月 10 日星期二上午 9:30

TechNet 網路廣播:Microsoft 安全共同作業解決方案 (技術等級 200) (英文)
太平洋時間 10 月 27 日星期二下午 1:00

TechNet 網路廣播:即時放送!資料管理的技術結構 (技術等級 200) (英文)
太平洋時間 10 月 28 日星期三上午 9:00

TechNet 網路廣播:識別與存取管理解決方案 (技術等級 200) (英文)
太平洋時間 10 月 29 日星期四下午 1:00

TechNet 網路廣播:Microsoft 資訊保護解決方案 (技術等級 200) (英文)
太平洋時間 11 月 3 日星期二下午 1:00

TechNet 網路廣播:技術概觀:System Center Configuration Manager 2007 SP2 和 R3 (技術等級 200) (英文)
太平洋時間 11 月 3 日星期二中午 12:00

TechNet 網路廣播:Microsoft 安全傳訊解決方案 (技術等級 200) (英文)
太平洋時間 11 月 5 日星期四下午 1:00

TechNet 網路廣播:Microsoft 安全端點解決方案 (技術等級 200) (英文)
太平洋時間 11 月 10 日星期二中午 12:00

TechNet 網路廣播:關於 Microsoft 十一月安全性公告的資訊 (技術等級 200) (英文)
太平洋時間 11 月 11 日星期三上午 11:00

專為開發人員提供:

MSDN 網路廣播:.NET Service Bus 支援的通訊模式概觀 (技術等級 200) (英文)
太平洋時間 10 月 20 日星期二上午 11:00

立即隨選:

TechNet 網路廣播:保護虛擬環境的安全 (技術等級 300) (英文)
瞭解如何使離線虛擬伺服器保持最新狀態,避免遭到攻擊。