Willkommen bei Microsoft-Sicherheitsnewsletter – einem monatlichen Newsletter für IT-Experten und Entwickler, der Sicherheitshinweise, Anleitungen, Updates und Communityressourcen direkt in Ihren Posteingang liefert. Zum Anzeigen der Onlineversion dieses Newsletters klicken Sie hier. Wenn Sie weniger Nachrichten zur technischen Sicherheit sowie weniger Anleitungen und Updates erhalten möchten, abonnieren Sie den Microsoft-Sicherheitsnewsletter für Heimcomputerbenutzer. Standpunkt | | Jesper M. Johansson, Softwarearchitekt und Microsoft-MVP für Unternehmenssicherheit, und Roger Grimes, leitender Sicherheitsberater, Microsoft ACE-Team
Das Konzept der Sicherheit durch Verschleierung (Security by Obscurity) beinhaltet Maßnahmen, durch die Sicherheitslücken nicht beseitigt, sondern verborgen werden. Während einerseits die Meinung vorherrscht, dass dies kein empfehlenswertes Verfahren sei, sind andere davon überzeugt, dass im Rahmen einer umfassenderen Strategie jede Maßnahme zählt. Das Thema wird kontrovers diskutiert, und in diesem Artikel stehen sich einige unserer besten Sicherheitsexperten gegenüber und vertreten gegensätzliche Standpunkte. |
Topthemen | | Ausgabe 5 des Security Intelligence Report (SIR) enthält eine völlig neue Untersuchung des Bedrohungsökosystems und der Verwendung von Botnets zum Ausbreiten von Bedrohungen. Außerdem sind einzigartige Inhalte zu browserbasierten Exploits enthalten sowie aktualisierte Informationen zur Veröffentlichung von Softwaresicherheitsrisiken, Sicherheitsexploits, Sicherheit- und Datenschutzverletzungen und Trends im Bereich von schädlicher und möglicherweise unerwünschter Software. Mit umfassender Anleitung zu schadensbegrenzenden Maßnahmen und Gegenmaßnahmen ist SIR ein wertvolles Tool für alle IT-Experten, die wissen müssen, was im Bedrohungsökosystem geschieht. |
| | Microsoft-Codename „Geneva“ ist eine öffentliche Plattform für einen vereinfachten, auf Ansprüchen basierenden Benutzerzugriff. Diese Version besteht aus drei Komponenten: Geneva Framework für .NET-Entwickler, Geneva Server für IT-Experten und Windows CardSpace Geneva für Benutzer. Lesen Sie das Whitepaper von David Chappell, um eine Überblick über die Plattform zu erhalten, und besuchen Sie anschließend die Microsoft Connect Geneva-Homepage, um Zugriff auf Downloads und andere Ressourcen zu erhalten. |
| | In diesem Dokument, das auf der Virus Bulletin-Konferenz 2008 (VB2008) im Oktober präsentiert wurde, werden die Entwicklung bestimmter Malwarefamilien, ihr Wachstum und ihre Variationen verfolgt sowie die Anpassungen und Verbesserungen, um die geplanten Ergebnisse effektiv zu erzielen. |
Sicherheitsleitfaden | | Das Microsoft Security Assessment Tool wendet einen ganzheitlichen Ansatz an, um Ihre Sicherheitsposition zu bewerten, und deckt Themen zu Personen, Prozessen und Technologien ab. Diese überarbeitete Version bietet eine aktualisierte Bewertung der Tiefenverteidigung und Fragen in Bezug auf die sich entwickelnde Bedrohungslage. Die Ergebnisse enthalten ausführliche Anleitungen und schadensbegrenzende Maßnahmen, einschließlich Links zu mehr Informationen für zusätzliche branchenspezifische Anleitungen. |
| | Das IT-Konformitätsverwaltungshandbuch kann Ihnen helfen, Ihre Bemühungen bezüglich Governance, Risiko und Konformität (Governance, Risk and Compliance, GRC) verstärkt auf den Einsatz von Technologie anstatt von Personen zu konzentrieren. Verwenden Sie diese Konfigurationsanleitung, um die GRC-Ziele Ihrer Organisation effizient zu erzielen. |
| | Encrypting File System Assistant (EFS-Assistent) ist ein Softwaretool, das Sie verwenden können, um die EFS-Einstellungen auf Ihren mobilen oder Desktop-PCs zentral zu steuern. Der EFS-Assistent kann Ihnen helfen, die vertraulichen Dateien auf den Laptops Ihrer Benutzer zu verschlüsseln, unabhängig davon, wo sich diese Dateien befinden. Ein Teil von Data Encryption Toolkit for Mobile PCs, eine Communityversion des Tools, wird ebenfalls von CodePlex auf www.codeplex.com/EFSAssistant zur Verfügung gestellt. |
| | Der Windows Server 2008, von dem Internetinformationsdienste 7.0 (IIS 7.0) als Feature zur Verfügung gestellt wird, ist eine leistungsfähige Webanwendung und Service-Plattform, die umfassende webbasierte Funktionalitäten bereitstellt. Erfahren Sie, wie Sie die Sicherheitseinstellungen für IIS 7.0 installieren und konfigurieren können, einschließlich integrierter Benutzer- und Gruppenkonten, URL-Autorisierung, SSL und Anforderungsfilterung. |
| | UrlScan Version 3.1 ist ein Sicherheitstool, das bestimmte Typen von HTTP-Anforderungen einschränkt, die von Internetinformationsdienste (IIS) 6.0 verarbeitet werden. UrlScan schirmt alle eingehenden Anforderungen zum Server durch Filtern der Anforderungen ab, basierend auf den vom vom Administrator festgelegten Regeln. Das Filtern von Anforderungen hilft, den Server zu sichern, da gewährleistet wird, dass nur gültige Anforderungen verarbeitet werden. |
| | Diese Checkliste wurde als Teil der Muster- und Praxisanleitung für den Artikel „Verbessern der Webanwendungssicherheit“ entworfen, und soll Entwicklern helfen, Webdienste zu erstellen und zu sichern, indem Entwurf, Entwicklung und administrative Überlegungen erläutert werden. |
| | Informieren Sie sich über bewährte Methoden zum Sichern Ihrer Server mithilfe von Sicherheitskonfigurations-Assistenten und Zuweisen von Administratorrollen. |
Sicherheitsbulletins in diesem Monat Kritisch: Wichtig:
Community-/MVP-Update | Don Kiely, MVP, MCSD, MSDE ist Senior Technology Consultant, spezialisiert auf die Entwicklung von sicheren Desktop- und Webanwendungen mit integrierten Datenbanken, Microsoft Office und verwandten Technologien unter Verwendung von Tools wie SQL Server, Visual Basic, C#, ASP.NET und XML verwenden. Don war bei mehreren Programmierbüchern Autor und Mitautor. Er schreibt regelmäßig für viele Branchenjournale, einschließlich InformationWeek, IEEE Computer, Visual Studio .NET (VBPJ) und andere Magazine. Don bildet außerdem Entwickler aus und hält regelmäßig Vorträge auf Branchenkonferenzen, einschließlich Tech•Ed, VSLive!, DevConnections und anderen. |
Microsoft-Produktlebenszyklusinformationen
Sicherheitsereignisse und Schulungen | | Lernen Sie die Vorteile der Integration der Sicherheit in den Entwicklungsprozess kennen, und kultivieren Sie ein „defensives Denken“. Erforschen Sie die sichere Entwicklung durch Untergliederung, Ressourcenanalyse und weitere Schritte in der Methodik der Bedrohungsmodellierung. |
| | Microsoft stellt Technologien zur Verfügung, die legitime Benutzer verwenden können, um auf Ressourcen zuzugreifen, während für nicht autorisierte Benutzer, wie z. B. externe Hacker oder interne unzufriedene Mitarbeiter, Hürden eingebaut werden. Erfahren Sie, welche Tools Benutzeridentität überprüfen, kontrollieren Sie, auf welche Ressourcen Benutzer zugreifen können, und schützen Sie den Datenzugriff während der gesamten Lebensdauer. |
Demnächst verfügbare Security-Webcasts | | Demnächst verfügbare Security-Webcasts in einem dynamischen, interaktiven Format. |
Für IT-Experten | • | TechNet-Webcast: Microsoft Security Intelligence Report 5: Aktuelle Trends in Sicherheitsrisiken, Exploits und schädlicher Software (Stufe 200)Freitag, 14. November, 9:30 Uhr Pacific Time Jimmy Kuo, Principal Development Manager, Malwareschutzcenter, Microsoft Corporation, Jeff Jones, Direktor, Trustworthy Computing, Microsoft Corporation, und Ziv Mador, Senior Programmmanager, Malwareschutzcenter, Microsoft Corporation | | • | TechNet-Labcast: Exchange Server 2007 (Teil 2 von 5): Konfigurieren eines Edgeservers und Einhalten von Vorschriften und Aufbewahrungsfristen mit Exchange Server 2007 RTM (Stufe 200)
Freitag, 14. November, 11:00 Uhr Pacific Time
Jeff Sparks, Senior Consultant, United Training | | • | | | • | | | • | | | • | | | • | | | • | | | • | |
Für Entwickler Microsoft-On-Demand-Webcasts | • | MSDN-Webcast: "Geneva" Deep Dive (Stufe 400)In diesem Webcast untersuchen wir die Architektur des Codenamen „Geneva“ und erläutern, wie Sie die Architektur für erweiterte Sicherheitsszenarios anpassen können. Im Fokus der Diskussion ist der Sicherheitstokendienst (STS), eine zentrale Komponente, die Authentifizierungs- und Identitätsdienste zur Verfügung stellt. Erfahren Sie, wie viele Anwendungen von einem eingebetteten STS profitieren und wie viele Szenarios nach einem STS verlangen, der auf einem spezialisierten Benutzerspeicher erstellt wird. | | • | | | • | |
|
.png){kind=spacer}