微软安全服务标准

Change 漏洞 2018年9月14日发布
Favorite收藏

导语:这篇文章旨在描述微软安全响应中心(MSRC)的标准——一个对当前windows最新支持版本造成影响的已知漏洞,能否被当前服务或者是下一版本的Windows解决。

我们致力于保护客户免受软件、服务和设备漏洞的侵害,包括提供安全更新和指导,以便在向微软报告漏洞时,能够解决漏洞。我们还希望在我们的方法中,对安全研究人员和我们的客户保持透明。这篇文章旨在描述微软安全响应中心(MSRC)的标准——一个对当前windows最新支持版本造成影响的已知漏洞,能否被当前服务或者是下一版本的Windows解决。对于Windows中的漏洞,服务采取安全更新或适用指导的形式,它一般是在周二(每月的第二个周二)更新时发布。

安全服务标准

微软在评估是否应该为这个漏洞提供安全更新或指导的使用标准时,会考虑答两个关键问题:

1、漏洞是否违反了安全边界或安全特性的目标或意图?

2、漏洞的严重性是否符合维护标准?

如果这两个问题的答案都是肯定的,那么微软的目的是通过安全更新或指导解决漏洞,它适用于受影响和支持的产品。如果任何一个问题的答案都是否定的,那么在默认情况下,这个漏洞将会被考虑用于下一个版本或Windows版本,但是不会通过安全更新或指导来解决,不过不排除有例外情况。

本文档解决了最常见的漏洞,但是由于网络安全是一个不断发展的领域,因此有可能存在本标准未涵盖的漏洞,或者由于威胁环境的变化而调整了标准。微软根据漏洞给客户带来的风险来解决漏洞问题,并且可以在任何时候选择根据评估的风险来处理报告,或者不处理报告。

微软打算提供服务的安全边界和功能

微软的软件、服务和设备依赖于许多安全边界和安全特性,以及我们的软件所依赖的底层硬件的安全性,以实现我们的安全目标。

安全边界

安全边界在具有不同信任级别的安全域的代码和数据之间提供了逻辑分离。例如,内核模式和用户模式之间的分离是一个经典而直接的安全边界。Microsoft软件依赖于多个安全边界来隔离网络上的设备、虚拟机和设备上的应用程序。下表总结了微软为Windows定义的安全边界。

1.png

安全特性

安全特性建立在安全边界之上,以提供针对特定威胁的强大保护。在某些情况下,安全特性的目标是提供针对威胁的强大保护,并且预期不会出现附加的设计限制,比如不会阻止安全特性实现这一目标。对于这类安全特性,微软打算通过以下表格总结的服务来解决报告的漏洞。

2.png

深度防护安全特性

在某些情况下,安全特性可以提供对威胁的保护,而不能提供强大的防御。这些安全特性通常被称为深度防御特性或缓和特性,因为它们提供了额外的安全性,但由于设计上的限制,它们可能无法完全减轻威胁。防御深度安全特性的旁路本身并不构成直接风险,因为攻击者必须还发现了影响安全边界的漏洞,或者他们必须依赖其他技术,比如社会工程来实现设备妥协的初始阶段。

下表总结了微软定义的没有服务计划的深度防御安全特性。任何影响这些安全特性的漏洞或旁路都不会在默认情况下得到维护,但它可能会在未来的版本或版本中得到解决。这些特性中的许多在每个产品版本中都在不断改进,并且也被活跃的bug奖励程序所覆盖。

在某些情况下,深度防御的安全特性可能会依赖于默认情况下无法满足的功能。因此,在默认情况下,这些深度防御的安全特性也不能满足维护要求。通过屏蔽虚拟机可以观察到这样一个例子,它依赖于管理员,无法损害受PPL保护的内核或虚拟机工作进程(VMWP)。在这种情况下,默认不为管理员和PPL提供服务。

3.png

4.png

本文翻译自:https://www.microsoft.com/en-us/msrc/windows-security-servicing-criteria如若转载,请注明原文地址: http://www.4hou.com/vulnerable/13530.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论