Monika Kretowicz Public Relations Manager

Slides:



Advertisements
Podobne prezentacje
Program Royalty – korzyści i wymagania.
Advertisements

Wykonała : Natalia wielgos
20041 Projektowanie dynamicznych witryn internetowych Paweł Górczyński ASP 3.0.
RAPORT.
Kompleksowe zarządzanie bezpieczeństwem informacji
e-commerce jako efektywny rozwój dystrybucji
EControl – prostsze zarządzanie tożsamością pracowników Twórz Zarządzaj Audytuj Wolfgang Berger Omni Technology Solutions
Office System – licencjonowanie i dostępność
SERDECZNIE WITAMY Microsoft Developer Days Visual Studio 2005 Warszawa-Gdańsk-Poznań-Wrocław-Katowice 9-13 maja 2005.
Horyzontalne scenariusze pracy
ADAM Active Directory w trybie aplikacyjnym
OLAP budowa aplikacji analitycznych w MS SQL 2000 i Yukon
1 Grajmy razem… Janusz Krzyczkowski Kierownik ds. Współpracy Z Producentami Oprogramowania Janusz Krzyczkowski Kierownik ds. Współpracy Z Producentami.
Wizja bezpieczeństwa w/g Microsoft Andrzej Zaremba Security Program Manager Microsoft Corporation.
License Compliance Łukasz Kosuniak.
MOF Microsoft Operations Framework
Platformy na żądanie (ASP) element wdrożenia rozwiązania e-learning
1 ZINTEGROWANA STRATEGIA DZIAŁAŃ PROMOCYJNYCH I SZKOLENIOWYCH INSTYTUCJI ZARZĄDZAJĄCEJ PODSTAWAMI WSPARCIA WSPÓLNOTY W POLSCE NA LATA
1 Technika biurowa mgr Paweł Dąbrowski
Platforma .Net i Vs.Net.
Norton AntiVirus.
1 Kryteria wyboru systemów: Przystępując do procesu wdrażania zintegrowanego systemu zarządzania, należy odpowiedzieć na następujące pytania związane z.
Czym jest ISA 2004 Microsoft Internet Security and Acceleration Server 2004 jest zaawansowaną zapora filtrującą ruch w warstwie aplikacji. Razem z zaporą.
Usługa Windows Server Update Services (WSUS)
Windows Server Update Services (WSUS)
Administracja zintegrowanych systemów zarządzania
Jakość systemów informacyjnych (aspekt eksploatacyjny)
Poznańskie Centrum Superkomputerowo-Sieciowe Cezary Mazurek
Microsoft Serwer - wprowadzenie
Systemy zarządzania treścią CMS
1/18 LOGO Profil zespołu. 2/18 O nas Produkcja autorskich rozwiązań informatycznych dla małych i średnich firm w zakresie systemów: Baz danych Aplikacji.
Analiza, projekt i częściowa implementacja systemu obsługi kina
SZPIF – Harmonogram, Opis narzędzi, Schemat bazy danych
Wady i zalety Microsoft Word –a
Microsoft Lync Server Efektywna komunikacja. Konferencje internetowe.
Certyfikacja Kompetencji Informatycznych w standardzie ECCC
PROFILAKTYKA ANTYWIRUSOWA
Rozwój aplikacji przy wykorzystaniu ASP.NET
Web Serwisy w praktyce Technologie internetowe ( )
Microsoft Lync Efektywna komunikacja w Biznesie
Oferujemy szeroki zakres usług informatycznych Kierujemy naszą ofertę do małych i średnich przedsiębiorstw które nie zatrudniają na stałym etacie informatyków.
Modelowanie bezpieczeństwa infrastruktury IT na bazie doświadczeń z włamań i wykrytych podatności Prowadzący: Specjalista do sp. Informatyki Śledczej Maciej.
Oferta ośrodków KSU dla MŚP: usługi informacyjne Agencja Rozwoju Lokalnego AGROTUR S.A.
Kaspersky Open Space Security Relese 2
Microsoft Solution Framework
„Korzystaj z nowych możliwości” Grzegorz Kowalik, NAV.COM
Prezentacja opisuje mechanizm pracy
Co to jest Visual Studio Team System?
Licencjonowanie narzędzi dla programistów
Punkt Informacyjny EUROPE DIRECT - Warszawa Działalność Punktu Informacyjnego EUROPE DIRECT – Warszawa Karolina Iwińska Konsultantka Punktu.
7-8 listopada 2007 Central European Outsourcing Forum
Wykorzystanie nowoczesnych systemów zarządzania w celu zwiększenia
Bezpieczeństwo w sieci
Rodzaje umów licencyjnych dla oprogramowania komputerowego
Internetowego Biura Rachunkowego
Systemy operacyjne Krzysztof Rumanowski.
Czym jest Internet Security for Android? To program oparty na nowoczesnych technologiach, zabezpieczających dowolne urządzenie z systemem Android™ przed.
Print serwer GDI z interfejsem USB 2.0 FPS Spis treści Prezentacja produktu Cechy produktu Przeznaczenie Oprogramowanie konfiguracyjne Sieciowy.
Anna Misiec IW Product Marketing Manager
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Zagrożenia komputera w sieci
Wdrożenie Foglight w Urzędzie Dozoru Technicznego
Zarządzanie stacjami roboczymi przy wykorzystaniu urządzeń i oprogramowania KACE serii 1000, 2000, 3000 Adam Pura, IT Projekt Jacek Gralik, Quest Dystrybucja.
Kierunki rozwoju usług monitorowania Outsourcing stacji monitorowania Optymalizacja kosztów.
System Operacyjny Windows Przedstawia Mateusz Bałdyga kl. 1 „D”
Systemy operacyjne W projekcie brali udział Rabiniak Mateusz, Marek Mycek Damian Kostecki, Piotr Dojlido.
Służby informatyczne wspomagające bezpośrednio użytkowników w TPSA
Zapis prezentacji:

Monika Kretowicz Public Relations Manager Chroń swój komputer Monika Kretowicz Public Relations Manager

Agenda 11.00 -11.10 Powitanie i wprowadzenie Monika Kretowicz, Microsoft 11.10 -11.30 Chroń swój komputer Paweł Jeżowski, Andrzej Zaremba Microsoft 11.30 – 11.45 ABC bezpiecznego korzystania z Internetu Jarosław Samonek, Symantec 11.45 – 12.10 Kim jest haker, jak się przed nim chronić ? Artur Mroczko 12:10 pytania

Barbara Napiórkowska Business & Marketing Organization (BMO) Chroń swój komputer Barbara Napiórkowska Business & Marketing Organization (BMO)

Chroń swój komputer Paweł Jeżowski Andrzej Zaremba Microsoft IT Audience Marketing Manager Andrzej Zaremba Security Program Manager Microsoft

Słowniczek pojęć Luka, dziura Program korygujący (patch, hotfix) Exploit Wirus Robak Koń trojański

NIKT JUŻ NIE JEST 100% BEZPIECZNY W SIECI ! … zresztą, kto zostawia otwarte drzwi od samochodu? Przyzwyczailismy się, ze nie musimy „tracic” naszego czasu na zabezpieczenia syst inf. Zgadza się – na wsi tez nie zamykaja drzwi od samochodu. Jednak swiat się zmienia – coraz wiecej osob probuje nam zaszkodzic – okrasc nasz samochod. Zmiana marki na niewiele się zda. Czy w tej sytuacji nadal jest to „marnowanie czasu” czy może raczej „wymog czasow”?

Liczba dni między publikacją programu korygującego a powstaniem wirusa Jak to wygląda dziś? 151 180 331 Blaster Welchia/ Nachi Nimda 25 SQL Slammer Liczba dni między publikacją programu korygującego a powstaniem wirusa Powstaje coraz więcej poprawek Eksploity są tworzone szybciej Eksploity są coraz bardziej zaawansowane Powszechnie stosowane metody zabezpieczeń nie wystarczają Hackerzy rzadko znajduja dziury i pisza Exploity – oni je tylko wykorzystuja żeby szkodzic. Grupy naukowcow i specjalnych grup specjalistow wynajduja dziury. Wspolpracujemy z nimi (patrz polska grupa SLD która znalazla dziure w Wind umowzliwiajaca zdalne zalogowanie się do systemu i wykonanie dowolnego programu) – my publikujemy do tego patcha a hackerzy robia reingenereeing patcha żeby zbudowac exploita i pozniej wirusa. Wirus wykorzystuje nie tylko dziure ale także wolna reakcje uzytkownikow na info. Dlatego stworzylismy – pozornie oczywisty dla kazdego – program 123. Jednak 90% uzytkownikow nie stosuje zadnej z tych zasad!!! Situation Customers can’t keep up- patches proliferating- weekly patches are overwhelming customers Time to exploit decreasing – The graph shows the last 4 major exploits…Blaster was 25 days! Exploits are more sophisticated – not just simple ddos anymore, exploits attack through multiple vectors, persist on disk and replicate themselves, costing more of our customers more money Security is our #1 priority above all other initiatives. There are no silver bullets solutions but we are committed to innovate to help customers get more secure.

Analiza propagacji wirusa BLASTER 1 lipca 16 lipca 25 lipca 11 sierpnia Biuletyn i program korygujący dostępne; eksploit nie istnieje Zgłoszono lukę, przygotowywany jest program korygujący Opublikowano kod eksploita Robak internetowy w sieci Raport Zgłoszono lukę w naszym oprogramowaniu w module RPC/DDOM MS uaktywnił proces działania awaryjnego na najwyższym poziomie ważności Biuletyn Biuletyn MS03-026 udostępniony klientom (16/07/2003) Ciągłe sprawdzanie analiz, doniesień prasowych oraz opinii społeczności, partnerów i instytucji rządowych Exploit X-focus (chińska grupa) publikuje narzędzie wykorzystujące lukę MS podejmuje wszelkie kroki, aby przekazać informację o tym fakcie klientom Robak internetowy Odkryto robaka Blaster; jednocześnie atakują jego warianty i inne wirusy (np. SoBig) Tak to w praktyce. Po miesiacu od zgloszenia biuletynu wiele osob nie mialo spachowanego systemu i zarazielo się Blasterem

Inicjatywy Microsoft Bezpieczeństwo Poufność informacji Niezawodność Wiarygodność przedsiębiorstwa Projekt Trustworthy Computing powinien gwarantować dostępność bezpiecznych i niezawodnych procesów związanych z przetwarzaniem danych. Zgodnie z tą koncepcją, systemy komputerowe są postrzegane jako podstawowe zasoby warunkujące wysoki poziom produktywności i jakości życia codziennego, podobnie jak instalacja wodociągowa, sieć energetyczna czy usługi telefoniczne. Realizacja tej wizji jest wyzwaniem na skalę całego sektora informatycznego, wymagającym zdecydowanego zaangażowania firmy Microsoft. Podstawowym zadaniem firmy Microsoft będzie więc osiągnięcie celów związanych z projektem Trustworthy Computing. Definicja projektu Trustworthy Computing Koncepcja projektu Trustworthy Computing jest oparta na czterech filarach: bezpieczeństwie, poufności informacji, niezawodności i wiarygodności przedsiębiorstwa. W niniejszym dokumencie omówiono wybrane podstawowe charakterystyki powyższych składników. Dodatkowe dokumenty zawierają szczegółowe informacje dotyczące poszczególnych składników. BezpieczeństwoPoufność informacjiNiezawodnośćWiarygodność przedsiębiorstwaOczekiwania klientówSystemy są wyposażone w funkcje zabezpieczeń ułatwiające ochronę przed atakami sieciowymi. Funkcje zabezpieczeń przyczyniają się do podwyższenia poziomu poufności, integralności oraz dostępności systemu i danych.Użytkownicy mają wpływ na bezpieczeństwo i wykorzystanie dotyczących ich danych oraz weryfikację zgodności procesów związanych z gromadzeniem, nadzorem i wykorzystaniem danych z przyjętymi zasadami rzetelnego przetwarzania informacji.Gwarancja dostępności niezbędnych funkcji związanych z systemem i usługami, zwłaszcza w aspekcie operacji o podstawowym znaczeniu dla działalności prowadzonej przez organizacje klientów.Firma Microsoft będzie dążyć do zachowania jednoznacznej, otwartej, uczciwej, pełnej szacunku postawy wobec klientów i społeczności międzynarodowej.Przykłady inicjatyw firmy MicrosoftFirma Microsoft zainwestowała ponad 100 mln USD w celu opracowania produktów bezpiecznych pod względem projektu, konfiguracji domyślnej i wdrażania oprogramowania. Na przykład w wydziale ds. produktu Windows wstrzymano prace projektowe w celu przeprowadzenia szkolenia personelu firmy Microsoft w zakresie opracowania i testowania zabezpieczeń, modelowania zagrożeń i analizy kodu źródłowego. Centrum Microsoft Security Response Center terminowo udostępnia informacje dotyczące zabezpieczeń i poprawek. Aktualnie implementowany jest program Documented Information Security Program.Firma Microsoft dąży do rozpowszechnienia wewnętrznych zasad ochrony danych i zachowania poufności informacji w formie modelu obowiązującego w całym sektorze informatycznym. Aby zachować zgodność z programem Safe Harbour implementowanym w Unii Europejskiej, firma Microsoft wbudowała technologię ochrony poufności informacji we własne produkty (np. technologia P3P w programie Internet Explorer 6). Korzystając z nowoczesnej technologii Microsoft® Windows Media® 9 Series, konsumenci mogą samodzielnie kontrolować mechanizmy związane z ochroną poufności informacji.Inwestycje grupy ds. systemów Windows® rzędu 162 mln USD i 500 lat pracy w przeliczeniu na godziny zatrudnienia indywidualnego pracownika umożliwiły opracowanie procesów oraz pozyskanie narzędzi i osób, które mogą przyczynić się do podwyższenia poziomu niezawodności platformy Windows 2000. Zarówno podczas projektowania systemu Windows 2000, jak i Windows Server 2003 uwzględniono wymagania dotyczące zapewnienia wysokiego poziomu dostępności. Klienci i partnerzy sygnalizowali dostępność serwerów na poziomie 99,999 procent w rzeczywistym środowisku operacyjnym i wysoko ocenili oferowane produkty serwerowe. Raporty dotyczące usterek, generowane przez system Windows XP i pakiet Office XP, ułatwiają dokumentowanie uwag zgłaszanych przez użytkowników i modernizację produktów pod względem niezawodności oprogramowania.Firma Microsoft opracowała procedury rejestracji produktu Windows XP w trybie online. Użytkownicy nie muszą więc ujawniać osobistych danych identyfikacyjnych. Ponadto zatrudniono inspektorów zewnętrznych w celu weryfikacji zmodernizowanego kodu źródłowego. Centrum Microsoft Opportunity Management Center oferuje zintegrowany proces umożliwiający ocenę wszystkich propozycji zewnętrznych i terminowe reagowanie na zgłoszenia potencjalnych partnerów. Utworzono zespół specjalistów odpowiedzialnych za rozpowszechnienie opracowanego programu na skalę globalną. Rezultaty podejmowanych działań Realizacja wizji projektu Trustworthy Computing wymaga długookresowego zaangażowania – być może będzie kontynuowana nawet w perspektywie dekady – jednak widoczne są już pozytywne efekty prac wykonanych dotychczas przez firmę Microsoft. Aktywna postawa firmy wobec problemów dotyczących zabezpieczeń oprogramowania ułatwiła klientom bardziej skuteczną ochronę danych i systemów. Na przykład firma Microsoft odnotowała istotny spadek liczby epidemii spowodowanych przez wirusy w środowisku poczty e?mail po wprowadzeniu zmian w programie Outlook® 2002 dostępnym w pakiecie Office XP. W przypadku użytkowników korzystających z ustawień domyślnych i niezwłocznie instalujących poprawki zabezpieczeń prawdopodobieństwo skutecznych ataków sieciowych tego typu jest znacznie niższe. Wnioski Realizacja założeń projektu Trustworthy Computing umożliwi nie tylko zachowanie dobrej kondycji przemysłu komputerowego, ale również ułatwi ochronę bezpieczeństwa publicznego oraz infrastruktury państwowej i gospodarczej, a także wpłynie na poprawę jakości życia. Koncepcja Trustworthy Computing jest wielowymiarowym zestawem zagadnień, zgrupowanych w czterech filarach: bezpieczeństwo, poufność informacji, niezawodność i wiarygodność przedsiębiorstwa. Każdy z nich wymaga szczególnej uwagi. Konieczne jest wykonanie ważnych bieżących zadań, jednak realizacja nowej koncepcji jest wyzwaniem wymagającym długookresowych działań. Nadal nie opracowano metod rozwiązywania istotnych problemów. Niezbędne są więc zarówno fundamentalne badania naukowe i nowe rozwiązania inżynieryjne, jak i zasadnicze zmiany postaw w społeczności globalnej. Firmy produkujące sprzęt i oprogramowanie, a także akademickie i rządowe instytuty badawcze, muszą zdecydowanie podjąć wyzwanie opracowania metod rozwiązania opisanych problemów.

Ciągłe podnoszenie jakości Wiarygodny proces wdrażania wersji produkcyjnej Dokumentacja i specyfikacja projektowa Każdy zespół zajmujący się oddzielnym komponentem opracowuje modele zagrożeń i dba o odporność projektu na te zagrożenia Projekt Przegląd zabezpieczeń M1 Wdrożenie modelu zabezpieczeń i standardów kodowania Narzędzia eliminujące błędy kodu (PREfix i PREfast) Monitorowanie i blokowanie nowych technik ataków Programowanie i testowanie Programowanie, testowanie i dokumentowanie M2 Programowanie Mn Zamrożenie pracy w zespołach Uaktualnianie modeli zagrożeń, analizowanie kodu, testowanie i dopracowywanie dokumentacji Nacisk na zabezpieczenia Beta All products must go through the TwC process Security push and security audit Threat modeling, tools, coding/test guidelines Also… Continuing education for MSFT employees >13K developers trained in writing secure code, top security experts hired External validation 3rd party penetration testing, source code licensing Design process Security review Once the product design is understood, the specs complete and the threat models are done, it’s time to have the design reviewed by SWI. The product group should set aside a day or more for such reviews. At this meeting (taking a day at a minimum), component owners will present their architecture and the security implications, threats and countermeasures pertaining to their component. SWI will provide experienced feedback and if need be, the product group makes adjustments to the product. Develop and Test The purpose of the Security Days is simply to keep everyone on their toes, and to provide updated education and security analysis. In the past, many groups held such “bugbashes” with help from SWI, but the focus should not be simply on finding bugs, it should be to educate, and attempt new attack techniques and methods on an ongoing basis. If you give people the time to do this they will find new issues. Security Push A security push occurs at beta time and is a team-wide stand down to focus on threat model updates, code review, testing and documentation scrub. Note that the push is not a quick fix for a process that lacks security discipline, it is simply a concerted effort to eradicate bugs before ship. Note, in the short-term, a security push is a length milestone. Security Audit Once the end of the project draws near, a very important question must be asked, “from a security viewpoint, are we ready to ship.” The only way to answer this question is to have an end of project security audit. The process is well understood – the three main analysis points are: (1) Have the threats changed? (2) Perform a root cause analysis of incoming security vulnerabilities that require fixes in the current code base. Why were they missed? What needs changing? (3) Penetration work; SWI (and outside contractors and the product team) review default settings, attempt to compromise the system. Security Response You can only design, write and test for the security issues you know today; mistakes will be made, no matter how rigorous the process simply because the threat landscape changes each week. Because of this, each team needs a group of people to handle security vulnerabilities as are discovered after the product has shipped. The team must focus on fixing the problems found, and also on performing a root cause analysis of each vulnerability so as to find and fix related vulnerabilities proactively – before they are also found in the field. The response process will typically be allocated by the team’s SE or QFE team. The team must meet common standards for response time and quality and patch packaging and release. Produkt Analizowanie w kontekście bieżących zagrożeń Testy penetracyjne przeprowadzane wewnętrznie i przez firmy zewnętrzne Kontrola zabezpieczeń Wprowadzenie Pakiety serwisowe, pakiety QFE Usuwanie nowo odkrytych problemów Analizowanie faktycznych przyczyn w celu wyprzedzającego znajdowania i usuwania pokrewnych luk Pomoc techniczna Reagowanie na zagrożenia

Ciągłe podnoszenie jakości 23 produkty objęte procesem wprowadzania wersji TwC .NET Framework (dla wersji 2002 i 2003) ASP.NET (dla wersji 2002 i 2003) Biztalk Server 2002 SP1 Commerce Server 2000 SP4 Commerce Server 2002 SP1 Content Management Server 2002 Exchange Server 2003 Host Integration Server 2002 Identity Integration Server 2003 Live Communications Server 2003 MapPoint.NET Office 2003 Rights Mgmt Client & Server 1.0 Services For Unix 3.0 SQL Server 2000 SP3 Visual Studio .NET 2002 Visual Studio .NET 2003 Virtual PC Virtual Server Windows CE (Magneto) Windows Server 2003 Windows Server 2003 ADAM Dzis 23 produkty – także Exchange 2003 sa już objete tym procesem. Praktycznie wszystkie nowe programy będą zaprojektowane i zakodowane z uwzgednieniem zasad bezpieczenstwa

Ciągłe podnoszenie jakości Niektóre już powszechnie stosowane produkty: Biuletyny od wersji TwC Wprowadzony w styczniu 2003 r.- ilość do końca 2003 1 Pakiet serwisowy 3 Biuletyny bezpieczeństwa we wcześniejszym okresie 10 Biuletyny od wersji TwC Wprowadzony w lipcu 2003 r. – ilość do końca 2003 Biuletyny bezpieczeństwa we wcześniejszym okresie 5 Pakiet serwisowy 3 1 3 4 …90 dni …150 dni Luki o dużym lub krytycznym znaczeniu w ciągu pierwszych… 9 17 Wersja TwC? Tak Nie Jednak także nie zapominamy o wczesniejszych wersjach – w ramach patchy i SP wkodowujemy wyzszy poziom bezpieczenstwa w nasze serwery. I to skutkuje! Mniej biuletynow dla wersji spachowanych – znaczy – mniej dziur! Security is a part of every phase of software development at Microsoft. The TwC Release Process has been applied to several widely deployed Microsoft server products—including SQL Server 2000 and Exchange 2000 Server—and is now mandatory for all new products. There are currently 23 products that have either completed the process or are nearly complete. Progress has been made. Windows Server 2003 had 4 critical or important vulnerabilities in its first 150 days of release, compared to 17 for Windows 2000 Server in its first 150 days.

A jednak … Większość klientów zainfekowanych przez wirusy nie instaluje uaktualnienia na czas DLACZEGO? Nie wiedziałem którego uaktualnienia użyć Nie wiedziałam gdzie go znaleźć Nie wiedziałem, które maszyny w sieci trzeba uaktualnić Uaktualniliśmy nasze główne serwery – okazało się to nie wystarczające Slajd mowi sam za siebie

Strategic Technology Protection Program czyli Pomoc Klientom Microsoft GET SECURE STAY SECURE Aby temu (poprzedni slajd) zapobiec wdrazamy STPP – czyli stan się bezpieczny i bądź bezpieczny. Na czym to polega?

Usprawnianie procesu instalowania programów korygujących System oceniania poziomu ważności problemu Działanie klienta Krytyczny Natychmiast zainstalować program korygujący lub obejście Ważny Możliwie szybko zainstalować program korygujący lub obejście Średni Przeczytać biuletyn, określić, czy luka dotyczy danego systemu, i postępować zgodnie z zaleceniami Niski Rozważyć instalację programu korygującego przy okazji następnej zaplanowanej instalacji poprawek W odpowiedzi na watpliwosci klientow – uproscilismy i ujednolicilismy system informacji w biuletynach bezp. Biuletyny Bezpieczeństwa ukazują się w każdy drugi wtorek miesiąca http://www.microsoft.com/poland/security

Łatwiejsze korzystanie z programów korygujących Potrzeby klienta Nasza odpowiedź Prostsze instalowanie programów korygujących Do maja 2004 r.: konsolidacja do postaci 2 programów instalacyjnych w systemach Win2000 i nowszych, SQL, Office oraz Exchange. Spójna obsługa wszystkich programów korygujących (SUS 2.0, MSI 3.0) Mniejsze ryzyko związane z instalacją programu korygującego Obecnie: lepsze testy wewnętrzne – testowanie programów korygujących przez klientów przed udostępnieniem. Do maja 2004 r.: możliwość wycofywania poprawek w produktach Windows, SQL, Exchange, Office Mniejsze programy korygujące Obecnie: zmniejszenie programów korygujących o co najmniej 35%. Do maja 2004 r.: zmniejszenie o 80%. (Technologia korygowania różnicowego oraz ulepszone funkcje programu MSI 3.0) Krótszy czas przestoju Obecnie: o 10% mniej restartów w systemach Win2000 i nowszych Do maja 2004 r.: o 30% mniej restartów w systemie Win2003 (od SP1) i nawet 70% redukcja w następnym serwerze Tu omowic w miare ogolnie poszczegolne punkty Microsoft is taking a number of steps to improve patches for both consumers and IT Professionals. Reducing complexity. Over time, the number of Microsoft installers grew to 8—while this served the individual needs of applications, it resulted in each patch install process behaving a little differently, causing frustration for customers. By May 2004, all patches for Windows 2000 generation products and later—including SQL Server 2000, Office 2000 and Exchange 2000—will behave the same way, greatly reducing complexity. Complexity will be reduced as a result of consolidating to two patch installers: one for the kernel, and one for applications. This complexity reduction is enabled by improvements in the forthcoming Software Update Services (SUS) 2.0 and the Microsoft Installer (MSI) 3.0. Reducing risk of patch deployment. In the past, only some patches have had the ability to be uninstalled, or “rolled back.” Thus, the potential existed for a patch to create compatibility problem with an existing application. Microsoft has made significant changes to the patch release process to increase the quality of the patch, and to address the rollback issue. To further improve quality, it has increased internal testing resources and created a group of customers that test patches before their release. Also, by May 2004, every patch shipped for Windows 2000 generation products and later will have rollback capability, enabling customers to more easily restore their systems back to the previous state prior to patch deployment. Reducing size. For customers with computers that have limited network bandwidth (i.e. dial-up connections, branch office connections), rapid deployment of large patches has been problematic. Microsoft has already reduced some patch sizes 35% or more. By May 2004, patches will be 80% smaller than they are today for Windows 2000 generation products and later, thanks to the introduction of delta patching technology and improvements in MSI 3.0. Reducing downtime. Microsoft continues to focus on reducing the number of reboots to help minimize the system downtime of customer deployments. By enhancing our patching technology, we’ve already reduced reboots for Windows 2000 and Windows XP patches by 10% since last year. For Windows Server 2003, an estimated 40% of all critical updates can now be installed without a reboot. With Windows Server 2003 Service Pack 1—due in the first half of 2004—Microsoft will introduce new technology that will existing reboot scenarios by an additional 30%, Extend patch automation to all products.  Issues with incorrect patch installation results and large patch deployment have been addressed in Systems Management Server 2003, which will be available in November 2003 and will offer the capability to patch all supported Microsoft platforms and applications. SUS 2.0 will be released in mid-2004, and provide the ability to patch all Microsoft products as well, and specifically to add deployment/rollback for groups of systems. By May 2004, “Microsoft Update” will be available for consumers, creating one place to patch all Microsoft products, instead of Windows Update, Office Update, and the Microsoft Download Center. Rozszerzenie automatyzacji na wszystkie programy Listopad 2003 r.: SMS 2003 umożliwia instalację programów korygujących we wszystkich obsługiwanych platformach i aplikacjach firmy Microsoft Do końca 2004 r.: taka sama procedura instalacji wszystkich programów korygujących MS (MSI 3.0 + SUS 2.0), realizowana z tego samego miejsca – wprowadzenie rozwiązania MS Update

Łatwiejsze korzystanie z programów korygujących Programy korygujące usuwające luki zabezpieczeń publikowane regularnie w każdy drugi wtorek miesiąca Możliwość zaplanowania regularnego cyklu testowania i wdrażania, wykonywanego co miesiąc przy pomocy MBSA, SUS, SMS Pomoc techniczna w zakresie bezpieczeństwa przedłużona do czerwca 2004 r dla: Windows 2000 SP2 Windows NT4 Workstation SP6a Windows 98 Ciag dalszy poprzedniego czyli STPP – powiedziec wiecej o : MBSA – Microsoft Baseline Security Analyzer - system do analizy aktualnosci wersji patchy SUS - Security Update System – system do automatyzacji updatowania w enterprisach – nie każdy klient w sieci musi sciagac z internetu – dzieki SUS można to robic z lokalnego servera Windows Update + Software Update -> Microsoft Update (calkowita naliza systemu ze znalezieniem potrzebnych patchy) Nie zapominamy tez o stardszych systemach! Jednak tylko najnowsze oferuja najwyzszy poziom bezpieczenstwa i automatyzacji patchowania Many customers have expressed frustration with: the inability to keep up with the growing frequency of patch releases; Microsoft’s patch deployment tools and the limited support for some versions of its operating systems. Microsoft is committed to improving and simplifying the patch experience for its customers and is responding to these issues. Extended security support for Windows 2000 Service Pack 2 and Windows NT4 Workstation Service Pack 6a Based on customer needs, Microsoft is extending free support for Windows 2000 Service Pack 2 and Windows NT4 workstation Service Pack 6a to June 2004. More information on Microsoft’s support lifecycle and policies can be found at http://support.microsoft.com/default.aspx?pr=lifecycle. New monthly patch release schedule Customers have said that weekly releases still do not give them enough time to plan their patch deployments consistently and effectively. In direct response to this feedback, Microsoft will provide non-emergency security patches on a monthly release schedule, effective immediately. Customers will have the option to deploy the monthly patches together as one package or to choose to install individual patches. The new release schedule will provide customers with more time to implement a better, more predictable monthly test and deployment process. As always in the case of an emergency issue—a vulnerability that is being actively exploited and putting customers at immediate risk—Microsoft will continue its policy of immediate patch release to help secure customers.

Plany dotyczące zabezpieczeń 1 poł. 2004 2 poł. 2004 Dzisiaj Przyszłość SMS 2003 Rozszerzona pomoc techniczna Programy korygujące co miesiąc Pomoc w zdefiniowaniu linii odniesienia Inwestycje w rozwój społeczności Windows XP SP2 Usprawnienie instalowania programów korygujących SMS 2003 SUS 2.0 Microsoft Update Intensywne szkolenia Windows Server 2003 SP1 Technologie zabezpieczeń Nowa generacja metod badania ISA Server 2004 Inicjatywa NGSCB wzmacniająca bezpieczeństwo systemów Windows Ciągły rozwój technologii zabezpieczeń na poziomie systemu operacyjnego Next Generation Secure Computing Base- NGSCB will create a protected computing environment inside of a Windows PC—a "virtual vault" that will sit side by side with the regular Windows environment to enable new kinds of security and privacy protections for computers

Plany szkoleniowe Microsoft Dedykowane seminaria, warsztaty, szkolenia internetowe dotyczące bezpieczeństwa dla specjalistów działów IT Planujemy przeszkolenie ponad 4000 osób w przeciągu 4 miesięcy Specjalne strony www poświęcone bezpieczeństwu www.microsoft.com/poland/security www.microsoft.com/poland/security/IT (od 15 marca)

Program pomocy dla dużych firm Szkolenia informacyjne w siedzibach klientów Oferta konsultingowa dotycząca zabezpieczania systemów Oferta audytów i szkoleń realizowanych przez naszych partnerów Specjalne informowanie w razie zagrożeń Ad 1 – wiesz wszystko Ad 2 – wiesz wszystko Ad 3 – wyslalismy ich do Londynu na specjalne szkolenie – dokladnie wiedza co maja robic Ad 4 – tworzymy bazy danych osob odpowiedzialnych za bezp w ich firmach z którymi będziemy sie kontaktowac w razie niebezpieczenstwa nawet przez SMS w nocy z soboty na niedziele

Program pomocy dla małych i średnich firm Seminaria organizowane w 25 miastach (4000 osób) Bezpłatne warsztaty w certyfikowanych ośrodkach szkoleniowych Bezpłatne testy bezpieczeństwa dla kilku tysięcy firm (4pi) Szkolenia dla partnerów Microsoftu Ad 1 – to przede wszystkim dla IT Pro zajmujacych sie tymi firmami sa te szkolenia Ad 2 – Takie szkolenia my finansujemy dla 400 najwiekszych firm z tej grupy – to robi Joasia Rybka Ad 3 – Testy penetracyjne realizowane przez internet przez firme 4Pi – zaczynamy od marca do konca czerwca Ad 4 – W ramach BCC szkolenia – plany przygotowuje Szymon Szczepanowski

Program pomocy dla Programistów W ramach Developers Days oddzielny dzień całkowicie poświęcony zagadnieniom bezpieczeństwa w programowaniu aplikacji Wiecej informacji Jacek Myrcha

Program pomocy dla klientów indywidualnych Bezpłatne krążki CD, zawierające wszystkie uaktualnienia dla Windows od wersji Win 98 do Win XP + wersja ewaluacyjna programu antywirusowego firmy Symantec Uaktualnienie SP2 dla WinXP (drugi kwartał) Darmowy telefon pomocy antywirusowej (koniec marca) Ad1 – niestety dla nich robimy na razie najmniej – zajmiemy sie nimi w przyszlym roku fifnasowym - mamy tylko program 1-2-3 czyli 1 updatuj sie, wlacz firewall-a 3 uzywaj antywirusa Ad 2 – od poczatku marca dla wszystkich zarejestrowanych uzytkownikow którzy o niego poprosza w naszym hot line lub zamowia przez nasza strone Ad 3 – powinien sie ukazac w maju i na nim będziemy sie skupiac Ad 4 – dla zarejestrowanych uzytkownikow darmowe porady antywirusowe, darmowe patche i informacje na CD – Jacek Jelitto robi ten telefon 0801 …

… Czasy, kiedy po instalacji oprogramowania można było poprzestać tylko na jego eksploatacji, przeszły do historii… CHIP 12/2003

Nasza oficjalna informacja na ten temat jest ponizej: UWAGA !!!!!!!!!!!!!!!!!!!!! W chwili obecnej wykryto luke w OWA i Exchange 2003 – klienci mogą o to pytac – badzcie gotowi. Nasza oficjalna informacja na ten temat jest ponizej: Microsoft has received reports of a security issue affecting Exchange Server 2003 and Outlook Web Access (OWA). The problem occurs when a user installs Windows SharePoint Services 2.0 on top of Exchange Server 2003 and Windows Server 2003. The deployment causes Kerberos authentication to be disabled in Internet Information Services (IIS) and can result in the incorrect handling of Outlook Web Access requests to an Exchange Server. At worst, this issue could result in access to mailboxes at random and only to an authenticated Exchange user in the same organization on the same network. Microsoft is working with customers to ensure their information is protected. Microsoft has published two Knowledge Base articles that detail the problem and instruct customers how to correct and avoid this issue. Microsoft Product Support has also successfully helped and is continuing to help customers who have problems. This information is available at http://support.microsoft.com/?id=832769 and http://support.microsoft.com/?id=832749 As a general rule, Microsoft recommends customers run Exchange 2003 with Kerberos enabled in Internet Information Services to achieve the most secure environment and that is why Windows Server 2003 ships with Kerberos enabled by default. Microsoft is committed to keeping customers' information safe and upon completion of investigating the problem, Microsoft will take the appropriate action to protect its customers and decide whether providing a fix and additional mitigation information is warranted. PSS Security © 2003 Microsoft Corporation. Wszelkie prawa zastrzeżone. Prezentacja ma charakter wyłączenie informacyjny. FIRMA MICROSOFT NIE CZYNI W ZWIĄZKU Z NIĄ ŻADNYCH JAWNYCH ANI DOMNIEMANYCH GWARANCJI.

Q&A Kontakt i więcej informacji: Monika Kretowicz, tel. 0 22 594 10 80 Eryka - Maria Gizińska, tel. 0 22 594 11 60 http://www.microsoft.com/poland/centrumprasowe/ http://www.microsoft.com/poland/security