科技汇总
微软于周一公布了详细的安全改革方案,此举距首席执行官Satya Nadella表示将优先考虑网络安全已有五个月。25页的《安全未来倡议》报告列出了技术及治理方面的变更,旨在回应2024年4月网络安全审查委员会报告中对微软安全文化“不足”的批评。 报告指出,微软已大幅升级其Entra ID和Microsoft账户系统,引入Azure管理的硬件安全模块用于访问令牌签名密钥。为减少潜在攻击面,微软已清除575万Inactive租户,并采用了新的测试系统,以安全默认方式防范与旧版相关的安全问题。 此外,微软增强了网络监控能力,现在通过集中清单系统监控超过99%的物理网络,促进固件合规性和日志记录。内部安全措施也得到加强,工程团队面临更严格的访问控制,个人访问令牌现限制为七天,内部门户SSH访问被禁用,关键工程系统的访问信息也限制给更少的团队。 同时,微软将审计日志的保留期延长到至少两年,以增强其调查和响应潜在安全事件的能力。
