Andere Ressourcen
Security Developer Center
Kryptographie-Themen auf MSDN

Folge uns auf Twitter



MSDN Forums

Die technische Community ermöglicht es mit Microsoft-Mitarbeitern, Experten und Kollegen in Kontakt zu treten, um Wissen und Neuigkeiten über Microsoft-Produkten und verwandte Technologien auszutauschen. Stell Fragen und bekomme Antworten in Microsofts technischen Foren.

Diskussionen auf microsoft.public.platformsdk.security
Diskussionen über Security
Diskussionen über kryptographische Security
Microsoft Security Development Lifecycle (SDL) Forum

Blogs

Die unten aufgeführten Blogs stammen von Microsoft-Mitarbeiten, die Einblicke in Microsofts Security APIs und Technologien haben. Sie stellen gute Informationsquellen für Themen, die nicht in der API-Dokumentation behandelt werden, dar.

Der Security Development Lifecycle Blog

MSDN Magazin Artikel

Mai 2009
Eine Unterhaltung über das Bedrohungmodell
Verfolge einen Chat zwischen Entwicklern und Sicherheitsexperten, der die hauptsächlichen Sicherheitslebenszyklen (SDL) behandelt, den wir bei Produktteams bei Microsoft nutzen.
November 2008
Bedrohungsmodelle, die Ihren Sicherheitsprozess verbessern
Diese Rubrik schlägt einen Denkweg über Sicherheitsdesign aus einer ganzheitlichen Perspektive vor. Dabei werden Bedrohungsmodelle, die Ihren Sicherheitsentwicklungsprozess hauptsächlich durch Codereviews, Fuzzy-Tests und Analyse der Angriffsfläche verbessert.
Mai 2008
Penetrationstest
Hier erklärt James Whittaker die Regeln und die Stolperfallen bei Penetrationstest, damit man lernt sie zu vermeiden.
Juli 2007
Hinzufügen von Kryptographie unter der Nutzung der CNG API in Windows Vista
Cryptography Next Generation (CNG) bedeutet die langfristige Ersetzung der CryptoAPI.
November 2004
Sicherheitsrisiken abschwächen durch Reduzierung des Codes, der an Nutzer weitergegeben wird
In diesem Artikel stellt der Microsoft Sicherheitsexperte Michael Howard die grundlegenden Regeln für die Minimierung der Angriffsfläche vor. Seine Regeln - Reduzierung des Anteils von Code, der immer ausgeführt wird; Reduzierung des Anteils von Code, der von Nutzern erreichbar ist; Eindämmen des Schadens, der von Code verursacht werden kann - werden zusammen mit Techniken zur Anwendung der Regeln erklärt.
November 2003
Protect It: Schützen von Datenbankenverbindungen und anderem senstivien Einstellungen in Ihrem Code
Applikationenseinstellungen, wie beispielsweise Datenbankverbindungen und Passwörtern, benötigen besondere Rücksicht einer Anzahl von relevanten Faktoren wie sensitiv die Daten sind, wer Zugang zu Ihnen hat, wie man einen Ausgleich von Sicherheit, Performanz und Wartung findet. Dieser Artikel erklärt die Grundlagen von Datenschutz und vergleicht verschiedene Ansätze, die genutzt werden können um Applikationseinstellungen zu schützen. Der Verfasser diskutiert was man vermeiden sollte, wie etwa Schlüssel im Quellcode zu verstekcen und die Nutzung der Local Security Authority. Zusätzlich präsentiert er effektive Lösungen, wie die Data Protection API.
Review It: Expertentipps für das Auffinden von Sicherheitslücken in Ihrem Quellcode
Code-Review auf Sicherheitslücken ist eine Schlüsselzutat im Softwareentwicklungsprozess. Hier erzählt der Autor von seinen Erfahrungen mit Sicherheits-Code-Reviews und zeigt Patterns und Best Practices auf, denen alle Entwickler folgen können, um potentielle Sicherheitsschlupflöcher zu aufzuspüren. Der Prozess startet mit der Untersuchung der Umgebung in der der Code läuft, unter Beachtung der Rolle des Nutzers, der ihn ausführt. Nachdem die Grundlagen gelegt wurden, geht es weiter mit SQL Injection-Angriffen, Cross-Site-Scripting und Pufferüberlauf.
August 2003
Security Briefs: Passwörter hashen, das AllowPartiallyTrustedCallers-Attribut
Keith Brown beschreibt wie man Passwörter hasht, wenn man sie in einer eigenen Datenbank speichert und wann man das AllowPartiallyTrustedCallers-Attribute für das eigene Assembly nutzt.
May 2003
Virus Hunting: Verstehen von typischen Virusattacken bevor sie zuschlagen
Entwickler-Rechner sind anfälliger für ein Virus als der durchschnittliche Business User, weil sie häufiger Zugang zu Remote-Rechner und Shares, bei denen sie unterschiedliche administrative Rechte über verschiedene Rechner haben, nutzen. Die Nutzung von Antivirus-Software ist die erste Linie der Verteidigung, aber man braucht ein grundlegendes Arsenal an Kenntnissen. Dieser Artikel beschreibt proaktive Methoden, die man nutzen kann um sich vor gefährlichen Code, Komponenten, Skripten und Makros zu schützen.
April 2003
Security Briefs: Erkunden von S4U Kerberos Extensions in Windows Server 2003
Die Erstellung von Webseiten, die Dienste nach außen hin verfügbar machen durch Unternehmens-Firewalls ist kompliziert. Normalerweise ist es nicht wünschenswert Außenstehenden Zugang zu Unternehmensdomänen zu gewähren. Außerdem arbeitet Kerberos von einem praktischen Standpunkt aus nicht gut über das Internet aufgrund von typischen clientseitigen Firewallkonfigurationen.
März 2003
Talking To... Michael Howard diskutiert die Secure Windows Initiative
Das Wachstum von verbundenen Computern in den letzten Jahren steigert die Sicherheitsbedenken an die Entwickler- und Designspitze. Die Bemühungen von Microsoft, insbesondere der Secure Windows Initiative (SWI), fokussieren sich auf neuen und bestehenden Code.
April 2001
Secure Sockets Layer: Schützen Sie Ihre E-Commerce-Seite mit SSL und Digitalen Zertifikaten
Sicherheit ist einer der wichtigsten Faktoren im Wachstum des E-Businesses. Sicherzustellen, dass Kommunikation zwischen Kunden und Server sicher sind, ist ein kritisches Thema. Secure Sockets Layer (SSL) ist der Standard, der Webseiten heute sichert. Dieser Artikel präsentiert einen Überblick über SSL-basierte Sicherheit und erklärt grundlegende Konzepte wie digitale Zertifikate und ihre Verteilung, Verschlüsselung und die weitere Konfiguration von Microsoft Internet Information Services (IIS). Er enthält auch eine Anleitung für die Erhaltung eines Zertifikates, die Installation und die Konfiguration von IIS für SSL.
Das Security Support Provider Interface erneut aufgegriffen
Session-Keys können zum Verschlüsseln von Nachrichten oder zum einfachen Anfügen eines Message Authentication Codes (MAC) für die Fälschungsfeststellung und Authentifizierung von Klartextnachrichten genutzt werden. Dieser Artikel zeigt die SSPI API die man braucht, wie man das SSPI Workbench Tool nutzt um verschlüsselte oder signierte Nachrichten zu versenden und wie SSPI nutzt um Passwörter zu validieren. Er beschreibt ein paar Experimente, die man mit der Workbench ausprobieren kann um Kerberos, NTLM und SPNEGO, die in Windows implementiert sind, kennenzulernen.
August 2000
Erforsche das Security Support Provider Interface unter der Nutzung des SSPI Workbench Tools
Dieser Artikel beschreibt den Security Support Provider Interface (SSPI) und das SSPI Workbench Tool, damit man SSPI lernt und die verschiedenen Authentifizierungsprotokolle versteht, die Microsoft Windows 2000 unterstützt.
Mai 2000
Verstehen von Kerberos Credential Delegation in Windows 2000 unter der Nutzung des TktView Tools
Dieser Artikel beschreibt wie Windows 2000 die Anmeldedelegation mittels Kerberos implementiert.
März 2000
Erforsche Handle Security in Windows
Dieser Artikel beschreibt wie Sicherheit, Impersonation, Vererbung und die DuplicateHandle API arbeitet.
Encrypt It: Halten Sie Ihre Daten sicher mit New Advanced Encryption Standard
Das Advanced Encryption Standard (AES) ist ein nationales Institut für Standards und Technologien für die Verschlüsselung von elektronischen Daten. Dieser Artikel gibt einen Überblick über AES und erklärt die genutzten Algorithmen.

Bücher


Webseiten



Siehe auch


Andere Sprachen

Dieser Artikel ist auch in den folgenden Sprachen verfügbar: