Pasek usterek zabezpieczeń SDL (przykład)

  • Artykuł

Uwaga: Ten przykładowy dokument służy tylko do celów ilustracyjnych. Zawartość przedstawiona poniżej przedstawia podstawowe kryteria, które należy wziąć pod uwagę podczas tworzenia procesów zabezpieczeń. Nie jest to wyczerpująca lista działań lub kryteriów i nie powinna być traktowana jako taka.

Zapoznaj się z definicjami terminów w tej sekcji.

Na tej stronie

Server (Serwer)
Klient
Definicje terminów

Zapoznaj się z macierzą odmowy usługi , aby zapoznać się z pełną macierzą scenariuszy usługi DoS serwera.

Pasek serwera zwykle nie jest odpowiedni, gdy interakcja użytkownika jest częścią procesu wykorzystania. Jeśli luka w zabezpieczeniach o znaczeniu krytycznym istnieje tylko na produktach serwera i jest wykorzystywana w sposób, który wymaga interakcji użytkownika i skutkuje naruszeniem bezpieczeństwa serwera, ważność może zostać zmniejszona z krytycznej do ważnej zgodnie z definicją schludnej/danych rozległej interakcji użytkownika przedstawionej na początku przestawnego ważności klienta.

Serwera
Krytyczne

Podsumowanie serwera: Robaki sieciowe lub nieuniknione przypadki, w których serwer jest "własnością".

  • Podniesienie uprawnień: możliwość wykonywania dowolnego kodu lub uzyskiwania większej liczby uprawnień niż autoryzowane

    • Zdalny anonimowy użytkownik

      • Przykłady:

        • Nieautoryzowany dostęp do systemu plików: dowolny zapis w systemie plików

        • Wykonywanie dowolnego kodu

        • Wstrzykiwanie kodu SQL (umożliwiające wykonywanie kodu)

    • Wszystkie naruszenia dostępu do zapisu (AV), możliwe do wykorzystania odczyt AVs lub całkowite przepełnienia w zdalnym anonimowo wywoływanym kodzie
Ważne

Podsumowanie serwera: scenariusze lub przypadki, w których istnieją ograniczenia ryzyka, które mogą pomóc w zapobieganiu krytycznym scenariuszom.

  • Odmowa usługi: musi być "łatwa do wykorzystania", wysyłając niewielką ilość danych lub szybko wywołana

    • Anonimowe

      • Trwałe dosyć

        • Przykłady:

          • Wysyłanie pojedynczego złośliwego pakietu TCP powoduje, że niebieski ekran śmierci (BSoD)

          • Wysyłanie niewielkiej liczby pakietów, które powodują awarię usługi

      • Tymczasowa usługa DoS z wzmocnieniem

        • Przykłady:

          • Wysyłanie niewielkiej liczby pakietów, które powodują, że system będzie bezużyteczny przez pewien czas

          • Serwer sieci Web (na przykład usługi IIS) jest wyłączony przez minutę lub dłużej

          • Pojedynczy klient zdalny korzystający ze wszystkich dostępnych zasobów (sesji, pamięci) na serwerze przez ustanawianie sesji i utrzymywanie ich otwarcia

    • Uwierzytelnione

      • Trwałe dosyć względem zasobu o wysokiej wartości

        • Przykład:

          • Wysyłanie niewielkiej liczby pakietów, które powodują awarię usługi dla zasobu o wysokiej wartości w rolach serwera (serwer certyfikatów, serwer Kerberos, kontroler domeny), na przykład gdy użytkownik uwierzytelniony przez domenę może wykonać usługę DoS na kontrolerze domeny

  • Podniesienie uprawnień: możliwość wykonywania dowolnego kodu lub uzyskania większej liczby uprawnień niż zamierzone

    • Użytkownik uwierzytelniony zdalnie

    • Użytkownik uwierzytelniony lokalnie (serwer terminalu)

      • Przykłady:

        • Nieautoryzowany dostęp do systemu plików: dowolny zapis w systemie plików

        • Wykonywanie dowolnego kodu

    • Wszystkie woluminy AV zapisu, możliwe do wykorzystania odczyt AVs lub całkowite przepełnienia w kodzie, do których można uzyskać dostęp przez zdalnych lub lokalnych uwierzytelnionych użytkowników, którzy nie są administratorami (scenariusze administratora nie mają problemów z zabezpieczeniami według definicji, ale nadal występują problemy z niezawodnością).

  • Ujawnienie informacji (ukierunkowane)

    • Przypadki, w których osoba atakująca może zlokalizować i odczytać informacje z dowolnego miejsca w systemie, w tym informacje o systemie, które nie zostały przeznaczone lub zaprojektowane do ujawnienia

      • Przykłady:

        • Ujawnienie informacji osobowych (PII)

          • Ujawnienie danych osobowych (adresy e-mail, numery telefonów, informacje o karcie kredytowej)

          • Osoba atakująca może zbierać dane osobowe bez zgody użytkownika lub w sposób ukrywany

  • Spoofing (fałszowanie)

    • Jednostka (komputer, serwer, użytkownik, proces) może zamaskować się jako konkretnajednostka (użytkownik lub komputer) wybranej przez siebie.

      • Przykłady:

        • Serwer sieci Web nieprawidłowo używa uwierzytelniania certyfikatu klienta (SSL) w celu umożliwienia osobie atakującej identyfikacji jako każdego użytkownika wybranego przez niego

        • Nowy protokół został zaprojektowany w celu zapewnienia zdalnego uwierzytelniania klienta, ale w protokole istnieje błąd, który pozwala złośliwemu użytkownikowi zdalnemu być postrzegany jako inny użytkownik jego wyboru

  • Tampering (manipulowanie)

    • Modyfikacja wszystkich danych "zasobu o wysokiej wartości" w typowym lub domyślnym scenariuszu , w którym modyfikacja jest utrwalana po ponownym uruchomieniu oprogramowania, którego dotyczy problem

    • Trwałe lub trwałe modyfikacje dowolnych danych użytkownika lub systemu używanych w typowym lub domyślnym scenariuszu

      • Przykłady:

        • Modyfikowanie plików danych aplikacji lub baz danych w typowym lub domyślnym scenariuszu, na przykład wstrzyknięcie uwierzytelnionego kodu SQL

        • Zatrucie pamięci podręcznej serwera proxy w typowym lub domyślnym scenariuszu

        • Modyfikowanie ustawień systemu operacyjnego lub aplikacji bez zgody użytkownika w typowym lub domyślnym scenariuszu

  • Funkcje zabezpieczeń: przerywanie lub pomijanie wszystkich udostępnionych funkcji zabezpieczeń.
    Należy pamiętać, że luka w zabezpieczeniach w funkcji zabezpieczeń jest domyślnie oceniana jako "Ważna", ale ocena może być dostosowywana na podstawie innych zagadnień opisanych na pasku usterek SDL.

    • Przykłady:

      • Wyłączanie lub pomijanie zapory bez informowania użytkowników lub uzyskiwania zgody

      • Ponowne skonfigurowanie zapory i zezwolenie na połączenia z innymi procesami
Umiarkowane

  • Odmowa usługi

    • Anonimowe

      • Tymczasowe rozwiązanie DoS bez wzmacniania w domyślnej/typowej instalacji.

        • Przykład:

          • Wielu klientów zdalnych korzystających ze wszystkich dostępnych zasobów (sesji, pamięci) na serwerze przez ustanowienie sesji i utrzymanie ich otwarte

    • Uwierzytelnione

      • Trwałe dosyć

        • Przykład:

          • Zalogowany użytkownik programu Exchange może wysyłać określoną wiadomość e-mail i ulegać awarii serwera Exchange, a awaria nie jest spowodowana zapisem AV, możliwością wykorzystania funkcji odczytu AV lub przepełnieniem całkowitej liczby całkowitej

      • Tymczasowa usługa DoS z wzmocnieniem w domyślnej/typowej instalacji

        • Przykład:

          • Zwykły użytkownik programu SQL Server wykonuje procedurę składowaną zainstalowaną przez jakiś produkt i zużywa 100% procesora CPU przez kilka minut

  • Ujawnienie informacji (ukierunkowane)

    • Przypadki, w których osoba atakująca może łatwo odczytać informacje o systemie z określonych lokalizacji, w tym informacje o systemie, które nie były przeznaczone/zaprojektowane do ujawnienia.

      • Przykład:

        • Ukierunkowane ujawnienie anonimowych danych

        • Ukierunkowane ujawnienie istnienia pliku

        • Ukierunkowane ujawnienie numeru wersji pliku

  • Spoofing (fałszowanie)

    • Jednostka (komputer, serwer, użytkownik, proces) może podszywać się pod inną, losową jednostkę, której nie można specjalnie wybrać.

      • Przykład:

        • Klient prawidłowo uwierzytelnia się na serwerze, ale serwer przekazuje sesję z powrotem do innego losowego użytkownika, który ma być połączony z serwerem w tym samym czasie

  • Tampering (manipulowanie)

    • Trwałe lub trwałe modyfikacje dowolnych danych użytkownika lub systemu w określonym scenariuszu

      • Przykłady:

        • Modyfikowanie plików danych aplikacji lub baz danych w określonym scenariuszu

        • Zatrucie pamięci podręcznej serwera proxy w określonym scenariuszu

        • Modyfikowanie ustawień systemu operacyjnego/aplikacji bez zgody użytkownika w określonym scenariuszu

    • Tymczasowa modyfikacja danych w typowym lub domyślnym scenariuszu, który nie jest utrwalany po ponownym uruchomieniu systemu operacyjnego/aplikacji/sesji

  • Zabezpieczenia:

    • Zapewnienie zabezpieczeń to funkcja zabezpieczeń lub inna funkcja/funkcja produktu, której klienci oczekują, aby oferować ochronę zabezpieczeń. Komunikacja została wysłana (jawnie lub niejawnie), że klienci mogą polegać na integralności funkcji i dzięki temu zapewnia bezpieczeństwo. Biuletyny zabezpieczeń zostaną wydane w celu zapewnienia bezpieczeństwa, który podważa zależność lub zaufanie klienta.

      • Przykłady:

        • Procesy uruchomione z normalnymi uprawnieniami "użytkownika" nie mogą uzyskać uprawnień administratora, chyba że hasło administratora/poświadczenia zostały podane za pośrednictwem celowo autoryzowanych metod.

        • Internetowy skrypt JavaScript uruchomiony w programie Internet Explorer nie może kontrolować niczego systemu operacyjnego hosta, chyba że użytkownik jawnie zmienił domyślne ustawienia zabezpieczeń.
Niski

  • Ujawnienie informacji (niezamierzonych)

    • Informacje o środowisku uruchomieniowym

      • Przykład:

        • Wyciek losowej pamięci stert

  • Tampering (manipulowanie)

    • Tymczasowa modyfikacja danych w określonym scenariuszu , który nie jest utrwalany po ponownym uruchomieniu systemu operacyjnego/aplikacji
Rozbudowana akcja użytkownika jest definiowana jako:

  • "Interakcja z użytkownikiem" może wystąpić tylko w scenariuszu opartym na kliencie.

  • Zwykłe, proste akcje użytkownika, takie jak wyświetlanie podglądu poczty, wyświetlanie folderów lokalnych lub udziałów plików, nie są obszerną interakcją użytkownika.

  • Opcja "Obszerna" obejmuje użytkowników ręcznie przechodzących do określonej witryny internetowej (na przykład wpisując adres URL) lub klikając decyzję tak/bez.

  • "Nie obszerne" obejmuje użytkowników klikając za pośrednictwem linków e-mail.

  • Kwalifikator NEAT (dotyczy tylko ostrzeżeń). Wyraźnie, interfejs użytkownika to:

    • Necessary (Czy użytkownik naprawdę musi być przedstawiony z decyzją?)

    • Explained (Czy środowisko użytkownika przedstawia wszystkie informacje, które użytkownik musi podjąć tę decyzję?)

    • Możliwośćwykonania (czy istnieje zestaw kroków, które użytkownicy mogą podjąć, aby podejmować dobre decyzje zarówno w łagodnych, jak i złośliwych scenariuszach?)

    • Tested (czy ostrzeżenie zostało przejrzyone przez wiele osób, aby upewnić się, że ludzie rozumieją, jak reagować na ostrzeżenie?)

  • Wyjaśnienie: Należy pamiętać, że efekt rozległej interakcji użytkownika nie jest jednym poziomem zmniejszania ważności, ale jest i został zmniejszony w pewnych okolicznościach, w których fraza obszerna interakcja użytkownika pojawia się na pasku błędów. Celem jest pomoc klientom w rozróżnianiu szybko rozprzestrzeniających się i robakowych ataków z tych, w których ze względu na interakcję użytkownika atak jest spowalniany. Ten pasek usterek nie pozwala zmniejszyć poziomu uprawnień poniżej Ważne ze względu na interakcję użytkownika.

Klient
Krytyczne

Podsumowanie klienta:

  • Robaki sieciowe lub nieuniknione typowe scenariusze przeglądania/używania, w których klient jest "własnością" bez ostrzeżeń lub monitów.

  • Podniesienie uprawnień (zdalne): możliwość wykonania dowolnego kodu lub uzyskania większej liczby uprawnień niż zamierzone

    • Przykłady:

      • Nieautoryzowany dostęp do systemu plików: zapisywanie w systemie plików

      • Wykonywanie dowolnego kodu bez rozbudowanej akcji użytkownika

      • Wszystkie woluminy AV zapisu, możliwe do wykorzystania odczyty, przepełnienie stosu lub przepełnienie całkowite w zdalnym kodzie wywoływanym (bez rozbudowanej akcji użytkownika)
Ważne

Podsumowanie klienta:

  • Typowe scenariusze przeglądania/używania, w których klient jest " własnością" z ostrzeżeniami lub monitami lub za pośrednictwem rozbudowanych akcji bez monitów. Należy pamiętać, że nie dyskryminuje to jakości/użyteczności monitu i prawdopodobieństwa, że użytkownik może kliknąć monit, ale po prostu, że istnieje monit o jakiś formularz.

  • Podniesienie uprawnień (zdalne)

    • Wykonywanie dowolnego kodu z rozbudowaną akcją użytkownika

      • Wszystkie woluminy AV zapisu, możliwe do wykorzystania odczytY lub liczby całkowite przepełniają się w zdalnym kodzie wywoływanym (z rozbudowaną akcją użytkownika)

  • Podniesienie uprawnień (lokalne)

    • Użytkownik o niskich uprawnieniach lokalnych może podnieść poziom uprawnień do innego użytkownika, administratora lub systemu lokalnego.

      • Wszystkie zapisy AV, możliwe do wykorzystania odczyty AV lub przepełnienie liczb całkowitych w lokalnym kodzie z możliwością wywołania

  • Ujawnienie informacji (ukierunkowane)

    • Przypadki, w których osoba atakująca może zlokalizować i odczytać informacje w systemie, w tym informacje o systemie, które nie zostały zamierzone lub zaprojektowane do ujawnienia.

    • Przykład:

      • Nieautoryzowany dostęp do systemu plików: odczyt z systemu plików

      • Ujawnienie danych osobowych

        • Ujawnienie danych osobowych (adresy e-mail, numery telefonów)

      • Scenariusze domu telefonicznego

  • Odmowa usługi

    • Uszkodzenie systemu DoS wymaga ponownej instalacji systemu i/lub składników.

      • Przykład:

        • Odwiedzanie strony internetowej powoduje uszkodzenie rejestru, co sprawia, że nie można bootowalnej maszyny

    • Drive-by DoS

      • Kryteria:

        • Nieuwierzytelnione system dos

        • Ekspozycja domyślna

        • Brak domyślnych funkcji zabezpieczeń ani ograniczeń granic (zapór)

        • Brak interakcji z użytkownikiem

        • Brak inspekcji i karania szlaku

        • Przykład:

          • Drive-by Bluetooth system DoS lub SMS w telefonie komórkowym

  • Spoofing (fałszowanie)

    • Możliwość prezentowania przez osobę atakującą interfejsu użytkownika, który różni się od interfejsu użytkownika, ale wizualnie identyczny z interfejsem użytkownika, na którym użytkownicy muszą polegać, aby podejmować prawidłowe decyzje dotyczące zaufania w scenariuszu domyślnym/typowym. Decyzja o zaufaniu jest definiowana w dowolnym momencie, gdy użytkownik podejmuje akcję, wierząc, że niektóre informacje są prezentowane przez określoną jednostkę — system lub określone źródło lokalne lub zdalne.

      • Przykłady:

        • Wyświetlanie innego adresu URL na pasku adresu przeglądarki z adresu URL witryny, którą przeglądarka rzeczywiście wyświetla w domyślnym/typowym scenariuszu

        • Wyświetlanie okna na pasku adresu przeglądarki, które wygląda identycznie z paskiem adresu, ale wyświetla fałszywe dane w domyślnym/typowym scenariuszu

        • Wyświetlanie innej nazwy pliku w obszarze "Czy chcesz uruchomić ten program?" okno dialogowe niż plik, który zostanie załadowany w scenariuszu domyślnym/typowym

        • Wyświetlanie monitu logowania "fałszywego" w celu zebrania poświadczeń użytkownika lub konta

  • Tampering (manipulowanie)

    • Trwałe modyfikacje danych użytkownika lub danych używanych do podejmowania decyzji dotyczących zaufania w typowym lub domyślnym scenariuszu, który będzie się powtarzać po ponownym uruchomieniu systemu operacyjnego/aplikacji.

      • Przykłady:

        • Zatrucie pamięci podręcznej przeglądarki internetowej

        • Modyfikowanie znaczących ustawień systemu operacyjnego/aplikacji bez zgody użytkownika

        • Modyfikowanie danych użytkownika

  • Funkcje zabezpieczeń: Przerywanie lub pomijanie wszystkich udostępnionych funkcji zabezpieczeń

    • Przykłady:

      • Wyłączanie lub pomijanie zapory z informowaniem użytkownika lub uzyskiwaniem zgody

      • Ponowne konfigurowanie zapory i zezwalanie na połączenie z innymi procesami

      • Używanie słabego szyfrowania lub przechowywanie kluczy przechowywanych w postaci zwykłego tekstu

      • Obejście kontroli dostępu

      • Obejście funkcji BitLocker; na przykład nieszyfrowanie części dysku

      • Obejście klucza systemu — sposób dekodowania klucza syskey bez hasła
Umiarkowane

  • Odmowa usługi

    • Trwały system DoS wymaga zimnego ponownego rozruchu lub powoduje sprawdzenie niebieskiego ekranu/usterki.

      • Przykład:

        • Otwarcie dokumentu programu Word powoduje, że maszyna jest sprawdzana na niebieskim ekranie/błędzie.

  • Ujawnienie informacji (ukierunkowane)

    • Przypadki, w których osoba atakująca może odczytywać informacje o systemie ze znanych lokalizacji, w tym informacje o systemie, które nie były przeznaczone lub przeznaczone do ujawnienia.

      • Przykłady:

        • Docelowe istnienie pliku

        • Numer wersji pliku docelowego

  • Spoofing (fałszowanie)

    • Możliwość prezentowania przez osobę atakującą interfejsu użytkownika, który różni się od interfejsu użytkownika, ale wizualnie identyczny z interfejsem użytkownika, któremu użytkownicy są przyzwyczajeni do zaufania w konkretnym scenariuszu. "Przyzwyczajenie do zaufania" jest definiowane jako wszystko, co użytkownik jest powszechnie zaznajomiony z normalną interakcją z systemem operacyjnym lub aplikacją, ale zazwyczaj nie jest uważany za "decyzję zaufania".

      • Przykłady:

        • Zatrucie pamięci podręcznej przeglądarki internetowej

        • Modyfikowanie znaczących ustawień systemu operacyjnego/aplikacji bez zgody użytkownika

        • Modyfikowanie danych użytkownika
Niski

  • Odmowa usługi

    • Tymczasowa usługa DoS wymaga ponownego uruchomienia aplikacji.

      • Przykład:

        • Otwieranie dokumentu HTML powoduje awarię programu Internet Explorer

  • Spoofing (fałszowanie)

    • Możliwość przedstawiania przez osobę atakującą interfejsu użytkownika, który różni się od interfejsu użytkownika, ale wizualnie identyczny z interfejsem użytkownika, który jest jedną częścią większego scenariusza ataku.

      • Przykład:

        • Użytkownik musi przejść "złośliwą" witrynę internetową, kliknąć przycisk w sfałszowanych oknach dialogowych, a następnie jest podatny na lukę w zabezpieczeniach na podstawie innej usterki przeglądarki

  • Tampering (manipulowanie)

    • Tymczasowa modyfikacja wszystkich danych, które nie są utrwalane po ponownym uruchomieniu systemu operacyjnego/aplikacji.

    • Ujawnienie informacji (niezamierzonych)

      • Przykład:

        • Wyciek losowej pamięci stert

Definicja terminów

Uwierzytelniony
Każdy atak, który musi obejmować uwierzytelnianie przez sieć. Oznacza to, że rejestrowanie pewnego typu musi być możliwe, aby można było zidentyfikować osobę atakującą.

Anonimowy
Każdy atak, który nie musi być uwierzytelniony w celu ukończenia.

Klienta
Oprogramowanie uruchamiane lokalnie na jednym komputerze lub oprogramowaniu, które uzyskuje dostęp do udostępnionych zasobów udostępnianych przez serwer za pośrednictwem sieci.

wartość domyślna/wspólna
Wszystkie funkcje, które są aktywne w pudełku lub które docierają do ponad 10 procent użytkowników.

Scenariusz
Wszystkie funkcje, które wymagają specjalnego dostosowania lub przypadków użycia do włączenia, docierają do mniej niż 10 procent użytkowników.

serwer
Komputer skonfigurowany do uruchamiania oprogramowania, które oczekuje i spełnia żądania od procesów klienta uruchamianych na innych komputerach.

Krytyczne
Luka w zabezpieczeniach, która byłaby oceniana jako o największym potencjale uszkodzenia.

Ważne
Luka w zabezpieczeniach, która byłaby oceniana jako o znacznym potencjale uszkodzenia, ale mniej niż krytyczna.

Umiarkowane
Luka w zabezpieczeniach, która byłaby oceniana jako o umiarkowanym potencjale uszkodzenia, ale mniej niż ważne.

Niski
Luka w zabezpieczeniach, która byłaby oceniana jako o niskim potencjale uszkodzenia.

ukierunkowane ujawnienie informacji
Możliwość celowego wybierania żądanych informacji (elementu docelowego).

tymczasowe dosyć
Tymczasowy system DoS to sytuacja, w której spełnione są następujące kryteria:

  • Cel nie może wykonywać normalnych operacji z powodu ataku.

  • Odpowiedź na atak jest mniej więcej taka sama jak wielkość ataku.

  • Cel powraca do normalnego poziomu funkcjonalności wkrótce po zakończeniu ataku. Dokładna definicja wartości "shortly" powinna być oceniana dla każdego produktu.

Na przykład serwer nie odpowiada, podczas gdy osoba atakująca stale wysyła strumień pakietów przez sieć, a serwer powraca do normy kilka sekund po zatrzymaniu strumienia pakietów.

tymczasowy system dosyć ze wzmocnieniem

Tymczasowy system dosyć ze wzmocnieniem jest sytuacją, w której spełnione są następujące kryteria:

  • Cel nie może wykonywać normalnych operacji z powodu ataku.

  • Odpowiedź na atak jest skalę poza rozmiarem ataku.

  • Cel powraca do normalnego poziomu funkcjonalności po zakończeniu ataku, ale zajmuje trochę czasu (być może kilka minut).

Jeśli na przykład możesz wysłać złośliwy pakiet 10-bajtowy i spowodować odpowiedź 2048 tys. w sieci, przepustowość jest zwiększana przez zwiększenie nakładu pracy w zakresie ataku.

trwałe dosyć

Trwały system DoS to taki, który wymaga od administratora uruchomienia, ponownego uruchomienia lub ponownego zainstalowania wszystkich lub części systemu. Każda luka w zabezpieczeniach, która automatycznie ponownie uruchamia system, jest również trwałym systemem DoS.

Macierz odmowy usługi (serwera)

Atak uwierzytelniony a anonimowy Domyślna/typowa a scenariusz Tymczasowa usługa DoS a stała Klasyfikacja
Uwierzytelnione Wartość domyślna/wspólna Stale Umiarkowane
Uwierzytelnione Wartość domyślna/wspólna Tymczasowy system dosyć ze wzmocnieniem Umiarkowane
Uwierzytelnione Wartość domyślna/wspólna Tymczasowe dosyć Niski
Uwierzytelnione Scenariusz Stale Umiarkowane
Uwierzytelnione Scenariusz Tymczasowy system dosyć ze wzmocnieniem Niski
Uwierzytelnione Scenariusz Tymczasowe dosyć Niski
Anonimowe Wartość domyślna/wspólna Stale Ważne
Anonimowe Wartość domyślna/wspólna Tymczasowy system dosyć ze wzmocnieniem Ważne
Anonimowe Wartość domyślna/wspólna Tymczasowe dosy Umiarkowane
Anonimowe Scenariusz Stale Ważne
Anonimowe Scenariusz Tymczasowa usługa DoS z wzmocnieniem Ważne
Anonimowe Scenariusz Tymczasowe dosy Niski

Zastrzeżenie dotyczące zawartości

Ta dokumentacja nie jest wyczerpującą dokumentacją dotyczącą praktyk SDL w firmie Microsoft. Dodatkowe prace w zakresie zapewnienia mogą być wykonywane przez zespoły produktów (ale niekoniecznie udokumentowane) według własnego uznania. W związku z tym ten przykład nie powinien być brany pod uwagę jako dokładny proces, który firma Microsoft wykonuje w celu zabezpieczenia wszystkich produktów.

Ta dokumentacja jest dostarczana jako "as-is". Informacje i widoki wyrażone w tym dokumencie, w tym adres URL i inne odwołania do witryn internetowych, mogą ulec zmianie bez powiadomienia. Użytkownik ponosi ryzyko związane z ich użyciem.

Ta dokumentacja nie zapewnia żadnych praw do żadnej własności intelektualnej w żadnym produkcie firmy Microsoft. Możesz skopiować ten dokument i używać go do wewnętrznych celów referencyjnych.

© 2018 Microsoft Corporation. All rights reserved.

Licencjonowany w obszarzeCreative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported