如今，精明的金融机构正在超越这种范例，转而采用一种新式的网络安全方法 -“零信任”模型。“零信任”模型的中心原则是默认情况下不信任任何人（无论是内部人员还是外部人员），并且在授予访问权限之前需要对每个人或每台设备进行严格的验证。

尽管城堡的外围防护仍然很重要，但是与不断加大投资力度来构建更坚固的城墙和更宽的护城河相比，“零信任”模型采用了一种更加细致入微的方法来管理对我们所谓城堡内的身份信息、数据和设备的访问。因此，无论是内部人员恶意或不经意的行为，亦或是隐蔽的攻击者突破了城墙，都无法获得对数据的自动访问。

“城堡和护城河”方法的限制

在谈到保护今天的企业数字财产安全时，“城堡和护城河”方法就突显出很大的局限性了，因为网络威胁的出现改变了我们对于防范和保护的定义。大型组织（包括银行）需要面对由员工、客户和合作伙伴现场或在线访问的数据和应用程序组成的分散网络。这使保护城堡的边界安全变得更加困难。即使护城河能有效地将敌人拦在城堡外，但对于身份已遭泄露的用户或其他潜伏在城墙内的内部威胁，它的作用则很有限。

以下做法都是导致暴露的安全隐患，而且这些做法在依赖于“城堡和护城河”网络安全方法的银行中很常见：

• 对员工的应用程序访问权限进行单一的年度审查。
• 由于经理的自行决定或出现员工调动时的治理缺失而导致访问权限策略出现模糊且不一致的情况。
• IT 过度使用有管理特权的帐户。
• 客户数据存储在多个文件共享中，却几乎不知道谁有相关的访问权限。
• 过度依赖密码来对用户进行身份验证。
• 缺乏数据分类和报告，导致不清楚具体数据的位置。
• 频繁使用 U 盘来传输包含高度敏感数据的文件。

“零信任”模型如何助力银行家和客户

“零信任”方法的好处已有据可查，并且有越来越多的实际例子表明，这种方法可以防止复杂的网络攻击。然而，如今许多银行仍然坚持与“零信任”原则相背离的做法。

采用“零信任”模型有助于银行加强他们的安全防护机制，使他们能自信地支持一些赋予员工和客户更多灵活性的举措。例如，银行高管都希望将他们面向客户的员工（例如关系经理和理财顾问）从办公桌上解放出来，使他们能在银行营业场所外部与客户会面。如今，许多金融机构是通过使用文件打印输出或他们顾问的静态视图等模拟工具来支持这种地理灵活性的。但是，银行员工和客户都期望能通过实时数据来获得更动态的体验。

依赖于“城堡和护城河”安全方法的银行在将数据分散到物理网络之外时会有诸多顾虑。因此，这些银行的银行家和理财顾问只有在银行营业场所内与客户进行会面时才能利用已经过验证且严格的投资策略的动态模型。

从历史上来看，对于忙碌的银行家或理财顾问来说，与其他银行家或贸易商共享实时模型更新或积极地展开协作是很麻烦的，至少在没有 VPN 的情况下是这样的。然而，这种灵活性正是做出可靠的投资决策和提高客户满意度的重要驱动力。“零信任”模型使关系经理或分析师能够利用来自市场数据提供者的见解，与他们各自的模型进行综合，并随时随地动态处理不同的客户场景。

好消息是，这是一个智能安全的新时代 – 由云和“零信任”体系结构提供支持 – 可以简化并实现银行安全性和符合性的现代化。

Microsoft 365 助力银行安全性的转型

借助 Microsoft 365，银行通过部署三个关键策略即可立即迈向“零信任”安全性：

• 标识和身份验证 – 首先，银行需要确保用户的身份与他们自己所述的身份一致，然后根据他们的角色提供访问权限。借助 Azure Active Directory (Azure AD)，银行可以使用单一登录 (SSO) 使已通过身份验证的用户能够从任何地方连接到应用，从而使移动办公的员工能够在不影响工作效率的情况下安全地访问资源。

银行还可以部署强身份验证方法，例如双因素或无密码的多重身份验证 (MFA)，从而使泄露风险降低 99.9%。Microsoft Authenticator 支持适用于任何 Azure AD 连接应用的推送通知、一次性密码以及生物识别。

对于 Windows 设备，银行员工可以使用 Windows Hello，这是一个用于登录设备的安全便捷的面部识别功能。最后，银行可以使用 Azure AD 条件访问来应用相应的访问策略，从而保护资源免受可疑请求的影响。Microsoft Intune 和 Azure AD 协同工作以确保仅托管和兼容的设备可以访问 Office 365 服务，包括电子邮件和本地应用。通过 Intune，还可以评估设备的合规性状态。是否强制执行条件访问策略取决于用户试图访问数据时设备的合规性状态。

条件访问插图。

• 威胁防护 – 借助 Microsoft 365，银行还可以利用 Microsoft 威胁防护集成和自动化的安全性来增强他们保护、检测和应对攻击的能力。它利用 Microsoft Intelligent Security Graph 中世界上最大的威胁信号源之一以及由人工智能 (AI) 提供支持的高级自动化来增强事件识别和响应能力，从而使安全团队能够准确、高效和及时地解决威胁。Microsoft 365 安全中心提供了一个集中化的中心和专用的工作区来管理和充分利用 Microsoft 365 智能安全解决方案，用于标识和访问管理、威胁防护、信息保护和安全管理。

Microsoft 365 安全中心。

• 信息保护 – 虽然标识和设备是网络攻击的主要对象，但数据才是网络罪犯的终极目标。借助 Microsoft 信息保护，银行可以增强对敏感信息的保护，无论这些信息位于何处或者会在何处传输。Microsoft 365 使客户能够 1) 标识他们的敏感数据并对这些数据进行分类；2) 应用灵活的保护策略；3) 监视并修复存在风险的敏感数据。

分类和保护场景的示例。

使用“零信任”简化安全管理

Microsoft 365 帮助简化新式“零信任”体系架构中的安全管理，从而实现利用所需的可见性、规模和情报来打击网络犯罪。

在考虑如何保护你现代“城堡”的安全时，“零信任”环境是应对现代网络安全威胁的最优选择。“零信任”环境要求对正在进行访问的人员和所访问的内容、访问位置、时间以及他们是否应具有访问权限进行即时的监督。

Microsoft 365 安全性和合规性功能帮助组织在信任用户或设备前对这些用户或设备进行验证。Microsoft 365 还提供完整的团队合作和高效工作解决方案。总而言之，Microsoft 365 提供了一个全面的解决方案，有助于银行高管将工作重点放在客户和创新上。

The post 为什么银行要采用新式的网络安全方法 -“零信任”模型 appeared first on Microsoft 365 Blog.

我们还会将 OneDrive 独立存储空间套餐从 50 GB 免费增加到 100 GB，并为 Office 365 订阅者提供一个新选项，让他们可根据需要添加更多存储空间。

OneDrive 个人保管库

OneDrive 在受信任的 Microsoft 云上运行，其中有众多安全措施来确保文件安全。但我们知道有些人希望其最重要和最敏感的文件获得更多保护，这就是我们推出个人保管库的原因。

个人保管库是 OneDrive 中受保护的区域，只能通过强身份验证方法或身份验证的第二步进行访问，例如通过指纹、人脸、PIN 或通过电子邮件/短信发送的代码访问。¹在个人保管库中锁定的文件具有额外的安全保障，可在有人获取对你的帐户或设备的访问权限时确保文件更加安全。

而且，增加的这层安全并不意味着更多不便。个人保管库中的所有文档、照片和视频均可在 Onedrive.com、电脑或可用设备上轻松访问。²

OneDrive 当前提供强大的隐私和安全性，包括静态和传输中的文件加密、可疑活动监视、勒索软件检测和恢复、批量文件删除通知和恢复、下载时对已知威胁的病毒扫描以及所有文件类型的版本历史记录，而个人保管库又对此锦上添花。

易于使用

只需输入 PIN，或者使用指纹、人脸或通过电子邮件/短信发送的代码¹即可解锁并访问文件，而不用记住多个密码。此外，可使用 Microsoft Authenticator 应用解锁个人保管库。无论选择哪种方式，都能快速、方便地解锁，而且有助于保护数据。

扫描并直接拍摄存入个人保管库中

可使用适用于移动应用的 OneDrive 来扫描文档、拍摄图片或将视频直接拍摄存入到个人保管库中，使这些内容远离设备上安全性更低的区域，例如本机相册。可轻松地将重要的旅行证件、身份证明、车辆文件、住房文件和保险单据等直接扫描到个人保管库中。可跨可用设备随时随地访问这些文档。²

启用或关闭电脑的额外保护

个人保管库不仅仅使用双重验证来帮助确保文件的安全和私密性。在 Windows 10 电脑上，OneDrive 将个人保管库文件同步到本地硬盘的 BitLocker 加密区域。与 OneDrive 中的所有文件一样，个人保管库的内容在 Microsoft 云中静态加密，并在传输到设备过程中加密。为了进一步保护移动设备，建议在 iOS 或 Android 设备上启用加密。这些措施相辅相成，可帮助持续保护文件，即使 Windows 10 电脑或移动设备丢失、被盗或有人获得访问权限也能进行保护。

在非活动一小段时间后自动锁定

在不活动一小段时间后，个人保管库会在电脑、设备或网络上自动重新锁定。锁定后，当时在使用的任何文件也将锁定，且需要重新进行身份验证才能访问。无需担心你是否将个人保管库或文件保留未关，它们都将在非活动状态后自动关闭并锁定。³

即将推出

我们很高兴为那些在 Web 上、在我们的移动应用上或在 Windows 10 电脑上使用 OneDrive 的用户提供这些新功能。个人保管库很快将在澳大利亚、新西兰和加拿大推出，并将在年底前向所有人开放。

如果你已拥有 OneDrive，那么当个人保管库于今年晚些时候在你所在区域推出时，它将显示为功能更新。如果你还不是 OneDrive 客户，则可下载该应用，或者转到 www.onedrive.com，开始在电脑上或 Web 上使用它。如果你使用的是 OneDrive 的免费或独立 100 GB 套餐，则可试用个人保管库来存储有限数量的文件。Office 365 订阅者可根据需要在个人保管库中存储许多文件，直至达到存储上限。

OneDrive 提供更多存储空间

今天，我们也很高兴分享两项存储空间套餐更新。

借助 OneDrive 100 GB 套餐存储更多内容：我们正在将 OneDrive 独立套餐中的存储量从 50 GB 增加至 100 GB⁴，价格仍然为每月 1.99 美元。这足够存储 50,000 多张图片（以每张照片 2 MB 计算）。这款新套餐非常适合用于自动备份手机的本机相册，以及直接扫描并保存手机上的文档和收据等。你也可用它来备份文件以及共享和协作处理文档。这一新套餐即将推出。如果你目前使用的是 50 GB 的套餐，则会自动向你的帐户额外免费添加 50 GB 的存储空间。有关详细信息，请参阅 OneDrive 套餐。

根据需要获得额外的 OneDrive 存储空间：Office 365 订阅最小都有 1 TB 的 OneDrive 存储空间，但许多人都要求增加存储空间。如今，我们将推出 OneDrive 额外存储空间，你可根据需要向现有的 Office 365 订阅添加更多存储空间。你可按 200 GB 的增量添加存储空间，起步价为每月 1.99 美元，每额外增加 1 TB 存储空间，每月需付 9.99 美元。

如果你需要 2 TB 的存储空间，我们现为你提供了一种选项。只为所需存储付费，可随时增加、减少或取消额外存储套餐。在未来几个月中，将在提供 Office 365 的所有区域推出 OneDrive 额外存储空间。

欢迎提出意见和建议

若想告诉我们你的想法或分享观点和创意，请访问 OneDrive UserVoice。若要详细了解 Office 365 家庭版和 Office 365 个人版订阅中随附的所有高级防护功能，请访问我们的支持页面。

注意
¹ 人脸和指纹验证需要专门的硬件，包括支持 Windows Hello 的设备、指纹读取器、照明红外传感器或其他生物识别传感器和可用设备。
² Android 和 iOS 上适用于移动应用的 OneDrive 需使用 Android 6.0 或更高版本或 iOS 11.3 及更高版本。
³ 自动锁定间隔时间因设备而异，可由用户自行设置。
⁴ 100 GB 套餐提供 102,400 MB 的存储空间。

The post OneDrive 个人保管库加强了对最重要文件的保护，且 OneDrive 提供额外存储选项 appeared first on Microsoft 365 Blog.

大家好，

我很高兴分享今日新闻！我们刚刚启用了使用基于标准的 FIDO2 兼容设备安全登录 Microsoft 帐户的功能——无需用户名或密码！借助 FIDO2，用户能够利用基于标准的设备在移动和桌面环境中轻松对在线服务进行身份验证。该项服务现已在美国面世，并将在未来几周内推向全球。

它结合了易用性、安全性和广泛的行业支持，将在家庭和现代工作场所实现转型。每个月都有超过 8 亿人在使用 Microsoft 帐户随处创建、连接和共享 Outlook、Office、OneDrive、必应、Skype 和 Xbox Live 进行工作和娱乐。现在，他们都能从这项简单的用户体验中受益，同时获得大幅增强的安全保障。

从今天开始，你可使用 FIDO2 设备或 Windows Hello 在 Microsoft Edge 浏览器中登录 Microsoft 帐户。

请观看此简短视频，了解其工作原理：

Microsoft 一直致力于消除密码并帮助人们保护其数据和帐户免受威胁。作为线上快速身份验证 (FIDO) 联盟和万维网联盟 (W3C) 的成员，我们始终在与他人合作，为下一代身份验证制定开放标准。我很高兴地告诉大家，Microsoft 是第一家使用 WebAuthn 和 FIDO2 规范支持无密码身份验证的财富 500 强公司，与其他主要浏览器相比，Microsoft Edge 支持超广泛的验证器。

如果你想更详细地了解其工作原理和入门方式，请继续阅读。

入门

使用 FIDO2 安全密钥登录 Microsoft 帐户：

1. 如果你尚无此密钥，请确保更新到 Windows 10 的 2018 年 10 月版本。
2. 转到 Microsoft Edge 上的 Microsoft 帐户页，然后像往常一样登录。
3. 选择“安全性”>“更多安全选项”，在“Windows Hello 和安全密钥”下，你将看到有关设置安全密钥的说明。（你可从我们的合作伙伴处购买安全密钥，例如从支持 FIDO2 标准的 Yubico 和 Feitian Technologies 处。*）
4. 下次登录时，可单击“更多选项”>“使用安全密钥”，也可键入用户名。此时，系统会要求你使用安全密钥登录。

请注意，下面是使用 Windows Hello 登录 Microsoft 帐户的方法：

1. 确保你已更新到 Windows 10 的 2018 年 10 月版本。
2. 如果尚未更新，则需要设置 Windows Hello。如果已设置好 Windows Hello，就可开始了！
3. 下次登录 Microsoft Edge 时，可单击“更多选项”>“使用 Windows Hello 或安全密钥”，也可键入用户名。此时，系统会要求你使用 Windows Hello 或安全密钥进行登录。

如果需要更多帮助，请查看我们的详细帮助文章来了解设置方式。

*FIDO2 规范中有一些我们认为对安全性至关重要的可选功能，因此只有实现了这些功能的密钥才有效。要了解详细信息，请参阅什么是 Microsoft 兼容的安全密钥？。

工作原理

实际上，我们在自己的服务中实现了 WebAuthn 和 FIDO2 CTAP2 规范，使它得到了落实。

与密码不同，FIDO2 使用公钥/私钥加密来保护用户凭据。在你创建并注册 FIDO2 凭据时，设备（电脑或 FIDO2 设备）会在设备上生成一对公钥私钥。私钥安全地存储在设备上，只有在通过生物识别或 PIN 等本地手势解锁后才能使用。请注意，你的生物识别或 PIN 永远保留在设备上。在存储私钥的同时，公钥被发送到云端的 Microsoft 帐户系统并在你的用户帐户中注册。

在你以后登录时，Microsoft 帐户系统会向你的电脑或 FIDO2 设备提供一个 nonce。然后，你的电脑或设备使用私钥对 nonce 进行签名。已签名的 nonce 和元数据将发送回 Microsoft 帐户系统，并在此处通过公钥进行验证。按照 WebAuth 和 FIDO2 规范指定进行签名的元数据将提供诸如用户是否在线等信息，并通过本地手势验证身份。正是因为这些属性，使用 Windows Hello 和 FIDO2 设备进行的身份验证才不“易受攻击”或被恶意软件轻易窃取。

Windows Hello 和 FIDO2 设备如何实现这一点？根据 Windows 10 设备的功能，你将拥有内置的安全区域（称为硬件可信平台模块 (TPM)）或软件 TPM。TPM 存储私钥，需要你的面部、指纹或 PIN 才能解锁。同样地，FIDO2 设备（例如安全密钥）是一个小型外部设备，它自带内置安全区域，可存储私钥且需要生物识别或 PIN 进行解锁。这两个选项一步到位地提供了双因素身份验证，要求同时注册设备和提供生物识别/PIN 才能成功登录。

请查看“识别标准”博客上的文章，了解有关实现的所有技术细节。

下一步计划

我们努力在减少，甚至是消除对密码的使用，在这个过程中开发出了无数卓越的产品。我们目前正努力让使用 Azure Active Directory 中的工作和学校帐户的用户在浏览器中通过安全密钥登录时获得一致的体验。企业客户将能够在明年年初预览这一功能，届时他们将能够让员工为其帐户自行设置用于登录到 Windows 10 和云端的安全密钥。

此外，随着越来越多的浏览器和平台开始支持 WebAuthn 和 FIDO2 标准，如今在 Microsoft Edge 和 Windows 上提供的无密码体验将有望随处可用！

请继续关注，了解明年年初的更多详细信息！

此致，
Alex Simons
Microsoft 身份识别部门
计划管理 CVP

The post 使用安全密钥或 Windows Hello 无密码安全登录 Microsoft 帐户 appeared first on Microsoft 365 Blog.

ElitePOS 利用时尚、创新的模块化设计实现零售 POS 设备的现代化，该设计不仅支持结账，还支持其他场景，可帮助零售业和酒店行业提供始终如一、令人惊叹的体验。借助诸多选项，例如整合到货架上的收据打印机，以及可内置到显示器中的磁条读取器，零售商可打造干净的柜台空间，让商店环境浑然一体。

ElitePOS 具有更长的生命周期，可广泛使用，值得零售商信赖。该系统经过精心设计，通过了各项军用标准（或 MIL-STD）测试，可通过将液体从设备组件中导出来防止溅洒，并通过侧面通风实现高效冷却，让可靠性更出色。此外，凭借 Windows 10 或 Windows IoT，快速 DDR4 内存和带可选 vPro 技术的第 7 代英特尔酷睿处理器，让支付提货变得快捷简单。

由于安全性仍然是零售业和酒店行业的主要关注点，ElitePOS 提供了基于硬件和集成的软件安全功能，包括：

• BIOS 级别设备安全性，利用 HP Sure Start Gen3（业界首款自我修复的 BIOS）和 HP BIOSphere Gen3（业界领先的固件生态系统）在发生恶意软件攻击时提供保护。
• 用户身份验证技术，包括具有下述三项功能的可选指纹识别器：Windows Hello，可帮助阻止未经授权的访问；Credential Guard，可确保用户身份验证和密码保护；Device Guard，IT 管理者可用它创建规则，以在 POS 系统上仅运行已签名、受信任和已批准的应用程序，从而帮助阻止通过 USB 端口进行的步行和低级别攻击。
• 设备本身的物理安全性，可选用栓式柜台配置或 VESA 安装加 K-Lock 功能。

ElitePOS 计划于 2017 年 8 月上市。要详细了解销售点系统，请访问 hp.com/go/elitepos，或在 2017 年 8 月 6 号至 9 号 RetailNow 的 410 号 – 412 号展位亲自查看 ElitePOS。

The post 惠普宣布推出采用 Windows 10 技术支持的全新销售点系统 appeared first on Microsoft 365 Blog.