精明的金融機構現在正超越這種方式，並為網路安全性採用一種新式方法—「零信任」模型。「零信任」模型的宗旨是在預設情況下不信任任何事物，無論內部或外部，並且在授與存取權之前，要求對每個人或裝置進行嚴格驗證。

城堡的周邊仍然很重要，「零信任」模型採用更加細緻入微的方法來管理在這座著名城堡中存取身份識別、資料和裝置，而非只有大量投資建造更厚實的城牆和更寬廣的護城河。因此，無論內部人員是惡意還是粗心，或是隱藏的攻擊者滲透過城牆，都無法自動存取資料。

城堡與護城河方法的限制

在保護當今的企業數位資產方面，因為網路威脅的出現改變了對防護和保護的含義，城堡與護城河的保護方法存在著嚴重限制。大型組職 (包含銀行) 處理分散的網路資料和應用程式，都由員工、客戶和合作夥伴在現場或線上存取。這使得保護城堡周邊更加困難。即使護城河有效地將敵人拒之門外，但對於遭入侵身份識別的使用者，或潛伏在城牆內的其他內部威脅而言，並沒有多大的效果。

以下做法是所有暴露風險的來源，並且在依賴城堡與護城河方法進行安全性保護的銀行中很常見：

• 一年一次審核員工的應用程式存取權限。
• 不明確和不一致的存取權限原則，取決於管理員的判斷力，並且在員工異動時會發生控管不足的情況。
• IT 過度使用系統管理特殊權限帳戶。
• 客戶資料儲存在多個檔案共用服務中，而且不清楚誰存取了資料。
• 過度依賴密碼來驗證使用者。
• 缺乏資料分類和報告以了解什麼資料在哪裡。
• 經常使用 USB 隨身碟傳輸包含高敏感性資料的檔案。

「零信任」模型如何增強銀行和客戶的防護能力

「零信任」方法的好處已有完好的記錄，並且越來越多的實際例子證實，這種方法可以防止複雜的網路攻擊。然而，現今仍有許多銀行依然遵循與「零信任」原則背道而馳的做法。

採用「零信任」模型可以協助銀行強化其安全性狀態，因此他們可以放心地支援賦予員工和客戶更多彈性的計劃。例如，銀行行政主管希望面對客戶的員工 (例如客戶關係經理和財務顧問) 不要受限於辦公桌，並在銀行場所外與客戶會面。如今，許多金融機構都透過紙本列印資料或靜態檢視等類似工具來支援這種地域敏捷性。但是，銀行員工和客戶都希望使用即時資料以獲得更多動態體驗。

依賴城堡與護城河方法來確保安全性的銀行，對於將資料分散到實體網路之外躊躇不前。因此，如果客戶會議在銀行場所舉行，銀行業者和財務顧問就只能利用已驗證和嚴謹的投資策略動態模型。

從歷史角度來看，對於十分忙碌的銀行業者或財務顧問來說，共用即時模型更新或與其他銀行或交易人進行積極共同作業非常麻煩，至少在有 VPN 的情況下是如此。然而，這種靈活度是良好的投資決策和客戶滿意度的重要驅動力。「零信任」模型讓關係經理或分析師能夠利用市場資料提供者的深入解析，綜合自己的模型，並隨時隨地靈活地處理不同的客戶案例。

好消息是，這是一個由雲端和「零信任」架構的智慧型安全性新時代，可以簡化和現代化銀行的安全性與合規性。

Microsoft 365 協助銀行轉換安全性

使用 Microsoft 365，銀行可以透過部署以下三個關鍵策略立即採取措施以實現「零信任」安全性：

• 身分識別和驗證—首先，銀行需確保使用者是他們所說的真實身份，並根據其角色授與存取權。透過 Azure Active Directory (Azure AD)，銀行可以使用單一登入 (SSO) 讓經過身份驗證的使用者可以從任何地方連結到應用程式，讓行動員工可以安全地存取資源且不會影響其生產力。

銀行還可以部署強大的驗證方式，例如雙重要素或無密碼的多重要素驗證 (MFA)，可將資料外洩風險降低 99.9 %。Microsoft Authenticator 支援任何 Azure AD 連結應用程式的推播通知、一次性密碼和生物識別技術。

針對 Windows 裝置，銀行員工可使用 Windows Hello 安全便利的臉部辨識功能登入裝置。最後，銀行可使用 Azure AD 條件式存取，套用適當的存取原則來保護資源免受可疑要求的侵害。Microsoft Intune 和 Azure AD 可互相搭配使用，協助確保只有受管理和合規的裝置可存取 Office 365 服務 (包含電子郵件和內部部署應用程式)。透過 Intune，您還可以評估裝置的合規性狀態。條件式存取原則的實施取決於使用者嘗試存取資料時裝置的合規性狀態。

條件式存取圖例。

• 威脅防護—使用 Microsoft 365，銀行還可以使用 Microsoft 威脅防護的整合及自動化安全性來增強保護、偵測以及回應攻擊的能力。它利用 Microsoft Intelligent Security Graph 提供的世界最大威脅訊號，以及由人工智慧 (AI) 提供的進階自動化功能來增強事件識別和回應能力，讓安全性小組能夠準確、有效、迅速地解決威脅。Microsoft 365 安全性中心提供一個集中式中樞和專屬工作區，以管理和充分利用 Microsoft 365 智慧安全性解決方案進行身分識別和存取管理、威脅防護、資訊保護和安全性管理。

Microsoft 365 安全性中心。

• 資訊保護—身分識別和裝置是網路攻擊的主要弱點媒介，而資料則是網路罪犯最終目標。使用 Microsoft 資訊保護，銀行可以提高對敏感性資訊的保護能力，無論儲存或傳送到何處。Microsoft 365 讓客戶能夠 1) 識別和分類其敏感性資料；2) 套用靈活的保護原則；以及 3) 監視和補救有風險的敏感性資料。

分類及保護案例舉例。

使用「零信任」簡化安全性管理

Microsoft 365 協助簡化新式「零信任」結構的安全性管理，利用可見度、規模和情報以打擊網路犯罪。

當您考慮如何保護現代「城堡」時，「零信任」環境最適合應對現代網路安全性威脅。「零信任」環境要求隨時監督哪個人存取什麼、從哪裡存取和何時存取，以及他們是否應該有存取權。

Microsoft 365 安全性與合規性功能協助組織在信任使用者或裝置之前進行驗證。Microsoft 365 還提供了完整的團隊合作和生產力解決方案。總而言之，Microsoft 365 提供了全面性的解決方案，以協助銀行行政主管專注在客戶和創新。

The post 為何銀行為網路安全性採取最新方法—認識「零信任」模型 appeared first on Microsoft 365 Blog.

我們也將 OneDrive 獨立儲存空間方案從 50 GB 增加到 100 GB，不需另外付費，而且也為 Office 365 訂閱者提供一個新選項，可視需要新增更多儲存空間。

OneDrive 個人保存庫

OneDrive 會在信任的 Microsoft 雲端上執行，並在雲端準備好許多安全性措施來保護您的檔案安全。但我們了解，有些使用者最重要且最具敏感性的檔案需要更多防護，而這就是我們推出個人保存庫的原因。

個人保存庫是 OneDrive 中受保護的區域，您只能使用增強式驗證方法或身分識別驗證的第二個步驟 (例如指紋、臉部、PIN 或透過電子郵件或簡訊傳送給您的代碼) 進行存取。¹ 個人保存庫中的鎖定檔案具有額外一層的安全保護，萬一有人獲得您的帳戶或裝置的存取權，能為檔案提供更多保護。

此外，這項新增的安全性並不會帶來更多不便。個人保存庫中的所有文件、相片和影片都能在 Onedrive.com、電腦或任何支援裝置上輕鬆存取。²

個人保存庫目前為 OneDrive 提供的隱私權與安全性增添了更強大的功能，包括待用和傳輸中的檔案加密、可疑活動監控、勒索軟體偵測和復原、大量檔案刪除通知和復原、下載時針對已知威脅進行病毒掃描，以及所有檔案類型的版本歷程記錄。

容易使用

只要輸入 PIN 或使用指紋、臉部或透過電子郵件或簡訊傳送的代碼¹，就能解除鎖定並存取檔案，完全不需要記住多個密碼。此外，個人保存庫可透過 Microsoft Authenticator 應用程式解除鎖定。無論您選擇哪種方式，都能快速方便地解除鎖定，並協助保護您的資料。

掃描和拍攝並直接儲存到個人保存庫

您可以使用 OneDrive 行動裝置應用程式來掃描文件、拍攝相片或拍攝影片，並直接儲存到個人保存庫，將這些內容保存在裝置較不安全的區域 (例如手機相簿) 之外。您可以輕鬆掃描重要的旅遊、身分識別、車輛、住家、保險文件等內容，並直接儲存在個人保存庫中。此外，您將能隨時隨地在各種支援裝置上存取這些文件。²

電腦內外的額外保護

個人保存庫不只使用雙步驟驗證來協助保護檔案的安全與隱私權。在 Windows 10 電腦上，OneDrive 會將個人保存庫檔案同步處理到本機硬碟的 BitLocker 加密區域。像 OneDrive 中的所有檔案一樣，個人保存庫的內容無論是在 Microsoft 雲端中待用或是傳輸到裝置，都會經過加密。如需行動裝置上更進一步的防護，建議您在 iOS 或 Android 裝置上啟用加密。即使 Windows 10 電腦或行動裝置遺失、遭竊或有人獲得其存取權，這些措施都能共同協助保護您的檔案。

在經過一小段閒置時間後自動鎖定

在經過一小段閒置時間後，電腦、裝置或線上的個人保存庫會自動解除鎖定。鎖定後，您之前使用的所有檔案也都會鎖定，而且需要重新驗證才能存取。您不需要擔心個人保存庫或檔案是否保持在開啟狀態，它們在閒置後都會關閉且會自動鎖定。³

即將推出

我們很高興能為透過行動裝置應用程式或 Windows 10 電腦使用 OneDrive 網頁版的使用者提供這些新功能。個人保存庫即將開始在澳洲、紐西蘭和加拿大陸續推出，且在今年底將可供所有人使用。

如果您已經有 OneDrive，當個人保存庫在今年下半年在您的地區推出時，它會顯示為功能更新。如果您尚未成為 OneDrive 客戶，您可以下載應用程式或前往 www.onedrive.com，在您的電腦或網頁上開始使用此應用程式。如果您是使用 OneDrive 的免費或獨立 100 GB 方案，您可以在限定檔案數量的前提下試用個人保存庫。Office 365 訂閱者可盡情在個人保存庫中儲存許多檔案，但須符合其儲存空間上限。

OneDrive 可取得額外的儲存空間

今天，我們也很高興分享兩個儲存空間方案更新。

使用 OneDrive 100 GB 方案儲存更多內容：我們已將 OneDrive 獨立方案中的儲存空間量從 50 GB 增加到 100 GB⁴，每個月的費用同樣是 $1.99 美元。此空間足以儲存超過 50,000 張相片 (以每張相片 2 MB 的大小計算)。這個新方案非常適合自動備份您的手機相簿，並直接從手機掃描和儲存文件、收據等內容。您也可以使用這個方案來備份檔案，以及在文件上進行共用和共同作業。我們即將陸續推出這個新方案。如果您目前是使用 50 GB 方案，您會自動獲得額外的 50 GB 儲存空間，該儲存空間將免費新增到您的帳戶。如需詳細資訊，請參閱 OneDrive 方案。

視需要取得額外的 OneDrive 儲存空間：Office 365 訂閱提供自 1 TB 起的 OneDrive 儲存空間，而許多人要求更多儲存空間。今天，我們宣布了 OneDrive 額外儲存空間，可讓您視需要將更多儲存空間新增到現有的 Office 365 訂閱。您能以 200 GB 為遞增單位新增儲存空間 (每個月 $1.99 美元起)，最多可額外新增 1 TB 的儲存空間 (每個月 $9.99 美元)。

如果您需要 2 TB 的儲存空間，現在也有可供您使用的選項。僅針對您需要的儲存空間進行付費，可隨時增加、減少或取消額外的儲存空間方案。我們將在接下來幾個月發佈 Office 365 時，一併推出 OneDrive 額外儲存空間。

讓我們知道您的想法

若要讓我們知道您的想法或分享您的想法和構想，請瀏覽 OneDrive UserVoice。若要深入了解 Office 365 家用版和 Office 365 個人版訂閱隨附的所有進階防護功能，請參閱支援頁面。

附註
¹ 臉部和指紋驗證需要專屬硬體，包括支援 Windows Hello 的裝置、指紋辨識器、IR 照明感應器或其他生物識別感應器和支援的裝置。
² Android 和 iOS 上的 OneDrive 行動裝置應用程式需要 Android 6.0 或更新版本或 iOS 11.3 和更新版本。
³ 自動鎖定間隔會根據裝置而有所不同，而且可由使用者設定。
⁴ 100 GB 方案提供 102,400 MB 的儲存空間。

The post OneDrive 個人保存庫為您最重要的檔案增添安全性，且 OneDrive 提供更多儲存空間選項 appeared first on Microsoft 365 Blog.

大家好，

很高興與大家分享今日的消息！我們剛剛推出使用標準型 FIDO2 相容裝置安全地登入 Microsoft 帳戶的功能 – 無需使用者名稱或密碼！FIDO2 讓使用者能夠利用標準型裝置輕鬆地驗證線上服務 – 適用於行動裝置和桌上型電腦環境。這項功能現在於美國推出，在接下來幾週將於全球推出。

這項結合易用性、安全性，並提供廣泛產業支援的功能，將同時為住家和現代化工作場所帶來轉型。每個月有超過 8 億人為了工作和玩樂，使用 Microsoft 帳戶隨時隨地在 Outlook、Office、OneDrive、Bing、Skype 和 Xbox Live 中建立、連線和分享資訊。現在，他們全都能受益於這樣簡單的使用者體驗和大幅提升的安全性。

從今天起，您可以使用 FIDO2 裝置或是 Windows Hello，透過 Microsoft Edge 瀏覽器登入您的 Microsoft 帳戶。

請觀看這個說明運作方式的快速影片：

Microsoft 一直致力於消除密碼並協助人員保護資料和帳戶免於威脅。身為線上快速身分識別 (FIDO) 聯盟和全球資訊網協會 (W3C) 的成員，我們一直與其他成員合作，為下一代的驗證開發開放標準。很高興分享這項消息，Microsoft 是《Fortune》雜誌 500 大公司中第一個支援使用 WebAuthn 和 FIDO2 規格進行無密碼驗證的公司，而且相較於其他主要的瀏覽器，Microsoft Edge 支援的驗證器最為廣泛。

如果您想要深入了解該功能的運作方式以及如何開始使用的更多詳細資料，請繼續閱讀。

開始使用

若要透過 FIDO2 安全性金鑰使用您的 Microsoft 帳戶登入：

1. 如果您尚未進行，請確認您的 Windows 10 已完成 2018 年 10 月的更新。
2. 在 Microsoft Edge 移至 Microsoft 帳戶頁面，像往常一樣登入。
3. 選取 [安全性] > [更多安全性選項]，您會在 [Windows Hello 和安全性金鑰] 底下看到如何設定安全性金鑰的指示(您可以透過我們其中一個合作夥伴購買安全性金鑰，這些合作夥伴包括 Yubico 和支援 FIDO2 標準的 Feitian Technologies*)。
4. 您下次登入時，就可以按一下 [更多選項] > [使用安全性金鑰]，或是輸入您的使用者名稱。此時，系統會要求您使用安全性金鑰進行登入。

在此提醒，這裡是如何透過 Windows Hello 使用您的 Microsoft 帳戶登入：

1. 請確認您的 Windows 10 已完成 2018 年 10 月的更新。
2. 如果您尚未進行，您需要安裝 Windows Hello。如果您已安裝 Windows Hello，就準備就緒了！
3. 您下次在 Microsoft Edge 登入時，可以按一下 [更多選項] > [使用 Windows Hello 或安全性金鑰]，或是輸入您的使用者名稱。此時，系統會要求您使用 Windows Hello 或安全性金鑰進行登入。

如果您需要更多協助，請查看我們關於如何安裝的詳細說明文章。

*我們認為在 FIDO2 規格中有幾項選用功能是安全性的基礎，因此只有實作這些功能的金鑰才能運作。閱讀什麼是與 Microsoft 相容的安全性金鑰？以深入了解。

如何運作？

我們不著痕跡地在服務當中實作了 WebAuthn 和 FIDO2 CTAP2 規格，讓這項功能得以實現。

不同於密碼，FIDO2 使用公開/私密金鑰加密來保護使用者的認證。當您建立和註冊 FIDO2 認證時，裝置 (您的電腦或 FIDO2 裝置) 會在該裝置上產生私密和公開金鑰。私密金鑰已安全儲存於裝置上，只有經本機手勢 (例如生物特徵辨識或 PIN 碼) 解鎖後才能使用。請注意，您的生物特徵辨識或 PIN 碼永遠不會離開裝置。在私密金鑰進行儲存的同時，系統會將公開金鑰傳送至雲端的 Microsoft 帳戶系統，並用您的使用者帳戶註冊。

您稍後登入時，Microsoft 帳戶系統會為您的電腦或 FIDO2 裝置提供一個隨機值。接著，您的電腦或裝置會使用私密金鑰來簽署該隨機值。已簽署的隨機值和中繼資料會回傳至 Microsoft 帳戶系統，並使用公開金鑰進行確認。由 WebAuthn 和 FIDO2 規格指定的已簽署中繼資料會提供資訊 (例如使用者是否在線上)，並透過本機手勢確認驗證。正是這些屬性讓使用 Windows Hello 和 FIDO2 裝置的驗證過程不易「引來網路釣魚攻擊」或容易遭惡意程式碼竊取。

Windows Hello 和 FIDO2 裝置如何實作此功能？根據 Windows 10 裝置的功能，您將會擁有稱為硬體信賴平台模組 (TPM) 或是軟體 TPM 的內建安全保護區。TPM 可儲存私密金鑰，需要透過臉部、指紋或 PIN 碼來解鎖。同樣地，FIDO2 裝置就像安全性金鑰，是一個具有其專屬內建安全保護區的小型外部裝置，可儲存私密金鑰並需要生物特徵辨識或 PIN 碼來解鎖。兩個選項皆提供單一步驟即可完成的雙因素驗證，需要透過已註冊的裝置和生物特徵辨識或 PIN 碼才能順利登入。

請查看這篇身分識別標準部落格上的文章，其中會說明有關實作的所有技術詳細資料。

後續消息

我們致力於減少甚至消除密碼使用需求之際，還會推出許多更棒的功能。我們目前針對 Azure Active Directory 中的公司和學校帳戶，透過使用安全性金鑰的瀏覽器，建置相同的登入體驗。企業客戶將能於明年初預覽此功能，讓他們的員工得以針對其帳戶設定專屬的安全性金鑰來登入 Windows 10 和雲端。

此外，隨著開始支援 WebAuthn 和 FIDO2 標準的瀏覽器和平台越來越多，無密碼體驗 (現在可在 Microsoft Edge 和 Windows 上使用) 可望隨時隨地都能使用！

請密切關注明年初發布的更多詳細資料！

謝謝您，
Alex Simons (@Twitter：@Alex_A_Simons)
計劃管理企業副總裁
Microsoft 身分識別部門

The post 使用安全性金鑰或 Windows Hello 以無密碼方式安全地登入您的 Microsoft 帳戶 appeared first on Microsoft 365 Blog.

ElitePOS 創新、簡約的模組設計不僅讓 POS 裝置更現代化，還支援收銀以外的更多使用情況，可協助零售業和酒店服務業提供一致且吸引人的體驗。選配的功能有整合在立柱上的收據印表機，及內建在顯示器上的磁條讀卡機，以便零售商用簡潔的櫃台空間來搭配店內環境。

ElitePOS 打造成能承受極端的使用情況，且有零售商所倚賴的長效使用壽命。此系統設計成能通過各種軍規標準 (或 MIL-STD) 測試，可承受在裝置零件上傾倒液體，並透過側邊散熱的設計提供有效散熱以增加可靠度。此外，有了 Windows 10 或 Windows IoT、快速的 DDR4 記憶體和第 7 代 Intel Core 處理器，以及選配的 vPro 技術，即使客人大排長龍也可以輕鬆使用裝置。

安全性持續是零售業和酒店服務業的主要考量，ElitePOS 提供硬體型和軟體整合的安全性功能，包括：

• 業界首創自癒式 BIOS HP Sure Start Gen3 和業界最新的韌體生態系統 HP BIOSphere Gen3，共同提供抵禦惡意軟體攻擊的 BIOS 層級裝置安全性。
• 使用者驗證技術，包括搭配 Windows Hello 的選配指紋辨識器，可協助防止未經授權的存取；可保護使用者驗證及密碼保護的 Credential Guard；讓 IT 管理員建立規則的 Device Guard，使 POS 系統上只能執行已簽署、受信任且核准的應用程式，以協助防止透過 USB 連接埠的直接存取和低層級攻擊。
• 裝置本身的實體安全保護可選配以螺栓固定至櫃台的配置，或是 VESA 壁掛和 K-Lock 功能。

ElitePOS 預計在 2017 年 8 月推出。若要深入了解銷售點系統，請瀏覽 hp.com/go/elitepos，或於 8 月 6-9 日舉辦的 RetailNow 2017 前往 #410-412 攤位親自了解 ElitePOS。

The post HP 推出搭載 Windows 10 的全新銷售點系統 appeared first on Microsoft 365 Blog.