强度、灵活性与2012年3月安全公告

大家好。今天我们发布了六个安全公告——一个Critical级、四个Important级和一个Moderate级——解决了Microsoft Windows、Visual Studio和Expression Design中的七个问题。我们建议客户将MS12-020（我们唯一的Critical级公告）作为3月部署优先级。以下是关于MS12-020的一些信息：

MS12-020（Windows）：此公告解决了远程桌面协议（RDP）中的一个Critical级问题和一个Moderate级问题。这两个问题均已合作披露给微软，且我们未发现野外主动利用。Critical级问题适用于运行RDP的特定系统子集，对于启用网络级身份验证（NLA）的系统问题较少。尽管如此，我们强烈建议客户检查并准备尽快应用此公告。Critical级问题可能允许潜在攻击者在运行RDP的机器上实现远程代码执行（非默认配置）；如果机器未启用NLA，攻击者无需身份验证即可获得RCE访问权限。

我们理解客户在应用所有公告前需要时间评估和测试。为了提供一定的调度灵活性，我们提供了一键式、无需重启的Fix it工具，可启用网络级身份验证，有效缓解此问题。它适用于Vista、Server 2008、Win7和Server 2008R2系统，您可以在SRD博客上阅读更多信息。我们很高兴此问题的背景——易于理解、未受主动攻击、易于应用的缓解措施——使我们有机会在客户执行更新例程时提供强度和灵活性。

在下面的视频中，Yunsun Wee详细讨论了这个月的公告，包括MS12-020。

以下是本月的部署优先级指导，以进一步协助客户进行部署规划（点击查看大图）。

[部署优先级图表]

我们的风险和影响图表显示了3月严重性和可利用性指数的汇总视图（点击查看大图）。请注意，MS12-019未获得XI评级。

[风险和影响图表]

您可以在Microsoft安全公告摘要网页上找到有关本月安全更新的更多信息。

按照我们的常规流程，我们将在周三由Pete Voss和Dustin Childs主持月度技术网络广播。他们将讨论3月公告、Technet的即将变化，并回答有关NLA Fix it的任何进一步问题。网络广播计划于明天，2012年3月14日，太平洋时间上午11点举行。点击此处注册，我们一如既往期待在网络广播期间实时回答您的问题。

谢谢， Angela Gunn 可信计算。

Microsoft Windows 安全公告 安全公告发布 安全更新