微软将在本周的2009年黑帽大会上关注安全资源，将发布最新的安全项目中的报告卡。这是一种IT安全专家可以使用的新工具，可以帮助管理员理解获取漏洞和补丁信息的来源。

　　微软将发布新的Office虚拟化工具，OffVis。它可以使Office二进制文件格式虚拟化。这款软件旨在帮助安全研究人员理解针对Office文件的攻击，并为新发现的漏洞开发保护措施。它很受安全厂商的欢迎，而且目前正在通过Microsoft Active Protections Program (MAPP)进行测试。这种免费工具提供了对文件格式的查看方式，使他们可以对基于.doc, .xls和.ppt的攻击进行解构，可以通过识别攻击者注入的恶意代码实现。

　　微软安全响应中心策略的高级主管Andrew Cushman说：“它可以帮助减轻安全的复杂性。它了解植入的Office文件格式，这样不仅可以显示每一部分，还可以验证他们的完整性，并识别不应该出现的模块。”

　　在微软不断展示他们一直在保护他们的软件产品的同时，他们还提供包含漏洞信息的多种资源，开放安全程序。Forrester Research Inc.的高级分析师Andrew Jaquith说，大部分的IT安全专家对漏洞的数量都不感兴趣，他们感兴趣的是区分更新优先级和评估漏洞风险的方式。

　　Jaquith说：“微软传统上不太关注对漏洞数目的计算，他们忽视了安全变更对终端用户的广泛影响。最终我们不应该询问微软漏洞的数量是多了还是少了。这是关于在基础架构的各个方面面临问题的企业是否有足够的信息进行风险评估的问题。”

　　为了解决数据量过大的问题，微软还发布了微软安全更新指南（Microsoft Security Update Guide）。这份文件列出了微软安全更新的过程，让管理员可以查看在哪里取得最新更新的信息，帮助评估风险并优先配置更新。Cushman说这份指南包含了微软提供的这些内容、工具以及最佳实践，还引入了IT安全架构，这样IT安全专家就可以评估自己企业的策略和程序了。

　　Cushman说：“我们认识到的一点是不太成熟的企业不知道从哪里开始。这是帮助他们微软提供的所有资源的很好的起点。”

　　微软还将发布在2008年的黑冒大会上启动的三个安全程序的报告卡。

? 微软利用指数，引入到微软安全公告中，可以帮助IT管理员开发补丁的优先级。微软漏洞的级别是基于在补丁发布的30天内开发可利用代码的可能性的。Cushman说，到目前为止，这个项目的成功率达到了99%，只有1% 在开始后发生了变化。

? 微软说大约45家安全厂商已经参与了MAPP项目，这样他们可以在补丁发布前收到漏洞信息，并开发特征以及为用户开发检测功能。要参与这个项目，厂商必须提供针对万人以上客户群的防御技术，例如防病毒、入侵检测系统和入侵防御系统技术。

? 微软漏洞研究项目是用于解决在Windows上运行的第三方应用的混合威胁的。从2008年七月到2009年六月，MSVR项目所识别到的软件漏洞影响30家软硬件厂商。微软说这个项目发现的68%的第三方漏洞都是严重或者重要。到目前为止已经修复了13%。

　　微软还宣布一种叫作Project Quant的新架构也在研发中，这个架构可以确定补丁管理程序的成本。Project Quant是前Garnter分析师兼Securosis的安全咨询师Rich Mogul和微软安全技术部的战略主管Jeff Jones共同实施的。这两位专家都想要开发IT安全专家和厂商可以使用的补丁程序的方法。

　　企业策略部的高级分析师Jon Oltsik说目前证明这个项目非常有效。他说微软通过向用户和竞争对手提供的安全措施贡献了很多资源。安全是微软的成本中心，尽管银根紧缩，微软继续教育市场让人们理解已经不再是1996年的公司了。Oltsik说，他们为安全做了很多预备工作。

　　Oltsik 说：“合作已经证明有很多优势，微软帮助客服Windows中的威胁非常有利。他们可以做得更好的唯一的事情是让更多的人知道这些项目。”