現在と将来のインフラストラクチャのニーズを満たすうえで Azure が最適な理由

June 11, 2018, 11:51 pm

≫ Next: マイクロソフトパートナーオブザイヤー 2018 募集開始！【6/12 更新】

≪ Previous: Part 2: Configure Just Enough Admin to Manage Domain Joined Servers from Windows Admin Center

執筆者: Corey Sanders (Corporate Vice President, Azure)

このポストは、2018 年 6 月 4 日に投稿された Why you should bet on Azure for your infrastructure needs, today and in the future の翻訳です。

とても嬉しいことに、マイクロソフトのパートナー様やお客様は、Azure を活用してさまざまな成果を挙げられています。たとえば、Adobe (英語) では、インフラストラクチャサービスとプラットフォームサービスを組み合わせて Adobe Experience Manager を全世界に提供し、HP (英語) では、カスタマーエクスペリエンスの強化に AI を活用しています。さらに、Jet (英語) は、IaaS VM でマイクロサービスとコンテナーを使用して独自の e コマースエクスペリエンスを提供しています。ここでは大手 3 社の例をご紹介しましたが、他にも数多くの企業が生産性と信頼性に優れたインテリジェントなハイブリッドクラウドである Azure に投資しています。

この数年間は、お客様のアプリケーションをホストするサービスとして、主に IaaS (サービスとしてのインフラストラクチャ) が使用されています。Azure VM は、オンプレミスからの移行、IT インフラストラクチャの刷新、効率性の向上、セキュリティの強化、アプリの管理性の向上、コスト削減を実現できる最も容易な方法であり、Azure は今年も IaaS 部門で「Leader」の評価を獲得しました。

今回の記事では、クラウドへの移行とデプロイメントを検討しているお客様向けに、インフラストラクチャのニーズを満たすうえで Azure が最適な理由をいくつかご紹介します。

あらゆるワークロードに対応するインフラストラクチャ

マイクロソフトは、あらゆるワークロードに適したインフラストラクチャを提供すべく取り組んでおり、50 の Azure リージョンにおいて、お客様のアプリケーションのニーズに合わせてさまざまな CPU、GPU、メモリ、ディスク構成を選択できる Virtual Machines を提供しています。非常に高速な相互接続を必要とする HPC ワークロードには InfiniBand を、スーパーコンピューティングワークロードには Cray ハードウェアをご利用いただけます。SAP HANA 向けには、RAM 容量が最大 4 TB の VM と最大 20 TB の専用ベアメタルインフラストラクチャをご用意しています。高性能インフラストラクチャだけでなく、使用中のデータを保護する Confidential Computing 機能や、最新の量子コンピューティング (英語) も提供しています。これらの各種ハードウェアでは、Windows Server、Red Hat、Ubuntu、CoreOS、SQL、Postgre、Oracle など、4,000 種類以上の組み込みアプリケーションを実行できます。マイクロソフトはこのように幅広いインフラストラクチャを提供しており、Coats (英語) などの企業は、自社データセンター全体を Azure に移行しています。

このたび、さらなる新機能が発表されました。

業界最高レベルの M シリーズ VM には、最大 12 TB のメモリを搭載した VM が追加されます。パブリッククラウドの VM 1 台としては最大のメモリ容量であり、SAP HANA などのインメモリワークロードに対応します。これらの大容量の VM 構成を追加することで、クラウドにおける仮想化の限界を押し広げ、VM で実行される SAP HANA のパフォーマンスを向上させます。これらの新しい VM サイズは Intel Xeon Scalable (Skylake) プロセッサを基盤としています。詳細については、今後数か月以内にお伝えします。

M シリーズ VM では、メモリ容量が最小 192 GB の VM サイズの提供が開始されました。RAM 容量の選択肢は最小 192 GB、最大 4 TB に広がり、合計 10 種類のサイズ間で迅速なスケールアップ/スケールダウンが可能です。M シリーズ VM は SAP HANA 認定を取得しており、12 のリージョンでご利用いただけます。Azure ARM テンプレートの SAP HANA 用自動化スクリプト (英語) を使用すると、オンプレミス環境では数週間を要する SAP HANA 環境全体のデプロイメントをわずか数分で完了できます。

Azure Large Instances では、SAP HANA TDIv5 に最適化された新しい SAP HANA 用構成の提供が開始され、メモリ容量を 6 TB、12 TB、18 TB から選択できるようになりました。これに加えて、パブリッククラウドのインスタンスとしては業界最大規模となる 24 TB の TDIv5 構成の提供が開始されました。これにより、SAP HANA 専用インスタンスが 15 種類に拡大されました。TDIv5 構成を低価格でご利用いただけるようになったほか、SLA によって SAP HANA インフラストラクチャの可用性が 99.99% 保証され、さらに大容量の構成へのステップアップも可能です。

新しい Standard SSD Disks は、Azure Managed Disks の低コストな SSD ベースのソリューションです。一貫したパフォーマンスと高スループットが必要とされるテストやエントリレベルの運用環境のワークロードに最適です。Standard HDD Disks と比較すると、レイテンシ、信頼性、スケーラビリティが向上します。Standard SSD Disks は、Premium SSD Disks に容易にアップグレードできます。これにより、低レイテンシが求められる高負荷なエンタープライズワークロードに対応できます。Standard SSD Disks は、Azure Managed Disks の業界最高レベルの耐久性と可用性を備えています。Standard SSD Disks の詳細については、こちらのブログ記事をご覧ください。

完全な一貫性を持つハイブリッド機能

クラウド戦略についてお客様とお話しすると、ワークロードやアプリケーションを実行する場所の選択肢や柔軟性が求められていることは明らかです。オンプレミスとクラウドへの投資の両方を有効活用したいと考えているお客様は多数いらっしゃいます。Azure では、VPN、ExpressRoute、File Sync、Azure Security Center など、オンプレミス環境とクラウド環境を接続して管理し、完全なハイブリッドインフラストラクチャを実現するためのサービスを数多く提供しています。また、Azure Stack を使用すると Azure のサービスや機能をオンプレミスやエッジデバイスに拡張できるため、ハイブリッドクラウドアプリケーションの構築、デプロイ、運用をシームレスに行えます。

このたび、世界中のお客様からの需要の高まりに対応するために、Azure Stack の提供地域が拡大されます。これにより、世界 92 か国で Azure Stack が提供されます。Azure Stack へのご期待にお応えして、今後さらに提供地域を拡大してまいります。サポート対象となる国と地域の完全なリストは、Azure Stack の概要ページでご確認ください。

アフリカ東部、中部、南部における大手データ通信、音声通話、IP プロバイダーの Liquid Telecom は、世界でも特に辺ぴな地域の顧客やパートナーにサービスを提供するために Azure Stack を活用することを計画しています。

「当社は長年にわたり、将来を見据えた革新的なサービスをお客様に提供しています。Microsoft Azure Stack はこの使命を強化するもので、アフリカでも特に人里離れた地域のお客様やパートナー様に価値を提供できるようになります。Azure Stack に加えて、受賞歴を持つ当社のアフリカ全体を網羅するファイバーネットワークを経由する ExpressRoute と Azure を使用することにより、クラウドにおけるデータのプライバシー、コンプライアンス、全体的なガバナンスなど、複雑化が進むビジネス上の課題をお客様が解決できるように支援できます。これは当社だけでなく、流通パートナー様や付加価値パートナー様のチャネル全体にとっても、デジタル化によるカスタマーエクスペリエンスの強化に役立っています」Liquid Telecom、最高製品責任者、David Behr 氏

組み込みのセキュリティ機能と管理機能

Azure のセキュリティや管理に関するベストプラクティスについて、ご質問をいただくことがよくあります。Azure では、お客様が実行している VM が 1 台であっても数千台であっても、ベストプラクティスを非常に容易に実践できるように、組み込みのバックアップ、ポリシー、アドバイス、セキュリティ検出、監視、ログ分析、修正プログラム適用など、独自のサービスを提供しています。これにより、VM をプロアクティブに保護し、環境内の潜在的な脅威を検出できます。これらのサービスは、マイクロソフトが Xbox、Office、Windows、Azure といったサービスを数十年にわたって提供してきた経験に基づき、数千人のセキュリティプロフェッショナルによって構築されたもので、70 以上のコンプライアンス認定を取得しています。また、一般データ保護規則 (GDPR)、ISO 27001、HIPAA などの標準への準拠やプライバシーについては、リーダーとしての地位を維持しています。先週には、Azure Policy の一般提供が開始されました。これは、大規模な Azure リソースを制御、管理できる無料のサービスです。

このたび、複数の組み込みのセキュリティおよび管理機能が追加されました。

Azure IaaS VM 用災害復旧機能の一般提供開始: 事業継続計画が求められる規制 (ISO27001 など) にアプリケーションを準拠させるためには、災害復旧機能が必要となる場合があります。また、リージョン全体が自然災害の被害を受けるなどの万一の事態が発生しても、アプリケーションを継続的に実行する必要があります。この新しいサービスの一般提供が開始されたことにより、Azure 独自の組み込みの DRaaS (サービスとしての災害復旧) により、数日や数週間の期間を要することなく、数分程度で災害復旧を構成できます。使用を開始する方法の詳細については、こちらのドキュメントをご覧ください。

「Finastra では、DR の対策状況を改善するために、Azure リージョン間でのレプリケーションを直観的に構成できる ASR を活用しました。ASR は現在、当社の災害復旧の標準プラットフォームとなっており、数千のシステムを運用するうえで規模に関する問題が発生することはなく、当社の厳格な RPO/RTO 要件も遵守されています」D+H、システム & アーキテクチャ担当ディレクター、Bryan Heymann 氏

Azure Virtual Machines での Azure Backup for SQL のプレビュー: このたび、Azure のバックアップ機能が拡張され、VM やファイルに加えて VM 上の SQL インスタンスのバックアップにも対応しました。このインフラストラクチャ不要のサービスにより、バックアップスクリプト、エージェント、バックアップサーバー、バックアップストレージの管理から解放されます。さらに、SQL Server や SQL Always On 可用性グループで SQL ログのバックアップを 15 分ごとに実行できます。この機能の主なメリットや使用を開始する方法の詳細については、こちらのドキュメントをご覧ください。

VM でのコマンド実行: マシンに接続しなくても、Azure VM に対するスクリプトを Azure ポータルから直接実行できるようになりました。PowerShell スクリプトまたは Bash スクリプトを実行可能で、ネットワークに接続できなくなったマシンのトラブルシューティングを行うこともできます。コマンド実行の詳細については、Windows VM (英語) および Linux VM (英語) のドキュメントをご覧ください。

コストの削減と管理、インフラストラクチャの最適化を行う新しい方法

クラウドインフラストラクチャの俊敏性を考慮すると、柔軟なデプロイメントだけでなく、コストの厳密な管理も必要になります。また、クラウド移行時にもコストを最適化する必要があります。Azure では、インフラストラクチャコストの削減、最適化により、ROI を向上できます。

Azure では、低優先度 VM、バースト対応 VM、Oracle および SQL Database 向けの vCPU 制約付き VM、アーカイブストレージなどの革新的な製品やサービスを提供しており、お客様のアプリに適したインフラストラクチャオプションを選択し、コストを最適化することができます。また、Azure 独自の Cost Management サービスを無料で提供しており、全体的な予算を管理、最適化できます。

Azure Reserved VM Instances (RI) を使用すると、コストを最大 72% 削減できます。さらに、RI と Azure Hybrid Benefit を組み合わせることで、Windows Server VM のコストを最大 80%、Windows VM 用 AWS RI と比較すると最大 73%* 削減できます。これにより、Azure は Windows Server ワークロードを実行するうえで最もコスト効率に優れたクラウドサービスとなります。Smithfield Foods (英語) などのお客様は、データセンターコストの大幅な削減、新規アプリケーションの納期の短縮、インフラストラクチャコストの最適化に成功しています。

今回は、Azure の新しい機能やサービスの概要をご紹介しました。マイクロソフトは、プラットフォームを強化し、インフラストラクチャサービスをよりシンプルで使いやすいものにするための取り組みを継続しています。さらなる強化を図るため、皆様からのご意見をお待ちしております。

Azure IaaS (英語) を今すぐお試しください。また、2018 年 6 月 18 日の Azure IaaS Web キャストでは、今回ご紹介した内容の多くを取り上げます。こちらのページ (英語) からご登録ください。

次回もどうぞお楽しみに。

Corey Sanders

*免責事項:

1. D2V3 サイズの Windows Server VM 2 台の年間コストを比較した例。米国西部 2 リージョンで D2V3 サイズの VM 2 台を 12 か月間、毎月 744 時間稼働した場合のコスト削減額を算出したものです。米国西部 2 リージョンの SUSE Linux Enterprise のコンピューティング基本料金を適用しています。2018 年 4 月 24 日時点の Azure の料金と、2018 年 4 月 24 日に改定された AWS の料金を比較しています。料金は変更される場合があります。

2. 80% のコスト削減とは、Windows Server 向け Azure Hybrid Benefit と 3 年契約の Azure Reserved Instance を併用した場合です。ソフトウェアアシュアランスの料金は含まれません。

3. 実際の削減額は、場所、インスタンスの種類、使用状況によって異なります。

↧

マイクロソフトパートナーオブザイヤー 2018 募集開始！【6/12 更新】

June 11, 2018, 4:00 pm

≫ Next: HTTP/2 – seznámení [Jiří Kanda, HAVIT Vzdělávací okénko 31.5.2018]

≪ Previous: 現在と将来のインフラストラクチャのニーズを満たすうえで Azure が最適な理由

本アワードプログラムは、マイクロソフトパートナーネットワーク参加パートナー企業様を対象とし、21分野のアワードにおいて優れた実績をおさめられたパートナー企業様を選出させていただくものです。
各アワードを受賞されたパートナー企業様につきましては、2018 年 8 月 31 日開催の Japan Partner Conference 2018 にて発表いたします。

また、弊社ウェブサイト等を介して広くご紹介し、皆様の活動を広くアピールいたします。

応募いただけるアワードカテゴリや、応募条件、選考基準などをご確認の上、ぜひ応募をご検討ください。パートナー企業の皆様より多くの応募をお待ちしております。

応募締切日: 2018 年 7 月 13 日（金） 17：00 まで

【アワード特典】

2018 年 8 月31日開催の Japan Partner Conference 2018 にて発表、会場内での告知および掲示
表彰盾の授与 / Japan Partner Conference 2018 会場にて記念写真撮影
2018 アワードロゴの利用
Microsoft Inspire 2019 参加の際のレジストレーション費用 1 名分をご招待 (USD 2,295 相当 ※2018年のレジストレーション費用)

【アワード選考および結果発表】

マイクロソフトパートナーネットワークに参加しているパートナー様を対象に広く公募いたします。ご応募いただいた中から、厳正なる審査の上、最も優れた事例を選出いたします。
審査結果の発表は、8 月中旬までにマイクロソフトパートナーアワード事務局または弊社担当営業よりご連絡いたします。

【選考基準】

技術の先進性、採用製品およびテクノロジー
- 新製品/最新技術を積極的に採用しているか先進的な機能の組み合わせによる完成度の高い独創的なソリューションであるか
- 独創的なソリューションによって顧客のビジネスニーズに応えているか
マーケットへのインパクト
- 競合他社が提供できない顧客メリットなど、市場での差別化要因
- 展開されたソリューションおよびユーザー実績の認知活動 (Web、印刷物、顧客事例など)
ソリューション全体の完成度または顧客満足度
- ソリューションが顧客にもたらした価値 (価格/性能、コスト削減、収益増加など)
- 顧客のビジネス課題の解決、新規顧客の獲得、顧客サービスの改善またはその他のビジネス目標達成に貢献できたか顧客課題の解決、顧客にもたらした価値
今後のマイクロソフトクラウドビジネスへの取り組み

【応募条件】

マイクロソフトパートナーオブザイヤー 2018 への応募に際しては、応募条件を満たしている必要があります。応募フォームに記載のアワードごとの応募条件と合わせて、以下の条件を必ずご確認のうえ、応募ください。

応募するソリューションについて
- パートナー様自身が構築・導入したソリューション、または開発し所有している製品であること。
- 自社への導入ではないこと。
- 2017 年 7 月 1 日から 2018 年 6 月 30 日までに少なくともシステムの一部が導入されていること。
- 対外的に公表可能なソリューションまたは製品であること。
- 複数のパートナー企業様と共同して構築・導入した場合、または第三者のパッケージアプリケーションを活用しており、その情報を提出内容に含める場合は、各関連企業様より今回の応募の許諾を事前に取得していること。

応募内容が特定のエンドユーザーに対するソリューションやサービスの提供である場合、導入先顧客情報を提供する許諾を取得し、「顧客情報提供同意書」にご記名押印の上、ジャパンアワード事務局に提出すること。

※応募内容が特定のエンドユーザーに対するソリューションやサービスの提供ではない場合、本同意書の提出は不要です。

【応募方法】

こちらのアワード応募フォームダウンロードリストから応募を検討しているアワードの応募フォーム（Wordファイル）をダウンロードしてください。条件を満たしていれば複数のアワードへ応募することも可能です。

② アワード応募フォームに必要事項をご記入の上、Word ファイルのままマイクロソフトジャパンアワード事務局 にお送りください。ご応募を受け付けた時点で、マイクロソフトジャパンアワード事務局よりご担当者様宛に「受領メール」を配信いたしますので、必ずご確認ください。

応募締切日: 2018 年 7 月 13 日（金） 17：00 まで

【注意事項】

Worldwideの「2018 Partner of the Year Awards」へご応募いただいたパートナー様も、日本語で改めてご応募いただく必要がございますのでご了承ください。

【アワードに関するお問い合わせ】

マイクロソフトジャパンアワード事務局
E-Mail: jpaward@microsoft.com

↧

HTTP/2 – seznámení [Jiří Kanda, HAVIT Vzdělávací okénko 31.5.2018]

June 12, 2018, 12:00 am

≫ Next: Microsoft Teams クライアントのシステム要件について

≪ Previous: マイクロソフトパートナーオブザイヤー 2018 募集開始！【6/12 更新】

Záznam ze Vzdělávacího okénka HAVIT z 31. května 2018, kde Jiří Kanda prezentoval Seznámení s protokolem HTTP/2. Nahrávka je publikována na našem HAVIT YouTube Channelu.

Robert Haken, HAVIT Knowledge Base

↧

Microsoft Teams クライアントのシステム要件について

June 11, 2018, 5:54 pm

≫ Next: “CredSSP encryption oracle remediation” error when RDP to a Windows VM in Azure

≪ Previous: HTTP/2 – seznámení [Jiří Kanda, HAVIT Vzdělávací okénko 31.5.2018]

こんにちは。Teams サポートチームです。

Microsoft Teams のシステム要件については、公開情報にて Windows (7+) との記載があります。

これは、Windows 7 (最新のSP) 以降の OS をサポートするという意味ですが、サーバーOSについても同様にサポートいたします。

つまり Windows Server 2008 R2 (最新のSP) 以降の OS を同様にサポートいたします。

ただし、サーバーOSを 1 クライアントとして Microsoft Teams を利用するシナリオのみサポートいたします。

VDI や Remote Desktop Service のシナリオにおいて複数ユーザーが Microsoft Teams を利用することは、現時点でサポートされませんので、ご注意下さい。

公開情報

Get clients for Microsoft Teams

https://docs.microsoft.com/en-us/microsoftteams/get-clients

↧

“CredSSP encryption oracle remediation” error when RDP to a Windows VM in Azure

June 11, 2018, 10:44 pm

≫ Next: [Decode] Teams bot を作ってみる（２）

≪ Previous: Microsoft Teams クライアントのシステム要件について

Recently, we have been seeing this error message "CredSSP encryption oracle remediation" error when RDP to a Windows VM in Azure quite frequently which does not allow you to RDP/Login into your Azure VM. Full documentation and root cause analysis of the issue is mentioned in this article released by Microsoft Support

Do not worry if you run into this issue as resolving this on your Azure VM is pretty simple and can be done very easily from your azure portal. Steps to resolve this are:

Login into https://portal.azure.com
Navigate to the Azure Virtual Machine tab and go to the VM that is giving this error
Now under operations, select the Run Command option which will give you the option to run a PowerShell script
In the PowerShell script section, type in the below two lines and click on run

REG ADD HKLMSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters /v AllowEncryptionOracle /t REG_DWORD /d 2

Set-ItemProperty -Path 'HKLM:SoftwareMicrosoftWindowsCurrentVersionPoliciesSystemCredSSPParameters' -name "AllowEncryptionOracle" 2 -Type DWord

Now on your own machine (client machine), follow the below steps:

On the client that has the CredSSP update installed, run gpedit.msc, and then browse to Computer Configuration > Administrative Templates > System > Credentials Delegation in the navigation pane.
Change the Encryption Oracle Remediation policy to Enabled, and then change Protection Level to Vulnerable.

If needed, please restart the server and now when you try to RDP into your Azure VM you will be able to login and complete the connection. Please note that it is highly recommended to patch your VMs and follow the latest guidelines that are mentioned in the Microsoft Support Article.

-Cheers

↧

[Decode] Teams bot を作ってみる（２）

June 11, 2018, 7:45 pm

≫ Next: Xbox E3 2018 ブリーフィングでの発表内容について

≪ Previous: “CredSSP encryption oracle remediation” error when RDP to a Windows VM in Azure

こんにちは、Teams サポートの吉野です。
ちょっとトラブルで間が空いてしまいましたが、引き続き Teams Bot を作っていきましょう。

さて、前回は Visual Studio でテンプレートからBotを作り、 Azure にアップロードするところまで進めました。
今回は、チャンネルといわれる、ボットとTeamsをつなげる部分を作っていこうと思います。

まずはAzure ポータル (https://portal.azure.com)に接続し、「リソースの作成」をクリックします。
Botと検索すると以下のように候補が出てきますので、 Bot Channel Registration を選択します。

[作成]をクリックすると以下のような画面になりますので、ボット名・サブスクリプション・リソースグループ・場所・価格レベルをふさわしいものに変更ください。
リソースグループは前回のAppと同じものでもいいですし、価格レベルも検証用であればF0（無償）がよいと思います。

メッセージングエンドポイントは前回作成したものの利用しますが https にし、かつ末尾に /api/messages を付けます。
例えば http://bot.azurewebsites.net/ というAppが生成されていた場合は https://bot.azurewebsites.net/api/messages とします。

さらに、「アプリIDとパスワードの自動作成」をクリックします。[新規作成]-[App Registration Portal でアプリ ID]を作成するとたどって新しいページを開きます。

アプリパスワードを生成して続行をクリックするとパスワードが表示されます。このパスワードはこの画面でしか表示されないので必ずnotepad等にコピーしておいてください。

元の画面に戻ってアプリIDとパスワードを入力し、OKをクリックし、[作成]をクリックします。しばらくするとボットチャンネル登録が作成されます。

右上の通知に、作成された通知が表示されたら、そこをクリックするか、または「すべてのリソース」から作成したボットチャンネル登録を表示します。

[チャンネル]より Teams アイコンをクリックすると Teams チャンネルが作成されます。

あとはここをクリックするだけなのですが、最後に Visual Studio に戻り、web.config を編集します。

再度ビルド→発行したら「チャンネルに接続」より「Microsoft Teams」のリンクをクリックしてみましょう。

返事が返ってきたら成功です。

もうじき de:code の資料なども公開されると思いますので、その際はより細かい話やコード解説などできればと思います。

↧

Xbox E3 2018 ブリーフィングでの発表内容について

June 11, 2018, 8:32 pm

≫ Next: E3 2018: 『Halo Infinite』を公開

≪ Previous: [Decode] Teams bot を作ってみる（２）

開発スタジオ数の倍増および 18 のコンソール発売専用タイトル、15 の世界初公開タイトルを含む 50 以上のゲームをステージで披露
Xbox One X 向けに強化された Xbox One 専用タイトルとして Gears 5、Halo Infinite および Forza Horizon 4 などの新規タイトルを発表

(当リリースは 2018 年 6 月 10 日に米国で発表されたリリースの抄訳を元にしています。文中のタイトル、サービスおよびそれらの提供時期などは北米地域の情報です)

ロサンゼルス — 2018 年 6 月 10 日 —

現地時間日曜日に開催された、Xbox E3 ブリーフィングは 1,000 人を超えるファンの皆さんを含む 6,000 人以上が会場の Microsoft Theater に出席するマイクロソフト史上最大規模の E3 ブリーフィングになりました。そこではゲームの開発スタジオを倍に増やすこと、18 の Xbox One 専用タイトルおよび 15 の世界初公開タイトルを含む 52 ものゲームがステージ上で披露されました。あらゆるタイプのプレイヤーが楽しめる幅広いラインアップには、専用タイトルの “Forza Horizon 4”、”Halo Infinite” および ”Gears 5“ など、また独立系タイトルも ”Session“、”Below“、”Ashen“および ”Tunic“ を紹介。さらには今後 1 年間に提供され最大級の大作ゲームになることが期待される ”Fallout 76“、”Tom Clancy’s The Division 2“、”Kingdom Hearts 3“、”Devil May Cry 5“、”Battlefield V“、”Metro Exodus“ および ”Shadow of the Tomb Raider“ があり、その多くは Xbox One X のパワーを最大限に活かせるよう強化されています。

抄訳全文は News Center Japan に掲載していますので併せてご覧ください。

E3 2018: 『Halo Infinite』を公開

June 11, 2018, 10:00 pm

≫ Next: Xbox E3 2018 ブリーフィングで、開発スタジオ数の倍増と、18 のコンソール発売専用タイトル、15 の世界初公開タイトルを含む 50 以上のゲームを発表

≪ Previous: Xbox E3 2018 ブリーフィングでの発表内容について

(本記事は 2018 年 4 月 24 日に Xbox Wire に掲載された記事の抄訳です。)

Xbox の代表作である Halo は、世界中で数百万人のファンから愛されています。『Halo: Combat Evolved』ではカートグラファーのインストレーション 04へ上陸したり、『Halo: Reach』でコヴナントの絶え間ない猛攻撃との戦いを繰り広げたり、『Halo 5: Guardians』で完璧な 4ショットをしたり、Halo シリーズには忘れられない思い出が詰まっています。

2018 年の E3 で「343 Industries」は、Halo の次作品『Halo Infinite』の開発を正式に発表しました。エンジンデモが初公開された『Halo Infinite』は、現在のストーリーに続くマスターチーフを中心とした新しい Halo です。

エンジンデモを視聴した皆さんは「Slipspace Engine」という名前にお気づきでしょうか。「343 Industries」が Halo のために開発した新たな「Slipspace Engine」は、Halo universe の素晴らしさと美しさを新たな体験と共にすべてのゲーマーへ提供します。

もちろん、世界中のファンは『Halo Infinite』の手掛かりを探そうと、エンジンデモのフレームを全て解析しようとするでしょう。あなたは隠されたイースターエッグを探し出せますか？「343 Industries」はゲーム、アート、技術要素はまだ進行中であり、リリースまでの間に多くの進化があると述べています。このエンジンのデモは、「Slipspace Engine」の性能により『Halo Infinite』に息吹を与え、どうマスターチーフを中心としたストーリーになるかの証になることでしょう。

「343 Industries」のこれからの Halo シリーズに向けての計画は、時が教えてくれるでしょう。「Slipspace Engine」の能力、「Halo Infinite」の詳細、そしてマスターチーフの物語がどのように進んでいくのか、私達はとても楽しみにしています。

↧

Xbox E3 2018 ブリーフィングで、開発スタジオ数の倍増と、18 のコンソール発売専用タイトル、15 の世界初公開タイトルを含む 50 以上のゲームを発表

June 11, 2018, 6:00 pm

≫ Next: デジタルトランスフォーメーションを加速するセキュリティプラットフォーム～アジア地域におけるサイバー攻撃の脅威の調査結果から～

≪ Previous: E3 2018: 『Halo Infinite』を公開

Xbox One X 向けに強化された Xbox One 専用タイトルとして Gears 5、Halo Infinite および Forza Horizon 4 などの新規タイトルを発表

(当リリースは 2018 年 6 月 10 日に米国で発表されたブログの抄訳を元にしています。文中のタイトル、サービスおよびそれらの提供時期などは北米地域の情報です)

ロサンゼルス — 2018 年 6 月 10 日 — 現地時間日曜日に開催された、Xbox E3 ブリーフィングは1,000 人を超えるファンを含む 6,000 人以上が会場の Microsoft Theater に集まったマイクロソフト史上最大規模の E3 ブリーフィングになりました。そこではゲームの開発スタジオを2倍に増やすことと、18 の Xbox One 専用タイトルおよび 15 の世界初公開タイトルを含む 52 ものゲームが披露されました。あらゆるタイプのプレイヤーが楽しめる幅広いラインアップには、専用タイトルの “Forza Horizon 4”、”Halo Infinite” および ”Gears 5“ など、また独立系タイトルも ”Session“、”Below“、”Ashen“および ”Tunic“ を紹介。さらには今後 1 年間に提供され最大級の大作ゲームになることが期待される ”Fallout 76“、”Tom Clancy’s The Division 2“、”Kingdom Hearts 3“、”Devil May Cry 5“、”Battlefield V“、”Metro Exodus“ および ”Shadow of the Tomb Raider“ があり、その多くは Xbox One X のパワーを最大限に活かせるよう強化されています。

マイクロソフトでGamingの責任者を務めるフィルスペンサー (Phil Spencer) は次のように述べています。「今ほどゲーム業界がエキサイティングだった時はありません。世界中の 20 億人以上のプレイヤーに向けて規模を問わず様々なクリエイターが驚異的なゲームを提供しています。マイクロソフトは、ゲーム愛好家が、好きなゲームを好きな人と好きな場所でプレイできるよう支援することにコミットしています。」

オリジナルコンテンツへの開発投資
マイクロソフトは、Microsoft Studios ファミリーに新たに 5つのクリエイティブチームを追加し、ゲーム開発スタジオ数を倍増したことを発表しました。この新しい投資には、新スタジオ The Initiative の設立、Playground Games の買収、そしてNinja Theory、Undead Labs、Compulsion Games の買収基本合意が含まれます。

The Initiative. カリフォルニア州サンタモニカに拠点を置く The Initiative は、業界のベテラン、ダレルギャラガー (Darrell Gallagher) が率いるまったく新しいマイクロソフトのゲーム開発スタジオであり、画期的な新世界、キャラクター、ゲーム体験を開発していきます。
Playground Games. マイクロソフトは、2010 年以来の開発パートナーであり、“Forza” シリーズの人気拡大に貢献した、英国に拠点を置く Playground Games を買収しました。今年発売の “Forza Horizon 4” に加えて、Playground Games は同社のオープンワールド型の体験をまったく新しいプロジェクトで適用するための専任チームを結成しました。
Ninja Theory. Ninja Theory とマイクロソフトの関係は 2020 年にオリジナルの Xbox 向けに“Kung Fu Chaos” が開発された時に始まり、今年初めの Xbox One向けの “Hellblade” のリリースによりさらに強固になりました。マイクロソフトがNinja Theory を買収する意図を表明したことで、同社のクリエイティブチームは “Hellblade: Senua’s Sacrifice” などの野心的なゲームをファンに提供するためのリソースと自由度を獲得できました。
Undead Labs. シアトルに拠点を置く Undead Labs は世界中の数百万人のファンに愛されている “State of Decay” シリーズの制作会社です。“State of Decay 2” の発売から2 週間で、200 万人以上のファンが、 20 億体以上のゾンビを退治して生き残る戦いに参加しました。Undead Labs の買収意図を表明したことで、マイクロソフトは、このフランチャイズへの投資を継続し、サバイバルファンタジーのジャンルをさらに拡大していくコミットメントを示しました。
Compulsion Games. フルバージョンの “We Happy Few” のマルチプラットフォームリリースが 8 月 1 日に迫る中、マイクロソフトは、モントリオールに拠点を置く Compulsion Games を買収する意図を表明しました。Microsoft Studios のチームに加わることで、Compulsion Games は、多大なクリエイティブ上のリスクを取れるようになり、将来のプロジェクトでさらに野心的な世界を作り出すためのリソース、プラットフォーム、自由度を獲得できます。

Microsoft Studios 担当コーポレートバイスプレジデントのマットブーティ (Matt Booty) は次のように述べています。「Microsoft Studios が制作するオリジナルゲームは私たちの最大の資産のひとつです。私たちの成長戦略は、プレイヤーの皆様が愛する世界を拡張すると共に、プレイヤーとマイクロソフトプラットフォームとのつながりを強めるためのまったく新しい専用ゲームを開発していくことにあります。マイクロソフトのファミリーに新たに 5 つのスタジオを追加できたことを大変うれしく思っています。これらの開発チームが、ゲーム業界の次の変革をもたらすための創造的パワーとオペレーショナルエクセレンスを備えていることを確信しています。」

これらのクリエイティブチームの追加は、オリジナルコンテンツに深くコミットするというマイクロソフトのゲームに対するビジョンをさらに強化します。マイクロソフトは、あらゆるデバイス向けに、新たに発表された Microsoft Studios のゲームを含むゲームポートフォリオを開発しています。本日、ステージ上では、Gears of War の3つの新タイトル — “Gears 5”、“Gears Tactics”、“Gears Pop!” — が発表されました。さらに、“Battletoads”、“Forza Horizon 4”、そして、Slipspace エンジン上で構築されたシリーズ最新作のマスターチーフの物語、 “Halo Infinite” も発表されました。

お気に入りのゲームへのアクセスが迅速かつ便利に
マイクロソフトは、 “Forza Horizon 4”、“Fallout 4”、“Tom Clancy’s The Division”、 “The Elder Scrolls Online: Tamriel Unlimited” などのタイトルが Xbox Game Pass のカタログに追加されたこと、そして複数の新しい ID@Xbox ゲームがそのリリース日に追加されることを発表しました。また、マイクロソフトは、デジタルゲーミングをさらに進化させるイノベーションも発表しました。これには、マイクロソフトの機械学習（Machine Learning）チームのイノベーションである FastStart、そしてマイクロソフトのゲーミングクラウドチームによる任意のデバイス上でコンソール機と同等の品質のストリーミングサービスを提供する計画が含まれます。

「Xbox Game Pass がゲーミングエコシステムにもたらしてきたプラスの影響を見るのは大きな喜びです。ゲーマーがプレイするタイトルの数が約 40% 増加し、ゲームのプレイ時間もほぼ 20% 増加しました」と Microsoft のゲーム部門のチーフマーケティングオフィサーであるマイクニコルズ（Mike Nichols）は言います。「Xbox Game Passは、100 以上の優れたゲームを、究極の自由度（ultimate freedom）をもって、探求およびプレイできるようにすることで、Xbox Games Passの加入者にゲーミングにおける驚くべき価値をもたらします。」

Xbox Game Pass Xbox Game Pass のタイトルは日々追加されており、本日より会員向けに “Fallout 4”、“The Elder Scrolls Online: Tamriel Unlimited” および “Tom Clancy’s The Division” が新たに加わりました。また、ID@Xbox プログラムを通じて、“Warhammer: Vermintide 2”、“Ashen”、“Afterparty” および “Phoenix Point” など、Xbox One への提供のタイミング Xbox Game Pass に加わるいくつかの注目すべきタイトルのリリースを発表しました。さらには最大級のフランチャイズが提供する大作ゲーム、“Forza Horizon 4”、“Crackdown 3”、“Gears 5” および “Halo: The Master Chief Collection” が含まれ、2018 年の後半以降にリリースされる予定です。
＊Xbox Game Passの日本での提供は未定です。
FastStart (Xbox One) FastStart は、ゲームの起動*を 2 倍近く早められ、タイトルの一部をダウンロードしただけでプレイを開始できます。 FastStart はプレイの開始に必要なファイルを識別し、それらのファイルのダウンロードを優先させるため、すぐにゲームを楽しむことができ、バックグラウンドでタイトルのダウンロードが進行します。 FastStart が有効なプレイしたいタイトルを探し、[ダウンロード] を押すと、あとはコンソールが判断するため簡単に利用できます。
Xbox Adaptive Controller (Xbox One および Windows 10) 6 月 11 日午前 9 時（太平洋標準時）から一部の市場において、運動制限のあるゲームファン向けに設計されたアクセサリー、 “Xbox Adaptive Controller” の予約販売が開始されます。この Xbox ファミリーとして最新のコントローラーは、最大限の調整が可能なように設計されており、Microsoft Store のみで 99.99 ドルで販売されます。プレイヤーは、プラグアンドプレイで、拡張可能で、安価な方法で自分に合った設定を行うことができます。
＊Xbox Adaptive Controllerの日本での発売は未定です。
Mixer マイクロソフトのライブストリーミングサービスである Mixer は、継続的に拡大しており、6 か月間で視聴数は倍増し、2,000 万アクセス以上になりました。この成長の大部分はモバイルの視聴者からによるものです。

オリジナル、大作、独立系のゲームをプレイする最適な場所
Xbox One は、世界最強のゲームコンソールである Xbox One X 向けに強化された 220 以上の大作タイトルをプレイするための最適な場所です。そして、Bethesda Game Studios の “Fallout 76”、 CD Projekt Red の “Cyberpunk 2077”、Ubisoft Massive の “Tom Clancy’s The Division 2” など、世界有数のクリエイターがこのプラットフォームのパワーを活用した新しいゲームを提供しています。また、独立系のゲームクリエイターも、Xbox One でのイノベーションを継続しており、 “Session”、“Below”、“Ashen”、“Tunic”などのタイトルが Xbox 専用で提供が開始されます。

“BATTLEFIELD V” (ELECTRONIC ARTS). 2018 年 10 月 19 日より世界全域で提供開始される “Battlefield™ V” は、第二次世界大戦のリアルな描写で知られるシリーズのルーツに戻り、人類が経験する最大の戦闘シーンを提供します。世界中でマルチプレイヤーの総力戦を行なうことも、シングルプレイヤーの War Stories で世界大戦の背後にある人間ドラマを体験することもできます。Xbox E3 Briefing で紹介されたドイツ占領下のノルウェイ反乱軍の一員である Nordlys のストーリーでは、自分、そして、家族を救うために大きな代償を払わなければなりませんでした。
“BLACK DESERT” (PEARL ABYSS). “Black Desert” は、強烈でスピード間のある戦闘シーン、サバイバルスキル、そして、拡張可能なオープンワールドを備えた革新的 MMORPG です。モンスター、悪霊、神を倒し、道具作り、釣り、調理などのサバイバルスキルを活用して真の意味でオープンワールド型のMMORPG で本当の自分になることができます。
“CRACKDOWN 3” (Xbox One および Windows 10 専用). Crackdown 3 は来年の 2 月にブームを巻き起こすでしょう。プレイヤーは混乱と破壊のサンドボックスのなかで、スーパーパワーを持つエージェントとして犯罪を阻止します。 Microsoft Studios が Sumo Digital と Elbow Rocket と提携して開発した Crackdown 3 は、協調的混乱、印象的なアンティック、爆発的なゲームプレイを提供し、破壊という究極の武器が特徴の新しいマルチプレイヤーモードである Wrecking Zone が Microsoft Cloud によって可能となっています。 2019 年 2 月から世界中で一般公開されます。
“CUPHEAD: THE DELICIOUS LAST COURSE” (STUDIO MDHR). “Cuphead: The Delicious Last Course” で、Cuphead と Mugman がMs. Chalice と共にによるまったく新しい島での冒険に繰り出す追加ダウンロードコンテンツです。Cuphead の最後の冒険では、新しい武器、新しい魔法、そしてMs. Chalice の新しい能力により、新しいボスキャラと戦い、Chef Saltbaker を助けにいきます。
“CYBERPUNK 2077” (CD PROJEKT RED). “Cyberpunk 2077” は、危険に溢れた都市 Night City に舞台を置くストーリー中心のオープンワールド型 RPG です。プレイヤーは、初仕事を行なうことになったばかりのヒットマン V を演じます。サイバー強化された市街戦士、テクノロジに通じたネットランナー、そして、企業のライフハッカーなどに満ちた世界で、伝説になるための一歩を踏み出せ。
“DEVIL MAY CRY 5” (CAPCOM). 2019年春に伝説のスタイリッシュアクション、そのシリーズ最新作が Xbox Oneに登場。もちろん、シリーズの根幹とも言えるハイテンションなスタイリッシュアクション、そして独自の世界観と魅力的なキャラクターは健在。
“悪魔”は度々人間世界の征服を図り、その度に退けられてきた。今またかつてないほど強大な魔による侵攻が始まる。人類の最後の望みは 3 人の悪魔狩人（デビルハンター）に委ねられた。運命、そして、復讐心によって結ばれたデビルハンターたち。彼らは自らの生き残りも賭けて悪魔へと立ち向かってゆく。
シリーズ最高に斬新でクレイジー、そしてハイクオリティなスタイリッシュアクションにご期待ください。
“DYING LIGHT 2” (TECHLAND). オープンワールドの革新的ゲームの続編である “Dying Light 2” は、終末後の世界 Modern Dark Ages をユニークに表現しています。この世界では、パルクールのような身体能力と容赦ない戦闘スキルだけが生き残りの手段です。道義的には疑わしい決断を行ない、City を改革し、その運命を決めてください。
“FALLOUT 76” (BETHESDA GAME STUDIOS). “TESV: Skyrim” や “Fallout 4” を手掛けたBethesda Game Studiosが新たにお送りする “Fallout 76”。
世界に名を馳せる “Fallout” の荒野では、シリーズの前日譚が史上最大規模の体験として待ち受けている。
ウエストバージニアを舞台に、未だ誰も足を踏み入れたことのないウェイストランドの先駆者となれ。
“FORZA HORIZON 4” (Xbox One および Windows 10 専用 – 世界初公開). “Forza Horizon 4” は季節がすべてを変えます。 2016 年のヒット作 ”Forza Horizon 3” の待望の続編で、レーシングとドライビングの分野に新たな風を吹き込みます。毎週変化する共有されたオープンワールドで、ダイナミックな季節の変化を体験できます。ネイティブ 4K と HDR で息を呑むような美しい歴史的な英国を堪能し、450 台以上の車を収集して、Horizon Superstar になりましょう。 Forza Horizon 4 は 2018 年 10 月 2 日に、Xbox One、Windows 10、および Xbox Game Pass で Xbox Play Anywhere タイトルとして世界中で公開されます。
“GEARS 5” (Xbox One および Windows 10 専用 – 世界初公開). Kait として、これまでにない広大かつ美しい Gears ワールドに旅立ちます。ソロで、またはフレンドとのローカルスプリットスクリーンの協力プレイで、あるいはオンラインの協力プレイで、目を見張るような HDR による 4K Ultra HD 解像度を、いずれのモードでもスムーズな 60 fps でお楽しみいただけます。 GEARS 5 は 2019 年に Xbox One と Windows 10 で公開され、Xbox Game Pass にはグローバルリリースと同日に公開されます。
“GEARS POP!” (iOS および Android 専用 – 世界初公開). “Gears Pop!” は印象的な Gears キャラクターをキュートなファンコポップのスタイルで提供します。このゲームは Funko (Nasdaq “FNKO”) と共同開発されており、Gears of War のビニール製フィギュアからインスピレーションを得ています。モバイルで混乱のスリルを味わえるまたとない機会です。iOS と Android で 2019 年に公開予定です。
“GEARS TACTICS” (Windows 10 専用 – 世界初公開). “Gears Tactics” はターンベースのストラテジーゲームを進化させた、特徴となるクリックペースのブルータルアクションとキャラクター主導のストーリー性を兼ね備え、カスタマイズ可能なスクアッド、アップグレード可能な武器、そして大掛かりなボスバトルも見逃せません。また、Gears Tactics は、PC ゲーマー向けに開発された最初の Gears ゲームです。
“HALO INFINITE” (Xbox One および Windows 10 専用 – 世界初公開). 伝説的シリーズの次作 “Halo Infinite”でマスターチーフが戻ってきます。343 Industries による新しい Slipspace Engine 上で開発された “Halo Infinite” は、Xbox E3 2018 Briefing でスリリングなエンジンのデモと共に紹介され、このシリーズが予測もしなかった新たな方向に向かっていることを見せてくれました。
“JUMP FORCE” (BANDAI NAMCO ENTERTAINMENT AMERICA INC). 集英社の「週刊少年ジャンプ」の 50 年の歴史から飛び出したヒーローと悪役たちが地球上の様々な場所で戦います。アニメファンの夢がかないました！世界で最も人気のあるマンガとアニメであるワンピース、ドラゴンボール、NARUTO -ナルト- などをフィーチャーし、プレイヤーはニューヨークのタイムズスクエアやマッターホルンなどの世界中の著名な場所に設定された闘技場でスタイリッシュな格闘を行なうことができます。
“JUST CAUSE 4” (SQUARE ENIX). 破天荒エージェントリコ・ロドリゲスが、紛争、圧政、そして移り変わりの厳しい気候で知られる南米の大国ソリスに降り立った。ウィングスーツを身に付け、フルカスタマイズ可能なグラップリングフックを手に取り、嵐を呼び起こせ！
“KINGDOM HEARTS III” (SQUARE ENIX). “KINGDOM HEARTS III” は、Sora と彼の友人たちが危険な冒険に乗り出し、共に危機を乗り越えていく友情のストーリーです。Disney の広大な世界に設定された “KINGDOM HEARTS” は、大いなる力の継承者である若者 Sora のストーリーです。Sora は Donald と Goofy と共にHeartless という邪悪な力が世界を乗っ取ることを食い止めます。友情の力によって、Sora、Donald、 Goofy は、有名な Disney-Pixar の新旧キャラクターと共に、困難な課題を克服し、世界を邪悪な存在から守ります。
“METRO EXODUS” (DEEP SILVER).“Metro Exodus” は、4A Games が開発したストーリー中心型のファーストパーソンシューティングゲームです。過去最高レベルの没入感のでの決死の戦闘、秘密の潜入、サバイバルが体験できます。広大でノンリニア型のレベルでロシアの大地を探検し、春・夏・秋を経て核の冬に至るまでの 1 年間のスリリングなストーリーを体験してください。Dmitry Glukhovsky の小説にインスパイアされた “Metro Exodus” では、いまだだかつてない Metro での冒険によってArtyom のストーリーが続きます。
“NIER: AUTOMATA” BECOME AS GODS EDITION (SQUARE ENIX). “NieR: Automata” は、人類に見捨てられ、機械生命が支配する終末後の世界に舞台を置いた画期的アクション RPG です。プレイヤーは、地球を取り戻すために人類により作られたアンドロイド軍団の一員として、近距離戦闘用の武器と遠隔攻撃を駆使して機械の大群と戦っていきます。
“ORI AND THE WILL OF THE WISPS” (Xbox One および Windows 10 専用). 待望の続編である ”Ori and the Will of the Wisps“。Ori の没入感に浸れる世界、ダイナミックな戦闘メカニック、手に汗握る敵対勢力との対峙、謎めいた課題など、ストーリー性にあふれるアドベンチャーが展開されます。 Ori and the Will of the Wisps は、Xbox One と Windows 10 で 2019 年にリリースされます。
“PLAYERUNKNOWN’S BATTLEGROUNDS” (Xbox One ファミリーに最初に提供). ハイテンションのバトルロワイヤルゲームLAYERUNKNOWN’S BATTLEGROUNDS (PUBG) が、2 つのマップを新たに提供します。Sanhok は、南東太平洋に浮かぶ島々にインスパイアされたアクション満載の小規模なマップです。そして、雪に覆われたマップが現在開発中です。また、デスマッチスタイルの乱闘ゲーム War Mode が提供され、爆発や近距離の攻撃から迅速に防御するためのツールである Ballistic Shield も紹介されました。Sanhok と War Mode は、2018年の晩夏に Xbox で提供開始されます。
“SEA OF THIEVES” (Xbox One および Windows 10 専用). 典型的な海賊体験ができるマルチプレイヤーの共有型ゲームで、追加のコンテンツによってゲームが拡張および進化しています。 7 月に公開される Cursed Sails では、恐るべき骸骨船という形で海上に新たな脅威が発生します。 9 月に公開される Forsaken Shores では、新たな危険が明らかにされ、百戦錬磨の乗組員のスキルを試し、神経をすり減らす危険が降りかかります。それぞれのアップデートでは期間限定のキャンペーンが行われ、楽しく参加できる記憶に残るコンテンツが紹介されます。 Sea of Thieves は、Xbox One、Windows 10、および Xbox Game Pass で Xbox Play Anywhere タイトルとして現在公開中です。
“SEKIRO™: SHADOWS DIE TWICE” (ACTIVISION). フロム・ソフトウェアとActivisionによる共同プロジェクト “SEKIRO™: SHADOWS DIE TWICE” は、戦国時代の日本を舞台にした、RPG要素を備えたサードパーソン型のアクションアドベンチャーゲームです。このシングルプレイヤーゲームでは、主である若き皇子を救出し、宿敵に復讐を果たすために戦う孤独な忍となり、シームレスで広大なマップを探索し、プレイヤーの覚悟を問うような強敵たちに立ち向かいます。“Sekiro: Shadows Die Twice” は2019年初頭にマイクロソフトの Xbox One ファミリー向けに提供予定です。
“SESSION” (CREA-TURE STUDIOS). 1990年代そして2000年代初頭というスケートボードの黄金時代に触発された “Session” での目的は真のスケートボード体験を習得することです。自分の創造性を表現する以外のゴールがなく、猛練習と忍耐とちょっとした狂気を通じてのみ成功できる驚異のスポーツを体験してください。
“SHADOW OF THE TOMB RAIDER” (SQUARE ENIX). 今明かさる“トゥームレイダー”誕生の物語。ララ・クロフトの次なる冒険の舞台はマヤの古代遺跡。自然が猛威をふるうジャングルで生き残るには、世界を味方につけなければならない。マヤ暦に記された「終末」から世界を救うため奔走するララは、やがて運命に導かれるようにその身を覚醒させていく。
“TALES OF VESPERIA: DEFINITIVE EDITION” (BANDAI NAMCO ENTERTAINMENT AMERICA INC). 今年の冬に提供開始される“Tales of Vesperia: Definitive Edition” は、この愛されてきたRPGシリーズの10周年に相当します。操作性の高いキャラクター、そして、日本国外ではリリースされてこなかった追加コンテンツが提供されます。かつての王国の騎士であった Yuri Lowell となって、Terca Lumireis の世界の様々なキャラクターと友達になり、地球の危機をもたらす恐るべきストーリーを体験してください。
“THE AWESOME ADVENTURES OF CAPTAIN SPIRIT” (SQUARE ENIX). スーパーヒーローになりたいと思ったことはありませんか？想像力豊かな 10 歳の少年 Chrisが現実から逃れるために創り出したもう一人の自分、その名前は「Captain Spirit」。英国アカデミー賞を受賞した“Life is Strange”のディレクターと開発陣が紡ぎだす、心温まる少年の物語。“The Awesome Adventures of Captain Spirit” は Life is Strange の世界観で語られるオリジナルストーリー…そして“Life is Strange 2”への橋渡しとなるような作品です。
“TOM CLANCY’S THE DIVISION 2” (UBISOFT). Ubisoft Massive の “Tom Clancy’s The Division®”の開発チームが開発した “Tom Clancy’s The Division® 2” は、破壊されかけたワシントンDCに舞台を置くオンラインのオープンワールド型シューティング RPG です。この新しい設定では、様々な美しい環境の構成要素を組み合わせ、プレイヤーは有名かつリアルな建物、複雑なRPGシステム、そして、未だかつてない高速ペースのアクションを体験できます。1 人でも最大 4 人のチームででもプレイでき、作戦会議、PvP 対戦、そして、何が起こるかわからない Dark Zone などの様々な体験ができます。
“TUNIC” (FINJI). “TUNIC” は広い世界の小さなキツネによるクォータービュータイプのアクションゲームです。今までに行ったことがない遠くの土地で冒険してみましょう。古代の廃虚を探検し、モンスターと戦い、秘密を解き明かそう。世界は広くて恐怖に満ちています。キツネさんがんばって！
“WE HAPPY FEW” (COMPULSION GAMES, GEARBOX PUBLISHING). 2016 年の Xbox E3 ブリーフィングでXbox Game Preview タイトルとして登場した“We Happy Few” が、まったく新しいストーリーとコミュニティー機能を追加して、2018 年 8 月 10 日に Xbox One (Xbox One X は4K および HDR をサポート）で提供されます。“We Happy Few” は、ドラッグが蔓延する 1960 年代のレトロフューチャリスティックなイギリスを舞台にした、ストーリー中心型のアクションアドベンチャーゲームです。生涯の快活な拒絶から逃れようとする3人の複雑なストーリーから Wellington Wells の謎を解き明かそう。

MIXER で E3 ライブストリーミングを視聴
E3 の期間中、その他のニュース、ハイライト、専用タイトル情報、人気ゲームの舞台裏などについて知るには、6 月 11 日 (月) の午後 3 時 (PDT) に行われる Inside Xbox: Live @ E3、および 6 月 12 日 (火) と 6月 13 日 (水) に行われる Mixer のライブストリーミングをご覧ください。

* 一部タイトルのみ。20 Mbpsのダウンロード速度が必要です。FastStart 対応タイトルの平均的速度向上はインターネット接続に依存します。
* Xbox One 上でオンラインマルチプレイヤーをプレイするためにはXbox Live Gold (別売) が必要です。

---

本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。

↧

デジタルトランスフォーメーションを加速するセキュリティプラットフォーム～アジア地域におけるサイバー攻撃の脅威の調査結果から～

June 11, 2018, 9:30 pm

≫ Next: Download Two Azure Active Directory Whitepapers

≪ Previous: Xbox E3 2018 ブリーフィングで、開発スタジオ数の倍増と、18 のコンソール発売専用タイトル、15 の世界初公開タイトルを含む 50 以上のゲームを発表

Posted by : 河野省二
日本マイクロソフト株式会社
技術統括室 Chief Security Officer

デジタルトランスフォーメーションとセキュリティ
働き方改革やAIの活用などを見据え、昨今デジタルトランスフォーメーションが注目されています。一方で、それを実現するための課題としてセキュリティが取り上げられることも少なくありません。これに対してデジタルトランスフォーメーションとセキュリティの両立という言葉を聞くこともありますが、それは正しい考え方でしょうか。両立のためにどちらかを犠牲にしなければならない、トレードオフを考えていくというのであれば、より良い改革は実現が難しくなります。デジタルトランスフォーメーションとセキュリティはお互いに良い影響を与え合い、生産性と安心・安全の両方を引き上げていく関係であると私は考えています。

海外から見た国内のセキュリティの現状
国内のセキュリティについて、そのポジショニングや取り組みの特徴など、多くのレポートが出ていますが、今回私たちマイクロソフトはアジアの他の国との比較などを踏まえ、Frost & Sullivan社と調査を実施しました。調査結果から、特に日本についての特徴は以下の通りです。

サイバーセキュリティ攻撃の影響は、日本の大企業であれば約37億円。
これは中小企業のおよそ1100倍
2017年には企業のほぼ半数 (48%) で雇用への影響が発生している
サイバーセキュリティへの懸念により、デジタルトランスフォーメーションの計画が遅延しがちである
サイバーセキュリティ戦略として、AI（人工知能）の活用を促進する企業が増加している

国内では特にデータ漏洩に起因する経済的損失について懸念が大きくなる一方で、メディアの報道等で公となる事故や、実際に企業が自身で把握している事故はごく一部だというのも調査の結果からわかりました。氷山の一角を見ながら戦略を立てたとしても、見えない部分にまで手が届かず、結果として一つの事故に起因するその他の事故やそれに伴う更なる損失が誘発されて、最終的に事故が発生した際の損失総額が大きなものとなっているのです。

事故の全体像の把握とセキュリティ戦略
サイバーセキュリティ攻撃の影響の全体像を把握しにくいのは、攻撃者の真の目的がわからないためです。多くの犯罪では犯人が捕まることによって、その動機を把握することができます。しかし、サイバー攻撃においては犯人の明確な意図を知ることができません。今回の調査では、日本国内ではデータ漏洩・情報漏えいが引き金となって被害の拡大が進むと考えられているという結果が出ています。
実際に国内では電子データの分類が明確に行われていないケースが多く、攻撃者は目的の情報だけを選択して摂取したり、改ざんするのではなく、無差別に攻撃しています。結果だけを見たときに、その狙いがどの情報だったのか、そしてそれがどのように使われて、どのような影響をもたらすのかを推測することが難しいのです。つまり、攻撃者の意図がわからないサイバー攻撃では、誘発される様々な損失について企業側が想定することが難しくなり、過度なセキュリティ対策を行ってしまうケースが多いのではないかと考えられます。

セキュリティ対策の細分化による弊害
国内だけではなく、アジア全般にわたってセキュリティベンダーの細分化が行われていることもわかりました。ネットワーク監視やウイルス感染対策、情報管理における暗号化など、これまで行われてきたセキュリティ対策について専門性が高まる一方で、ベンダーが細分化され、ユーザによるこれらの管理が煩雑になっているという弊害も出ているようです。産業はエコシステムによって連携が始まっているにもかかわらず、セキュリティの現場ではこれがうまく繋がらないということが課題の１つとして挙げられました。事故の対応を行った際だけではなく、業務の方法が変わったり、IT環境が変わったりした際に追加されてきたセキュリティ対策が、複雑に重なり合って、本来は必要なくなったセキュリティ対策をやめることができないというのが現状のようです。また、当時のIT環境では有効だったセキュリティのベストプラクティスも、現状ではそれ自身が攻撃の対象となるなど、より有効なセキュリティ対策を実施するための障害となっていることもあります。これらが、デジタルトランスフォーメーションが進まない理由の１つにもなっているという結果も出ていました。

AIを活用したセキュリティ対策の準備
攻撃者はあの手この手で組織の資産を狙っています。実際には資産そのものではなく、その資産を悪用して金銭を得たいと考えています。一昔前までは、攻撃者は資産を窃取して売って利益を得ていましたが、この対策が普及した今では、ファイルを暗号化して身代金を要求するように変化しています。このことからもわかるように、攻撃者の意図によって頻繁に行われる様々な攻撃手法の変更に対応できるIT基盤、セキュリティ基盤を構築していく必要があります。これに対し、今回調査を行ったFrost & Sullivanからは「セキュリティ対策はシンプルに行うことがのぞましい」という提案がありました。
複数のセキュリティベンダーの複数のソリューションを活用しながら攻撃に対応するには、組織に相応のセキュリティスキルと調整能力が必要になります。また、連携するソリューションが増えれば増えるほど、対応や回復までの時間がかかる傾向にあることも調査からわかりました。現在、これらセキュリティスキルや調整能力の不足を補うために注目されているのがAI（人工知能）です。多くの企業はセキュリティ対策にAIや自動化を取り入れることで、これらの課題を解決したいと考えているようです。セキュリティを効果的かつ継続的に行うためにも自動化は必須の要件だと考えられます。

課題解決のためのデータ＆セキュリティガバナンス
事故が発生した際の影響を把握するためには適切な資産管理が必要です。資産の一元管理、分類、ラベル付け、そして状態を把握するための構成管理です。データだけではなく、ヒトやデバイス、そしてアプリケーションなどにも識別子（ID）を割り当てて管理することで、これらの状況を判断することができるだけではなく、自動化のための計算を容易にできます。ガバナンスは統制や統治と訳されることが多いのですが、実際には現場の把握を行い、経営判断のための情報を収集することにあります。経営者が即時に判断を行うことができる情報をいかに収集しておくかが重要なポイントとなります。さらに詳細な影響を把握するためには、自らのネットワークに対する攻撃者の振る舞い情報だけではなく、外部の情報との連携、内部の振る舞いとしての活動データも必要になります。これら全ての情報を紐付け、判断できるような基盤を構築することが急務となっているのです。

シンプルなプラットフォーム構築のための転換
これまで、これらの基盤を構築することは容易ではありませんでした。ネットワークが分離されていたり、仮想化されたネットワークを複雑な形で構築していたり、ネットワークレイヤーでのセキュリティ対策によって、情報を収集したり、集計することが難しかったためです。しかし、クラウドが活発に利用されるようになって、状況が変わりました。自らの組織を把握するためのプラットフォームだけではなく、クラウドサービスプロバイダーが介在することによる情報の共有が容易になったことが要因となって、ガバナンスやそれに伴うセキュリティの自動化が実現できるようになりました。ID as a Serviceを利用したID連携による組織間の信頼性の向上、そして全ての資産がネットワークに紐付けられることによるガバナンス、多くの組織が共通のプラットフォームを利用することによる道の攻撃へのアクティブな対応が可能になったのです。クラウドの時代だからこそできるセキュリティ対策とは何かを知り、既存のセキュリティ対策の見直しを行う時期がきているのではないかと思います。

今後も、マイクロソフトはこのような調査結果をし続けるだけでなく、お客様のデジタルトランスフォーメーションとセキュリティの双方を高めるための戦略・計画づくりのお手伝いをさせていただきたいと考えています。ぜひ、ご期待下さい。

関連情報
Understanding the Cybersecurity Treat Landscape in Asia Pacific (英語)
https://news.microsoft.com/apac/features/cybersecurity-in-asia/

---

↧

Download Two Azure Active Directory Whitepapers

June 12, 2018, 1:23 am

≫ Next: Microsoft Inspire 2018 – My Session Recommendations #2 – Windows Server

≪ Previous: デジタルトランスフォーメーションを加速するセキュリティプラットフォーム～アジア地域におけるサイバー攻撃の脅威の調査結果から～

Keeping in line with a few of my recent posts about leveraging hybrid cloud scenarios, here are a couple of Azure Active Directory focused whitepapers, the first being a quick introduction to Azure Active Directory and the second being more focused on hybrid identity scenarios.

Azure Active Directory is a critical component of digital transformation and creating a truly modern workplace. Azure AD gives organisations a simple, elegant way to provide effortless user experiences, unlock IT efficiencies and enhance security.

Download Crash course in Azure Active Directory and learn everything you need to know about setting up Azure AD in your organisation. This free e-book includes:

An overview of Azure AD and how it works
The benefits of utilising one unified, secure identity
How Azure AD improves user experiences
What Azure AD does to secure identities

For any organization moving to the cloud, a robust identity solution becomes the critical control plane for keeping up with new security demands and complex compliance requirements. A hybrid approach to identity and access management helps you retain and expand your existing IT systems while taking advantage of the control, visibility, and security capabilities of cloud-based identity. Microsoft Azure Active Directory offers a hybrid identity solution that work with existing on-premises IT solutions.

Second up is the Hybrid Identity Digital Transformation Framework Whitepaper.

In this whitepaper on hybrid identity, you'll learn:

How to evaluate your business requirements and desired business outcomes for your organization’s hybrid identity solution
That you can take advantage of cloud app capabilities—minus the added risk
How to better protect end-users against cyberattacks without sacrificing productivity
Ways that you can accelerate your digital transformation at your own pace

↧

Microsoft Inspire 2018 – My Session Recommendations #2 – Windows Server

June 12, 2018, 1:56 am

≫ Next: 5 ways you can get more from the Microsoft Partner Network

≪ Previous: Download Two Azure Active Directory Whitepapers

In #1 in this series I covered the Microsoft 365 sessions (and have added a few new additions as well), and today's post is focused on Windows Server. With two different events on the horizon - the Windows Server 2019 launch, and the approaching End of Support deadline for Windows Server 2008 and Windows Server 2008 R2 - Windows Server partners are going to have a few different conversations to have with their customers.

Windows Server 2019: Opportunities for partner solutions with Hyper-converged infrastructure

Description

Learn how to take advantage of opportunities with Hyper-converged infrastructure (HCI), one of the hottest trends in the IT industry today, with Windows Server Software Defined (WSSD) program. HCI allows customers to combine compute and storage using standard x86 hardware. WSSD is based on what customers need: lower cost, extreme performance based on Windows Server, simplified infrastructure, and an enterprise-ready solution.

Partner Outcome

Leverage offers and the Windows Server Software Defined (WSSD) program to be successful in the hyper-converged infrastructure market.

Win with new generation hybrid Windows Server in SMB and MM

Description

When SMB and MM IT pros begin their migration, they need to know they are on the right technology. Cloud is a prominent feature of all companies, and IT pros are challenged to manage multiple OS, HW platforms, cloud compute, and leverage hybrid to manage TCO. Learn about the opportunity to move the world from the largest install base of Windows Server. Go through the modern server platforms, 2016 and upcoming 2019, with a focus on hybrid. Hear from a Dell exec on services and ready bundles.

Partner Outcome

Execute hybrid and Windows Server 2016 OEM partner sales motions.

Expand addressable market with hybrid AD in SMB. Understand the technical steps to onboarding your customers to Microsoft 365 Business

Description

SMBs are in various phases in their journey to the cloud. Some are fully embracing SaaS applications while others have a significant on-premises footprint. Come to this session to learn how Microsoft 365 Business can be enabled for SMBs wherever they are in their cloud journey.

Partner Outcome

Expand addressable market with hybrid AD in SMB. Understand the technical steps to onboarding your customers to Microsoft 365 Business.

Remote Desktop Services (RDS): Partner business opportunities hosting Windows desktops and applications on Microsoft Azure

Description

Whether you are a system integrator, hosting partner, independent software vendor, or other cloud services provider, you’ll want to learn about the fast-growing business of hosting Windows desktops and applications on Azure. In this session we provide practical information to help reduce costs and increase margins using the current RDS products and Azure services. We also provide insight into how the next generation of RDS will help to further simplify and reduce costs for partners.

Partner Outcome

Insights into the next generation of RDS, and practical ways to help reduce costs and increase margins with RDS & related Azure services.

Leveraging the End of Support of SQL Server and Windows Server 2008 and 2008 R2 to drive migrations to cloud

Description

In this breakout, learn about how to use the End of Support of SQL Server 2008 R2 and Windows Server 2008 R2 as an opportunity to transform with Azure or update to the latest versions of SQL and Windows Server so take advantage of latest innovations. You will learn about offers and strategies to secure IT environments and leverage latest innovations.

Modernizing mission-critical apps with SQL Server 2017 on Windows, Linux, and containers

Description

In this breakout, learn how to build and update mission critical applications leveraging the latest innovations of SQL Server 2017 including in-memory performance, automatic tuning, advanced security features, high availability and disaster recovery, big data integration with PolyBase, and AI built-in.

Partner Outcome

Deliver applications with performance, scale, security, availabilty, and intelligence - all on your customers' platform of choice.

↧

5 ways you can get more from the Microsoft Partner Network

June 12, 2018, 3:05 am

≫ Next: ‘Una maravilla escalable’: ¿Cómo es que Johns Hopkins Medicine planea cambiar la percepción de las enfermedades?

≪ Previous: Microsoft Inspire 2018 – My Session Recommendations #2 – Windows Server

This is one for your bookmarks.

It can be tricky to know where to get started with the Microsoft Partner Network (MPN). It's full of resources - everything we think you'll need to train your employees, impress your customers, and boost your profits. With so much going on, we wanted to put together the ultimate place to start. This blog post is it.

Here, you'll find five ways you can get more from the MPN. And yes, it's probably more than you can read in a single session. But keep it handy - you never know when you might need a guide.

1. Get started or get a refresher.

Join Emma Oxley for the Microsoft Partner Network 101. In this 30-minute introduction, she covers the structure of the programme, what it takes to get on board, and some of the benefits of joining. This is a great place to start if you want to build your plan for moving to the next level.

And if you feel the same way about working together as we do, you'll want to watch this quick video from our Senior Director of Marketing, Kati Quigley. It'll give you a good idea of what we think goes into a successful partnership - so you know what you can expect from us when you join the MPN.

2. Know what the MPN can do for you.

You want to be up and running in the MPN as soon as you join. We want to help you make the most of being here. That's why we focus on three things: enabling you with training; encouraging you with incentives; and empowering you with support and resources. Click on any one of them to see what's in store.

3. If you're not sure, ask for help.

You're not alone. There are over 800 partner-centric experts around the world - ready to help you. I've written about them before. Take a look at this blog post to see how they fit into the partnership, and how they can help your business take off.

Or, if you'd rather get up to scratch at your own pace, there are plenty of support topics on the portal.

4. Don't be afraid to try something new.

A great business is never finished. There's always more to do and explore. That might mean finding a new area of expertise. Or doing more to increase profits and optimise operations. You might want to improve how you engage customers and market yourself. Or look inwards and give employees better training. You'll find the tools to do all of this in the links included here.

Try these cloud practice playbooks, for example. If you want to get more from your Azure practice, you'll want to give them a read. Inside, you'll find new ways to drive revenue, as well as the marketing strategies and lead-capturing tactics you'll need to get customers' attention, and tips on how the technical stuff works.

5. Make sure you stay in touch.

And we're always up for a chat. Make sure you join the UK Partner Zone in Microsoft Partner Communities where you can share your stories, get advice from other partners, and enjoy a little friendly competition. To stay up to date with the latest partner news, follow us on Twitter, too.

↧

‘Una maravilla escalable’: ¿Cómo es que Johns Hopkins Medicine planea cambiar la percepción de las enfermedades?

June 12, 2018, 11:19 am

≫ Next: June 2018 CU for SharePoint 2010 product family is available for download

≪ Previous: 5 ways you can get more from the Microsoft Partner Network

Los datos son enormes. Su potencial para encontrar curas: aún mayor.

En Johns Hopkins Medicine en Baltimore, los científicos y doctores recolectan y utilizan vastas cantidades de datos provenientes del cuidado clínico, genomas, e incluso de los dispositivos wearable, para realizar mejores predicciones sobre el progreso de las enfermedades y poder identificar tratamientos individuales.

“La medicina de precisión se enfoca en usar herramientas revolucionarias en la medición, computación y conectividad para re-imaginar y re-inventar la medicina” dice el Dr. Antony Rosen, director de reumatología y vicedecano de investigación en Johns Hopkins Medicine.

En el corazón de dicho compromiso con la medicina de precisión, los clínicos y tecnólogos de Johns Hopkins, ya han comenzado a mirar con profundidad las enfermedades individuales, dentro de los subgrupos que comprenden dichas enfermedades.

Eso es porque los pacientes que están dentro de los mismos subgrupos de enfermedades, a menudo tienen la misma biología subyacente y responden de manera similar a los tratamientos, dice Rosen. Esto, en cambio, puede ayudar a los investigadores a descubrir los mecanismos que conducen a tratar dichas enfermedades.

El equipo dirige las investigaciones de los datos duros de los pacientes con tratamiento para cáncer de próstata, esclerosis múltiples, cáncer de páncreas, arritmias cardiacas, esclerosis lateral amiotrófica o ELA y más, todo para mejorar los diagnósticos, tácticas de prevención y curas.

“Esto es en verdad un momento donde las herramientas van a permitir a los humanos reclasificar las enfermedades con base en los subgrupos y cambiar en su totalidad la percepción de las enfermedades,” dice Rosen.

John Hopkins se apoya en la nube y el aprendizaje automático, “para en verdad permitir el descubrimiento de una maravilla escalable,” agrega Rosen.

Dentro de aquellos terabytes de datos en la nube, la misión médica permanece enfocada en los pacientes, dice Dwight Raum, Jefe de Tecnología en Hopkins Medicine.

“Las preguntas que realizamos se dividen en dos distintas categorías. La primera es: ¿Cómo determinamos los mejores pronósticos para este paciente? Raum dice. “¿Dónde se encuentran ahora? ¿Dónde estaban hace seis meses? ¿Dónde estarán en el futuro?

“La segunda dimensión es: ¿Cuáles son las mejores intervenciones? Si conocemos cómo se ven sus pronósticos, ¿Cuáles son las herramientas que podemos desplegar para ustedes en distintos puntos de su enfermedad?” Raum dice. “Tenemos la oportunidad de usar la tecnología, por primera vez, para redireccionar la manera en la que proveemos cuidados al paciente.”

↧

June 2018 CU for SharePoint 2010 product family is available for download

June 12, 2018, 9:17 am

≫ Next: June 2018 CU for SharePoint Server 2016 is available for download

≪ Previous: ‘Una maravilla escalable’: ¿Cómo es que Johns Hopkins Medicine planea cambiar la percepción de las enfermedades?

The product group released the June 2018 Cumulative Update for the SharePoint 2010 product family.

For June 2018 CU we have full server packages (also known as Uber packages) for SharePoint server and Project server. For SharePoint Foundation there was no CU released in June. For the latest updates for SharePoint Foundation look for the January 2018 CU.

As this is a common question: Yes, June 2018 CU includes all SharePoint security fixes released with June 2018 PU.

Be aware that CU is a Post-SP2 hotfix. It is required to have SP2 installed before installing the CU.
It is required to have SP2 installed for the base product and all installed language packs to install June 2018 CU for SharePoint 2010.

This CU includes all SharePoint 2010 fixes (including all SharePoint 2010 security fixes) released since SP2. The CU does not include SP2.

The KB articles for June 2018 CU should be available at the following locations in a couple of hours:

No fixes released for SharePoint Foundation 2010
KB 4022204 - SharePoint Server 2010
KB 4022201 - Project Server 2010

The Full Server Packages for June 2018 CU are already available through the following links:

No fixes released for SharePoint Foundation 2010
Download SharePoint Server 2010 June 2018 CU
Download Project Server 2010 June 2018 CU

After installing the fixes you need to run the SharePoint 2010 Products Configuration Wizard on each machine in the farm. If you prefer to run the command line version psconfig.exe ensure to have a look here for the correct options.

Be aware that the SharePoint Server 2010 CU contains the SharePoint Foundation CU.
That means only one package has to be installed for the SharePoint 2010 product family.

Related Links:

Blog: SP2 for SharePoint 2010
Blog: Common Question: What is the difference between a PU, a CU and a COD?
Blog: SharePoint Patching demystified
Blog: Why I prefer PSCONFIGUI.EXE over PSCONFIG.EXE
Blog: June 2018 Office Update Release
Technet: Update Center for Microsoft Office, Office Servers, and Related Products
Technet: Updates for SharePoint Server 2010 and SharePoint Foundation 2010
Technet: Updates for Project Server 2010
Technet: Updates for Enterprise Search Products

↧

June 2018 CU for SharePoint Server 2016 is available for download

June 12, 2018, 9:20 am

≫ Next: Lançamento da atualização de segurança da Microsoft – junho de 2018

≪ Previous: June 2018 CU for SharePoint 2010 product family is available for download

The product group released the June 2018 Cumulative Update for SharePoint Server 2016 product family.

This CU also includes Feature Pack 1 which was released with December 2016 CU and Feature Pack 2 which was released with September 2017 CU.

The KB articles for June 2018 CU are available at the following location:

KB 4022173 - June 2018 Update for SharePoint Server 2016 (language independent) - This is also a security update!
KB 4022178 - June 2018 Update for SharePoint Server 2016 (language dependent fixes)
KB 4011026 - June 2018 Update for Office Online Server 2016 - This is also a security update!

The download for June 2018 CU is available through the following link:

Download June 2018 Update for SharePoint Server 2016 (language independent) - This is also a security update!
Download June 2018 Update for SharePoint Server 2016 (language dependent fixes)
Download June 2018 Update for Office Online Server 2016 - This is also a security update!

Important: It is required to install both fixes (language dependent and independent) to fully patch a SharePoint server. This applies also to servers which do not have language packs installed. The reason is that each SharePoint installation includes a language dependent component together with a language independent component. If additional language packs are added later (only) the language dependent fix has to be applied again.

It is irrelevant which language you pick on the drop down in download center. Even the language dependent fixes are all in the same package for all languages.

After installing the fixes you need to run the SharePoint 2016 Products Configuration Wizard on each machine in the farm. If you prefer to run the command line version psconfig.exe ensure to have a look here for the correct options.

SharePoint 2016 June 2018 CU Build Numbers:

Language independent fix: 16.0.4705.1000
Language dependent fix: 16.0.4705.1000

To understand the different version numbers please have a look at my article which explains the different SharePoint build numbers.

You can use the SharePoint Server 2016 Patch Build Numbers Powershell Module to identify the patch level of all SharePoint components.

Related Links:

↧

Lançamento da atualização de segurança da Microsoft – junho de 2018

June 12, 2018, 10:39 am

≫ Next: Lanzamiento de actualización de seguridad de Microsoft de junio de 2018

≪ Previous: June 2018 CU for SharePoint Server 2016 is available for download

Em terça-feira, 12 de junho de 2018, a Microsoft lançou novas atualizações de segurança que afetam os seguintes produtos da Microsoft:

Família de produtos	Severidade máxima	Impacto máximo	Artigos da base de dados e/ou páginas de suporte associados
Windows 10 e Windows Server 2016 (incluindo o Microsoft Edge)	Crítico	Execução remota de código	Windows 10 v1803: 4284835; Windows 10 v1709: 4284819; Windows 10 v1703: 4284874; Windows 10 v1607: 4284880; Windows 10: 4284860 e Windows Server 2016: 4284880
Windows 8.1 e Windows Server 2012 R2	Crítico	Execução remota de código	Pacote cumulativo mensal para o Windows 8.1 e o Windows Server 2012 R2: 4284815 Apenas segurança para o Windows 8.1 e o Windows Server 2012 R2: 4284878
Windows Server 2012	Crítico	Execução remota de código	Pacote cumulativo mensal para o Windows Server 2012: 4284855 Apenas segurança para o Windows Server 2012: 4284846
Windows RT 8.1	Crítico	Execução remota de código	Windows RT 8.1: 4284815 Observação: Atualizações para o Windows RT 8.1 só estão disponíveis por meio do Windows Update
Windows 7 e Windows Server 2008 R2	Crítico	Execução remota de código	Pacote cumulativo mensal para o Windows 7 e o Windows Server 2008 R2: 4284826 Apenas segurança para o Windows 7 e o Windows Server 2008 R2: 4284867
Windows Server 2008	Crítico	Execução remota de código	As atualizações para o Windows Server 2008 não são oferecidas em uma atualização cumulativa ou em um pacote cumulativo. Os seguintes artigos fazem referência a uma versão do Windows Server 2008: 4234459, 4230467 e 4294413
Internet Explorer	Crítico	Execução remota de código	Cumulativo para o Internet Explorer 9 IE: 4230450; Pacote cumulativo mensal para o Internet Explorer 10: 4284855; Cumulativo para o Internet Explorer 10 IE: 4230450; Pacote cumulativo mensal para o Internet Explorer 11: 4284815 e 4284826; Cumulativo para o Internet Explorer 11 IE: 4230450; Atualização de segurança para o Internet Explorer 11: 4284835, 4284874, 4284819, 4284860 e 4284880
Software relacionado ao Microsoft Office	Importante	Execução remota de código	O número de artigos da base de dados associados ao Microsoft Office para cada lançamento mensal de atualizações de segurança pode variar dependendo do número de CVEs e do número de componentes afetados. Este mês, há mais de 20 artigos da base de dados relacionados a atualizações do Office – muitos para listar aqui com a finalidade de um resumo. Reveja o conteúdo no Guia de Atualização de Segurança para obter detalhes sobre os artigos.
Softwares relacionados ao Microsoft SharePoint	Importante	Elevação de privilégio	Softwares relacionados ao Microsoft SharePoint: 4022173, 4022190 e 4022210
ChakraCore	Crítico	Execução remota de código	ChakraCore é a parte central do Chakra, o mecanismo JavaScript de alto desempenho que habilita aplicativos do Microsoft Edge e Windows escritos em HTML/CSS/JS. Informações adicionais estão disponíveis em https://github.com/Microsoft/ChakraCore/wiki

Visão geral da vulnerabilidade de segurança

Veja abaixo um resumo mostrando o número de vulnerabilidades solucionadas neste lançamento, discriminadas por produto/componente e por impacto.

Detalhes da vulnerabilidade (1)	RCE	EOP	ID	SFB	DOS	SPF	Divulgadas de forma pública	Exploração conhecida	CVSS máxima
Windows 10 1803	6	8	3	5	3	0	0	0	8,1
Windows 10 1709	6	7	4	5	4	0	0	0	8,1
Windows 10 1703	5	6	4	7	3	0	0	0	8,1
Windows 10 1607 e Server 2016 (3)	5	6	3	7	3	0	0	0	8,1
Windows 10	5	2	2	6	3	0	0	0	8,1
Windows 8.1 e Server 2012 R2	3	2	1	0	2	0	0	0	8,1
Windows Server 2012	3	2	1	0	2	0	0	0	8,1
Windows 7 e Server 2008 R2	2	3	1	0	2	0	0	0	8,1
Windows Server 2008	1	3	1	0	1	0	0	0	8,1
Internet Explorer	3	0	0	1	0	0	1	0	7,5
Microsoft Edge	5	0	2	1	0	0	0	0	4,3
Software relacionado ao Microsoft Office	1	3	1	0	0	0	0	0	NA (2)
Softwares relacionados ao Microsoft SharePoint	0	2	0	0	0	0	0	0	NA (2)
ChakraCore	3	0	0	0	0	0	0	0	NA (2)
RCE = Execução Remota de Código \| EOP = Elevação de Privilégio \| ID = Divulgação de Informações Confidenciais SFB = Bypass de Recurso de Segurança \| DOS = Negação de Serviço \| SPF = Falsificação

(1) Vulnerabilidades que sobrepõem componentes podem ser representadas mais de uma vez na tabela.

(2) No momento do lançamento, as pontuações de CVE só estavam disponíveis para o Windows, o Internet Explorer e o Microsoft Edge.

(3) Atualizações para o Windows 10 v1607 podem exigir que a Atualização da pilha de serviço KB4132216 seja instalada primeira.

Novo comunicado de segurança

Comunicado de segurança 4338110	A orientação da Microsoft para o bypass do recurso de segurança de criptografia simétrica do CBC
Sinopse	A Microsoft está anunciando a melhor orientação sobre o uso do modo CBC (Cipher-Block Chaining) com criptografia simétrica. Uma vulnerabilidade de bypass de recurso de segurança "padding oracle" (oráculo de preenchimento) pode existir em certas circunstâncias se cifras de bloco CBC preenchidas forem usadas sem verificações de integridade de dados adicionais. Isso pode permitir que um invasor descriptografe e adultere dados criptografados sem mesmo conhecer a chave de criptografia. Essa vulnerabilidade pode ser usada tanto localmente quanto em ataques baseados em rede. A vulnerabilidade decorre da maneira como a criptografia é codificada e não pode ser identificada programaticamente sem uma alta taxa de falsos positivos devido à natureza imprevisível dos dados. A vulnerabilidade depende da existência de um "oráculo de preenchimento" que responda livremente às consultas sobre se uma mensagem está preenchida corretamente ou não. Um ataque depende da capacidade de alterar os dados criptografados e testar o resultado com o oráculo. A única maneira de mitigar totalmente o ataque é detectar alterações nos dados criptografados e recusar-se a executar qualquer ação neles. A maneira padrão de fazer isso é criar uma assinatura verificável para os dados e validar essa assinatura antes que qualquer operação seja realizada. O possível problema pode se aplicar a dados em repouso ou a dados em trânsito, e a Microsoft recomenda que quaisquer dados que tenham confidencialidade em trânsito sejam transmitidos via protocolo TLS (o sucessor do protocolo SSL). Os aplicativos que não podem alterar seu formato de mensagens, mas executar a descriptografia CBC não autenticada, são encorajados a tentar incorporar mitigações. Com base em pesquisas atuais, acredita-se que, quando as etapas de autenticação e criptografia são executadas de forma independente (para os modos de criptografia não AE), autenticar o texto cifrado (criptografar e depois assinar) seja a melhor opção geral. No entanto, não existe uma resposta única correta para a criptografia, e essa generalização não é tão boa quanto a orientação de um criptógrafo profissional. Em resumo, para usar cifras de bloco CBC preenchidas com segurança, você deve combiná-las com um HMAC (ou outra verificação de integridade de dados) que você valida usando uma comparação de tempo constante antes de tentar descriptografar os dados. Como todas as mensagens alteradas levarão a mesma quantidade de tempo para produzir uma resposta, o ataque é evitado. Para ajudar a localizar instâncias dessa vulnerabilidade, a Microsoft publicou diretrizes indicando como conduzir revisões de código conforme discutido no documento atualizado: Vulnerabilidades de tempo com descriptografia simétrica no modo CBC usando preenchimento.
Declaração sobre se algum produto ou serviço da Microsoft é afetado	Os produtos e serviços da Microsoft foram revisados e não são afetados.
Ações recomendadas:	Revise o comunicado de segurança para obter mais detalhes sobre o problema. Mantenha os aplicativos da Microsoft atualizados. Determine se você tem aplicativos personalizados realizando sua própria criptografia e descriptografia. Leia o documento referenciado no Comunicado de segurança 4092731 para determinar como identificar um código vulnerável.
Informações adicionais:	https://docs.microsoft.com/security-updates/securityadvisories/2018/4338110

Revisões de comunicados de segurança

Comunicado de segurança 180012	Orientação da Microsoft para a Speculative Store Bypass
Sinopse (comunicado anteriormente na versão 1.0 deste comunicado de segurança)	Em 3 de janeiro de 2018, a Microsoft lançou um comunicado e atualizações de segurança relacionados a uma classe de vulnerabilidades de hardware recém-descobertas (conhecidas como Specter e Meltdown) envolvendo canais paralelos de execução especulativa que afetam os processadores AMD, ARM e Intel em graus variados. Em 21 de maio, uma nova subclasse de vulnerabilidades de canal paralelo de execução especulativa, conhecida como Speculative Store Bypass (SSB), foi anunciada e atribuída à CVE-2018-3639. Um invasor que conseguir explorar essa vulnerabilidade poderá ler dados privilegiados entre limites de confiança. Padrões de código vulnerável no sistema operacional (SO) ou em aplicativos podem permitir que um invasor explore essa vulnerabilidade. No caso de compiladores Just-in-Time (JIT), como o JavaScript JIT empregado por navegadores modernos, é possível que um invasor forneça um JavaScript que produza código nativo capaz de dar origem a uma instância da CVE-2018-3639. No entanto, o Microsoft Edge, o Internet Explorer e outros dos principais navegadores tomaram medidas para aumentar a dificuldade de criar com sucesso um canal paralelo. No momento da publicação, não estamos cientes de nenhum padrão de código explorável dessa classe de vulnerabilidade em nosso software ou infraestrutura de serviços em nuvem, mas continuaremos a investigar. A Microsoft implementará a seguinte estratégia para mitigar a Speculative Store Bypass: Se um padrão de código vulnerável for encontrado, nós o solucionaremos com uma atualização de segurança. O Microsoft Windows e o Azure adicionarão suporte para o Speculative Store Bypass Disable (SSBD), conforme documentado pela Intel e a AMD. O SSBD inibe a ocorrência da Speculative Store Bypass, eliminando assim completamente o risco de segurança. A Microsoft continuará a desenvolver, lançar e implantar mitigações de defesa profunda para vulnerabilidades de canal paralelo de execução especulativa, incluindo a Speculative Store Bypass. Para obter mais detalhes, consulte o blog Security Research and Defense da Microsoft. A Microsoft continuará pesquisando canais paralelos de execução especulativa, inclusive por meio do contato com pesquisadores e do programa de recompensas de execução especulativa. Consulte https://technet.microsoft.com/pt-br/mt846432.aspx.
Natureza da revisão em 12 de junho de 2018 (V 2.0)	A Microsoft está anunciando o suporte do Windows para a SSBD (Speculative Store Bypass Disable) em processadores Intel. As atualizações exigem atualizações de microcódigo/firmware e do Registro correspondentes para a funcionalidade. Consulte a seção Ações recomendadas do Comunicado de segurança 180012 para obter informações sobre as atualizações e as etapas a serem aplicadas para ativar o SSBD.
Informações adicionais:	https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/ADV180012

Comunicado de segurança 180002	Orientação da Microsoft para a Speculative Store Bypass
Sinopse (comunicado anteriormente nas revisões anteriores deste comunicado de segurança)	Em 3 de janeiro de 2018, a Microsoft lançou um comunicado e atualizações de segurança relacionados a uma classe de vulnerabilidades de hardware recém-descobertas (conhecidas como Specter e Meltdown) envolvendo canais paralelos de execução especulativa que afetam os processadores AMD, ARM e Intel em graus variados. Em 21 de maio, uma nova subclasse de vulnerabilidades de canal paralelo de execução especulativa, conhecida como Speculative Store Bypass (SSB), foi anunciada e atribuída à CVE-2018-3639. A Microsoft está ciente de uma nova classe de vulnerabilidades publicamente divulgada conhecida como "ataques de canal paralelo de execução especulativa" e que afetam muitos processadores e sistemas operacionais modernos, entre eles o Intel, o AMD e o ARM. Observação: como esse problema afetará outros sistemas, como o Android, o Chrome, o iOS e o MacOS, recomendamos que os clientes busquem a orientação desses fornecedores. A Microsoft lançou várias atualizações para ajudar a aliviar essas vulnerabilidades. Também tomamos medidas para proteger nossos serviços de nuvem. Veja abaixo para obter mais detalhes. Até agora, a Microsoft não recebeu nenhuma informação que indicasse que essas vulnerabilidades foram usadas para atacar clientes. A Microsoft continua trabalhando em estreita colaboração com parceiros da indústria, incluindo fabricantes de chips, OEMs de hardware e fornecedores de aplicativos, para proteger os clientes. Para obter todas as proteções disponíveis, são necessárias atualizações de hardware/firmware e software. Isso pode incluir o microcódigo de OEMs de dispositivos e, em alguns casos, atualizações de softwares AV também. Este comunicado abrange as seguintes vulnerabilidades: CVE-2017-5753 - Bypass de verificação de limite CVE-2017-5715 - Injeção de alvo de ramificação CVE-2017-5754 - Carregamento de cache de dados invasor
Natureza da revisão em 12 de junho de 2018 (V 20.0)	Atualize a Pergunta frequente 15 para anunciar que as seguintes atualizações de segurança fornecem mitigações adicionais para processadores AMD para CVE-2017-5715: Atualização de segurança 4284874 para o Windows 10 Versão 1703 Atualização de segurança 4284860 para o Windows 10. Atualização de segurança 4284826 (pacote cumulativo mensal) ou 4284867 (apenas segurança) para Windows 7, Windows Server 2008 R2 ou Windows Server 2008 R2 (instalação Server Core).
Informações adicionais:	https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/ADV180002

Guia de Atualizações de Segurança

O Guia de Atualizações de Segurança é nosso recurso recomendado para informações sobre atualizações de segurança. Você pode personalizar suas exibições e criar planilhas de softwares afetados, além de baixar dados por meio de uma API RESTful. Como lembrete, o Guia de Atualizações de Segurança agora substituiu formalmente as páginas de boletins de segurança tradicionais.

Portal do Guia de Atualizações de Segurança: https://aka.ms/securityupdateguide

Página da Web de perguntas frequentes sobre o Guia de Atualizações de Segurança: https://technet.microsoft.com/pt-br/security/mt791750

Página da Web de Tutorial de API para Atualizações de Segurança

Uma série de vídeos de demonstração de API de Atualizações de Segurança foi publicada no canal do Suporte da Microsoft no YouTube. A série irá orientá-lo sobre como acessar a API e como recuperar dados de atualizações de segurança usando a API. Divirta-se!

Página da Web de Tutorial de API para Atualizações de Segurança: https://sugapitutorial.azurewebsites.net/.

Detalhes de vulnerabilidade

Veja a seguir resumos de algumas das vulnerabilidades de segurança neste lançamento. Essas vulnerabilidades específicas foram selecionadas de um conjunto maior de vulnerabilidades no lançamento por um ou mais dos seguintes motivos: 1) Recebemos consultas sobre a vulnerabilidade; 2) a vulnerabilidade pode ter recebido atenção na imprensa especializada; ou 3) a vulnerabilidade tem impacto potencialmente maior do que outras no lançamento. Como não fornecemos resumos de todas as vulnerabilidades presentes do lançamento, você deve examinar o conteúdo no Guia de Atualizações de Segurança
para obter informações não fornecidas nesses resumos.

CVE-2018-8231	Vulnerabilidade de Execução Remota de Código na Pilha do Protocolo HTTP
Sinopse	Existe uma vulnerabilidade de execução remota de código quando a Pilha de Protocolo HTTP (Http.sys) manipula incorretamente objetos na memória. Um invasor que conseguir explorar essa vulnerabilidade poderá executar um código arbitrário e ter o controle do sistema afetado. A atualização de segurança corrige essa vulnerabilidade, corrigindo como a Pilha do Protocolo HTTP (Http.sys) manipula objetos na memória.
Fatores atenuantes	A Microsoft não identificou fatores atenuantes para essa vulnerabilidade.
Soluções alternativas	A Microsoft não identificou soluções alternativas para essa vulnerabilidade.
Softwares afetados	Windows 10 e Windows Server 2016
Impacto	Execução remota de código
Gravidade	Crítico
Divulgado de forma pública?	Não
Explorações conhecidas?	Não
Avaliação de capacidade de exploração - Mais recente:	2 - Probabilidade menor de exploração
Avaliação de capacidade de exploração - Herdada:	2 - Probabilidade menor de exploração
Mais detalhes	https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/CVE-2018-8231

CVE-2018-8225	Vulnerabilidade de Execução Remota de Código do Windows DNSAPI
Sinopse	Existe uma vulnerabilidade de execução remota de código no DNSAPI.dll do Sistema de Nomes de Domínio (DNS) do Windows quando ele não lida corretamente com as respostas DNS. Um invasor que conseguir explorar a vulnerabilidade poderá executar um código arbitrário no contexto da conta Sistema Local. A atualização de segurança resolve a vulnerabilidade, modificando como o Windows DNSAPI.dll lida com respostas DNS.
Vetores de ataque	Para explorar a vulnerabilidade, o invasor usaria um servidor DNS mal-intencionado para enviar respostas DNS corrompidas ao destino.
Fatores atenuantes	A Microsoft não identificou fatores atenuantes para essa vulnerabilidade.
Soluções alternativas	A Microsoft não identificou soluções alternativas para essa vulnerabilidade.
Softwares afetados	Todas as versões com suporte do Windows
Impacto	Execução remota de código
Gravidade	Crítico
Divulgado de forma pública?	Não
Explorações conhecidas?	Não
Avaliação de capacidade de exploração - Mais recente:	2 - Probabilidade menor de exploração
Avaliação de capacidade de exploração - Herdada:	2 - Probabilidade menor de exploração
Mais detalhes	https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/CVE-2018-8225

CVE-2018-8267	Vulnerabilidade de corrupção da memória do mecanismo de script
Sinopse	Existe uma vulnerabilidade de execução remota de código na forma como o mecanismo de scripts manipula objetos na memória no Internet Explorer. A vulnerabilidade pode corromper a memória a ponto de permitir que um invasor execute código arbitrário no contexto do usuário atual. Um invasor que explorar com êxito as vulnerabilidades pode obter os mesmos direitos que o usuário atual. Se um usuário atual tiver feito logon com direitos administrativos, o invasor que explorar com êxito essas vulnerabilidades poderá obter o controle total do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. A atualização de segurança resolve a vulnerabilidade, modificando a forma como o mecanismo de script manipula objetos na memória.
Vetores de ataque	Em um cenário de ataque pela Web, o invasor pode hospedar um site especialmente criado para explorar a vulnerabilidade por meio do Internet Explorer e depois convencer um usuário a exibir o site. O invasor também pode incorporar um controle ActiveX marcado como "seguro para inicialização" em um aplicativo ou documento do Microsoft Office que hospede o mecanismo de processamento do IE. O invasor também pode tirar proveito dos sites comprometidos e de sites que aceitam ou hospedam o conteúdo fornecido pelo usuário ou anúncios. Esses sites podem ter conteúdo especialmente criado capaz de explorar a vulnerabilidade.
Fatores atenuantes	Um invasor não teria como forçar os usuários a realizar ações inseguras, como visitar um site inseguro ou abrir um documento inseguro. Em vez disso, um invasor teria que convencer os usuários a visitar o site inseguro ou abrir um documento mal-intencionado usando uma ou mais técnicas de engenharia social. Os usuários cujas contas estão configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles com direitos administrativos.
Soluções alternativas	A Microsoft não identificou soluções alternativas para essa vulnerabilidade.
Softwares afetados	Internet Explorer em versões compatíveis do Windows
Impacto	Execução remota de código
Gravidade	Crítico
Divulgado de forma pública?	Sim
Explorações conhecidas?	Não
Avaliação de capacidade de exploração - Mais recente:	1 - Probabilidade maior de exploração
Avaliação de capacidade de exploração - Herdada:	1 - Probabilidade maior de exploração
Mais detalhes	https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/CVE-2018-8267

CVE-2018-8248	Vulnerabilidade de execução remota de código do Microsoft Excel
Sinopse	Existe uma vulnerabilidade de execução remota de código no software Microsoft Excel quando este não consegue manipular corretamente os objetos na memória. Um invasor que conseguir explorar a vulnerabilidade poderá executar código arbitrário no contexto do usuário atual. Se o usuário atual estiver conectado com direitos de usuário administrativo, um invasor poderá assumir o controle do sistema afetado. O invasor poderá instalar programas; exibir, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário. Os usuários cujas contas estão configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles com direitos administrativos. A atualização de segurança resolve a vulnerabilidade, corrigindo o modo como o Microsoft Excel lida com objetos na memória.
Vetores de ataque	A exploração dessa vulnerabilidade requer que um usuário abra um arquivo especialmente criado com uma versão afetada do Microsoft Excel. Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando ao usuário um arquivo especialmente criado e convencendo-o a abrir esse arquivo. Observação: O Painel de Visualização no email não é um vetor de ataque para essa vulnerabilidade. Em um cenário de ataque baseado na Web, um invasor pode hospedar um site (ou aproveitar um site comprometido que aceita ou hospeda conteúdo fornecido pelo usuário) que contém um arquivo projetado especialmente para explorar a vulnerabilidade.
Fatores atenuantes	Um invasor não teria como forçar os usuários a realizar ações inseguras, como visitar um site inseguro ou abrir um documento inseguro. Em vez disso, um invasor teria que convencer os usuários a visitar o site inseguro ou abrir um documento mal-intencionado usando uma ou mais técnicas de engenharia social. Os usuários cujas contas estão configuradas com poucos direitos de usuário no sistema correm menos riscos do que aqueles com direitos administrativos.
Soluções alternativas	A Microsoft não identificou soluções alternativas para essa vulnerabilidade.
Softwares afetados	Microsoft Office 2010, Office 2013 RT, Office 2013, Office 2016 e Clique para Executar do Office 2016 (C2R).
Impacto	Execução remota de código
Gravidade	Importante
Divulgado de forma pública?	Não
Explorações conhecidas?	Não
Avaliação de capacidade de exploração - Mais recente:	2 - Probabilidade menor de exploração
Avaliação de capacidade de exploração - Herdada:	2 - Probabilidade menor de exploração
Mais detalhes	https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/CVE-2018-8248

CVE-2018-8254	Vulnerabilidade de elevação de privilégio do Microsoft SharePoint
Sinopse	Existe uma vulnerabilidade de elevação de privilégio quando o Microsoft SharePoint Server não limpa adequadamente uma solicitação da Web especialmente criada para um servidor do SharePoint afetado. Um invasor autenticado pode explorar essa vulnerabilidade enviando uma solicitação especialmente criada para um servidor afetado do SharePoint. A atualização de segurança resolve a vulnerabilidade, ajudando a garantir que o SharePoint Server limpe adequadamente as solicitações da Web.
Vetores de ataque	O invasor que conseguir explorar essa vulnerabilidade poderá executar ataques de script entre sites em sistemas afetados e executar scripts no contexto de segurança do usuário atual. Esses ataques podem permitir que o invasor leia conteúdo para o qual ele não tem autorização, use a identidade da vítima para realizar ações no site do SharePoint em nome do usuário, como alterar permissões e excluir conteúdo, além de inserir conteúdo mal-intencionado no navegador do usuário.
Fatores atenuantes	Antes que um ataque possa prosseguir, um invasor primeiro precisa ser capaz de fazer logon no sistema alvo.
Soluções alternativas	A Microsoft não identificou soluções alternativas para essa vulnerabilidade.
Softwares afetados	Microsoft SharePoint Enterprise Server 2016, SharePoint Foundation 2013 e Project Server 2010.
Impacto	Elevação de privilégio
Gravidade	Importante
Divulgado de forma pública?	Não
Explorações conhecidas?	Não
Avaliação de capacidade de exploração - Mais recente:	2 - Probabilidade menor de exploração
Avaliação de capacidade de exploração - Herdada:	2 - Probabilidade menor de exploração
Mais detalhes	https://portal.msrc.microsoft.com/pt-br/security-guidance/advisory/CVE-2018-8254

Sobre a consistência das informações

Nós nos empenhamos para fornecer a você informações precisas usando conteúdos estáticos (esta mensagem) e dinâmicos (baseados na Web). O conteúdo de segurança da Microsoft postado na Web é atualizado frequentemente para informar sobre novidades. Se isso resultar em uma inconsistência entre as informações descritas aqui e as informações no conteúdo de segurança baseado na Web publicado pela Microsoft, as informações nesse conteúdo publicado prevalecerão.

Em caso de dúvidas sobre este aviso, entre em contato com seu Gerente Técnico de Conta (TAM)/Gerente de Prestação de Serviços (SDM).

Agradecemos sua atenção.

Equipe de Segurança Microsoft CSS

↧

Lanzamiento de actualización de seguridad de Microsoft de junio de 2018

June 12, 2018, 10:41 am

≫ Next: Learn How to Manage Projects and Resources from a Centralized Location Using Project Online

≪ Previous: Lançamento da atualização de segurança da Microsoft – junho de 2018

El martes, 12 de junio de 2018, Microsoft publicó actualizaciones de seguridad que afectan a los siguientes productos de Microsoft:

Familia de productos	Gravedad máxima	Impacto máximo	Artículos de KB relacionados o páginas web de soporte técnico
Windows 10 y Windows Server 2016 (incluido Microsoft Edge)	Crítica	Ejecución del código remoto	Windows 10, versión 1803: 4284835; Windows 10 v1709: 4284819; Windows 10 v1703: 4284874; Windows 10 v1607: 4284880; Windows 10: 4284860; y Windows Server 2016: 4284880
Windows 8.1 y Windows Server 2012 R2	Crítica	Ejecución del código remoto	Paquete acumulativo mensual para Windows 8.1 y Windows Server 2012 R2: 4284815 Actualización de solo seguridad para Windows 8.1 y Windows Server 2012 R2: 4284878
Windows Server 2012	Crítica	Ejecución del código remoto	Paquete acumulativo mensual para Windows Server 2012: 4284855 Windows Server 2012 (solo seguridad): 4284846
Windows RT 8.1	Crítica	Ejecución del código remoto	Windows RT 8.1: 4284815 Nota: Las actualizaciones de Windows RT 8.1 solo están disponibles a través de Windows Update.
Windows 7 y Windows Server 2008 R2	Crítica	Ejecución del código remoto	Paquete acumulativo mensual para Windows 7 y Windows Server 2008 R2: 4284826 Actualización de solo seguridad para Windows 7 y Windows Server 2008 R2: 4284867
Windows Server 2008	Crítica	Ejecución del código remoto	Las actualizaciones para Windows Server 2008 no se ofrecen de manera acumulativa ni en paquetes. En los siguientes artículos se hace referencia a una versión de Windows Server 2008: 4234459, 4230467 y 4294413
Internet Explorer	Crítica	Ejecución del código remoto	Paquete acumulativo para Internet Explorer 9 IE: 4230450; paquete acumulativo mensual para Internet Explorer 10: 4284855; paquete acumulativo para Internet Explorer 10: 4230450; paquete acumulativo mensual para Internet Explorer 11: 4284815 y 4284826; paquete acumulativo para Internet Explorer 11 IE: 4230450; actualización de seguridad para Internet Explorer 11: 4284835, 4284874, 4284819, 4284860 y 4284880
Software relacionado con Microsoft Office	Importante	Ejecución del código remoto	El número de artículos de KB relacionados con Microsoft Office para cada lanzamiento de actualizaciones de seguridad mensual varía en función del número de CVE y del número de componentes afectados. Este mes, hay más de 20 artículos de Knowledge Base relacionados con las actualizaciones de Office; demasiados para hacer un resumen. Revise el contenido de la Guía de actualizaciones de seguridad para obtener detalles sobre los artículos.
Software relacionado con Microsoft SharePoint	Importante	Elevación de privilegios	Software relacionado con Microsoft SharePoint: 4022173, 4022190 y 4022210
ChakraCore	Crítica	Ejecución del código remoto	ChakraCore es el núcleo de Chakra, el motor de JavaScript de alto rendimiento que impulsa Microsoft Edge y aplicaciones de Windows escritas en HTML/CSS/JS. Encontrará más información en https://github.com/Microsoft/ChakraCore/wiki.

Descripción de las vulnerabilidades de seguridad

A continuación se proporciona un resumen en el que se muestra el número de vulnerabilidades tratadas en esta versión, desglosado por producto o componente y por impacto.

Detalles de la vulnerabilidad (1)	RCE	EOP	ID	SFB	DOS	SPF	Divulgación pública	Vulnerabilidad conocida	CVSS máx.
Windows 10 1803	6	8	3	5	3	0	0	0	8,1
Windows 10 1709	6	7	4	5	4	0	0	0	8,1
Windows 10 1703	5	6	4	7	3	0	0	0	8,1
Windows 10 1607 y Server 2016 (3)	5	6	3	7	3	0	0	0	8,1
Windows 10	5	2	2	6	3	0	0	0	8,1
Windows 8.1 y Server 2012 R2	3	2	1	0	2	0	0	0	8,1
Windows Server 2012	3	2	1	0	2	0	0	0	8,1
Windows 7 y Server 2008 R2	2	3	1	0	2	0	0	0	8,1
Windows Server 2008	1	3	1	0	1	0	0	0	8,1
Internet Explorer	3	0	0	1	0	0	1	0	7,5
Microsoft Edge	5	0	2	1	0	0	0	0	4,3
Software relacionado con Microsoft Office	1	3	1	0	0	0	0	0	N/D (2)
Software relacionado con Microsoft SharePoint	0	2	0	0	0	0	0	0	N/D (2)
ChakraCore	3	0	0	0	0	0	0	0	N/D (2)
RCE = Ejecución de código remoto \| EOP = Elevación de privilegios \| ID = Divulgación de información SFB = Franqueo de características de seguridad \| DOS = Denegación de servicio \| SPF = Suplantación de identidad (spoofing)

(1) Es posible que las vulnerabilidades que aparecen en varios componentes se representen más de una vez en la tabla.

(2) En el momento de la publicación, las puntuaciones CVE solo estaban disponibles para Windows, Internet Explorer y Microsoft Edge.

(3) Es posible que las actualizaciones para Windows 10 v1607 requieran que primero se instale la actualización de la pila de servicio KB4132216.

Nuevos avisos de seguridad

Aviso de seguridad 4338110	Asistencia de Microsoft sobre la derivación de la característica de seguridad de cifrado simétrico CBC
Resumen ejecutivo	Microsoft anuncia mejor asistencia sobre el uso del modo CBC (cifrado-bloque-encadenado) con el cifrado simétrico. Es posible que exista una vulnerabilidad de derivación de la característica de seguridad tipo "oráculo de relleno" en determinadas circunstancias si se usan cifrado de bloque CBC sin agregar comprobaciones adicionales de integridad de datos. Esto podría permitir a un atacante descifrar y manipular datos cifrados sin conocer la clave de cifrado. Esta vulnerabilidad se puede explotar tanto localmente como en ataques basados en red. La vulnerabilidad proviene de la manera en que el cifrado se codifica y no se puede identificar mediante programación sin obtener un elevado índice de positivos falsos debido a la naturaleza imprevisible de los datos. La vulnerabilidad depende de un "oráculo de relleno" que responde libremente a consultas sobre si un mensaje tiene el relleno correcto o no. Un ataque depende de la capacidad de cambiar los datos cifrados y probar los resultados con el oráculo. La única manera de mitigar por completo el ataque es detectar los cambios en los datos cifrados y negarse a realizar acciones en ellos. La manera estándar de hacer esto es crear una firma verificable de los datos y validar dicha firma antes de que se realizara ninguna operación. El problema potencial podría aplicarse a los datos en reposo o datos en tránsito. Microsoft recomienda que los datos confidenciales en tránsito se transmitan sobre TLS (seguridad de la capa de transporte), el sucesor de SSL (capa de sockets seguros). Se recomienda que las aplicaciones que no pueden cambiar su formato de mensajería, pero realizan un cifrado CBC no autenticado, intenten incorporar mitigaciones. Según las investigaciones actuales, en general se cree que cuando los pasos de autenticación y cifrado se realizan de manera independiente (para modos de cifrados no AE), la mejor opción general es la autenticación del texto cifrado (cifrar y luego firmar). Sin embargo, no hay una respuesta correcta para todos en relación con la criptografía y esta generalización no es tan buena que los consejos dirigidos de un profesional de la criptografía. Para resumir, para usar cifrado de bloques CBC con relleno de manera segura, estos se deben combinar con un código de autenticación de mensaje de hash con clave (HMAC) (u otra comprobación de integridad de datos) que puede validar mediante una comparación constante de la hora antes de intentar descifrar los datos. Dado que todos los mensajes alterados tardará la misma cantidad de tiempo para producir una respuesta, el ataque se evita. Para ayudar a encontrar instancias de esta vulnerabilidad, Microsoft publicó un artículo de asistencia en el que se indica cómo realizar revisiones de código según se describe en el documento actualizado: Vulnerabilidades de tiempo con cifrado simétrico de modo CBC mediante relleno.
Declaración sobre si los productos o servicios de Microsoft se ven afectados	Los productos y servicios de Microsoft se revisaron y no se vieron afectados.
Acciones recomendadas:	Consultar el aviso de seguridad para obtener más detalles sobre el problema. Mantener las aplicaciones de Microsoft actualizadas. Determinar si tiene aplicaciones personalizadas que realizan su propio cifrado y descifrado. Leer el documento al que se hace referencia en el Aviso de seguridad 4092731 para determinar cómo identificar el código vulnerable.
Más información:	https://docs.microsoft.com/security-updates/securityadvisories/2018/4338110

Modificaciones en los avisos de seguridad

Aviso de seguridad 180012	Asistencia de Microsoft para la derivación de almacenamiento especulativo
Resumen ejecutivo (anteriormente comunicado en la versión 1.0 de este aviso de seguridad)	El 3 de enero de 2018, Microsoft publicó un aviso y actualizaciones de seguridad relacionados con una clase recientemente descubierta de vulnerabilidades de hardware (conocidas como Spectre y Meltdown) que implican canales laterales de ejecución especulativa que afectan a las CPU de AMD, ARM e Intel en grados variantes. El 21 de mayo de se anunció y se asignó el aviso CVE-2018-3639 a una nueva subclase de vulnerabilidades de canal lateral de ejecución especulativa conocidas como Derivación de almacenamiento especulativo (SSB). Un atacante que aprovechara con éxito esta vulnerabilidad podría leer datos confidenciales entre todas las limitaciones de confianza. Patrones de código vulnerable en el sistema operativo (SO) o en las aplicaciones podrían permitir a un atacante aprovecharse de esta vulnerabilidad. En el caso de compiladores tipo "justo a tiempo" (JIT), como JavaScript JIT que emplean los exploradores web modernos, un atacante podría publicar JavaScript que produjera código nativo que podría dar lugar a una instancia de CVE-2018-3639. Sin embargo, Microsoft Edge, Internet Explorer y otros exploradores principales han tomado medidas para aumentar la dificultad de la creación exitosa de un canal lateral. En el momento de la publicación, no conocemos ningún código de código aprovechable de esta clase de vulnerabilidad en nuestro software o infraestructura de servicio en la nube, pero seguimos investigando. Microsoft implementará la siguiente estrategia para mitigar la derivación de almacenamiento especulativo: En el caso de que se encontrara un patrón de código vulnerable, lo trataremos con una actualización de seguridad. Microsoft Windows y Azure agregarán compatibilidad con la inhabilitación de la derivación de almacenamiento especulativo (SSBD) según lo hayan documentado Intel y AMD. SSBD inhibe la derivación de almacenamiento especulativo, por lo que se elimina por completo el riesgo de seguridad. Microsoft seguirá desarrollando, publicando e implementando mitigaciones de defensa en profundidad para las vulnerabilidades de canal lateral de ejecución especulativa, como la derivación de almacenamiento especulativo. Consulte el blog Microsoft Security Research and Defense para obtener más detalles. Microsoft seguirá investigando los canales laterales de ejecución especulativa, con la participación de investigadores y el programa de recompensa de ejecución especulativa. Consulte https://technet.microsoft.com/es-es/mt846432.aspx.
Naturaleza de la modificación del 12 de junio de 2018 (V 2.0)	Microsoft anuncia compatibilidad de Windows con la inhabilitación de la derivación de almacenamiento especulativo (SSBD) en los procesador Intel. Para funcionalidad, las actualizaciones requieren el microcódigo o firmware correspondiente y actualizaciones en el Registro. Consulte la sección Acciones recomendadas del aviso de seguridad 180012 para obtener información sobre las actualizaciones y los pasos necesarios para habilitar SSBD.
Más información:	https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/ADV180012

Aviso de seguridad 180002	Asistencia de Microsoft para la derivación de almacenamiento especulativo
Resumen ejecutivo (anteriormente comunicado en versiones anteriores de este aviso de seguridad)	El 3 de enero de 2018, Microsoft publicó un aviso y actualizaciones de seguridad relacionados con una clase recientemente descubierta de vulnerabilidades de hardware (conocidas como Spectre y Meltdown) que implican canales laterales de ejecución especulativa que afectan a las CPU de AMD, ARM e Intel en grados variantes. El 21 de mayo de se anunció y se asignó el aviso CVE-2018-3639 a una nueva subclase de vulnerabilidades de canal lateral de ejecución especulativa conocidas como Derivación de almacenamiento especulativo (SSB). Microsoft tiene constancia de una nueva clase de vulnerabilidades divulgadas públicamente que se conocen como "ataques de canal lateral de ejecución especulativa", las cuales afectan a muchos procesadores y sistemas operativos modernos como Intel, AMD y ARM. Nota: Este problema afectará a otros sistemas como Android, Chrome, iOS y MacOS, de modo que aconsejamos a los clientes que soliciten orientación al respecto a dichos proveedores. Microsoft ha publicado varias actualizaciones para ayudar a mitigar los efectos de dichas vulnerabilidades. También hemos tomado medidas para proteger nuestros servicios en la nube. Más abajo encontrará información adicional. De momento, Microsoft no ha recibido ningún indicio de que estas vulnerabilidades se hayan usado para atacar a sus clientes. Microsoft sigue trabajando en estrecha colaboración con los agentes del sector, entre los que se incluyen fabricantes de chips, fabricantes originales de hardware y proveedores de aplicaciones, con el objetivo de proteger a los clientes. Para obtener todas las protecciones disponibles, es necesario instalar las actualizaciones de hardware, firmware y software. Esto puede incluir microcódigo de los fabricantes originales de los dispositivos y, en algunos casos, actualizaciones del software antivirus. Este aviso ayuda a solucionar las siguientes vulnerabilidades: CVE-2017-5753 (omisión de comprobación de límites) CVE-2017-5715 (inserción de destino de bifurcación) CVE-2017-5754 (carga de caché de datos no autorizada)
Naturaleza de la modificación del 12 de junio de 2018 (V 20.0)	Se actualizó la P+F 15 para anunciar que las siguientes actualizaciones de seguridad proporcionan mitigación adicional para procesadores AMD para CVE-2017-5715: Actualización de seguridad 4284874 para Windows 10, versión 1703 Actualización de seguridad 4284860 para Windows 10. Actualización de seguridad 4284826 (paquete acumulativo mensual) o 4284867 (solo seguridad) para Windows 7, Windows Server 2008 R2 o Windows Server 2008 R2 (instalación Server Core).
Más información:	https://portal.msrc.microsoft.com/es-ES/security-guidance/advisory/ADV180002

Guía de actualizaciones de seguridad

La Guía de actualizaciones de seguridad es nuestro recurso recomendado para obtener información sobre actualizaciones de seguridad. Puede personalizar sus vistas y crear hojas de cálculo del software afectado, así como descargar datos a través de una API de RESTful. Le recordamos que la Guía de actualizaciones de seguridad ya ha sustituido a las páginas web de los boletines de seguridad habituales.

Portal de la Guía de actualizaciones de seguridad: https://aka.ms/securityupdateguide

Página web de preguntas más frecuentes (P+F) sobre la Guía de actualizaciones de seguridad: https://technet.microsoft.com/es-es/security/mt791750

Página web de tutoriales sobre la API de actualización de seguridad

En el canal de YouTube de Soporte técnico de Microsoft se publicaron una serie de vídeos de demostración sobre la API de actualización de seguridad. La serie lo guiará por la forma de acceder a la API y cómo recuperar datos de la actualización de seguridad mediante la API. ¡Disfrútela!

Página web de tutoriales sobre la API de actualización de seguridad: https://sugapitutorial.azurewebsites.net/.

Detalles de la vulnerabilidad

A continuación, encontrará los resúmenes de algunas de las vulnerabilidades de seguridad de esta versión. Estas vulnerabilidades se han seleccionado entre el conjunto global de vulnerabilidades existentes en la versión por alguno de los motivos siguientes: 1) Hemos recibido consultas relacionadas con la vulnerabilidad; 2) la vulnerabilidad se ha puesto de relieve en la prensa especializada; o 3) la vulnerabilidad puede resultar más perjudicial que otras de la misma versión. Dado que no proporcionamos resúmenes para todas las vulnerabilidades de la versión, debería consultar el contenido de la Guía de actualizaciones de seguridad
para buscar la información que no esté contenida en estos resúmenes.

CVE-2018-8231	Vulnerabilidad de ejecución de código remoto de la pila de protocolo HTTP
Resumen ejecutivo	Existe una vulnerabilidad de ejecución de código remoto cuando la pila de protocolo HTTP (Http.sys) gestiona de manera incorrecta los objetos en la memoria. Un atacante que hubiera aprovechado esta vulnerabilidad con éxito podría ejecutar código arbitrario y tomar el control de un sistema afectado. La actualización de seguridad resuelve esta vulnerabilidad al corregir la manera en que la pila de protocolo HTTP (http.sys) controla los objetos en la memoria.
Factores mitigadores	Microsoft no ha identificado ningún factor mitigador para esta vulnerabilidad.
Soluciones alternativas	Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Software afectado	Windows 10 y Windows Server 2016
Impacto	Ejecución del código remoto
Gravedad	Crítica
¿Divulgación pública?	No
¿Vulnerabilidades conocidas?	No
Evaluación de vulnerabilidad, más reciente:	2: vulnerabilidad menos probable
Evaluación de vulnerabilidad, heredada:	2: vulnerabilidad menos probable
Más detalles	https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8231

CVE-2018-8225	Vulnerabilidad de ejecución de código remoto de Windows DNSAPI
Resumen ejecutivo	Existe una vulnerabilidad de ejecución de código remoto en el sistema de nombres de dominio (DNS) de Windows (DNSAPI.dll) cuando dicho software no logra controlar correctamente las respuestas de DNS. Un atacante que aprovechara la vulnerabilidad con éxito podría ejecutar un código arbitrario en el contexto de la cuenta del sistema local. La actualización de seguridad aborda la vulnerabilidad al modificar la forma en que DNSAPI.dll de Windows controla las respuestas de DNS.
Vectores de ataque	Para aprovechar la vulnerabilidad, el atacante usaría un servidor DNS malintencionado para enviar respuestas de DNS dañadas al objetivo.
Factores mitigadores	Microsoft no ha identificado ningún factor mitigador para esta vulnerabilidad.
Soluciones alternativas	Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Software afectado	Todas las versiones compatibles de Windows
Impacto	Ejecución del código remoto
Gravedad	Crítica
¿Divulgación pública?	No
¿Vulnerabilidades conocidas?	No
Evaluación de vulnerabilidad, más reciente:	2: vulnerabilidad menos probable
Evaluación de vulnerabilidad, heredada:	2: vulnerabilidad menos probable
Más detalles	https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8225

CVE-2018-8267	Vulnerabilidad de daño de la memoria del motor de scripting
Resumen ejecutivo	Existe una vulnerabilidad de ejecución de código remoto en la forma en que los motores de scripting controlan los objetos de la memoria en Internet Explorer. La vulnerabilidad podría dañar la memoria de tal manera que un atacante podría ejecutar código arbitrario en el contexto del usuario actual. Un atacante que aprovechara la vulnerabilidad con éxito podría obtener los mismos derechos de usuario que el usuario actual. Si el usuario actual inició sesión con privilegios administrativos, un atacante que hubiera aprovechado la vulnerabilidad con éxito podría tomar el control de un sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario. La actualización de seguridad resuelve la vulnerabilidad modificando la forma en que el motor de scripting controla los objetos de la memoria.
Vectores de ataque	En un escenario de ataque web, un atacante podría hospedar una página web especialmente diseñada para aprovechar la vulnerabilidad a través de Internet Explorer y, a continuación, convencer a un usuario para que visite el sitio web. Un atacante también podría insertar un control de ActiveX marcado como "seguro para inicialización" en una aplicación o un documento de Microsoft Office que hospeda el motor de representación IE. El atacante también podría aprovecharse de los sitios web en peligro y de los que aceptan u hospedan contenido proporcionado por el usuario o anuncios. Estos sitios web podrían albergar contenido especialmente diseñado para aprovechar esta vulnerabilidad.
Factores mitigadores	Un atacante no puede forzar de ninguna forma a los usuarios a realizar una acción insegura, como visitar un sitio web no seguro o abrir un documento no seguro. En cambio, el atacante tendría que convencer a los usuarios para que visitaran el sitio web no seguro o abrieran el documento mediante una o más técnicas de ingeniería social. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos.
Soluciones alternativas	Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Software afectado	Internet Explorer en versiones compatibles de Windows
Impacto	Ejecución del código remoto
Gravedad	Crítica
¿Divulgación pública?	Sí
¿Vulnerabilidades conocidas?	No
Evaluación de vulnerabilidad, más reciente:	1: vulnerabilidad más probable
Evaluación de vulnerabilidad, heredada:	1: vulnerabilidad más probable
Más detalles	https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8267

CVE-2018-8248	Vulnerabilidad de ejecución de código remoto de Microsoft Excel
Resumen ejecutivo	Existe una vulnerabilidad de ejecución de código remoto en el software de Microsoft Excel cuando dicho software no logra controlar correctamente los objetos en la memoria. Un atacante que aprovechara la vulnerabilidad con éxito podría ejecutar un código arbitrario en el contexto del usuario actual. Si el usuario actual inició sesión con privilegios administrativos, un atacante podría tomar el control del sistema afectado. Así, un atacante podría instalar programas, ver, cambiar o eliminar datos, o crear nuevas cuentas con todos los derechos de usuario. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos. La actualización de seguridad resuelve la vulnerabilidad al corregir la manera en que Microsoft Excel controla los objetos en la memoria.
Vectores de ataque	La explotación de la vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado con una versión afectada de Microsoft Excel. En un escenario de ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad al enviar al usuario el archivo especialmente diseñado y convenciéndolo para que lo abriera. Nota: El panel de vista previa del correo electrónico no es un vector de ataque para esta vulnerabilidad. En un escenario de ataque web, un atacante podría hospedar un sitio web (o sacar provecho de un sitio web en peligro que acepta u hospeda contenido proporcionado por el usuario) que contiene un archivo especialmente diseñado para aprovechar la vulnerabilidad.
Factores mitigadores	Un atacante no puede forzar de ninguna forma a los usuarios a realizar una acción insegura, como visitar un sitio web no seguro o abrir un documento no seguro. En cambio, el atacante tendría que convencer a los usuarios para que visitaran el sitio web no seguro o abrieran el documento mediante una o más técnicas de ingeniería social. Los usuarios cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que los usuarios que dispongan de privilegios administrativos.
Soluciones alternativas	Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Software afectado	Microsoft Office 2010, Office 2013 RT, Office 2013, Office 2016 y Hacer clic y ejecutar de Office 2016 (C2R).
Impacto	Ejecución del código remoto
Gravedad	Importante
¿Divulgación pública?	No
¿Vulnerabilidades conocidas?	No
Evaluación de vulnerabilidad, más reciente:	2: vulnerabilidad menos probable
Evaluación de vulnerabilidad, heredada:	2: vulnerabilidad menos probable
Más detalles	https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8248

CVE-2018-8254	Vulnerabilidad de elevación de privilegios de Microsoft SharePoint
Resumen ejecutivo	Existe una vulnerabilidad de elevación de privilegios cuando Microsoft SharePoint Server no logra corregir correctamente una solicitud web especialmente diseñada a SharePoint Server. Un atacante autenticado podría aprovechar la vulnerabilidad al enviar una solicitud especialmente diseñada a un servidor SharePoint afectado. La actualización de seguridad resuelve la vulnerabilidad al ayudar a garantizar que SharePoint Server corrige correctamente las solicitudes web.
Vectores de ataque	Un atacante que aprovechara la vulnerabilidad con éxito podría ejecutar llevar a cabo ataques de scripting entre sitios en los sistemas afectados y ejecutar script en el contexto de seguridad del usuario actual. Estos ataques podrían permitir al atacante leer contenido que no está autorizado a leer, usar la identidad de la víctima para tomar medidas en el sitio SharePoint en nombre del usuario, como cambiar los permisos y eliminar contenido, e inyectar contenido malintencionado en el explorador del usuario.
Factores mitigadores	Antes de que un ataque pudiera proceder, un atacante primero tendría que poder iniciar sesión en el sistema objetivo.
Soluciones alternativas	Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad.
Software afectado	Microsoft SharePoint Enterprise Server 2016, SharePoint Foundation 2013 y Project Server 2010.
Impacto	Elevación de privilegios
Gravedad	Importante
¿Divulgación pública?	No
¿Vulnerabilidades conocidas?	No
Evaluación de vulnerabilidad, más reciente:	2: vulnerabilidad menos probable
Evaluación de vulnerabilidad, heredada:	2: vulnerabilidad menos probable
Más detalles	https://portal.msrc.microsoft.com/es-es/security-guidance/advisory/CVE-2018-8254

Respecto a la coherencia de la información

Procuramos proporcionarle información precisa a través de contenido estático (este correo) y dinámico (basado en web). El contenido de seguridad de Microsoft publicado en la Web se actualiza con frecuencia para incluir la información más reciente. Si esto provoca incoherencias entre la información de aquí y la información del contenido de seguridad basado en web de Microsoft, la información autorizada es esta última.

Si tiene alguna pregunta respecto a esta alerta, póngase en contacto con su administrador técnico de cuentas (TAM) o director de prestación de servicios (SDM).

Saludos!

Microsoft CSS Security Team

↧

Learn How to Manage Projects and Resources from a Centralized Location Using Project Online

June 12, 2018, 1:06 pm

≫ Next: SCOM Agent Stuck in a Not Monitored State

≪ Previous: Lanzamiento de actualización de seguridad de Microsoft de junio de 2018

Are you interested in adopting and selling Project Online solutions to help your customers manage their projects more effectively? Through the remote, interactive webinars listed below you’ll receive the technical guidance needed to learn about the features and functionality available in Project Online as well dive deeper into real-world scenarios. Don’t miss out on these upcoming webinars – available at NO COST to MPN partners!

Introduction to Project Online (L200)

Upcoming Events (English):
- July 3 – Register now
- August 16 – Register now
- August 24 – Register now

Upcoming Events (Chinese):
- August 16 – Register now

Key outcomes: During this technical webinar, Project & Resource Managers will learn how to effectively use Project Online to create and manage both projects and resources from a centralized location. Our Partner Technical Consultants will walk you through features in Project Online such as timesheet tracking, task management and reporting. The session also educates partners in licensing options available for Project Online customers.

Technical Deep Dive on Project Management Using Project Online Premiere (L300)

Upcoming Events (English):
- June 18 – Register now
- June 21 – Register now
- August 23 – Register now

Key outcomes: During this webinar, Project Managers and Administrators will learn how to effectively use Premium Project Online features like demand management and portfolio analysis. Demand Management helps organizations standardize and automate proposals throughout the project creation process using advanced templates, approvals and captured business data. Additionally, you will learn how Portfolio Analysis can help analyze your projects to determine which one will give you the best return on your investment (ROI) regarding both budget and resources.

Find additional dates and languages available for these technical webinars as well as the full suite of services for the Collaboration technical journey at aka.ms/CollaborationTechJourney.

↧

SCOM Agent Stuck in a Not Monitored State

June 12, 2018, 2:49 pm

≫ Next: Draft of Microsoft Security Servicing Commitments for Windows

≪ Previous: Learn How to Manage Projects and Resources from a Centralized Location Using Project Online

I ran into a rather peculiar issue with a SCOM agent, and after speaking to Ainsley Blackmon in SCOM support, it was pretty clear that this hasn’t been seen before. Hopefully that means that it is something you won’t ever see, but it did have enough similarities to the TLS/Schannel issues that I’d occasionally observe with a SCOM agent that it’s worth writing it down, especially since all of the log information was rather cryptic about what was actually going on.

First, the scenario. It was straight forward. We were deploying SCOM 2016 as a part of a migration from a 2012 R2 environment. All systems checked in except for one. It remained stuck on “Not Monitored”. A quick trip to the system showed the standard authentication issues that you see in this issue. The connection was immediately being closed. The server was domain joined to the same domain as the management server, so there was nothing to troubleshoot with authentication. Reinstalling the agent, both manually and via console, and repairing the agent all gave a success, but the end result was the same. On the management server, I did dig up a rather cryptic error about the agent not having what it needs to open communication, and after some digging it was very obvious. It was missing it’s self-signed certificate.

For a background, that self signed cert is something SCOM uses to (as I understand it) encrypt communication between an agent and a management server so that things such as runas account passwords can be securely transmitted between them. You don’t need to do anything with this particular certificate. The health service will generate it when it starts. It’s self-signed, and it just sits in your certificate store. The below screenshot is an example of this from my 2012 environment. Note that in 2016, the folder name changes from “Operations Manager” (as shown below) to “Microsoft Monitoring Agent”.

In this particular agent’s case, the Microsoft Monitoring Agent folder and certificate were missing. That seemed odd. The logs weren’t very helpful on this issue either. There was nothing in the app/system log. There was, however, a bunch of 5061 audit failures in the security log. I could get a screenshot here, so I grabbed an example off the internet.

The major differences were the Operation (highlighted above). During a health service restart, this event would be shown as pictured above. During an agent install, the install would generate the same event, but the value in the Operation field was “Create Key”.

We eventually had to take to procmon to figure this one out, but ultimately, LSASS was getting denied access to a single folder in the OS:

C:ProgramDataMicrosoftCryptoKeys

In this case, the permissions on this folder were corrupted. Again, I don’t think this will be a common issue, but I suspect that with the move away from TLS, that these might pop up from time to time. For the record, this is what the permissions to that folder should be:

↧

あらゆるワークロードに対応するインフラストラクチャ

完全な一貫性を持つハイブリッド機能

組み込みのセキュリティ機能と管理機能

コストの削減と管理、インフラストラクチャの最適化を行う新しい方法

応募締切日: 2018 年 7 月 13 日（金） 17：00 まで

【アワード特典】

【アワード選考および結果発表】

【選考基準】

【応募条件】

【応募方法】

応募締切日: 2018 年 7 月 13 日（金） 17：00 まで

【注意事項】

【アワードに関するお問い合わせ】

ロサンゼルス — 2018 年 6 月 10 日 —

関連情報:

Xbox One X 向けに強化された Xbox One 専用タイトルとして Gears 5、Halo Infinite および Forza Horizon 4 などの新規タイトルを発表

Windows Server 2019: Opportunities for partner solutions with Hyper-converged infrastructure

Description

Partner Outcome

Win with new generation hybrid Windows Server in SMB and MM

Description

Partner Outcome

Expand addressable market with hybrid AD in SMB. Understand the technical steps to onboarding your customers to Microsoft 365 Business

Description

Partner Outcome

Remote Desktop Services (RDS): Partner business opportunities hosting Windows desktops and applications on Microsoft Azure

Description

Partner Outcome

Leveraging the End of Support of SQL Server and Windows Server 2008 and 2008 R2 to drive migrations to cloud

Description

Modernizing mission-critical apps with SQL Server 2017 on Windows, Linux, and containers

Description

Partner Outcome

1. Get started or get a refresher.

2. Know what the MPN can do for you.

3. If you're not sure, ask for help.

4. Don't be afraid to try something new.

5. Make sure you stay in touch.

Introduction to Project Online (L200)

Technical Deep Dive on Project Management Using Project Online Premiere (L300)