Haladásának követésére és mérésére a Microsoft létrehozta a megbízható számítástechnika célkitűzéseit felölelő keretrendszert: a termékeknek tervezésüknél fogva, alapállapotukban, és bevezetéskor azonnal biztonságosnak kell lenniük, valamint támogatniuk kell a biztonságos kommunikációt is.
A "tervezésénél fogva biztonságos" megközelítés célja az, hogy még a termék szállítása előtt kiküszöbölje a biztonsági hiányosságokat, és a termék biztonságát növelő funkciókkal bővítse azt. Ehhez biztonságos architektúrát kell létrehozni. A banképületeket is a biztonsági alapelvek figyelembevételével tervezik, szerkezetük kezdettől fogva tükrözi azt, hogy helyet kell adniuk a széfnek és az egyéb biztonsági berendezéseknek.
Az "alapállapotban is biztonságos" elképzelés alapötlete az, hogy az általános felhasználói környezetben szükségtelen szolgáltatásokat le kell tiltani. Ezzel csökken a rendszer támadható "felülete". A szolgáltatások elindítását ezután tudatosan kell kezdeményezni, így felügyeletük és megfigyelésük is nagyobb valószínűséggel kap megfelelő figyelmet. Ezt az elvet először a Microsoft Internet Security and Acceleration Server 2000-nél vezették be, itt minden lehetőség alapállapotban tiltva van.
Segítség az interneten A Microsoft Security Notification Service egy ingyenes szolgáltatás, amely elektronikus levélben értesíti az előfizetőket a biztonsági közlemények megjelenéséről. A szolgáltatás mindig pontos információkat szolgáltat, amelyek alapján megvédhetők a rendszerek a rosszindulatú támadásoktól. A vállalat biztonsági erőforrásokat összefogó oldalán olyan eszközök és útmutatók találhatók, amelyek segítségével biztonságosan bevezethetők a Microsoft termékek. |
Felügyelni és irányítani kell a védekezést, a felismerést, az ellenlépéseket és a létfontosságú rendszerek helyreállítását, azaz rendelkezni kell a megfelelő házirendekkel és eljárásokkal, amelyek egységes egészbe fogják össze a különböző intézkedéseket. A felügyelet emlékeztet arra, mint amikor bizonyos szabályokat hozunk otthonunk védelme érdekében, biztosítást kötünk, majd újraértékeljük ezeket a szabályokat, ahogy tulajdonunk és vagyonunk változik. Az informatikai biztonsági felügyeletnek is hasonló módon, a fenyegetések és az óvni kívánt értékek változását követve kell naprakészen tartania a biztonsági házirendeket. Számos biztonsági felügyeleti feladat automatizálható, a rendszerek pedig beállíthatók a rendszergazda értesítésére arra az esetre, ha valaki megsérti a házirendet, vagy túllépi a megadott teljesítménybeli vagy viselkedési határértékeket. A biztonsági felügyelet a rendszergazdákra támaszkodik, akik megfelelő gyakorlati képzettséggel rendelkeznek, és akik következetesen gondoskodnak a biztonsági házirendek és eljárások betartásáról.
Végezetül a megfelelő kommunikáció is szükséges. A biztonsággal kapcsolatos tudásanyag, a fejlesztések és javítások hasztalanok maradnak, ha nem gondoskodunk széles körű terjesztésükről és a felhasználókkal való megismertetésükről. Ehhez okvetlen szükséges a megfelelő információ és a javítások gyors kiadása a sebezhető pontok felfedezésekor. A felhasználókat útmutatókkal és segédeszközökkel kell segíteni operációs rendszerük biztonságos működtetésében, és figyelmeztetni kell őket az újfajta támadásokra. A felhasználók igényeire válaszolva a Microsoft mindig jó előre nyilvánosságra hozza a javítások kiadásának menetrendjét. Ezért a javítások már nem összevissza, hanem ütemezetten, mindig hét közepén jelennek meg. Ez alól csak akkor lehet kivétel, ha a támadási lehetőséget aktívan ki is használják, vagy túlságosan nagy kockázatot jelent a felhasználók számára.