Panoramica della sicurezza in Office 2013

 

Si applica a: Office 2013, Office 365 ProPlus

Ultima modifica dell'argomento: 2016-12-16

Riepilogo: informazioni sulle nuove caratteristiche di sicurezza di Office 2013: autenticazione, identità, chiave del deposito, catalogo ed estensione di Web app e altro ancora.

Destinatari: professionisti IT

Office 2013 include una nuova funzionalità di autenticazione. Ora gli utenti possono creare un profilo, eseguire l'accesso una sola volta, quindi lavorare e accedere ai file locali e cloud di Office senza dover eseguire di nuovo l'identificazione. Gli utenti possono connettere più servizi, ad esempio un account OneDrive for Business dell'organizzazione o un account OneDrive personale, al rispettivo profilo di Office e avere così accesso immediato a tutti i relativi file e all'archivio associato. Gli utenti eseguono l'autenticazione solo una volta per tutte le applicazioni di Office, incluso OneDrive. Questo è possibile indipendentemente dal provider di identità, dall'utilizzo dell'account Microsoft o dell'ID utente per l'accesso a Office 365 per professionisti e piccole imprese o dal protocollo di autenticazione utilizzato dall'applicazione. Tra i protocolli sono disponibili ad esempio l'autenticazione OAuth, l'autenticazione basata su moduli, l'autenticazione basata sulle attestazioni e l'autenticazione integrata di Windows. Per l'utente, questa funzionalità risulta utile e vantaggiosa. Per gli amministratori IT, i servizi connessi risultano di semplice gestione.

Freccia della roadmap per la guida di orientamento alla sicurezza di Office.

Questo articolo fa parte della Guida alla sicurezza di Office 2013. Utilizzare tale guida come punto di partenza per accedere ad articoli, download, poster e video utili per valutare la sicurezza in Office 2013.

Per ulteriori informazioni sulla sicurezza per le singole applicazioni di Office 2013, cercare "sicurezza 2013" in Office.com.

Autenticazione e identità in Office 2013

Autenticazione e identità costituiscono gli aspetti principali della sicurezza. In questa versione di Office viene introdotto un cambiamento fondamentale per questi due aspetti: da identità e autenticazione basate su computer a identità e autenticazione basate sull'utente. Questo cambiamento consente di effettuare il roaming di contenuto, risorse, elenchi utilizzati di recente, impostazioni, collegamenti alle community e personalizzazione insieme all'utente quando quest'ultimo passa da desktop a tablet, smartphone o computer condivisi o pubblici. Per l'amministratore IT, la conformità e gli audit trail degli utenti sono separati in base all'identità.

In questo nuovo ambiente gli utenti accedono a Office 365 utilizzando una delle seguenti identità:

  • account aziendale o dell'istituto di istruzione ID gestito da Microsoft   Per l'uso business di Office 365, in cui gli ID utente dell'hosting aziendale di Microsoft e quelli di organizzazioni più piccole vengono archiviati nel cloud. Questo scenario supporta inoltre la connessione di più ID utente e l'accesso Single Sign-On.

    oppure

    ID utente federato di proprietà dell'organizzazione   Per l'utilizzo business di Office 365, in cui gli ID utente aziendali vengono archiviati in locale.

  • Account Microsoft   In genere utilizzato per l'accesso a Office 365 per esigenze non aziendali. Gli utenti possono disporre di più account Windows Live ID collegati ed eseguire una sola istanza di accesso, autenticarsi e quindi passare da un account Microsoft all'altro nella stessa sessione. Non è necessario eseguire nuovamente l'autenticazione.

L'amministratore IT può inoltre configurare l'utilizzo di un'autenticazione a più fattori per Office 365. Questo tipo di autenticazione aumenta la sicurezza degli utenti semplicemente mediante l'utilizzo di una password. Con l'autenticazione a più fattori per Office 365, gli utenti devono accettare una chiamata, un messaggio di testo o una notifica dell'applicazione sul proprio dispositivo smartphone digitando correttamente la password specificata. Solo dopo aver soddisfatto questo secondo fattore di autenticazione, l'utente può eseguire l'accesso. Per le fasi di configurazione, vedere l'articolo relativo alla configurazione dell'autenticazione a più fattori per Office 365.

Dalla prospettiva di un amministratore IT, Active Directory è al centro di questo nuovo paradigma. Gli amministratori IT possono eseguire le operazioni seguenti:

  • Verificare i criteri di password utente nei dispositivi e servizi

  • Utilizzare Criteri di gruppo per configurare l'ambiente operativo

  • Gestire tramite Forefront Identity Manager (FIM) o Active Directory Federation Services (ADFS)

Mediante il cloud è possibile effettuare le seguenti operazioni:

  • Gestire gli account utente tramite cloud utilizzando un portale Web   La configurazione è semplice. È possibile eseguire il provisioning degli utenti manualmente per un controllo maggiore. Non sono necessari server, tutto viene gestito da Microsoft.

  • Sincronizzare le directory locali tramite Active Directory nel portale Web   È possibile automatizzare il provisioning e farlo coesistere con gli account gestiti nel cloud.

  • Utilizzare ADFS per consentire agli utenti l'utilizzo della funzionalità Single Sign-on   È possibile automatizzare il provisioning ed è supportata l'autenticazione a più fattori.

Come illustrato nella figura seguente, l'amministratore IT è responsabile. Se l'azienda è di dimensioni più piccole, è possibile utilizzare i servizi di gestione delle identità in Microsoft Azure per definire, gestire e autenticare gli utenti. Gli account utente vengono gestiti dal cloud mediante un portale Web e Azure Active Directory nel cloud Microsoft. Non è necessario l'utilizzo di server perché la gestione viene svolta completamente da Microsoft. Quando l'identità e l'autenticazione vengono gestite totalmente nel cloud senza affinità con l'archivio di Active Directory locale, gli amministratori IT possono comunque effettuare il provisioning o il deprovisioning degli ID e dell'accesso utente ai servizi tramite il portale o i cmdlet di PowerShell.

Nella fase 1 i professionisti IT eseguono la connessione all'interfaccia di amministrazione di Office 365 per l'accesso Web nel cloud Microsoft, quindi richiedono nuovi ID organizzazione o gestiscono quelli esistenti.

Nella fase 2 le richieste effettuate vengono trasferite ad Azure AD.

Nella fase 3, nel caso di una richiesta di modifica, questa viene apportata e resa visibile nell'interfaccia di amministrazione di Office 365. Nel caso di una richiesta di un nuovo ID, la richiesta viene inviata alla piattaforma di provisioning degli ID.

Nella fase 4 i nuovi ID e le modifiche apportate agli ID esistenti vengono resi visibili nell'interfaccia di amministrazione di Office 365.

Identità e autenticazione di Office 365 gestite totalmente nel cloud senza interazione locale con Active Directory.

Identità e autenticazione gestite nel cloud

Come illustrato nella figura riportata di seguito, dopo la configurazione degli utenti nell'interfaccia di amministrazione di Office 365 nel cloud Microsoft, questi possono eseguire l'accesso da qualsiasi dispositivo. È possibile installare Office 365 ProPlus in un massimo di cinque dispositivi.

Dopo aver eseguito il provisioning di un utente (vedere la figura precedente) durante la fase 1, gli utenti possono eseguire l'accesso a Office mediante una delle seguenti identità:

  • account aziendale o dell'istituto di istruzione, ad esempio mike@contoso.onmicrosoft.com o mike@contoso.com

  • Account Microsoft personale, ad esempio mike@outlook.com

Nella fase 2 Microsoft individua il servizio al quale l'utente desidera autenticarsi e i file e le impostazioni di Office che desidera utilizzare in base all'identità specificata. L'identità è infatti associata a un'istanza di Azure AD, quindi l'identità di posta elettronica e la password correlata vengono passate al server Azure AD corretto per l'autenticazione.

Nella fase 3, la richiesta viene verificata e quindi concessa e le applicazioni Office vengono trasmesse ai dispositivi per l'utilizzo. I documenti salvati di OneDrive for Business, associati all'identità specificata, sono disponibili per la visualizzazione, la modifica e la memorizzazione in locale o in OneDrive for Business.

Dati per il provisioning dell'identità inseriti mediante il servizio di sincronizzazione della directory di Azure. L'autenticazione è gestita nel cloud.

Accesso al cloud.

Nella figura riportata di seguito viene illustrato uno scenario con una distribuzione ibrida locale e basata sul cloud. Lo strumento di sincronizzazione di Azure AD del cloud Microsoft è in grado di mantenere sincronizzate le identità utente aziendali in locale e nel cloud.

Nella fase 1 viene installato lo strumento di sincronizzazione di Azure AD, che consente di tenere Azure AD aggiornato con le ultime modifiche apportate nella directory locale.

Nelle fasi 2 e 3 vengono creati nuovi utenti nell'istanza locale di Active Directory. Lo strumento di sincronizzazione di Azure AD controllerà periodicamente il server Active Directory locale per verificare se sono state create eventuali nuove identità. Viene quindi effettuato il provisioning di tali identità in Azure AD, le identità locali vengono collegate a quelle nel cloud e vengono rese visibili mediante l'interfaccia di amministrazione di Office 365.

Nelle fasi 4 e 5, poiché vengono apportate modifiche all'identità nell'istanza locale di Active Directory, queste vengono sincronizzate con Azure AD e rese disponibili mediante l'interfaccia di amministrazione di Office 365.

Nelle fasi 6 e 7, se tra gli utenti sono presenti utenti federati, questi eseguiranno l'accesso con ADFS, che genererà un token di sicurezza passato poi ad Azure AD. Il token viene quindi verificato e convalidato in modo da autorizzare gli utenti per Office 365.

Provisioning dell'identità popolato utilizzando il servizio di sincronizzazione della directory di Azure. Active Directory Federation Server 2.0 e autenticazione gestita nel cloud.

Provisioning delle identità con ADFS 2.0

Nell'esperienza utente l'identità viene definita quando l'utente esegue l'accesso.

Interfaccia utente client   All'avvio di ogni sessione un utente può scegliere di eseguire la connessione al cloud personale, utilizzando l'account Microsoft, al server aziendale locale o al cloud gestito da Microsoft per servizi quali Office 365 e per documenti, immagini o altri dati.

Se un utente sceglie di effettuare la connessione tramite ID Microsoft, esegue l'accesso mediante l'account Microsoft (precedentemente denominato Passport o Windows Live ID) o mediante l'ID utente che utilizza per accedere a Office 365.

Dopo aver eseguito l'accesso, l'utente può cambiare identità in qualsiasi momento dalla visualizzazione Backstage di una delle applicazioni di Office.

Infrastruttura client   Le API dell'autenticazione client consentono in modo invisibile all'utente di accedere e disconnettersi e cambiare l'identità utente attiva. Altre API monitorano le impostazioni di roaming (preferenze e documenti utilizzati di recente) e i servizi disponibili per ciascuna identità.

Altri servizi di identità cloud   Gli utenti eseguono automaticamente l'accesso ai seguenti servizi nativi:

  • OneDrive, per l'accesso a un account Microsoft o SharePoint Online per un'identità aziendale

  • File e impostazioni di roaming utilizzati di recente

  • Personalizzazione

  • Attività dell'account Microsoft

Gli utenti possono inoltre accedere a servizi cloud di terze parti dopo aver eseguito l'accesso utilizzando un account Microsoft. Ad esempio, se accedono a Facebook, la connessione eseguirà il roaming con tale identità.

Utilizzare le impostazioni di Criteri di gruppo per verificare le configurazioni desktop

Con oltre 4000 oggetti di controllo di Criteri di gruppo a disposizione, è possibile utilizzare Criteri di gruppo per richiedere le impostazioni utente per Office. Ciò significa che è possibile creare un intervallo di configurazioni desktop da bassa gestione a elevate restrizioni per gli utenti. Le impostazioni di Criteri di gruppo hanno sempre la precedenza su quelle dello Strumento di personalizzazione di Office. È inoltre possibile utilizzare le impostazioni di Criteri di gruppo per disabilitare formati di file specifici che non sono protetti nella rete. Per ulteriori informazioni, vedere Configurare la sicurezza utilizzando lo Strumento di personalizzazione di Office o Criteri di gruppo per Office 2013.

Informazioni sui data center Microsoft

Il programma di protezione dei data center Microsoft è multidimensionale e basato sul rischio. Prende in considerazione utenti, processi e tecnologia. Il programma relativo alla privacy verifica che vengano seguite procedure di privacy standard globali coerenti per la gestione e il trasferimento dei dati. I data center di Microsoft sono anche fisicamente protetti. Gli oltre 65.000 metri quadrati e le decine di migliaia di server sono sorvegliati 24 ore su 24, 7 giorni su 7. In caso di interruzione dell'alimentazione, sono disponibili giorni di alimentazione ausiliaria. I data center sono geograficamente ridondanti e si trovano in Nord America, Europa e Asia.

Office 365 non esegue mai la scansione dei messaggi di posta elettronica o dei documenti per creare un'analisi, estrarre dati, pubblicizzare o migliorare il servizio. I dati appartengono sempre totalmente all'utente o alla società e l'utente può rimuoverli in qualsiasi momento dai server dei data center.

Office 365 è conforme agli standard fondamentali del settore aziendale elencati di seguito:

  • Certificazione ISO 27001   Office 365 soddisfa o supera il rigoroso set di controlli fisici, logici, processuali e gestionali definiti da ISO/TEC 27001:2005.

  • Clausole modello EU   Office 365 è conforme e in grado di firmare clausole contrattuali standard relative alle clausole del modello EU e alle direttive Safe Harbor.

  • Accordo associazione HIPAA   Office 365 può firmare requisiti per HIPAA con tutti i clienti. HIPAA controlla l'utilizzo, la divulgazione e la salvaguardia delle informazioni protette sulla salute.

Cataloghi ed estensioni Web

Office 2013 include un nuovo modello di estendibilità per i client di Office che consente agli sviluppatori Web di creare app per Office, ovvero estensioni Web che sfruttano la potenza del Web per estendere i client di Office. Un'app per Office è un'area all'interno di un'applicazione di Office che contiene una pagina Web in grado di interagire con il documento per estendere il contenuto e fornire nuove funzionalità e nuovi tipi di contenuto interattivo. Gli utenti possono ottenere app per Office dal nuovo Office Marketplace o da un catalogo privato sotto forma di app autonome o di sottocomponenti di una soluzione modello di documento o di un'applicazione di SharePoint.

In Centro protezione, in Cataloghi app attendibili è possibile controllare le app per Office in vari modi, ad esempio:

  • Disabilitare tutte le app

  • Disabilitare solo le app provenienti da Office Store

  • Aggiungere o rimuovere cataloghi attendibili dalla Tabella dei cataloghi attendibili

Reimpostare la password di un documento con una chiave deposito e il nuovo strumento DocRecrypt

Office 2013 presenta una nuova funzionalità di chiave del deposito, che consente all'amministratore IT di un'organizzazione di decrittografare i documenti protetti da password utilizzando una chiave del deposito privata. Ad esempio, se un documento è stato crittografato utilizzando Word, Excel o PowerPoint, e il proprietario originale del documento ha dimenticato la password o ha lasciato l'organizzazione, l'amministratore IT può recuperare i dati utilizzando la chiave del deposito privata.

La funzionalità di chiave del deposito funziona solo con i file salvati e crittografati mediante crittografia di prossima generazione. Questa è la crittografia predefinita utilizzata in Office 2010 e Office 2013. Se, per motivi di compatibilità, l'impostazione predefinita è stata modificata per utilizzare il formato legacy, la funzionalità di chiave del deposito non sarà disponibile. Per informazioni dettagliate su questa nuova caratteristica, vedere Rimuovere o reimpostare le password dei file in Office 2013.

Firme digitali

Tra i miglioramenti alle firme digitali in Office 2013 sono presenti:

  • Supporto per i formati di file Open Document Format (ODF v1.2)

  • Miglioramenti a XAdES (XML Advanced Electronic Signatures)

Il supporto dei formati di file ODF v1.2 consente agli utenti di firmare digitalmente i documenti ODF in Office 2013 utilizzando le firme digitali invisibili. I documenti firmati digitalmente non supportano le righe della firma o i timbri. Office 2013 offre inoltre la verifica della firma digitale dei documenti ODF che sono stati firmati in altre applicazioni, ma sono stati aperti in Office 2013.

I miglioramenti a XAdES in Office 2013 includono un'esperienza utente migliorata durante la creazione di una firma digitale XAdES. Agli utenti vengono fornite ulteriori informazioni sulla firma.

Information Rights Management (IRM)

Office 2013 include un nuovo client IRM con una nuova interfaccia utente che semplifica la selezione dell'identità. Supporta inoltre l'individuazione automatica del servizio dei server di Rights Management Services (RMS). Office 2013 dispone inoltre del supporto IRM in sola lettura per Microsoft Office Web Application Companion (WAC). WAC è in grado di visualizzare i documenti protetti da IRM in una raccolta SharePoint o i documenti protetti da IRM allegati ai messaggi in Outlook Web Access (OWA).

Visualizzazione protetta

In Office 2013 è disponibile una funzionalità di visualizzazione protetta, ossia una tecnologia "sandbox", migliorata quando Office 2013 viene utilizzato con Windows 2012 come sistema operativo. Office 2013 utilizza la caratteristica AppContainer di Windows 2012 che fornisce un migliore isolamento del processo e blocca l'accesso alla rete da sandbox. In Office 2010 è stata introdotta la funzionalità di visualizzazione protetta che consente di ridurre l'utilizzo del computer aprendo i file in un ambiente ristretto, denominato lowbox, per esaminare i file prima di aprirli e modificarli in Excel, PowerPoint o Word.

Office 2013, progettato fin dall'inizio con l'obiettivo della sicurezza

Microsoft prende in considerazione la sicurezza in ogni fase del ciclo di vita del software. Chiunque contribuisca a una caratteristica o a un prodotto di Office segue una formazione continua sulla sicurezza perché il settore e le minacce sono in continua evoluzione. Nel corso della progettazione di una caratteristica o di un prodotto, il team deve prendere in considerazione fin dall'inizio la sicurezza dei dati e la privacy dell'utente e impegnarsi a ridurre le minacce utilizzando la crittografia, l'autenticazione o altri metodi. Le decisioni si basano sull'ambiente, l'esposizione prevista o potenziale e la riservatezza dei dati. Prima dell'uscita di un prodotto di Office il team esegue più verifiche della superficie di attacco e crea un piano di risposta all'errore imprevisto.

Microsoft non si affida solo ai dipendenti per garantire la sicurezza dei dati utente, ma utilizza anche degli strumenti e delle verifiche automatiche di controllo qualità suddivise in tre categorie generali:

  • Test funzionale Consente di verificare ogni parte dell'interfaccia utente per controllare che l'input, l'output e le azioni dell'utente siano espressamente richiesti.

  • Test con dati casuali Consente di aggiungere nel software grandi quantità di dati casuali o imprevisti per rivelare problemi di sicurezza. Il test con dati casuali rappresenta un'ampia parte della versione di Office 2007 e continua a esserlo nella versione più recente.

  • Test per applicazioni Web Consente di utilizzare gli strumenti di analisi dinamica o Web per eseguire i test per potenziali bug di sicurezza, ad esempio vulnerabilità ad attacchi tramite script da altri siti (XSS) o SQL injection.

I test non si fermano mai. Microsoft Security Response Center (MSRC) si occupa della gestione dei problemi di sicurezza che rimangono scoperti dopo l'uscita di un prodotto. Il team è in grado di mobilitare e fornire rapidamente correzioni ai clienti.

Una breve analisi dei progressi in termini di sicurezza nel corso delle ultime versioni di Office

I controlli di sicurezza introdotti in Office XP, Office 2003, Office 2007 e Office 2010 riducono gli attacchi, migliorano l'esperienza utente, offrono una protezione avanzata, riducono la superficie di attacco e permettono agli amministratori IT di creare un'affidabile difesa contro le minacce preservando la produttività dell'utente. Di seguito sono riportati i metodi utilizzati.

L'introduzione delle seguenti caratteristiche contrasta gli attacchi in Office:

  • Visualizzazione protetta

  • Protezione del flusso dei documenti

  • Gestione patch

  • Flessibilità crittografica

Le caratteristiche seguenti migliorano l'esperienza utente:

  • Centro protezione e barra dei messaggi, percorsi attendibili, autori attendibili e conferma dell'attendibilità permanente

  • Messaggi di sicurezza pronti per interventi

  • Miglioramenti alla caratteristica Crittografa con password

  • Controllo documento

  • Supporto formato file XML

Office offre una protezione avanzata della superficie di attacco grazie alle seguenti caratteristiche:

  • Supporto Protezione esecuzione programmi

  • Applicazione di Criteri di gruppo

  • Supporto timestamp attendibile delle firme digitali

  • Verifica e applicazione della complessità delle password basate sul dominio

  • Miglioramenti del potenziamento della crittografia

  • Supporto CryptoAPI

Office consente di ridurre la superficie di attacco grazie alle seguenti caratteristiche:

  • Convalida di file di Office

  • Impostazioni estese di Blocco file

  • Sicurezza controlli ActiveX

  • "Kill Bit" di ActiveX

  • Verifica dell'integrità dei file crittografati

  • Livelli di sicurezza macro

Ulteriori informazioni sui test con dati casuali

I test con dati casuali sui file vengono utilizzati per identificare vulnerabilità precedentemente sconosciute in diversi formati di file. Il team di Office ha eseguito questi test su milioni di file per milioni di volte e individuato e corretto centinaia di vulnerabilità.

Ulteriori informazioni su Protezione esecuzione programmi

Questa tecnologia hardware e software, integrata in Windows ed estesa a tutte le applicazioni di Office a partire da Office 2010, identifica i file che tentano di eseguire codice in memoria riservata. Questa protezione è sempre presente nelle versioni a 64 bit ed è configurabile utilizzando le impostazioni di Criteri di gruppo nelle versioni a 32 bit. Se viene rilevato un codice non autorizzato, l'applicazione interessata si arresta automaticamente.

Ulteriori informazioni su Visualizzazione protetta

Visualizzazione protetta, che consente la visualizzazione sicura di file sospetti, è stata introdotta in Office 2010. Ora, con AppContainer di Windows 2012 che non può accedere alla rete, l'isolamento del processo è ulteriormente migliorato

Vedere anche

Guida alla sicurezza di Office 2013
Panoramica di identità, autenticazione e autorizzazione in Office 2013
Confrontare le funzionalità di sicurezza nelle SKU di Office 365 e Office 2013
Pianificare Information Rights Management in Office 2013
Pianificare le impostazioni della firma digitale per Office 2013