Статья
11/01/2016

Выбор средства развертывания для параметров безопасности и конфиденциальности в системе Microsoft Office 2007

Обновлено: Февраль 2009

Назначение: Office Resource Kit

Последнее изменение раздела: 2015-03-09

Чтобы создать эффективный план обеспечения безопасности в Выпуск 2007 системы Microsoft Office, необходимо вначале определить средства для настройки, развертывания и управления параметрами безопасности в организации. В некоторых случаях все задачи по настройке, развертыванию и управлению параметрами могут быть выполнены одним средством; в других ситуациях может потребоваться сочетание нескольких средств: одно средство для настройки и развертывания начальной конфигурации, другое — для управления параметрами на постоянной основе. Выбор правильного средства очень важный шаг процесса планирования безопасности, поскольку позволяет гарантировать развертывание и активизацию всех предусмотренных параметров безопасности в организации. Кроме того, это позволяет изменять параметры безопасности после первоначального развертывания в случае появления внезапных угроз безопасности.

Хотя существует множество средств и методов для развертывания и управления настольными приложениями в среде предприятия, рекомендуется использовать только центр развертывания Office (OCT) и административные шаблоны групповой политики Выпуск 2007 системы Office (файлы ADM) для настройки, развертывания и управления параметрами безопасности в Выпуск 2007 системы Office. У каждого средства есть собственные требования и ограничения, а также различный набор возможностей и функций. Для выбора правильного средства необходима тщательная оценка существующей инфраструктуры развертывания и управления организации, архитектуры безопасности и требований к системе безопасности в организации. Чтобы подобрать оптимальное для организации средство, используйте рекомендации и методы в следующих разделах для оценки каждого средства.

Центр развертывания Office

OCT — это новое средство графического интерфейса пользователя, которое позволяет создавать файлы конфигурации (MSP). В таких файлах может содержаться большой объем сведений, включая инструкции по установке, данные о лицензировании и параметры приложения, включая параметры безопасности и конфиденциальности. Поддерживаются два способа использования файлов конфигурации:

совместно с программой установки для настройки процесса установки в рамках крупномасштабного развертывания;
совместно с установщиком Windows 3.1 для обновления или поддержки параметров настройки на этапе операций в рамках цикла жизни ПО.

Чтобы использовать файл конфигурации для настройки процесса установки, выполните следующие задачи:

Используйте центр развертывания Office графического интерфейса пользователя для настройки параметров установки и приложений.
Сохраните настройки и параметры в msp-файле.
Запустите на клиентских компьютерах программу установки, используя параметры командной строки для выбора файла MSP, который должен использоваться при установке.

Чтобы использовать файл конфигурации для обновления или поддержки существующих установок, выполните следующие задачи:

Используйте центр развертывания Office графического интерфейса пользователя для настройки параметров приложений в существующем файле MSP.
Сохраните новые параметры приложений в msp-файле.
Запустите на клиентских компьютерах установщик Windows, используя параметры командной строки для выбора файла MSP, который должен использоваться средством установки.

Дополнительные сведения об использовании OCT см. в статьях Центр развертывания Office в выпуске 2007 системы Microsoft Office и Настройка выпуска 2007 системы Microsoft Office.

Требования и ограничения

Хотя OCT является новым средством, для него не требуются специальные улучшения инфраструктуры. Например, не нужно изменять существующее оборудование и программное обеспечение, сетевую топологию или архитектуру системы безопасности. В то же время OCT поддерживает определенные требования.

OCT необходимо использовать совместно с программой установки Office, поскольку центр развертывания Office только создает файлы MSP, но не реализует параметры безопасности на компьютерах. Для установки Выпуск 2007 системы Office необходимо использовать программу установки и применить параметры безопасности, сохраненные в файлах MSP.
Требование использовать программу установки, включенную в Выпуск 2007 системы Office, вызвано тем, что это единственная поддерживаемая программа, которая может считывать данные из файлов MSP, созданных в OCT, и добавлять параметры безопасности (и другие параметры) к реестру.
На компьютерах, где выполняется программа установки и OCT, должен быть установлен установщик Windows 3.1.
Для запуска центра развертывания Office и программы установки Office необходимо быть членом группы администраторов на локальном компьютере.

При использовании OCT для настройки параметров безопасности и управления ими необходимо учитывать два следующих ограничения OCT:

Центр развертывания Office не поддерживает блокировку или обеспечение реализации параметров безопасности. OCT настраивает параметра приложений в публично доступных областях реестра, например, в HKEY_CURRENT_USER/Software/Microsoft/Office/12.0. Если центр развертывания Office используется для настройки параметров безопасности Выпуск 2007 системы Office или управления ими, пользователи могут менять развернутые параметры безопасности. Данные параметры считаются настройками пользователей, а не управляемыми настройками, поскольку поддерживают изменения. Если необходимо обеспечить выполнение параметров безопасности, используйте групповую политику.
С помощью OCT можно настроить только один параметр формата блокировки файлов. Данные параметры позволяют запретить открытие или сохранение файлов определенных типов и форматов. Рекомендуется использовать эти параметры, если необходимо запретить пользователям применение форматов файлов предыдущих версий или устранить атаки нулевого дня.

Общие сценарии

OCT и программу настройки можно использовать для настройки, развертывания параметров безопасности и управления ими в ряде ИТ-сред. В разделах далее описаны сценарии, в которых использование OCT и программы установки наиболее эффективно.

Неуправляемые среды

Обычно центр развертывания Office используется организациями, в которых отсутствует централизованное управление настольными приложениями или удаленное управление настольными средами. В этих случаях настройка, развертывание параметров безопасности и управление ими реализуются с помощью OCT и программы настройки без средств удаленного управления, как например, Microsoft Systems Management Server 2003, или средства на базе политики, например, групповая политика.

Начальные конфигурации системы безопасности

Обычно OCT используется для установки начальных конфигураций системы безопасности даже в тех случаях, когда используется для блокировки или обеспечения выполнения параметров безопасности применяется групповая политика. Это позволяет настроить параметры безопасности во время первоначального развертывания до выполнения первого обновления политики. Использование OCT для создания начальной конфигурации системы безопасности также позволяет сбрасывать параметры на компьютере, повторно применив файл начальной конфигурации.

Частично заблокированные среды

Центр развертывания Office может эффективно применяться в частично заблокированных средах, где критически важная подгруппа параметров безопасности блокируется с помощью групповой политики, а другие параметры безопасности могут настраиваться пользователями. В этом сценарии большинство параметров безопасности настраиваются на этапе начальной конфигурации с помощью файла, созданного OCT (файл MSP), а критически важные параметры безопасности разворачиваются и управляются с помощью групповой политики после завершения первоначальной настройки.

Административные шаблоны групповой политики

В Выпуск 2007 системы Office содержится 15 административных шаблонов, которые позволяют управлять параметрами безопасности с помощью локальной или основанной на домене групповой политике. Административные шаблоны — это текстовые файлы в формате Unicode, которые используются групповой политикой для описания места хранения в реестре параметров политики на базе реестра. Все параметры политики на базе реестра возникают и настраиваются в редакторе объектов групповой политики узла административных шаблонов. Административные шаблоны не применяют параметры политики, но позволяют получать доступ к таким параметрам в редакторе объектов групповой политики. Далее администраторы могут создать объекты групповой политики (GPO), содержащие предназначенные для использования параметры политики. Например, может использоваться один GPO, поддерживающий различные параметры политики для управления элементами управления ActiveX, надстройками и макросами.

Значения реестра, используемые для параметров групповой политики, хранятся в утвержденных разделах реестра для групповой политики. Пользователи не могут изменять или отключать данные параметры. Полностью управляемые администраторами параметры групповой политики называются "истинными политиками". В параметрах групповой политики используются ограничения ACL, которые не позволяют пользователям изменять данные параметры. К числу утвержденных разделов реестра групповой политики относятся следующие:

Параметры политики компьютера:

HKEY_LOCAL_MACHINE\Software\Policies (предпочтительное местоположение)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Параметры политики пользователей:

HKEY_CURRENT_USER\Software\Policies (предпочтительное местоположение)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Дополнительные сведения об административных шаблонах, групповой политике и OCT см. в статьях Расширения административных шаблонов и Центр развертывания Office и групповая политика в статье Обзор групповой политики (версия 2007 системы Office). Дополнительные сведения об использовании административных шаблонов для настройки, развертывания параметров безопасности и управления ими см. в статье Обеспечение параметров с помощью групповой политики в версии 2007 системы Office.

Требования и ограничения

При установке Выпуск 2007 системы Office на ПК, выполняющих ОС Microsoft Windows XP, Microsoft Windows Server 2003 или Windows Vista, необходимо соблюдать следующие требования к использованию административных шаблонов.

Необходимо развернуть службу каталога Active Directory в организации, которая будет осуществлять настройку, развертывания параметров безопасности и управление ими с помощью параметров групповой политики на базе доменов.
Для настройки, развертывания параметров безопасности и управления ими с помощью локальных параметров групповой политики необходимо входить в группу администраторов на локальном компьютере.

При использовании административных шаблонов для настройки параметров безопасности и управления ими необходимо учитывать следующие ограничения этих шаблонов:

Групповая политика не предоставляет механизм для параметров отказа в начальной конфигурации. Если развертывание параметров начальной конфигурации выполняется с помощью групповой политики и в параметры групповой политики затем вносятся изменения, необходимо заново настроить каждое такое изменение, чтобы вернуться к первоначальной настройке. Отключение или удаление объекта групповой политики, содержащего параметры, приведет к установке значения "Не настроено" для всех параметров.
Групповая политика не позволяет настраивать параметры доверенных издателей. Чтобы добавить цифровые сертификаты к списку доверенных издателей, необходимо воспользоваться OCT.
Если настройка выполняется в небольшой организации, где еще не используется Active Directory, высокие административные издержки, связанные с обучением и реализаций групповых политик в среде Active Directory, могут сделать использованию групповой политики на базе доменов неразумным.

Общие сценарии

Групповую политику можно использовать для настройки, развертывания параметров безопасности и управления ими в ряде ИТ-сред. В разделах далее описаны сценарии, в которых использование административных шаблонов наиболее эффективно.

Управляемые среды

Использование административных шаблонов рекомендуется в организациях, где групповая политика применяется для управления настольными средами. Эффективность такого решения высока как в средах с Active Directory и групповыми политиками на базе доменов, так и в средах без Active Directory, но с локальной групповой политикой для управления настольной средой.

Заблокированные среды

Рекомендуется использовать административные шаблоны в заблокированных средах, в которых пользователи практически не могут управлять настольными конфигурациями. В этом сценарии все параметры безопасности разворачиваются и управляются с помощью групповой политики. Все параметры безопасности, настроенные на этапе первоначальной настройки, перезаписываются с помощью параметров групповой политики.

Реализация параметров блокировки форматов файлов

Административные шаблоны является единственным эффективным способом реализации параметров блокировки форматов файлов, которые позволяют запретить открытие файлов определенных типов и форматов. Эти параметры рекомендуются для устранения атак нулевого дня, когда известен конкретный формат файла, представляющий угрозу для организации. Также данные параметры помогают предотвратить открытие форматов файлов предыдущих версий и принуждают использовать одинаковые форматы.