Valutare le minacce alla sicurezza e le contromisure per Office 2013

  • Articolo

 

Si applica a: Office client

Ultima modifica dell'argomento: 2016-12-16

Riepilogo: in questo articolo viene spiegato il modo in cui le funzionalità di sicurezza di Office 2013 consentono di ridurre i rischi e le minacce per le risorse, i documenti e i processi di Office dell'organizzazione.

Destinatari: professionisti IT

Una configurazione desktop protetta è una parte importante della strategia di difesa di qualsiasi organizzazione. In questo articolo si inizia con una breve panoramica delle vulnerabilità e dei vari rischi generali per la sicurezza di risorse e documenti aziendali dell'organizzazione, quindi vengono illustrate le funzionalità di sicurezza che sono disponibili in Office 2010 e Office 2013 e che consentono di ridurre tali rischi. Per determinare quali funzionalità di sicurezza di Office predefinite e opzionali dovrebbe utilizzare l'organizzazione, verificare le seguenti impostazioni.

Freccia della roadmap per la guida di orientamento alla sicurezza di Office.

Questo articolo fa parte della Guida alla sicurezza di Office 2013. Utilizzare tale guida come punto di partenza per accedere ad articoli, download, poster e video utili per valutare la sicurezza in Office 2013.

Per ulteriori informazioni sulla sicurezza per le singole applicazioni di Office 2013, cercare "sicurezza 2013" in Office.com.

Contenuto dell'articolo:

  • Rischi per la sicurezza delle informazioni

  • Minacce alle applicazioni di produttività desktop

  • Soluzioni predefinite di riduzione delle minacce in Office 2013

Rischi per la sicurezza delle informazioni

La maggior parte degli esperti di IT e degli specialisti di sicurezza IT categorizzano i rischi per la sicurezza delle informazioni in tre ampie categorie:

  • Rischi per la riservatezza Questi rischi corrispondono alle minacce alla proprietà intellettuale di un'organizzazione attuate da utenti non autorizzati e malware che tentano di accedere a tutte le informazioni diffuse per via orale o per iscritto all'interno di un'organizzazione.

  • Rischi per l'integrità Questi rischi corrispondono alle minacce alle risorse aziendali attuate da utenti non autorizzati e malware che tentano di danneggiare i dati aziendali di maggiore importanza per l'organizzazione. I rischi per l'integrità minacciano qualsiasi risorsa aziendale che contenga informazioni critiche per un'organizzazione, quali server di database, file di dati e server di posta elettronica.

  • Rischi per la disponibilità Questi rischi corrispondono alle minacce ai processi aziendali attuate da utenti non autorizzati e malware che tentano di interferire nelle attività aziendali e nello svolgimento del lavoro da parte degli utenti. I rischi per la disponibilità riguardano i processi di business intelligence, le caratteristiche e funzionalità delle applicazioni e i processi del flusso di lavoro relativo ai documenti.

Per contribuire a migliorare la sicurezza dell'organizzazione rispetto a queste tre categorie di rischi, è consigliabile adottare una strategia di sicurezza di difesa approfondita, ovvero una strategia di sicurezza che includa più livelli sovrapposti di difesa da utenti non autorizzati e malware. I livelli più comuni sono i seguenti:

  • Protezione della rete perimetrale, ad esempio con firewall e server proxy.

  • Misure di sicurezza fisiche, ad esempio sale per data center e server fisicamente sicure.

  • Strumenti di sicurezza per desktop, ad esempio firewall personali, programmi antivirus e rilevamento spyware.

Per impostazione predefinita, il modello di sicurezza di Office 2013 consente all'organizzazione di ridurre tutti e tre i tipi di rischi. Ogni organizzazione presenta, tuttavia, funzionalità dell'infrastruttura, esigenze di produttività e requisiti di sicurezza desktop diversi. Per determinare con esattezza in che modo l'organizzazione può attenuare tali rischi aziendali, è necessario valutare le minacce e gli agenti che sfruttano tali rischi.

Minacce alle applicazioni di produttività desktop

Il modello di sicurezza di Office 2013 e Office 2010 consente di attenuare cinque tipi di minacce per la sicurezza dei software di produttività, ognuno dei quali include vulnerabilità che possono essere sfruttate da una vasta gamma di attacchi alla sicurezza. Nella figura seguente sono illustrate le minacce per la sicurezza e sono riportati esempi degli agenti di rischio più comuni.

Tipi di minacce per la sicurezza.

La maggior parte delle organizzazioni si trova ad affrontare alcuni potenziali rischi derivanti da tali minacce alla sicurezza. Tuttavia, la maggior parte delle organizzazioni affronta combinazioni uniche di vulnerabilità e potenziali attacchi alla sicurezza. Pertanto, è importante comprendere i rischi e mappare un piano di attenuazione adatto alla propria organizzazione.

Soluzioni predefinite di riduzione delle minacce in Office 2013

Office 2013 offre numerose contromisure che possono contribuire ad attenuare le minacce a risorse e processi aziendali. Una contromisura è una funzionalità o un controllo di sicurezza in grado di ridurre una o più minacce alla sicurezza. È in genere possibile modificare il comportamento delle contromisure configurandone le impostazioni nello Strumento di personalizzazione di Office o tramite Criteri di gruppo, utilizzando i modelli amministrativi di Office 2013.

Molte delle contromisure in Office 2013 attenuano un tipo specifico di minaccia in una determinata applicazione, ad esempio InfoPath 2013 include una contromisura che consente di avvisare gli utenti della possibilità che nei moduli siano presenti Web beacon. È possibile modificare il comportamento di questa contromisura configurando l'impostazione Interfaccia utente di beaconing per i moduli aperti in InfoPath nello Strumento di personalizzazione di Office o tramite Criteri di gruppo.

Altre contromisure consentono di attenuare una gamma più ampia di minacce che sono comuni a diverse applicazioni. Ad esempio, la funzionalità Visualizzazione protetta consente agli utenti di visualizzare il contenuto di documenti, presentazioni e cartelle di lavoro non attendibili senza consentire al contenuto non sicuro o a malware di danneggiare il computer. Questa contromisura viene utilizzata da Excel 2013, PowerPoint 2013, Word 2013 e Outlook 2013 quando si visualizzano in anteprima gli allegati di Excel 2013, PowerPoint 2013, Visio 2013 e Word 2013. È possibile modificare il comportamento di questa contromisura configurando alcune impostazioni nello Strumento di personalizzazione di Office o tramite Criteri di gruppo. Per ulteriori dettagli, vedere l'articolo Pianificare le impostazioni di Visualizzazione protetta per Office 2013.

Nelle sezioni successive verranno descritte le contromisure utilizzate con maggiore frequenza in Office 2013.

Impostazioni dei controlli ActiveX in Office 2013

È possibile utilizzare le impostazioni dei controlli ActiveX per disattivare i controlli ActiveX e modificare il modo in cui tali controlli vengono caricati nelle applicazioni di Office 2013. Per impostazione predefinita, i controlli ActiveX attendibili vengono caricati in modalità sicura con i valori permanenti, senza inviare alcuna segnalazione all'utente. I controlli ActiveX non attendibili vengono caricati diversamente, a seconda che il controllo ActiveX sia contrassegnato e se esiste un progetto VBA nel file abbinato al controllo ActiveX. Il comportamento predefinito dei controlli ActiveX non attendibili è il seguente:

  • Se un controllo ActiveX è contrassegnato come Sicuro per l'inizializzazione (SFI) ed è incluso in un documento che non contiene un progetto VBA, viene caricato in modalità sicura con valori permanenti. La barra dei messaggi non viene visualizzata e agli utenti non viene notificata la presenza del controllo ActiveX. Tutti i controlli ActiveX nel documento devono essere contrassegnati come SFI affinché si verifichi questo comportamento.

  • Se un controllo ActiveX è contrassegnato come Non sicuro per l'inizializzazione (UFI) ed è incluso in un documento che non contiene un progetto VBA, agli utenti viene notificato sulla barra messaggi che i controlli ActiveX sono disabilitati. Gli utenti possono, tuttavia, fare clic sulla barra dei messaggi per abilitare i controlli ActiveX. In questo caso, tutti i controlli ActiveX (sia contrassegnati come UFI che come SFI) vengono caricati in modalità sicura con valori permanenti.

  • Se un controllo ActiveX contrassegnato come UFI o SFI, è incluso in un documento che contiene anche un progetto VBA, agli utenti viene notificato sulla barra dei messaggi che i controlli ActiveX sono disabilitati. Gli utenti possono tuttavia fare clic sulla barra messaggi per abilitare i controlli ActiveX. In questo caso, tutti i controlli ActiveX (sia contrassegnati come UFI che come SFI) vengono caricati in modalità sicura con valori permanenti.

ImportanteImportante:
Se nel Registro di sistema per un controllo ActiveX è impostato un Kill Bit , il controllo non viene caricato e non può essere caricato in alcuna circostanza. Non viene visualizzata la barra dei messaggi e agli utenti non viene notificata la presenza del controllo ActiveX. Per informazioni più approfondite sui Kill Bit, vedere il blog di TechNet in tre parti Domande frequenti su Kill Bit.

Per modificare il comportamento predefinito dei controlli ActiveX, vedere Pianificare le impostazioni di sicurezza per i controlli ActiveX in Office 2013.

Impostazioni relative ai componenti aggiuntivi di Office 2013

È possibile utilizzare le impostazioni dei componenti aggiuntivi per disattivare tali componenti, richiedere che siano firmati da un autore attendibile e disattivare le notifiche per i componenti aggiuntivi. Per impostazione predefinita, i componenti aggiuntivi installati e registrati possono essere eseguiti senza l'intervento dell'utente o senza generare avvisi. Per modificare questo comportamento predefinito, vedere Pianificare le impostazioni di protezione per i componenti aggiuntivi per Office 2013.

Controllo dell'accesso degli utenti alle app per Outlook 2013

Utilizzare Criteri di gruppo o Centro protezione per limitare o negare l'accesso agli utenti dell'organizzazione per le app dello Store di Office o del catalogo aziendale di app per Office. Si tratta di estensioni Web di app per Office che estendono le applicazioni client di Office per migliorare il contenuto di Office e fornire nuovi tipi di contenuto interattivi e funzionalità.

Recupero dei documenti di Office 2013 in caso di password perduta o dimenticata

Misure di sicurezza come, ad esempio, la protezione con password di un documento o foglio di calcolo, funzionano bene fino a quando il proprietario si dimentica la password o lascia la società. Ora l'amministratore IT può configurare i computer client dell'organizzazione per includere i metadati del certificato in questi documenti di Office protetti da password. In un secondo momento, se la password viene persa o dimenticata, è possibile utilizzare lo strumento DocRecrypt per rimuovere o modificare la password del documento. Per informazioni dettagliate, vedere l'articolo Rimuovere o reimpostare le password dei file in Office 2013.

Impostazioni della firma digitale in Office 2013

È possibile utilizzare le impostazioni della firma digitale nello strumento di personalizzazione di Office per configurare il livello XML Advanced Electronic Signature (XAdES) della firma. Per impostazione predefinita, Office 2013 crea una firma XAdES-Explicit Policy Electronic Signature (EPES) Un amministratore IT può inoltre limitare i certificati di firma per il nome dell'autorità emittente. Gli amministratori IT possono inoltre configurare quali algoritmi di hash e dimensioni delle chiavi pubbliche sono consentiti nelle firme digitali valide. Configurare queste impostazioni nello strumento di personalizzazione di Office. Per informazioni dettagliate, vedere l'articolo Pianificare le impostazioni della firma digitale per Office 2013.

Impostazioni del contenuto esterno in Office 2013

È possibile utilizzare le impostazioni relative al contenuto esterno per modificare il modo in cui le applicazioni di Office 2013 accedono al contenuto esterno. Per contenuto esterno si intende qualsiasi tipo di contenuto a cui si accede in remoto, ad esempio connessioni dati e collegamenti a cartelle di lavoro, collegamenti ipertestuali a siti Web e documenti, e collegamenti a immagini e supporti multimediali. Per impostazione predefinita, quando un utente apre un file contenente collegamenti a contenuto esterno, nella barra dei messaggi viene segnalato all'utente che i collegamenti sono disattivati. Gli utenti possono attivarli facendo clic sulla barra dei messaggi o toccandola. È consigliabile non modificare queste impostazioni predefinite. Per ulteriori informazioni sul blocco o sullo sblocco del contenuto esterno nei documenti Office, vedere Blocco o sblocco di contenuti esterni in documenti di Office.

Impostazioni tipi file in Office 2013

È possibile utilizzare Impostazioni tipi file per impedire l'apertura o il salvataggio di specifici tipi di file. Queste impostazioni possono anche essere utilizzate per impedire o imporre l'apertura di determinati tipi di file in Visualizzazione protetta. Per impostazione predefinita, Excel 2013, PowerPoint 2013 e Word 2013 impongono l'apertura di alcuni tipi di file solo in Visualizzazione protetta. Questi tipi di file non possono essere aperti dagli utenti per la modifica. Per informazioni dettagliate, vedere Pianificare le impostazioni di blocco dei file per Office 2013.

Impostazioni di Convalida file di Office in Office 2013

È possibile utilizzare le impostazioni di Convalida file di Office per disattivare questa funzionalità di Office e modificare il modo in cui gestisce i file che non superano la convalida. Queste impostazioni possono anche essere utilizzate per impedire che la funzionalità Convalida file di Office chieda all'utente di inviare le informazioni di convalida a Microsoft. Per impostazione predefinita, la funzionalità Convalida file di Office è attivata. I file che non superano la convalida vengono aperti in Visualizzazione protetta e gli utenti possono modificarli una volta che sono stati aperti. Per ulteriori informazioni sulle impostazioni di Convalida file di Office, vedere Pianificare le impostazioni di Convalida file di Office per Office 2013.

Impostazioni di complessità della password in Office 2013

È possibile utilizzare le impostazioni di complessità della password per applicare i criteri di lunghezza e complessità per le password utilizzate con la funzionalità Crittografa con password. Le impostazioni di complessità della password consentono di applicare i criteri di lunghezza e complessità delle password a livello di dominio, se l'organizzazione ha stabilito regole specifiche tramite Criteri di gruppo basati sul dominio. In alternativa, la stessa operazione può essere eseguita a livello locale, se l'organizzazione non ha implementato Criteri di gruppo basati sul dominio per la complessità della password. Per impostazione predefinita, le applicazioni di Office 2013 non verificano la lunghezza o la complessità della password quando un utente crittografa un file utilizzando la funzionalità Crittografa con password. Per ulteriori informazioni, vedere l'articolo Pianificare le impostazioni di complessità delle password per Office 2013.

Opzioni privacy in Office 2013

È possibile utilizzare le opzioni relative alla privacy per impedire la visualizzazione della finestra di dialogo Microsoft Office 2013 al primo avvio di Office 2013. Questa finestra di dialogo consente agli utenti di registrarsi a vari servizi basati su Internet in grado di proteggere e migliorare le applicazioni di Office 2013. Le opzioni relative alla privacy possono anche essere utilizzate per attivare i servizi basati su Internet che vengono visualizzati nella finestra di dialogo Microsoft Office 2013. Per impostazione predefinita, la finestra di dialogo Microsoft Office 2013 viene visualizzata quando un utente avvia Office 2013 per la prima volta e consente agli utenti di attivare i servizi basati su Internet consigliati, di attivare un sottoinsieme di questi servizi o non apportare modifiche alla configurazione. Se l'utente sceglie di non apportare modifiche alla configurazione, verranno applicate le impostazioni predefinite seguenti:

  • Le applicazioni di Office 2013 non scaricano piccoli programmi che semplificano la diagnosi di problemi e le informazioni dei messaggi di errore non vengono inviate a Microsoft.

  • Gli utenti non vengono iscritti al programma Analisi utilizzo software.

Per modificare questo comportamento predefinito o per eliminare la finestra di dialogo Microsoft Office 2013, vedere Pianificare le opzioni di privacy in Office 2013.

Impostazioni di Visualizzazione protetta in Office 2013

È possibile utilizzare le impostazioni di Visualizzazione protetta per impedire l'apertura dei file o per imporre l'apertura dei file in questa visualizzazione. È inoltre possibile specificare se si desidera aprire in Visualizzazione protetta gli script e i programmi eseguiti nella sessione 0. Per impostazione predefinita, Visualizzazione protetta è attivata e tutti i file non attendibili vengono aperti in questa visualizzazione. Gli script e i programmi eseguiti nella sessione 0 non vengono aperti in Visualizzazione protetta.

Inoltre, i miglioramenti alla funzionalità Visualizzazione protetta includono una nuova tecnologia "sandbox" quando Office 2013 viene utilizzato con Windows 8 come sistema operativo. Come parte di questi miglioramenti, Visualizzazione protetta viene eseguita in scenari RunAs o remoteApp in Windows 8.

Per ulteriori informazioni su Visualizzazione protetta, vedere Pianificare le impostazioni di Visualizzazione protetta per Office 2013.

Nota

Le impostazioni di Visualizzazione protetta possono anche essere utilizzate per impedire o imporre l'apertura di specifici tipi di file in Visualizzazione protetta.

Impostazioni di Documenti attendibili in Office 2013

È possibile utilizzare le impostazioni di Documenti attendibili per disattivare questa funzionalità e impedire che gli utenti considerino attendibili i documenti memorizzati nelle condivisioni di rete. I documenti attendibili evitano la maggior parte dei controlli di sicurezza quando vengono aperti e tutto il contenuto attivo viene abilitato. Tenere presente che il controllo antivirus e il controllo Kill Bit di ActiveX sono gli unici due controlli che non possono essere evitati. Per impostazione predefinita, la funzionalità Documenti attendibili è attivata, pertanto gli utenti possono impostare i file sicuri come documenti attendibili. Gli utenti possono, inoltre, impostare come documenti attendibili anche i file nelle condivisioni di rete. È consigliabile non modificare queste impostazioni predefinite.

Impostazioni di Percorsi attendibili in Office 2013

È possibile utilizzare le impostazioni di Percorsi attendibili per impostare i percorsi sicuri per i file. I file memorizzati nei percorsi attendibili evitano la maggior parte dei controlli di sicurezza quando vengono aperti e tutto il contenuto del file viene abilitato (il controllo antivirus e il controllo Kill Bit di ActiveX sono gli unici due controlli che non possono essere evitati). Per impostazione predefinita, alcuni percorsi sono impostati come percorsi attendibili. I percorsi attendibili che si trovano in una rete, ad esempio le cartelle condivise, sono disattivati. Per modificare questo comportamento predefinito e individuare quali percorsi sono impostati come percorsi attendibili per impostazione predefinita, vedere Pianificare e configurare le impostazioni di Percorsi attendibili per Office 2013.

Impostazioni relative agli autori attendibili in Office 2013

È possibile utilizzare le impostazioni relative agli autori attendibili per impostare come sicuri alcuni tipi di contenuto attivo, ad esempio i controlli ActiveX, i componenti aggiuntivi e le macro VBA. Quando un autore firma un contenuto attivo con un certificato digitale e si aggiunge il certificato digitale dell'autore all'elenco Autori attendibili, il contenuto attivo viene considerato attendibile. Per impostazione predefinita, nell'elenco degli autori attendibili non sono presenti autori. È necessario aggiungere gli autori all'elenco Autori attendibili per poter implementare la caratteristica di sicurezza. Per implementare la caratteristica Autori attendibili, vedere Pianificare e configurare le impostazioni degli autori attendibili per Office 2013.

Impostazioni relative alle macro VBA in Office 2013

È possibile utilizzare le impostazioni relative alle macro VBA per modificare il comportamento delle macro VBA, disattivare VBA e modificare il comportamento delle macro VBA nelle applicazioni avviate a livello di programmazione. Per impostazione predefinita, VBA è attivato e le macro VBA attendibili possono essere eseguite senza notifiche all'utente. Le macro VBA attendibili includono le macro VBA firmate da un autore attendibile, memorizzate in un documento attendibile o memorizzate in un documento incluso in un percorso attendibile. Le macro VBA non attendibili sono disattivate, tuttavia una notifica nella barra dei messaggi consente agli utenti di attivarle. Le macro VBA possono inoltre essere eseguite nelle applicazioni avviate a livello di programmazione.

Per modificare questo comportamento predefinito, vedere Pianificare le impostazioni di protezione per le macro VBA per Office 2013.

Vedere anche

Guida alla sicurezza di Office 2013
Panoramica della sicurezza in Office 2013
Pianificare le impostazioni di blocco dei file per Office 2013
Pianificare le opzioni di privacy in Office 2013
Pianificare le impostazioni di Convalida file di Office per Office 2013
Pianificare le impostazioni di Visualizzazione protetta per Office 2013
Pianificare le impostazioni di protezione per i componenti aggiuntivi per Office 2013
Pianificare le impostazioni di sicurezza per i controlli ActiveX in Office 2013
Pianificare le impostazioni di protezione per le macro VBA per Office 2013
Pianificare e configurare le impostazioni di Percorsi attendibili per Office 2013
Pianificare e configurare le impostazioni degli autori attendibili per Office 2013
Panoramica sulle impostazioni di sicurezza e protezione per Outlook 2013
Configurare le impostazioni della posta indesiderata in Outlook 2013