Compreender ameaças de segurança e medidas defensivas para o Office 2013
Aplica-se a: Office client
Tópico modificado em: 2016-12-16
Resumo: explica como os recursos de segurança do Office 2013 podem reduzir os riscos e ameaças aos ativos, documentos e processos do Office de sua organização.
Público: profissionais de TI
Uma configuração de área de trabalho protegida é uma parte importante da estratégia de defesa abrangente de qualquer organização. Este artigo começa com uma breve visão geral dos vários riscos e vulnerabilidades gerais de segurança de ativos e de documentos comerciais de sua organização e descreve os recursos de segurança que estão disponíveis no Office 2010 e no Office 2013 que podem ajudar a minimizar essas ameaças. Lembre-se de revisar essas configurações para determinar que Office recursos de segurança padrão e opcionais devem ser usados na sua organização.
|
Este artigo faz parte do Guia para a segurança do Office 2013. Use o mapa como um ponto inicial para artigos, downloads, scripts e vídeos que ajudam você a avaliar a segurança do Office 2013. Você está procurando informações de segurança sobre aplicativos individuais do Office 2013? Você pode encontrar essas informações procurando por "segurança 2013" no Office.com. |
.jpg "Seta do mapa para o guia de segurança do Office.")
Neste artigo:
Riscos de segurança de informações
Ameaças a aplicativos de produtividade de área de trabalho
Reduções de segurança padrão no Office 2013
Riscos de segurança de informações
A maioria dos profissionais e especialistas em segurança de TI categoriza os riscos de segurança das informações em três amplas categorias:
Riscos de confidencialidade Esses riscos representam ameaças à propriedade intelectual da organização. São provenientes de usuários não autorizados e código mal-intencionado que podem acessar o que é dito, escrito e criado na organização.
Riscos de integridade Esses riscos representam ameaças aos seus recursos corporativos e são provenientes de usuários não autorizados e código mal-intencionado que podem corromper os dados corporativos dos quais a organização depende. Os riscos de integridade prejudicam qualquer ativo empresarial que contenha informações críticas para a organização, como servidores de banco de dados, arquivos de dados e servidores de email.
Riscos de disponibilidade Esses riscos representam ameaças a processos empresariais. São provenientes de usuários não autorizados e código mal-intencionado que podem tumultuar a sua maneira de fazer negócios e a forma como os usuários fazem seu trabalho. Processos de business intelligence, capacidades e recursos de aplicativos e processos de fluxo de trabalho de documentos podem ser todos ameaçados pelos riscos de disponibilidade.
Para ajudar a garantir que a sua organização fique protegida contra todas essas três categorias de risco, recomendamos uma estratégia de defesa abrangente. Essa estratégia deve incluir várias camadas sobrepostas de defesa contra usuários não autorizados e código mal-intencionado. Em geral, essas camadas incluem o seguinte:
Proteção de rede de perímetro, como firewalls e servidores proxy.
Medidas físicas de segurança, como data centers e salas de servidores fisicamente seguros.
Ferramentas de segurança de área de trabalho, como firewalls pessoais, programas de verificação de vírus e detecção de spyware.
Por padrão, o modelo de segurança do Office 2013 ajuda a organização a atenuar todos os três tipos de riscos. Porém, cada organização tem diferentes recursos de infraestrutura, demandas de produtividade e requisitos de segurança de área de trabalho. Para determinar exatamente como a organização pode atenuar esses riscos corporativos, é necessário avaliar as ameaças e vulnerabilidades que exploram esses riscos.
Ameaças a aplicativos de produtividade de área de trabalho
O modelo de segurança do Office 2013, assim como do Office 2010, ajuda a atenuar cinco tipos de ameaças à segurança de softwares de produtividade. Cada um desses tipos inclui várias vulnerabilidades que podem ser exploradas por diversos ataques de segurança. A ilustração a seguir mostra ameaças à segurança e exemplos dos agentes de ameaças mais comuns.
.gif "Tipos de ameaça contra a segurança")
A maioria das organizações enfrenta alguns riscos potenciais por parte dessas ameaças à segurança. Mas a maioria das organizações também lida com combinações exclusivas de vulnerabilidades e possíveis ataques ou explorações de segurança. Portanto, é importante entender os riscos e mapear um plano de redução que atenda à sua organização.
Reduções de segurança padrão no Office 2013
O Office 2013 fornece várias medidas defensivas que ajudam a atenuar as ameaças aos seus ativos e processos empresariais. Uma medida defensiva é um recurso ou controle de segurança que atenua uma ou mais ameaças à segurança. Em geral, você pode alterar o comportamento das medidas defensivas definindo configurações na Ferramenta de Personalização do Office (OCT) ou através da Política de Grupo, usando os Office 2013Modelos Administrativos.
Muitas das medidas defensivas no Office 2013 atenuam um tipo específico de ameaça em um determinado aplicativo. Por exemplo, o InfoPath 2013 inclui uma medida defensiva que avisa os usuários sobre a possível presença de Web beacons em formulários. É possível alterar o comportamento dessa medida defensiva definindo a configuração IU de Beacon para formulários abertos no InfoPath na OCT ou através da Política de Grupo.
Outras medidas defensivas atenuam tipos mais genéricos de ameaças que são comuns em vários aplicativos. Por exemplo, o recurso Modo de Exibição Protegido permite que os usuários exibam o conteúdo de documentos, apresentações e pastas de trabalho não confiáveis sem permitir que o conteúdo não seguro ou o código mal-intencionado prejudique o computador. Essa medida defensiva é usada pelos aplicativos Excel 2013, PowerPoint 2013, Word 2013 e Outlook 2013 quando você visualiza anexos do Excel 2013, PowerPoint 2013, Visio 2013 e Word 2013. É possível alterar esse comportamento definindo várias configurações na OCT ou através da Política de Grupo. Para obter detalhes, confira o artigo Planeja as configurações do Modo de Exibição Protegido para o Office 2013.
As seções a seguir descrevem as medidas defensivas mais frequentemente usadas no Office 2013.
Configurações de controles ActiveX para o Office 2013
É possível usar configurações de controles ActiveX para desabilitar os controles ActiveX e alterar a forma como eles são carregados nos aplicativos do Office 2013. Por padrão, os controles ActiveX confiáveis são carregados no modo de segurança com valores persistentes e os usuários não são notificados de que esses controles foram carregados. Um controle ActiveX não confiável é carregado de forma diferente, dependendo de como está marcado e da existência de um projeto VBA no arquivo junto com esse controle. O comportamento padrão dos controles ActiveX não confiáveis é o seguinte:
Se um controle ActiveX estiver marcado como Seguro para Inicialização (SFI) e estiver contido em um documento que não possua nenhum projeto VBA, o controle será carregado no modo de segurança com valores persistentes. A Barra de Mensagens não será exibida e os usuários não serão notificados sobre a presença do controle ActiveX. Para que esse comportamento ocorra, todos os controles ActiveX do documento precisam estar marcados como SFI.
Se um controle ActiveX estiver marcado como Não Seguro para Inicialização (UFI) e estiver contido em um documento que não tenha nenhum projeto VBA, os usuários serão notificados, na Barra de Mensagens, de que os controles ActiveX estão desabilitados, mas poderão clicar na barra para habilitá-los. Se isso acontecer, todos os controles ActiveX (marcados como UFI e SFI) serão carregados no modo de segurança com valores persistentes.
Se um controle ActiveX marcado como UFI ou SFI estiver contido em um documento que também tenha um projeto VBA, os usuários serão notificados, na Barra de Mensagens, de que os controles ActiveX estão desabilitados, mas poderão clicar na barra para habilitá-los. Se isso acontecer, todos os controles ActiveX (marcados como SFI e UFI) serão carregados no modo de segurança com valores persistentes.
.gif "Importante") Importante |
|---|
| Se um kill bit for definido no registro para um controle ActiveX, o controle não será carregado e não poderá ser carregado sob nenhuma circunstância. A Barra de Mensagens não será exibida e os usuários não serão notificados sobre a presença do controle ActiveX. Se você quiser saber mais sobre o assunto mais amplo de kill bits, confira o blog da TechNet de três partes Perguntas frequentes sobre o Kill Bit. |
Para alterar o comportamento padrão dos controles ActiveX, confira Planejar configurações de segurança para os controles ActiveX do Office 2013.
Configurações de suplementos do Office 2013
É possível usar configurações para desabilitar suplementos, exigir que eles sejam assinados por um fornecedor confiável e desabilitar notificações para esses suplementos. Por padrão, suplementos instalados e registrados podem ser executados sem avisos e sem exigir a intervenção do usuário. Para alterar esse comportamento padrão, consulte Planejar configurações de segurança de suplementos para o Office 2013.
Controlar o acesso de usuários aos aplicativos do Office 2013
Use a Política de Grupo ou a Central de Confiabilidade para restringir ou negar o acesso dos usuários da sua organização aos aplicativos da Loja do Office ou ao seu catálogo corporativo do aplicativos do Office. Esses aplicativos do Office são extensões Web que estendem os aplicativos cliente do Office para aprimorar o conteúdo do Office e fornecer novos tipos e funcionalidades de conteúdos interativos.
Recuperação de documentos do Office 2013 após perda/esquecimento de senha
Precauções de segurança, como proteção por senha de um documento ou planilha, funcionam bem, até que o proprietário esqueça a senha ou saia da empresa. Agora, o administrador de TI pode configurar os computadores cliente da organização para incluir metadados de certificado nesses documentos protegidos por senha do Office. Mais tarde, se a senha for perdida ou esquecida, você pode usar a ferramenta DocRecrypt para remover ou alterar a senha no documento. Confira o artigo Remover ou redefinir senhas de arquivos no Office 2013 para obter informações detalhadas.
Configurações de assinatura digital no Office 2013
Você pode usar as configurações de assinatura digital da OCT para configurar o nível de XAdES (XML Advanced Electronic Signature) da assinatura. Por padrão, o Office 2013 cria uma assinatura XAdES-EPES (Explicit Policy Electronic Signature). Um administrador de TI também pode restringir os certificados de assinatura pelo nome do emissor. Os administradores de TI também podem configurar quais algoritmos de hash e tamanhos de chaves públicas são permitidos em assinaturas digitais válidas. Defina essas configurações na ferramenta OCT. Confira o artigo Planejar configurações de assinatura digital do Office 2013 para obter informações detalhadas.
Configurações de conteúdo externo no Office 2013
Você pode usar configurações de conteúdo externo para alterar o modo como os aplicativos do Office 2013 acessam conteúdo externo. Conteúdo externo representa qualquer tipo de conteúdo acessado remotamente, como conexões de dados e links de pastas de trabalho, hiperlinks para sites e documentos e links para imagens e mídia. Por padrão, quando um usuário abre um arquivo que contém links para conteúdo externo, a Barra de Mensagens o notifica de que os links estão desabilitados. Os usuários podem habilitar os links tocando na Barra de Mensagens. Convém não alterar essas configurações padrão. Para saber mais sobre como bloquear ou desbloquear conteúdo externo nos documentos do Office, confira Bloquear ou desbloquear conteúdo externo em documentos do Office.
Configurações de Bloqueio de Arquivos do Office 2013
É possível usar as configurações de Bloqueio de Arquivos para impedir que determinados tipos de arquivos sejam abertos ou salvos. Essas configurações também podem ser usadas para evitar ou forçar a abertura de certos tipos de arquivos no Modo de Exibição Protegido. Por padrão, o Excel 2013, o PowerPoint 2013 e o Word 2013 forçam a abertura de vários tipos de arquivos somente no Modo de Exibição Protegido. Os usuários não podem abrir esses tipos de arquivos para edição. Para obter detalhes, confira Planejar configurações de bloco de arquivo para o Office 2013.
Configurações de Validação de Arquivo do Office no Office 2013
É possível usar as configurações de Validação de Arquivo do Office para desabilitar o recurso de Validação de Arquivo do Office e alterar a forma como esse recurso do Office lida com arquivos que não passam na validação. Essas configurações também podem ser usadas para impedir que o recurso de Validação de Arquivo do Office peça que os usuários enviem informações de validação para a Microsoft. Por padrão, o recurso de Validação de Arquivo do Office está habilitado. Os arquivos que não passam na validação são abertos no Modo de Exibição Protegido e os usuários podem editá-los depois que eles são abertos nesse modo. Para saber mais sobre as configurações de Validação de Arquivo do Office, confira Planejar configurações de Validação de Arquivo do Office para o Office 2013.
Configurações de complexidade de senha no Office 2013
É possível usar as configurações de complexidade de senhas para aplicar o comprimento e a complexidade às senhas que são usadas com o recurso Criptografar com Senha. As configurações de complexidade de senhas permitem aplicar o comprimento e a complexidade de senhas no nível de domínio caso a organização tenha estabelecido regras de complexidade de senhas por meio da Política de Grupo com base em domínio. Ou você pode fazer isso em nível local, caso a organização não tenha implementado a Política de Grupo de complexidade de senhas com base em domínio. Por padrão, os aplicativos do Office 2013 não verificam o comprimento nem a complexidade da senha quando um usuário criptografa um arquivo usando o recurso Criptografar com Senha. Para informações mais detalhadas, confira o artigo Planejar as configurações de complexidade de senha para o Office 2013.
Opções de privacidade no Office 2013
É possível usar as opções de privacidade para impedir a exibição da caixa de diálogo Bem-vindo ao Microsoft Office 2013 na primeira vez que um usuário inicia o Office 2013. Essa caixa de diálogo permite que os usuários se inscrevam em vários serviços de Internet que ajudam a proteger e a aprimorar os aplicativos do Office 2013. Você também pode usar as opções de privacidade para habilitar os serviços de Internet que aparecem na caixa de diálogo Bem-vindo ao Microsoft Office 2013. Por padrão, a caixa de diálogo Bem-vindo ao Microsoft Office 2013 é exibida quando um usuário inicia o Office 2013 pela primeira vez e os usuários podem habilitar os serviços de Internet recomendados, habilitar um subconjunto desses serviços ou não efetuar nenhuma alteração de configuração. Se um usuário não efetuar alterações de configuração, as seguintes configurações serão efetivadas:
Os aplicativos do Office 2013 não baixam pequenos programas que ajudam a diagnosticar problemas e as informações de mensagens de erro não são enviadas à Microsoft.
Os usuários não estão inscritos no Programa de Aperfeiçoamento da Experiência do Usuário.
Para alterar esse comportamento padrão ou para omitir a caixa de diálogo Bem-vindo ao Microsoft Office 2013, confira Planejar opções de privacidade do Office 2013.
Configurações do Modo de Exibição Protegido no Office 2013
É possível usar essas configurações para impedir que os arquivos sejam abertos no Modo de Exibição Protegido e para forçar a sua abertura nesse modo. Também é possível especificar se você deseja que scripts e programas executados na Sessão 0 sejam abertos no Modo de Exibição Protegido. Por padrão, o Modo de Exibição Protegido está habilitado e todos os arquivos não confiáveis são abertos nesse modo. Os scripts e programas que são executados na Sessão 0 não são abertos no Modo de Exibição Protegido.
Além disso, os aprimoramentos do Modo de Exibição Protegido incluem uma tecnologia de “área restrita” quando o Office 2013 é usado com o Windows 8 como o sistema operacional. Como parte desses aprimoramentos, o Modo de Exibição Protegido agora funciona em cenários RunAs ou RemoteApp no Windows 8.
Para saber mais sobre as configurações do Modo de Exibição Protegido, confira Planeja as configurações do Modo de Exibição Protegido para o Office 2013.
.gif "Observação") Observação |
|---|
| As configurações de Bloqueio de Arquivos também podem ser usadas para evitar ou forçar a abertura de tipos de arquivos específicos no Modo de Exibição Protegido. |
Configurações de documentos confiáveis no Office 2013
É possível usar essas configurações para desabilitar o recurso Documentos Confiáveis e impedir que os usuários confiem em documentos armazenados em compartilhamentos de rede. Os documentos confiáveis contornam a maioria das verificações de segurança quando são abertos e todo o conteúdo ativo é habilitado. Observe que a verificação antivírus e a verificação de kill bit do ActiveX não podem ser contornadas. Por padrão, o recurso Documentos Confiáveis está habilitado, significando que os usuários podem designar arquivos seguros como documentos confiáveis. Além disso, os usuários podem designar arquivos em compartilhamentos de rede como documentos confiáveis. Convém não alterar essas configurações padrão.
Configurações de Locais Confiáveis no Office 2013
Você pode usar as configurações de Locais Confiáveis para designar locais seguros para os arquivos. Os arquivos armazenados em locais confiáveis contornam a maioria das verificações de segurança quando são abertos e todo o seu conteúdo é habilitado (a verificação antivírus e a verificação de kill bit do ActiveX não podem ser contornadas). Por padrão, vários locais são designados como locais confiáveis. Além disso, os locais confiáveis que estão em uma rede, como pastas compartilhadas, são desabilitados. Para alterar esse comportamento padrão e descobrir quais locais estão designados como confiáveis por padrão, confira Planejar e definir as configurações de Locais Confiáveis do Office 2013.
Configurações de Editores Confiáveis no Office 2013
É possível usar configurações de Fornecedores Confiáveis para designar certos tipos de conteúdo ativo como seguros, incluindo controles ActiveX, suplementos e macros VBA. Quando um fornecedor assina conteúdo ativo com um certificado digital, e você adiciona o certificado digital desse fornecedor à lista Fornecedores Confiáveis, o conteúdo ativo é considerado confiável. Por padrão, não há fornecedores na lista Fornecedores Confiáveis. Você deve adicionar editores à lista Editores Confiáveis para implementar esse recurso de segurança. Para implementar o recurso Editores Confiáveis, consulte Planejar e configurar as configurações de Editores Confiáveis para o Office 2013.
Configurações de macros VBA no Office 2013
É possível usar configurações para alterar o comportamento das macros VBA, desabilitar o VBA e alterar o comportamento de macros VBA em aplicativos que são iniciados programaticamente. Por padrão, o VBA está habilitado e as macros VBA confiáveis podem ser executadas sem notificação. Macros VBA confiáveis incluem aquelas que são assinadas por um fornecedor confiável, armazenadas em um documento confiável ou armazenadas em um documento que se encontra em um local confiável. As macros VBA não confiáveis ficam desabilitadas, mas uma notificação na Barra de Mensagens permite que os usuários as habilitem. Além disso, as macros VBA podem ser executadas em aplicativos que são iniciados programaticamente.
Para alterar esse comportamento padrão, confira Planejar configurações de segurança para macros VBA do Office 2013.
Consulte também
Guia para a segurança do Office 2013
Visão geral da segurança no Office 2013
Planejar configurações de bloco de arquivo para o Office 2013
Planejar opções de privacidade do Office 2013
Planejar configurações de Validação de Arquivo do Office para o Office 2013
Planeja as configurações do Modo de Exibição Protegido para o Office 2013
Planejar configurações de segurança de suplementos para o Office 2013
Planejar configurações de segurança para os controles ActiveX do Office 2013
Planejar configurações de segurança para macros VBA do Office 2013
Planejar e definir as configurações de Locais Confiáveis do Office 2013
Planejar e configurar as configurações de Editores Confiáveis para o Office 2013
Visão geral de configurações de segurança e proteção do Outlook 2013
Definir configurações de lixo eletrônico no Outlook 2013