• Статья

Угрозы безопасности и контрмеры для выпуска 2010 системы Microsoft Office

 

Применимо к: Office 2010

Последнее изменение раздела: 2011-08-05

Безопасная конфигурация настольных ПК является обязательной частью любой стратегии защиты организации. Однако перед началом планирования такой конфигурации (которая включает в себя Microsoft Office 2010) необходимо понять, какие угрозы безопасности действуют для Office 2010, а затем определить, какие из этих угроз представляют опасность для бизнес-активов и бизнес-процессов организации. Также необходимо выяснить, какие угрозы конфиденциальности представляют опасность для личных и конфиденциальных сведений пользователей.

Содержание:

  • Риски, связанные с безопасностью данных

  • Угрозы для приложений, обеспечивающих эффективную работу рабочих станций

  • Меры противодействия по умолчанию в Office 2010

Риски, связанные с безопасностью данных

Большинство ИТ-специалистов и специалистов по безопасности разделяют угрозы, связанные с безопасностью, на три общие категории:

  • Риски, связанные с конфиденциальностью   Эти риски представляют собой угрозы интеллектуальной собственности организации, исходящие от неавторизованных пользователей и вредоносного кода, целью которых является получение доступа к сказанному, написанному и созданному в этой организации.

  • Риски, связанные с целостностью данных   Эти риски представляют угрозы бизнес-ресурсам, исходящие от неавторизованных пользователей и вредоносного кода, целью которых является повреждение критически важных бизнес-данных организации. Эти риски распространяются на любые бизнес-активы, содержащие критически важную для организации информацию, такие как серверы баз данных, файлы данных и серверы электронной почты.

  • Риски доступности   Эти риски представляют угрозы бизнес-процессам, исходящие от неавторизованных пользователей и вредоносного кода, целью которых является нарушение бизнес-процессов и работы сотрудников. Процессы бизнес-аналитики, компоненты и возможности приложений и рабочие процессы подвержены рискам, связанным с доступностью данных.

Чтобы обеспечить защиту организации от этих трех категорий рисков, рекомендуется использовать стратегию безопасности, включающую несколько дополняющих друг друга уровней защиты от неавторизованных пользователей и вредоносного кода. Как правило, используются следующие уровни:

  • Защита демилитаризованной зоны с помощью брандмауэров и прокси-серверов.

  • Меры физической безопасности, такие как ограниченный доступ к центрам данным и серверным помещениям.

  • Средства безопасности рабочих станций, такие как личные брандмауэры, антивирусные приложения и средства обнаружения шпионских программ.

Если Office 2010 является частью среды организации, стратегия защиты должна включать механизмы устранения угроз. Эти механизмы содержатся в Office 2010 и задействуют различные технологии, параметры и компоненты. С помощью этих механизмов можно устранить угрозы приложениям Office 2010 и обезопасить интеллектуальную собственность, бизнес-ресурсы и бизнес-процессы, которые являются критически важными для организации.

По умолчанию модель безопасности Office 2010 способствует устранению всех трех типов рисков в организации. Однако каждая организация имеет различные возможности инфраструктуры, различные требования к производительности и различные требования к безопасности рабочих мест. Чтобы определить, насколько организация может устранить эти бизнес-риски, необходимо оценивать как сами угрозы, так и источники этих угроз.

Угрозы для приложений, обеспечивающих эффективную работу рабочих станций

Модель обеспечения безопасности Office 2010 позволяет устранить пять видов угроз, относящихся к приложениям обеспечения эффективной работы. Каждая из таких угроз включает в себя несколько источников угрозы и может применяться в широком диапазоне различных атак на систему безопасности. На следующем рисунке показаны угрозы безопасности и примеры наиболее распространенных источников угрозы.

Типы угроз безопасности

Большинство организаций сталкиваются с потенциальными рисками, связанными со всеми пятью видами угроз. Однако большинство организаций имеет дело с уникальными сочетаниями источников угроз и видов атак.

Угрозы, связанные с активным контентом

Угрозы кодам и приложениям являются стандартными угрозами безопасности для настольных ПК. К числу наиболее распространенных факторов угроз относятся элементы управления ActiveX, надстройки и макросы VBA. Эти факторы могут использоваться программистами для создания вредоносных кодов или программ, выполняемых на компьютерах пользователей. Угрозы, связанные с активным контентом, являются потенциальным риском для организаций любого размера, особенно для тех организаций, где пользователям разрешено выполнять следующие действия:

  • Запускать макросы VBA, элементы управления ActiveX или надстройки.

  • Открывать вложения в сообщениях электронной почты.

  • Совместно использовать документы в рамках общедоступной сети, например, через Интернет.

  • Открывать документы, полученные из внешних источников, например, от клиентов, поставщиков или партнеров.

Угрозы, связанные с неавторизованным доступом

Угрозы, связанные с неавторизованным доступом, возникают при попытке неавторизованного доступа к данным. Ниже приведены возможные цели злоумышленников:

  • Файлы документов   Если неавторизованные пользователи получили доступ к файлам документов, они могут удалить, заменить или повредить эти файлы. Например, программист может использовать атаку с использованием формата файла для получения с помощью измененного документа несанкционированного доступа.

  • Сведения в самих документах   Эти сведения включают тексты, схемы, комментарии, правки, аннотации, пользовательские XML-данные, скрытый текст, водяные знаки, данные в колонтитулах. Если неавторизованные пользователи получают доступ к сведениям в документах, им становятся доступными конфиденциальные данные компании и личные данные пользователей. Злоумышленники могут изменять, повреждать и удалять данные, а также добавлять активный контент в те документы, которые хранятся в надежных расположениях.

  • Метаданные   Данные, связанные с документами, которые включают такие свойства, как имя автора, название организации, время редактирования документа или номер версии документа. Неавторизованные пользователи, получающие доступ к метаданным, могут в дальнейшем получить доступ к конфиденциальным данным компании или личным данным пользователей. Злоумышленники могут повредить или удалить метаданные.

Большинство организаций сталкивается с неавторизованным доступом, однако не предпринимает достаточных мер для устранения подобных угроз, так как считает их незначительными или считает стоимость устранения этих угроз чрезмерно высокой. Однако такой подход может привести к возникновению следующих угроз безопасности:

  • Архитектура защиты сети организации не может предотвратить несанкционированный доступ злоумышленников во внутреннюю сеть, что повышает риск доступа таких людей к документам организации.

  • Организация позволяет пользователям отсылать, получать или совместно использовать конфиденциальные документы в сети Интернет, включая финансовые сведения, проекты, презентации или чертежи.

  • Организация позволяет пользователям подключать портативные компьютеры к общедоступным сетям, что увеличивает риски доступа злоумышленников к документам, хранящимся на этих компьютерах.

  • Организация не препятствует пользователям выносить документы с конфиденциальными сведениями за пределы офиса.

  • У злоумышленников существует возможность получения несанкционированного доступа к конфиденциальным сведениям.

Угрозы, связанные с внешним контентом

К числу таких угроз относятся любые факторы, которые связывают документы с другими документами, базами данных или веб-сайтами через интрасеть или общедоступную сеть, такую как Интернет. Угрозы, связанные с внешними данными, могут исходить из следующих источников:

  • Гиперссылки   Обычно злоумышленники используют гиперссылки на ненадежные документы или веб-сайты, которые содержат вредоносный код или контент.

  • Подключения к данным   Обычно злоумышленники используют данный источник угрозы, создавая подключения к источникам или базам данных, а затем используют эти подключения для вредоносного управления данными или их извлечения.

  • Веб-маяки   Обычно злоумышленники используют данный фактор угрозы, внедряя невидимую ссылку на удаленное изображение в сообщение электронной почты. После открытия пользователем такого сообщения ссылка активируется и загружается удаленное изображение. В результате данные пользователя, например адрес электронной почты и IP-адрес компьютера, могут быть отправлены на удаленный компьютер.

  • Объекты пакетов   Злоумышленник может использовать встроенный объект для запуска вредоносного кода.

Внешние угрозы представляют собой риски для организации в следующих случаях:

  • Пользователям предоставлен неограниченный доступ к общедоступным сетям (например, к Интернету).

  • Пользователи могут получать сообщения электронной почты, содержащие встроенные изображения и HTML.

  • Пользователи могут использовать подключения к данным в таблицах или других документах.

Угрозы, связанные с браузером

Эти угрозы могут возникнуть при программном использовании в приложении или в документе функциональных возможностей веб-браузера, такого как Microsoft Internet Explorer. Браузер представляет угрозу приложениям и документам, так как любые угрозы, относящиеся к браузеру, также относятся к приложениям и документам, использующим этот браузер. Такие угрозы включают в себя ряд факторов, которые могут использоваться в различных атаках. К факторам угрозы относится установка элемента управления ActiveX, загрузка файлов, пробная проверка MIME, повышение уровня зоны и установка надстроек.

Угрозы, связанные с браузером, представляют опасность для системы безопасности организации в следующих случаях:

  • Пользователям позволено запускать элементы управления ActiveX, надстройки или макросы, в которых используются возможности браузера.

  • Пользователи могут разрабатывать и распространять решения Office, которые используют возможности браузера.

Угрозы, связанные с эксплойтами нулевого дня

Угрозы, связанные с эксплойтами нулевого дня, могут активизироваться при обнаружении уязвимости, которая еще не была устранена обновлением ПО, таким как обновление безопасности Майкрософт или пакет обновления. Атаки с использованием эксплойта нулевого дня могут принимать различные формы, включая следующие:

  • удаленное выполнение кода;

  • несанкционированное получение прав;

  • раскрытие информации.

Пользователи и программисты-злоумышленники могут использовать уязвимые места системы безопасности в рамках различных атак. До выхода обновления безопасности или пакета обновления, ориентированных на определенный вид уязвимости, такие угрозы могут представлять серьезную опасность для организации.

Меры противодействия по умолчанию в Office 2010

Office 2010 предоставляет различные меры противодействия, которые помогают устранить угрозы бизнес-активам и бизнес-процессам. Мера противодействия — это средство безопасности или элемент обеспечения безопасности, с помощью которых можно устранить одну или несколько угроз безопасности. Как правило, можно изменить поведение меры противодействия путем настройки параметров в центре развертывания Office или в групповой политике с помощью административных шаблонов Office 2010.

Многие меры противодействия в Office 2010 устраняют определенные виды угроз для определенного приложения. Например, Microsoft InfoPath 2010 содержит меру противодействия, которая служит для предупреждения пользователей о возможном присутствии в формах веб-маяков. Можно изменить поведение этой меры противодействия, настроив параметр Пользовательский интерфейс маяка для форм, открытых в InfoPath в центре развертывания или в групповой политике.

Другие меры противодействия устраняют более широкий спектр угроз, которые часто возникают в нескольких приложениях. Например, функция защищенного просмотра позволяет пользователям просмотреть содержимого ненадежных документов, презентаций, электронных таблиц без необходимости включения небезопасного содержимого или вредоносного кода, который может нанести вред компьютеру. Эта меры противодействия используется в Microsoft Excel 2010, Microsoft PowerPoint 2010, Microsoft Word 2010 и Microsoft Outlook 2010 при предварительном просмотре вложения в виде файла Excel 2010, PowerPoint 2010, Microsoft Visio 2010 и Word 2010. Можно изменить это поведение, настроив ряд параметров в центре развертывания или в групповой политике.

В следующих разделах описаны часто используемые меры противодействия, входящие в состав Office 2010.

Параметры элемента управления ActiveX

Можно использовать параметры управления ActiveX для отключения элементов управления ActiveX и изменения способов загрузки элементов управления ActiveX в приложениях Office 2010. По умолчанию надежные элементы управления ActiveX загружаются в безопасном режиме с постоянными значениями параметров. При этом пользователи не уведомляются о загрузке элементов управления ActiveX. Ненадежные элементы управления ActiveX загружаются другим способом, зависящим от метки того или иного элемента управления и наличия в файле проекта VBA вместе с самим элементом управления ActiveX. Ниже приведено поведение по умолчанию при работе с ненадежными элементами управления ActiveX:

  • Если элемент управления ActiveX помечен как безопасный для инициализации (SFI) и содержится в документе, в котором отсутствует проект VBA, этот элемент управления загружается в безопасном режиме с использованием постоянных значений параметров. Панель сообщений не отображается, и пользователь не уведомляется о наличии элемента управления ActiveX. Чтобы использовалось подобное поведение, все элементы управления ActiveX в документе должны быть помечены как SFI.

  • Если элемент управления ActiveX помечен как небезопасный для инициализации (UFI) и в документе отсутствует проект VBA, пользователь видит уведомление на панели сообщений, а элементы управления ActiveX отключаются. Однако пользователь может использовать панель сообщений для включения элементов управления ActiveX. Если пользователь включит элементы управления ActiveX, все элементы управления ActiveX (как UFI, так и SFI) будут загружены в безопасном режиме с постоянными значениями параметров.

  • Если в документе, где присутствует проект VBA, имеются элементы, помещенные как UFI и SFI, пользователь видит уведомление на панели сообщений, а элементы управления ActiveX отключаются. Однако пользователь может использовать панель сообщений для включения элементов управления ActiveX. Если пользователь включит элементы управления ActiveX, все элементы управления ActiveX (как UFI, так и SFI) будут загружены в безопасном режиме с постоянными значениями параметров.

Важно!

Если в реестре для элемента управления ActiveX установлен флаг блокировки, то элемент управления не загружается и не может быть загружен ни при каких обстоятельствах. Панель сообщений не отображается, и пользователь не уведомляется о наличии элемента управления ActiveX.

Чтобы изменить поведение по умолчанию для элементов управления ActiveX, ознакомьтесь со статьей Планирование параметров безопасности для элементов управления ActiveX для Office 2010.

Параметры надстроек

Можно использовать параметры надстроек для отключения надстроек, требовать подпись надстроек от надежного издателя и отключать уведомления, связанные с надстройками. По умолчанию установленные и зарегистрированные надстройки могут выполняться без вмешательства пользователей и отображения предупреждений. Чтобы изменить это поведение по умолчанию, ознакомьтесь со статьей Планирование параметров безопасности для надстроек в Office 2010.

Параметры криптографии и шифрования

Эти параметры будут доступны после официального выпуска Office 2010.

Параметры предотвращения выполнения данных

Параметры предотвращения выполнения данных (DEP) можно использовать для отключения предотвращения выполнения данных в приложениях Office 2010. Предотвращение выполнения данных — это программная и аппаратная мера противодействия, которая помогает предотвратить запуск вредоносного кода. По умолчанию функция предотвращения выполнения данных включена в приложениях Office 2010, и рекомендуется не изменять этот параметр по умолчанию.

Параметры цифровых подписей

Эти параметры будут доступны после официального выпуска Office 2010.

Параметры внешнего контента

Параметры внешнего контента можно использовать для изменения способов доступа приложений Office 2010 к внешнему контенту. Внешний контента — это любой вид контента, доступ к которому необходимо получать удаленно, например подключения к данным и ссылки на электронные таблицы, ссылки на веб-страницы и документы, ссылки на изображения и мультимедиа. По умолчанию при открытии пользователем файла, содержащего ссылку на внешний контент, на панели сообщений появляется уведомление об отключенных ссылках. Чтобы включить ссылки, пользователи должны щелкнуть панель сообщений. Рекомендуется не изменять эти параметры по умолчанию.

Параметры блокировки файлов

Параметры блокировки файлов можно использовать, чтобы запретить открывать и сохранять определенные типы файлов. Эти параметры можно использовать для принудительного открытия некоторых типов файлов в режиме защищенного просмотра. По умолчанию Excel 2010, PowerPoint 2010 и Word 2010 принудительно открывают некоторые типы файлов в режиме защищенного просмотра.

Параметры проверки файлов Office

Параметры проверки файлов Office можно использовать для отключения функции проверки файлов Office и изменения обработки этой функцией файлов, которые не прошли проверку. Также можно использовать эти параметры для предотвращения отображения запросов пользователей об отправке сведений о проверке в корпорацию Майкрософт. По умолчанию функция проверки файлов Office включена. Файлы, которые не проходят проверку, открываются в режиме защищенного просмотра, и пользователи могут изменить их только после открытия файлов в этом режиме. Дополнительные сведения о параметрах проверки файлов Office см. в разделе Планирование параметров проверки файлов Office для Office 2010/

Параметры сложности паролей

Параметры сложности паролей можно использовать для принудительного применения длины и сложности паролей, которые будут использоваться функцией шифрования с использованием паролей. Параметры сложности паролей позволяют принудительно применять длину и сложность пароля на доменном уровне, если в организации были установлены правила сложности паролей в групповой политике домена или на локальном уровне, если в организации не используются доменные параметры сложности паролей. По умолчанию приложения Office 2010 не проверяют длину или сложность пароля при шифровании пользователем файла с помощью функции шифрования с использованием паролей.

Параметры конфиденциальности

Параметры конфиденциальности можно использовать для предотвращения появления диалогового окна приветствия Microsoft Office 2010 при первом запуске пользователем Office 2010. С помощью этого диалогового окна пользователь может зарегистрироваться в различных интернет-службах для защиты и улучшения работы приложений Office 2010. Также можно использовать параметры конфиденциальности для включения интернет-служб, отображающихся на странице приветствия Microsoft Office 2010. По умолчанию диалоговое окно приветствия Microsoft Office 2010 появляется при первом запуске пользователем Office 2010, после чего пользователи могут включить рекомендованные интернет-службы, включить только некоторые из них или не вносить никаких изменений. Если пользователь не вносит изменения в конфигурацию, в силу вступают следующие параметры по умолчанию:

  • Приложения Office 2010 не подключаются к Office.com для обновления содержимого справки.

  • Приложения Office 2010 не загружают небольшие программы, облегчающие поиск неисправностей, а сведения сообщения об ошибке не отправляются в корпорацию Майкрософт.

  • Пользователи не регистрируются в программе улучшения качества программного обеспечения.

  • При выполнении пользователем поискового запроса в справочной системе сведения об установленных приложениях Office 2010 не отправляются в корпорацию Майкрософт для улучшения результатов поиска, связанных с Office.com.

Чтобы изменить это поведение по умолчанию или запретить отображение диалогового окна приветствия Microsoft Office 2010, ознакомьтесь с разделом Планирование параметров конфиденциальности для Office 2010.

Параметры защищенного просмотра

Параметры защищенного просмотра можно использовать для предотвращения открытия файлов в режиме защищенного просмотра или принудительного открытия файлов в этом режиме. Также можно указать, следует ли запускать скрипты и программы, работающие в сеансе 0, в режиме защищенного просмотра. По умолчанию защищенный просмотр включен, и все ненадежные файлы открываются в этом режиме. Скрипты и программы, работающие в сеансе 0, не открываются в режиме защищенного просмотра. Дополнительные сведения о параметрах защищенного просмотра см. в разделе Планирование параметров режима защищенного просмотра в Office 2010.

Примечание

Также можно использовать параметры защищенного просмотра для предотвращения открытия определенных типов файлов в режиме защищенного просмотра или принудительного открытия определенных видов файлов в таком режиме.

Параметры надежных документов

Параметры надежных документов можно использовать для отключения функции надежных документов и предотвращения пометки хранящихся на общих сетевых ресурсах документов как надежных. Надежные документы обходят большинство проверок безопасности при открытии, кроме того, в них разрешено все активное содержимое (антивирусную проверку и проверку на флаг блокировки ActiveX нельзя обойти). По умолчанию функция надежных документов включена. Это означает, что пользователи могут помечать безопасные файлы как надежные документы. Кроме того, пользователи могут помечать файлы на общих сетевых ресурсах как надежные. Рекомендуется не изменять эти параметры по умолчанию. Дополнительные сведения о параметрах надежных документов см. в разделе, посвященном параметрам и политикам безопасности Office 2010.

Параметры надежных расположений

Параметры надежных расположений можно использовать для назначения файлам надежных расположений. Файлы, хранящиеся в надежных расположениях, обходят большинство проверок безопасности при открытии, и все содержимое этих файлов разрешено (антивирусную проверку и проверку на флаг блокировки ActiveX нельзя обойти). По умолчанию несколько расположений помечены как надежные. Кроме того, отключены надежные расположения в сети, например в общих сетевых папках. Чтобы изменить это поведение по умолчанию и узнать, какие расположения считаются надежными по умолчанию, ознакомьтесь с разделом Планирование параметров надежных расположений в Office 2010.

Параметры надежных издателей

Параметры надежных издателей можно использовать для обозначения некоторых типов активного содержимого как безопасного, например элементов управления ActiveX, надстроек и макросов VBA. Если издатель подписывает активное содержимое цифровым сертификатом и цифровой сертификат издателя добавляется в список "Надежные издатели", активное содержимое считается надежным. По умолчанию в списке "Надежные издатели" нет издателей. Необходимо добавить издателей в список "Надежные издатели", чтобы реализовать эту функцию безопасности. Подробные сведения о включении функции "Надежные издатели" см. в разделе Планирование параметров надежных издателей в Office 2010.

Параметры макросов VBA

Параметры макросов VBA можно использовать для изменения способа поведения макросов VBA, отключения VBA и изменения способа поведения макросов VBA в программно запущенных приложениях. По умолчанию VBA включен, и разрешается выполнение надежных макросов VBA без уведомления. Надежные макросы VBA включают в себя макросы, которые были подписаны надежным издателем, хранятся в надежном документе или хранятся в документе, расположенном в надежном расположении. Ненадежные макросы VBA отключены, однако на панели сообщений появляется оповещение, с помощью которого можно включить ненадежные макросы VBA. Кроме того, макросы VBA могут выполняться в приложениях, запускаемых программным способом.

Чтобы изменить это поведение по умолчанию, см. раздел Планирование параметров безопасности для макросов VBA в Office 2010.