Office 2010 安全概述
适用于: Office 2010
上一次修改主题: 2016-11-29
Microsoft Office 2010 中提供了多个新的安全控件,这些控件不仅可以保持信息工作人员的工作效率,同时还可以使 IT 专业人员更轻松地构建稳固的威胁防御体系。一个组织在财务上的成功通常是由其信息工作人员的生产效率及其知识产权的完整性和保密性决定的。许多 IT 部门发现很难满足这些业务需求,原因是这类保护通常以牺牲生产效率为代价。如果实现的安全控件太多,将会降低工作人员的生产效率。如果实现的安全控件太少,工作人员的生产效率会提高,但攻击面也会增加,从而迫使补救成本和总拥有成本 (TCO) 更高。本文将说明新的安全控件将如何帮助您在不阻碍员工的工作效率的情况下提供所需保护。
四个新控件有助于强化和减小攻击面以及缓解攻击。这些新控件包括:
Office 应用程序的数据执行保护 (DEP) 支持 这是一项硬件和软件技术,可通过保护不受恶意代码攻击来帮助强化攻击面。
Office 文件验证 此软件组件通过识别未遵循有效文件格式定义的文件来帮助减小攻击面。
扩展文件阻止设置 可在信任中心或通过组策略管理这些设置,通过更加具体地控制应用程序可访问的文件类型来帮助减小攻击面。
受保护的视图 该功能通过使用户能够在沙盒环境中预览不受信任或具有潜在危害的文件来帮助缓解攻击。
除了这些新控件之外,Office 2010 还提供了多项安全增强功能,可通过帮助确保数据的完整性和保密性来进一步强化攻击面。这些安全增强功能包括:
加密灵活性
数字签名的受信任时间戳支持
基于域的密码复杂性检查和实施
加密增强改进
“用密码进行加密”功能的改进
加密文件的完整性检查
Office 2010 还提供了几个对信息工作人员的生产效率具有直接影响的安全改进。消息栏用户界面改进、信任中心用户界面设置以及可保留用户信任决策的信任模型是其中的一些新增功能,它们可帮助用户做出安全决策并执行对信息工作人员影响较小的操作。另外,很多新增和增强的安全控件均可通过组策略设置进行管理。这样即可更加轻松地强制执行和维护组织的安全体系结构。
本文内容:
分层防御是关键
帮助用户做出更好的安全决策
使管理员能够进行全面控制
从 Office 2003 迁移安全和隐私设置
分层防御是关键
深度防御是任何有效安全体系结构的一项重要宗旨,并且是一项安全策略,用于实现多层重叠防御,以抵御未经授权的用户和恶意代码。在大中型组织中,防御层通常包括:
外围网络保护,如防火墙和代理服务器
物理安全措施,如访问受限制的数据中心和服务器机房
桌面安全工具,如个人防火墙、病毒扫描程序以及间谍软件检测程序
深度防御策略有助于确保用过量的多个安全控件来应对安全威胁。例如,如果蠕虫突破了外围防火墙并获取了对内部网络的访问权限,那么它仍然必须经过病毒扫描程序和个人防火墙这一关,才能破坏桌面计算机。Office 2010 的安全体系结构中内置了类似机制。
四层方法
Office 2010 的安全体系结构通过提供分层防御对策,来帮助您将深度防御策略扩展到桌面安全工具之外。实施这些对策后,当用户试图使用 Office 2010 应用程序打开文件时,这些对策将立即生效,并且它们会继续提供多层防御,直到打开文件并准备编辑为止。下图显示了内置于 Office 2010 安全体系结构中的四个防御层,并且还显示了可以针对每个层实施的某些对策。
.gif "四层安全防御")
强化攻击面
此防御层通过使用称为数据执行保护 (DEP) 的对策,来帮助强化 Office 2010 应用程序的攻击面。DEP 通过标识某些文件(这些文件试图从仅为数据保留的部分内存中运行代码)来帮助防止缓冲区溢出攻击。默认情况下,DEP 在 Office 2010 中处于启用状态。您可以在信任中心中或通过组策略设置来管理 DEP 设置。
减小攻击面
此防御层通过限制应用程序可以打开的文件的种类,以及防止应用程序运行文件中嵌入的某些种类的代码,来帮助减小 Office 2010 应用程序的攻击面。为此,Office 应用程序使用以下三项对策:
Office 文件验证 此软件组件扫描文件中的格式差异,如果格式无效,还可以根据实现的设置防止打开文件进行编辑。例如,包含针对 Office 2010 应用程序的文件格式攻击的文件就是一个无效文件。默认情况下,Office 文件验证处于启用状态并且主要通过组策略设置来管理。
文件阻止设置2007 Microsoft Office system 中引入了这些设置,用于帮助减小攻击面,使用这些设置可以防止应用程序打开并保存某些文件类型。此外,您可以指定如果允许打开某种文件类型将发生什么情况。例如,您可以指定是否在受保护的视图中打开文件类型,以及是否允许编辑。Office 2010 中已经添加了一些新文件阻止设置。可以在信任中心中以及通过组策略设置来管理文件阻止设置。
Office ActiveX 消除位 使用此 Office 2010 新增功能可以防止特定的 ActiveX 控件在 Office 2010 应用程序中运行,但不会影响这些控件在 Microsoft Internet Explorer 中的运行方式。默认情况下不配置 Office ActiveX 消除位。但是您可以通过修改注册表来配置此对策。
缓解攻击
此防御层通过在隔离的沙盒环境中打开可能有害的文件来帮助缓解攻击。此沙盒环境称为受保护的视图,通过它,用户可以在应用程序中打开文件进行编辑之前先预览文件。默认情况下,受保护的视图处于启动状态。但是,您可以在信任中心中以及通过组策略设置关闭和管理它。
改善用户体验
此防御层通过减少用户所做的安全决策数以及改进用户做出安全决策的方式来缓解攻击。例如,被认为是不受信任的文档将自动在受保护的视图中打开,而不会向用户提供任何反馈。用户可以在不做出任何安全决策的情况下阅读和关闭这些文档,在大多数情况下,这意味着他们可以有效地完成其工作,而不会收到安全提示。如果用户想要编辑受保护的视图中的文档,可以选择允许进行编辑的选项。允许编辑后,将不会再在受保护的视图中打开文档。如果文档包含活动内容,如 ActiveX 控件和宏,则会出现消息栏,提示用户是否启用活动内容。启用活动内容后,消息栏就不会再针对活动内容提示用户。您可以在信任中心中以及通过组策略设置来配置消息栏设置和受信任的文档设置。
增强强化对策
除了提供上节中描述的对策之外,Office 2010 还提供一些新增对策和增强对策以进一步强化攻击面。这些对策通过保护数据的完整性和保密性来帮助强化攻击面。
完整性对策
完整性设置可帮助缓解对业务数据和业务流程的完整性的威胁。恶意用户通过损坏文档、演示文稿和电子表格来攻击这些资源的完整性。例如,恶意用户可能会将文件替换为包含损坏的数据或信息的类似文件来攻击业务数据或业务流程的完整性。为了帮助缓解完整性威胁,改善并增强了加密文件的数字签名和完整性检查这两项对策。
数字签名改进
现在数字签名中支持受信任时间戳,这可以使 Office 文档符合 W3C XML 高级电子签名 (XAdES) 标准。受信任时间戳有助于确保数字签名保持有效并合法,即使用于对文档进行签名的证书已经过期也是如此。受信任时间戳支持仅在 Microsoft Excel 2010、Microsoft Access 2010、Microsoft PowerPoint 2010 和 Microsoft Word 2010 中可用。要利用此功能,您必须使用时间戳授权。
除了提供时间戳支持之外,Office 2010 还对用户界面进行了一些改进,使用户能够更加轻松地管理和实现数字签名。您还可以通过一些新的组策略设置来配置和管理受信任时间戳。
加密文件的完整性检查
管理员现在可以决定在对文件进行加密时是否实现基于哈希的消息验证代码 (HMAC),这样可有助于确定某人是否篡改了文件。HMAC 与 Windows API 下一代加密技术 (CNG) 完全兼容,这使管理员能够配置用于生成 HMAC 的加密提供程序、哈希和上下文。可以通过组策略设置来配置这些参数。
保密性对策
保密性设置有助于缓解对不希望公开或私下透露的信息(如电子邮件通信、项目规划信息、设计规格、财务信息、客户资料以及个人和私人信息)的威胁。为了帮助缓解保密性威胁,已经改进和增强了一些对策。
加密增强功能
一些 Office 2010 应用程序现在能够灵活地进行加密并支持 CNG,这意味着管理员可以指定任意加密算法以对文档进行加密和签名。此外,一些 Office 2010 应用程序现在支持 Suite B 加密。
密码加密改进
密码加密功能现在符合 ISO/IEC 29500 和 ISO/IEC 10118-3:2004 要求。此功能还可以在 Office 2010 与带 Service Pack 2 的 2007 Office system 之间互操作,但前提是主机操作系统支持相同的加密提供程序。此外,Office 2010 包括一些用户界面更改,这些更改使用户可以更加轻松地了解和执行密码加密功能。
密码复杂性检查和实施
基于域的密码策略现在可以检查密码加密功能所使用的密码的长度和复杂性并实施这些密码。这仅适用于使用密码加密功能创建的密码。您可以使用一些新的组策略设置来管理密码复杂性检查和实施。
加密增强功能
加密机制得到了增强,这有助于确保永远不在文件中以纯文本形式存储加密/解密密钥。通常,这些加密增强功能对于用户和管理员是透明的。
帮助用户做出更好的安全决策
分层防御的一个优点是它能够逐步减轻并减缓安全攻击,这样,您就可以有更多时间来确定攻击平台并制定替代对策(如果需要)。分层防御的另一个优点是它本身能够减少用户必须做出的安全决策的数目。按照其默认的安全配置,大部分安全决策由 Office 2010 做出,而不是由用户做出。因此,用户不太可能做出错误的安全决策,从而可以提高生产效率。
下图显示了用户在 Excel 2010、PowerPoint 2010 或 Word 2010 中打开文件时实施的主要安全控件的高级视图。不需要用户输入的安全控件为黄色;需要用户输入的安全控件为浅蓝色。该图显示了 Office 2010 的默认行为。您可以更改此默认行为以满足组织的安全要求并适合体系结构。此外,此图未显示可以实施的所有安全控件,如 DEP、加密或信息权限管理。
.gif "信任决策流程图")
如上图所示,在要求用户做出安全决策之前,文档必须通过多个防御层。如果用户不必编辑文档,则可以在受保护的视图中阅读文档,然后关闭文档,而不用做出任何安全决策。此高效工作流可以通过一些关键功能来实现。
改进的信任模型 当用户试图打开文件时,Office 2010 会评估文件的信任状态。默认情况下,不会对受信任的文件执行大多数安全检查,用户不需要做出任何安全决策便可以打开这些文件进行编辑。不受信任的文件必须经过安全检查,这些检查构成了分层防御体系。被认为是不受信任的文档将自动在受保护的视图中打开,而不会向用户提供任何反馈。如果用户想要编辑受保护的视图中的文档,可以选择允许进行编辑的选项。允许编辑后,将不会再在受保护的视图中打开文档。如果文档包含活动内容,如 ActiveX 控件和宏,则会出现消息栏,提示用户是否启用活动内容。启用活动内容后,消息栏就不会再针对活动内容提示用户。在 2007 Office system 中,您可以使用受信任位置和受信任的发布者功能来指定受信任的文件和受信任的内容。在 Office 2010 中,您也可以使用称为“受信任的文档”的新功能。“受信任的文档”允许用户在受保护的视图中查看文件后将该文件指定为受信任的文件。在用户将文件指定为受信任的文件后,信任决策将与该文件一起保存,以便用户下次打开文件时不必再做出信任决策。
备注
不会对受信任的文件跳过防病毒检查或 ActiveX 消除位检查。如果信任文件,则本地防病毒扫描程序(如果可用)将扫描该文件,并且会禁用任何设置了消除位的 ActiveX 控件。
透明对策Office 2010 中的一些新对策对于用户不可见并且不需要用户交互。例如,Office 2010 应用程序会使用称为 Office 文件验证的新技术评估不受信任的文件是否存在文件格式差异。当用户打开不受信任的文件时,将会自主运行此技术。如果未检测到潜在的文件格式差异,则不会向用户表明此技术扫描了该文件。
备注
在某些情况下,Office 文件验证功能可能会请求用户允许将文件扫描信息发送给 Microsoft,以帮助提高该功能检测攻击的能力。您可以通过配置组策略设置来阻止出现这些提示。
沙盒预览环境 不受信任的文件是在称为受保护的视图的沙盒预览环境中打开的。用户可以在此沙盒环境中阅读文件,并且可以将内容复制到剪贴板。但是,他们无法打印文件或编辑文件。大多数情况下,对于用户来说,预览文档就够了,他们可以不必回答任何安全问题就关闭该文件。例如,即使文件包含不受信任的 Visual Basic for Applications (VBA) 宏,用户也可以在受保护的视图中预览内容,而不必启用该 VBA 宏。
大多数情况下,Office 2010 中的默认安全配置是一个合适的深度防御解决方案,该方案提供了多层防御,但不会对用户生产效率有太大影响。但是,某些组织可能必须修改默认安全配置才能满足更严格的安全要求,或者降低安全性并给予用户更大的灵活性。例如,如果组织主要由专家用户组成,这些用户不必在沙盒环境中预览文件,则您可以禁用受保护的视图。建议您不要这样做(这样做可能非常危险),但是这样做有助于减少用户所做的安全决策的数目。同样,如果组织需要锁定的安全环境,则您可以修改安全设置,以便所有不受信任的文档都必须在受保护的视图中打开,并且永远不会离开受保护的视图。这样虽然可以加强保护,但也会妨碍用户编辑文件的能力。无论组织有怎样的特定安全要求,通过使用 Office 2010 中的多层对策,均可以有效地平衡安全性和生产效率;即您可以在完全不会危及安全体系结构的情况下增加或减少频率以及用户必须做出的安全决策的种类。
使管理员能够进行全面控制
大多数大中型组织使用某种集中管理工具(如基于域的组策略设置)来部署和管理其安全配置。使用基于域的组策略设置有助于确保组织中的计算机具有一致的配置,并使您能够实施安全配置 - 这些是高效的安全策略的两项要求。为此,Office 2010 提供了一组扩展的组策略设置,以帮助您高效部署和管理安全配置。
下表显示了可在 Office 2010 中管理新安全控件的不同方式,还显示了哪些应用程序支持新安全功能。
| 安全功能 | 是否可在信任中心中配置 | 是否可通过组策略设置进行配置 | 适用的应用程序 |
|---|---|---|---|
数据执行保护 |
是 |
是 |
|
Office 文件验证 |
否 |
是 |
|
文件阻止设置 |
是 |
是 |
|
Office ActiveX 消除位 |
否 |
否(必须在注册表中配置) |
|
受保护的视图 |
是 |
是 |
|
受信任的文档 |
是 |
是 |
|
加密(加密灵活性)设置 |
否 |
是 |
|
数字签名的时间戳 |
否 |
是 |
|
加密文件的完整性检查 |
否 |
是 |
|
密码复杂性和实施 |
否 |
是 |
|
从 Office 2003 迁移安全和隐私设置
Office 2010 包含许多安全功能,这些功能可有助于保护文档并使桌面更加安全。这些安全功能中的某些功能已引入到 2007 Office system 中,并在 Office 2010 中得到了增强。其他安全功能是 Office 2010 中的新功能。如果从 Microsoft Office 2003 或 Office 的早期版本迁移到 Office 2010,可能有助于了解在何时引入了各 Office 2010 安全和隐私功能。
下表显示了在 2007 Office system 和 Office 2010 中添加或增强的主要安全和隐私功能。
| 安全功能 | 说明 | 2007 Office system 中的功能状态 | Office 2010 中的功能状态 | 有关详细信息,请参阅… |
|---|---|---|---|---|
信任中心 |
用户界面中的中心控制台,允许用户查看和配置安全设置和隐私选项。 |
已引入到 2007 Office system 中 |
增强和扩展了 Office 2010 中的设置 |
|
消息栏 |
用户界面元素,可在用户打开包含潜在有害内容的文档时向其提供通知和警告。 |
已引入到 2007 Office system 中 |
增强了 Office 2010 中的消息栏用户界面 |
|
受信任位置 |
一项安全功能,允许您区分安全和不安全的文档。 |
已引入到 2007 Office system 中 |
在 Office 2010 中没有重大更改 |
|
文件阻止设置 |
一套安全设置,允许您阻止用户打开或保存特定种类的文件。 |
已引入到 2007 Office system 中 |
增强和扩展了 Office 2010 中的设置 |
|
文档检查器 |
一个隐私工具,可帮助用户从文档中删除个人信息和隐藏信息。 |
已引入到 2007 Office system 中 |
增强了 Office 2010 中的用户界面 |
|
ActiveX 控件的全局和特定于应用程序的设置 |
允许禁用所有 ActiveX 控件、配置 ActiveX 控件初始化以及配置 ActiveX 控件提示。 |
已引入到 2007 Office system 中 |
在 Office 2010 中没有重大功能更改 |
|
增强了 VBA 宏的全局和特定于应用程序的设置 |
允许您禁用 VBA 以及配置宏警告设置。 |
已引入到 2007 Office system 中 |
在 Office 2010 中没有重大功能更改 |
|
外接程序的特定于应用程序的设置 |
允许您禁用外接程序、要求外接程序由受信任发布者签名以及配置外接程序警告。 |
已引入到 2007 Office system 中 |
在 Office 2010 中没有重大功能更改 |
|
数据执行保护 (DEP) |
一项硬件和软件技术,可通过防止利用缓冲区溢出安全漏洞的病毒和蠕虫来帮助强化攻击面。 |
在 2007 Office system 应用程序中不可用 |
已引入到 Office 2010 中 |
|
Office 文件验证 |
一项对策,用于扫描文件中的格式差异,如果格式无效,还可以防止打开文件进行编辑。 |
在 2007 Office system 应用程序中不可用 |
已引入到 Office 2010 中 |
|
Office ActiveX 消除位 |
一项 Office 功能,管理员可使用该功能来防止特定 ActiveX 控件在 Office 应用程序中运行。 |
已作为 Internet Explorer ActiveX 消除位在 2007 Office system 中提供 |
已作为 Office ActiveX 消除位引入 Office 2010 |
|
受保护的视图 |
一项 Office 功能,可通过使用户能够在沙盒环境中预览不受信任或具有潜在危害的文件来帮助缓解攻击。 |
在 2007 Office system 应用程序中不可用 |
已引入到 Office 2010 中 |
|
受信任的文档 |
一个安全工具,允许用户指定安全文档。 |
在 2007 Office system 应用程序中不可用 |
已引入到 Office 2010 中 |
|
数字签名的受信任时间戳 |
有助于确保数字签名保持有效并合法,即使用于对文档进行签名的证书已经过期也是如此。 |
在 2007 Office system 应用程序中不可用 |
已引入到 Office 2010 中 |
|
加密文件的完整性检查 |
允许在对文件进行加密时实现基于哈希的消息验证代码 (HMAC)。 |
在 2007 Office system 应用程序中不可用 |
已引入到 Office 2010 中 |
|
密码复杂性检查和实施 |
允许您使用基于域的密码策略检查并实现密码的长度和复杂性。 |
在 2007 Office system 应用程序中不可用 |
已引入到 Office 2010 中 |
|
加密灵活性 |
允许您指定用于对文档进行加密的加密设置。 |
在 2007 Office system 应用程序中不可用 |
已引入到 Office 2010 中 |