• 發行項

了解 Office 2010 的安全性威脅與計數器測量

 

適用版本: Office 2010

上次修改主題的時間: 2016-11-29

安全的桌面設定是任何組織的深度防禦策略中很重要的一部分。在您規劃包含 Microsoft Office 2010 的安全桌面設定之前,您必須了解與 Office 2010 相關的安全性風險及威脅,然後判斷其中會對貴組織商業資產或商業程序造成風險的安全性風險及威脅。您也必須判斷會對使用者個人和私人資訊造成風險的隱私權風險及威脅。

本文內容:

  • 資訊安全性風險

  • 桌面生產力應用程式的威脅

  • Office 2010 的預設對策

資訊安全性風險

大多數 IT 專業人員及 IT 安全性專家將資訊安全性風險分成三大類:

  • 機密性風險   這些風險代表未經授權的使用者及惡意程式碼對組織智慧財產的威脅,它們會嘗試存取組織裡曾說過、寫下及建立的內容。

  • 完整性風險   這些風險代表未經授權的使用者及惡意程式碼對商務資源的威脅,它們會嘗試損毀貴組織所仰賴的商務資料。完整性風險會危及所有包含組織重要資訊的商務資產,例如資料庫伺服器、資料檔案及電子郵件伺服器。

  • 可用性風險   這些風險代表未經授權的使用者及惡意程式碼對商業程序的威脅,它們會嘗試中斷您執行業務的方式及資訊工作者完成工作的方式。商務智慧程序、應用程式特性與功能以及文件工作流程處理,全都會受到可用性風險的威脅。

為協助確保貴組織不受上述三種風險類別的威脅,建議您採用深度防禦安全性策略;亦即針對未經授權的使用者及惡意程式碼,包含多層重疊防禦的安全性策略。防禦層一般包括:

  • 周邊網路防護,例如防火牆及 Proxy 伺服器。

  • 實體安全性措施,例如實體安全的資料中心及伺服器室。

  • 桌面安全性工具,例如個人防火牆、病毒掃描程式及間諜軟體偵測。

Office 2010 若是組織環境的一部分,深度防禦策略還必須包含 Office 2010 隨附的緩和機制。這些緩和機制包括多種技術、設定及功能。使用這些機制,即可協助減輕對 Office 2010 應用程式的威脅,以及協助保護智慧財產、商務資源及業務核心的商業程序。

Office 2010 安全性模型預設會協助組織減輕上述所有三種風險。但每家組織都有不同的基礎結構功能、不同的生產力需求,以及不同的桌面安全性需求。若要精確決定組織如何減輕這些商務風險,您必須評估這些威脅以及造成這些風險的威脅來源。

桌面生產力應用程式的威脅

Office 2010 的安全性模型可協助您減輕五種生產力軟體的安全性威脅。這些威脅類型,每一種都包含數項威脅來源,可發動多樣的安全性攻擊。下圖說明安全性威脅及最常見的威脅來源範例。

安全性威脅類型

大部分的組織多少都會面臨到這五種安全性威脅的潛在風險。不過,大部分的組織所要處理的都是獨一無二的威脅來源及潛在的安全性攻擊或弱點組合。

主動式內容威脅

主動式內容是常見的桌面安全性威脅。一般的威脅來源包括 ActiveX 控制項、增益集及 VBA 巨集。撰寫惡意程式碼或建立惡意程式的程式設計師會利用這些威脅來源,然後再於使用者的電腦上執行。主動式內容威脅對任何規模的組織都可能造成風險,特別是允許使用者執行下列作業的組織:

  • 執行 ActiveX 控制項、增益集或 VBA 巨集。

  • 開啟電子郵件附件。

  • 透過公用網路共用文件,例如,網際網路。

  • 開啟組織以外來源的文件,例如用戶端、供應商或協力廠商。

未經授權存取的威脅

當未經授權的使用者嘗試存取資訊時,即會發生未經授權存取的威脅。未經授權之使用者的潛在目標包括:

  • 文件檔案   未經授權的使用者若能存取文件檔,即能夠刪除、取代或損毀檔案。例如,惡意的程式設計師可能會利用檔案格式攻擊,引發文件的未經授權存取威脅。

  • 文件內的資訊   此資訊包括文字、圖形、意見、修訂、註釋、自訂的 XML 資料、隱藏的文字、浮水印以及頁首與頁尾資訊。當未經授權的使用者存取文件內的資訊時,他們可能會存取敏感性的資料 (如公司的機密資料),以及使用者的個人或私人資訊。他們也可以改變、損毀或刪除資訊,以及使用其存取權將主動式內容新增至儲存在信任位置的文件中。

  • 中繼資料   與文件相關聯的資訊,包括文件屬性,例如作者姓名、組織名稱、文件編輯時間或文件版本號碼。能夠存取中繼資料之未經授權的使用者,可能會存取敏感的個人或公司資料。他們也可以損毀或移除中繼資料。

大部分的組織都會面臨到未經授權存取的威脅,雖然許多組織認為威脅很小,或認為降低威脅的系統管理成本太高,而未採取足夠的措施降低威脅。不過,這種觀念可能會導致以下不安全的作法及情況:

  • 組織的網路安全性架構無法阻止入侵者或攻擊者存取您的內部網路,這將會增加入侵者或攻擊者可能取得組織文件存取權的風險。

  • 組織可讓使用者透過網際網路傳送、接收或是共用專屬的文件,包括財務資料、專案計劃、簡報或繪圖。

  • 組織無法防止使用者從可攜式電腦連線到公用網路,這樣會增加無法識別的攻擊者可能存取儲存在這些可攜式電腦上之文件的風險。

  • 組織無法防止使用者將含有專屬資訊的文件帶出辦公室。

  • 未經授權的攻擊者或入侵者有機會存取包含專屬資訊的文件。

外部內容威脅

外部內容威脅包括任何威脅來源,以便將文件連結到跨內部網路或公用網路 (例如,網際網路) 的另一個文件、資料庫或網站。外部內容威脅會透過下列威脅來源加以利用:

  • 超連結   攻擊者通常利用此威脅來源的方法是建立包含惡意程式碼或內容之不受信任的文件或網站的超連結。

  • 資料連線   攻擊者通常利用此威脅來源的方法是建立連至資料來源或資料庫的資料連線,然後使用這類連線惡意操作或擷取資料。

  • 網路信標   攻擊者通常利用此威脅來源的方法是將看不見的連結內嵌在電子郵件的遠端映像中。當使用者開啟郵件時,連結就會啟動並下載遠端映像。在此過程中,使用者的資訊會傳送至遠端電腦,例如使用者的電子郵件地址和其電腦的 IP 位址。

  • 封裝程式物件   攻擊者通常利用此威脅來源的方法是讓內嵌物件執行惡意程式碼。

組織若有下列情況,外部威脅即會造成風險:

  • 提供使用者不受限制的公用網路存取權,例如網際網路。

  • 無法防止使用者接收包含內嵌映像和 HTML 的電子郵件。

  • 無法防止使用者在試算表或其他文件中使用資料連線。

瀏覽器威脅

當應用程式或文件以程式設計的方式使用網頁瀏覽器功能時 (例如 Microsoft Internet Explorer),就可能有這些威脅。瀏覽器威脅對應用程式和文件會造成風險,是因為任何存在於瀏覽器中的威脅,也會存在於主控瀏覽器的應用程式或文件中。瀏覽器威脅包含許多威脅來源,而且可透過各種安全性攻擊加以利用。威脅來源包括 ActiveX 控制項安裝、檔案下載、MIME 探查、區域高度和附加元件安裝。

組織若有下列情況,瀏覽器威脅即會造成風險:

  • 允許使用者執行 ActiveX 控制項、增益集,或使用瀏覽器功能的巨集。

  • 開發和散佈使用瀏覽器功能的 Office 解決方案。

零時差攻擊威脅

若發現 Microsoft 資訊安全佈告欄或 Service Pack 等軟體更新尚未解決的安全性弱點,即會發動零時差攻擊。零時差攻擊有多種形式,包括:

  • 遠端程式碼執行

  • 權限提高

  • 資訊揭漏

惡意的程式設計師和使用者可以透過不同的安全性攻擊入侵安全性弱點。在發行資訊安全佈告欄或 Service Pack 以回應安全性弱點之前,這項弱點可能會為組織帶來潛在性的威脅。

Office 2010 的預設對策

Office 2010 提供的許多對策,有助於減輕對商務資產及商業程序的威脅。「對策」是可以減輕一或多項安全性威脅的安全性功能或安全性控制。通常設定 Office 自訂工具 (OCT) 的設定,或使用 Office 2010 系統管理範本透過 [群組原則],即可變更對策的行為。

Office 2010 的許多對策可減輕特定應用程式中的特定威脅類型。例如,Microsoft InfoPath 2010 有一項對策,會向使用者提出表單中可能出現網路信標的警告。只要設定 OCT 的 [在 InfoPath 開啟之表單的指標 UI] 設定或透過 [群組原則],即可變更此對策的行為。

其他對策會減輕數種應用程式常見的更多威脅類型。例如,[受保護的檢視] 功能可讓使用者檢視不受信任之文件、簡報及活頁簿的內容,而不會讓不安全的內容或惡意的程式碼傷害到電腦。當您預覽 Excel 2010、PowerPoint 2010、Microsoft Visio 2010 及 Word 2010 的附件時,Microsoft Excel 2010、Microsoft PowerPoint 2010、Microsoft Word 2010 及 Microsoft Outlook 2010 會使用此項對策。只要設定 OCT 中的數項設定或透過 [群組原則],即可變更其行為。

以下各節會說明 Office 2010 中最常使用的對策。

ActiveX 控制項設定

您可以使用 ActiveX 控制項設定停用 ActiveX 控制項,以及變更將 ActiveX 控制項載入 Office 2010 應用程式的方式。預設會在安全模式中以固定值載入受信任的 ActiveX 控制項,而且不通知使用者已載入 ActiveX 控制項。至於不受信任的 ActiveX 控制項載入,則隨 ActiveX 控制項標示的方式,以及檔案中是否有 VBA 專案及 ActiveX 控制項同時存在而異。不受信任的 ActiveX 控制項的預設行為如下:

  • ActiveX 控制項若標示為安全的初始化 (SFI),且包含在不附 VBA 專案的文件中,即會在安全模式中以固定值載入此 ActiveX 控制項。系統不會顯示訊息列,而且不會通知使用者有該 ActiveX 控制項。該文件中所有 ActiveX 控制項都必須標示為 SFI,才會發生此行為。

  • ActiveX 控制項若標示為不安全的初始化 (UFI),且包含在不附 VBA 專案的文件中,即會在訊息列中通知使用者已停用該 ActiveX 控制項。但使用者可以按一下訊息列以啟用 ActiveX 控制項。使用者若啟用 ActiveX 控制項,即會在安全模式中以固定值載入所有的 ActiveX 控制項 (包括標示為 UFI 及 SFI 的控制項)。

  • 若標示為 UFI 或 SFI 的 ActiveX 控制項,包含在附有 VBA 專案的文件中,即會在訊息列中通知使用者已停用該 ActiveX 控制項。但使用者可以按一下訊息列以啟用 ActiveX 控制項。使用者若啟用 ActiveX 控制項,即會在安全模式中以固定值載入所有的 ActiveX 控制項 (包括標示為 SFI 及 UFI 的控制項)。

重要

若 ActiveX 控制項在登錄中有設定「刪除位元」,則不會載入控制項,而且在任何情況下都無法載入。系統不會顯示訊息列,而且不會通知使用者有該 ActiveX 控制項。

若要變更 ActiveX 控制項的預設行為,請參閱<為 Office 2010 規劃 ActiveX 控制項的安全性設定>。

增益集設定

您可以使用增益集設定停用增益集、要求增益集由受信任的發行者簽署,以及停用增益集的通知。預設不需要使用者介入或也不會出現警告,即可執行已安裝及登錄的增益集。若要變更此預設行為,請參閱<規劃 Office 2010 增益集的安全性設定>。

密碼編譯及加密設定

正式發行 Office 2010 時,會提供這些設定。

資料執行防止設定

您可以使用資料執行防止 (DEP) 設定停用 Office 2010 應用程式的 DEP。DEP 是硬體及軟體對策,有助於防止惡意程式碼執行。Office 2010 應用程式預設會啟用 DEP,建議您不要變更此預設設定。

數位簽章設定

正式發行 Office 2010 時,會提供這些設定。

外部內容設定

您可以使用外部內容設定變更 Office 2010 應用程式存取外部內容的方式。凡從遠端存取的任何內容類型都是外部內容,例如資料連線及活頁簿連結、網站及文件的超連結,以及映像及媒體的連結。當使用者開啟包含外部內容連結的檔案時,[訊息列] 預設會通知使用者已停用連結。使用者可以按一下 [訊息列] 啟用該連結。建議您不要變更這些預設設定。

檔案封鎖設定

您可以使用檔案封鎖設定,防止開啟或儲存特定的檔案類型;也可以使用這些設定,防止或強制特定檔案類型在 [受保護的檢視] 中開啟。根據預設,Excel 2010、PowerPoint 2010 及 Word 2010 會強制數種檔案類型只能在 [受保護的檢視] 中開啟。使用者無法開啟這些檔案類型進行編輯。

Office 檔案驗證設定

您可以使用 Office 檔案驗證設定停用 Office 檔案驗證功能,以及變更 Office 檔案驗證功能處理未通過驗證之檔案的方式;也可以使用這些設定防止 Office 檔案驗證功能提示使用者向 Microsoft 傳送驗證資訊。預設會啟用 Office 檔案驗證功能。未通過驗證的檔案會在 [受保護的檢視] 中開啟,使用者可在檔案於 [受保護的檢視] 中開啟後進行編輯。如需 Office 檔案驗證設定的詳細資訊,請參閱<規劃 Office 2010 的 Office 檔案驗證設定>。

密碼複雜性設定

您可以使用密碼複雜性設定,強制執行以 [以密碼加密] 功能所用密碼的長度及複雜性。組織若是透過網域型 [群組原則] 建立密碼複雜性規則,密碼複雜性設定可讓您在網域層級強制執行密碼長度及複雜性;若未實作網域型密碼複雜性 [群組原則],則是在本機層級執行。當使用者使用 [以密碼加密] 功能加密檔案時,Office 2010 應用程式預設不會檢查密碼長度或複雜性。

隱私選項

您可以使用隱私選項,讓 [歡迎使用 Microsoft Office 2010] 對話方塊在使用者第一次啟動 Office 2010 時不出現。此對話方塊可讓使用者註冊各種網際網路服務,協助保護及改進 Office 2010 應用程式。您也可以使用隱私選項,啟用出現在 [歡迎使用 Microsoft Office 2010] 對話方塊中的網際網路服務。當使用者第一次啟動 Office 2010 時,預設會顯示 [歡迎使用 Microsoft Office 2010] 對話方塊,使用者可以啟用建議的網際網路服務、啟用這些服務的子集,或不變更任何設定。使用者若不變更任何設定,下列預設設定即會生效:

  • Office 2010 應用程式不會連線至 Office.com 取得更新的 [說明] 內容。

  • Office 2010 應用程式不會下載協助診斷問題的小型程式,因此不會將錯誤訊息資訊傳送給 Microsoft。

  • 使用者不註冊參與「客戶經驗改進計劃」。

  • 當使用者從說明系統執行搜尋查詢時,Office 2010 應用程式已安裝的資訊不會傳送到 Microsoft,用以改進 Office.com 搜尋結果。

若要變更此預設行為,或隱藏 [歡迎使用 Microsoft Office 2010] 對話方塊,請參閱<規劃 Office 2010 的隱私權選項>。

受保護的檢視設定

您可以使用受保護的檢視設定,防止或強制在 [受保護的檢視] 中開啟檔案;也可以指定是否以 [受保護的檢視] 開啟在工作階段 0 中執行的指令碼及程式。預設會啟用 [受保護的檢視],而且所有不受信任的檔案都會在 [受保護的檢視] 中開啟。在工作階段 0 中執行的指令碼及程式,不會在 [受保護的檢視] 中開啟。如需受保護的檢視設定的詳細資訊,請參閱<規劃 Office 2010 之受保護的檢視設定>。

注意

您也可以使用檔案封鎖設定,防止或強制特定的檔案類型在 [受保護的檢視] 中開啟。

信任的文件設定

您可以使用 [信任的文件] 設定停用 [信任的文件] 功能,以及防止使用者信任儲存在網路共用中的文件。開啟信任的文件時,會略過大部分的安全性檢查,並啟用所有主動式內容 (防毒檢查及 ActiveX 刪除位元檢查這兩項不會略過)。預設會啟用 [信任的文件] 功能,表示使用者可將安全檔案指定為信任的文件。此外,使用者也可以將網路共用中的檔案指定為信任的文件。建議您不要變更這些預設設定。

信任位置設定

您可以使用 [信任位置] 設定為檔案指定安全的位置。開啟儲存在信任位置的檔案時,會略過大部分的安全性檢查,並啟用檔案中的所有內容 (防毒檢查及 ActiveX 刪除位元檢查這兩項不會略過)。預設會將幾個位置指定為信任位置。此外,會停用網路上的信任位置,例如共用資料夾。若要變更此預設行為,並了解預設指定為信任位置的位置,請參閱<規劃 Office 2010 信任位置設定>。

受信任的發行者設定

您可以使用 [受信任的發行者] 設定,將特定類型的主動式內容指定為安全,例如 ActiveX 控制項、增益集及 VBA 巨集。當發行者以數位憑證簽署主動式內容,而您將該發行者的數位憑證新增至 [受信任的發行者] 清單時,此主動式內容即視同受到信任。[受信任的發行者] 清單中預設沒有任何發行者。您必須將發行者新增至 [受信任的發行者] 清單,以實作此安全性功能。若要實作 [受信任的發行者] 功能,請參閱<規劃 Office 2010 受信任的發行者設定>。

VBA 巨集設定

您可以使用 VBA 巨集設定變更 VBA 巨集的行為方式、停用 VBA,以及變更 VBA 巨集在以程式設計方式啟動之應用程式中的行為方式。預設會啟用 VBA,並允許不經通知便執行信任的 VBA 巨集。受信任的 VBA 巨集包括信任的發行者所簽署的 VBA 巨集、儲存在信任文件中的 VBA 巨集,或儲存在位於信任位置之文件中的 VBA 巨集。不受信任的 VBA 巨集會停用,但 [訊息列] 中的通知可讓使用者啟用不受信任的 VBA 巨集。此外,VBA 巨集可在以程式設計方式啟動之應用程式中執行。

若要變更此項預設行為,請參閱<規劃 Office 2010 之 VBA 巨集的安全性設定>。