Office 2013 安全性概觀

 

適用版本:Office 2013, Office 365 ProPlus

上次修改主題的時間:2016-12-16

摘要:了解 Office 2013 的新安全性功能:驗證、身分識別、Web 應用程式目錄及擴充功能、委付金鑰等等。

對象:IT 專業人員

Office 2013 包含新的驗證功能。現在使用者只要建立設定檔並登入一次,就可以順暢地使用及存取本機和雲端 Office 檔案,而不需重新表明身分。使用者可以將多項服務 (例如組織的 商務用 OneDrive 或使用者的個人 OneDrive 帳戶) 連接至其 Office 設定檔。在此之後即可立即存取其所有檔案及相關聯的儲存區。使用者可以通過驗證一次,即可存取所有 Office 應用程式 (包括 OneDrive)。無論身分識別提供者為何,或是您利用 Microsoft 帳戶或是使用者識別碼來存取 適用於專業人員和小型企業的 Office 365,或應用程式使用的驗證通訊協定為何,都是如此。通訊協定包括像是 OAuth、表單式驗證、宣告式驗證及 Windows 整合式驗證。從使用者的觀點來看,全部都可以使用;而從 IT 的觀點來看,則是可以很輕鬆地管理這些連接的服務。

 

Office 安全性之指南的藍圖箭號

本文為<Office 2013 安全性的內容藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 安全性之文章、下載檔、海報及影片的起點。

您在尋找有關個別 Office 2013 應用程式的安全性資訊嗎?您可在 Office.com 上搜尋「2013 安全性」,即可找到此資訊。

保護要從驗證及身分識別做起。Office 在此版本中進行了一項基礎變更:從以電腦為主的身分識別和驗證,變更為以使用者為主的身分識別和驗證。此轉變可讓內容、資源、最近使用的清單、設定、社群的連結及個人化,隨著使用者從桌上型電腦移到平板電腦、智慧型手機或是共用或公用電腦,順暢地漫遊。針對 IT 管理,使用者稽核記錄及規範也會依身分識別分開。

在此新環境中,使用者可以使用下列其中一種身分識別,登入 Office 365:

  • 其由 Microsoft 管理的 工作或學校帳戶 識別碼   適用於將 Microsoft 所代管的企業與較小型組織使用者識別碼儲存於雲端中的 Office 365 商業用途。此案例也支援多重連結的使用者識別碼及單一登入。

    —或—

    其由組織擁有的同盟使用者識別碼   適用於將企業使用者識別碼儲存內部部署中的 Office 365 商業用途。

  • 其 Microsoft 帳戶   使用者通常會使用此身分識別登入 Office 365 進行非商業用途。使用者可有多個相互連結的 Windows Live ID,然後只要登入一次並取得驗證,即可在相同的工作階段期間從一個 Microsoft 帳戶切換到另一個 Windows Live ID,而不需要重新驗證。

IT 管理員也可以設定任何使用者在 Office 365 使用多重要素驗證。多重要素驗證可將使用者安全性提升為不只驗證密碼。如果在 Office 365 使用多重要素驗證,則使用者在輸入正確密碼後,還必須對智慧型手機上的來電、簡訊或應用程式通知進行確認。只有在滿足此第二項驗證要素之後,使用者才能登入。如需設定步驟,請參閱<設定 Office 365 的多重要素驗證 >。

從 IT 管理員的觀點來看,Active Directory 位於此新典範的心臟地帶。IT 管理員可以執行下列作業:

  • 跨裝置及服務,控制使用者密碼原則

  • 使用群組原則來設定作業環境

  • 使用 Forefront Identity Manager (FIM) 或 Active Directory Federation Services (AD FS) 進行管理

雲端讓下列情景變得可能:

  • 使用入口網站可透過雲端來管理使用者帳戶:設定方式很簡單。您可以手動佈建使用者,取得最大控制權。不需要伺服器。Microsoft 會為您管理所有大小事。

  • 任何內部部署目錄都同步處理至入口網站的 Active Directory   佈建可以自動化,並可與雲端管理的帳戶並存。

  • 使用 AD FS,使用者即擁有單一登入功能:佈建可以自動化,並支援多重要素驗證。

如下圖所示,身為 IT 專業管理員,您需要負責所有事項。如果您經營較小型的企業,請使用 Microsoft Azure 中的身分識別服務來建立、管理及驗證使用者。使用者帳戶是在雲端上透過 Microsoft 雲端中的 Web 入口網站與 Azure Active Directory 受到管理。您不需要有伺服器。Microsoft 會為您管理一切。雖然身分識別與驗證完全在雲端受到處理,而未動用任何內部部署 Active Directory 存放區,但 IT 管理員仍可透過入口網站或 PowerShell Cmdlet 來佈建或取消佈建識別碼以及使用者對服務的存取權。

在步驟 1,IT 專業人員連線至 Microsoft 雲端中的 Web 存取 Office 365 系統管理中心。他們要求新增組織識別碼,或管理現有組織識別碼。

在步驟 2,這些要求被傳遞至您的 Azure AD。

在步驟 3,如果是變更要求,則會進行變更,並在 Office 365 系統管理中心 反映變更。如果是新增識別碼要求,則會向識別碼佈建平台發出新增識別碼的要求。

在步驟 4,Office 365 系統管理中心 反映新增的識別碼以及現有識別碼的變更。

Office 365 身分識別與驗證完全是在雲端受到管理 ,而未與本機 Active Directory 進行任何互動。

雲端管理的身分識別與驗證


在下圖中,當您在 Microsoft 雲端中的 Office 365 系統管理中心 設定使用者後,這些使用者便可以從任何裝置登入。Office 365 專業增強版 可以安裝在使用者最多五個裝置上。

在步驟 1 佈建好使用者後 (請參閱上圖),使用者便可以使用下列其中一種身分識別登入 Office:

  • 其工作或學校帳戶 (例如,mike@contoso.onmicrosoft.com 或 mike@contoso.com)

  • 其個人 Microsoft 帳戶 (例如,mike@outlook.com)

在步驟 2,Microsoft 根據使用者選擇的身分識別,判斷使用者想要前去驗證的位置和想要使用的檔案與 Office 設定。該身分識別是與 Azure AD 相關聯,因此使用者的電子郵件身分識別與相關密碼會傳遞至正確的 Azure AD 伺服器進行驗證。

在步驟 3,在使用者的要求受到測試並獲准後,Office 應用程式就會串流至使用者的裝置上供立即使用。使用者利用該身分識別儲存在 商務用 OneDrive 上的文件隨即可供檢視、編輯及儲存到裝置本機,或儲存回 商務用 OneDrive 上。

以 Azure 目錄同步處理來填入的身分識別佈建。此為由雲端管理的驗證。

登入雲端時的使用者體驗。


下圖顯示同時混合了內部部署與雲端部署的案例。Microsoft 雲端 Azure AD 同步作業工具會使您在內部部署與雲端中的公司使用者身分識別保持同步。

在步驟 1,安裝 Azure AD 同步作業工具。此工具可協助 Azure AD 保有您在內部部署目錄中進行的最新變更。

在步驟 2 和 3,於內部部署 Active Directory 中建立新的使用者。Azure AD 同步作業工具會定期檢查您的內部部署 Active Directory 伺服器,看看您是否已建立任何新的身分識別。然後,它會將這些身分識別佈建至 Azure AD、將內部部署和雲端身分識別彼此連結,並透過 Office 365 系統管理中心 讓您看到。

在步驟 4 和 5,當內部部署 Active Directory 中的身分識別有所變更時,這些變更會同步處理至 Azure AD,並透過 Office 365 系統管理中心 讓您看到。

在步驟 6 和 7,如果您的使用者包括同盟使用者,則這些使用者會以您的 AD FS 登入。AD FS 會產生安全性權杖,並將該權杖傳遞給 Azure AD。權杖在該處經確認有效後,使用者便獲得授權來使用 Office 365。

以 Azure 目錄同步處理機制填入的身分識別佈建;Active Directory Federation Server 2.0 和受雲端管理的驗證。

使用 AD FS 2.0 的身分識別佈建


在使用者體驗中,當使用者登入時,會呈現身分識別。

用戶端使用者介面   在每個工作階段開始時,使用者可以選擇用自己的 Microsoft 帳戶連線至個人雲端,或是連線至內部部署公司伺服器或 Microsoft 管理的雲端,以使用 Office 365 之類的服務來存取自己的文件、圖片或資料。

如果使用者選擇使用自己的 Microsoft 識別碼 進行連線,則會以自己的 Microsoft 帳戶 (過去稱為 Passport 或 Windows Live ID) 登入,但使用者也可以選擇以自己用來存取 Office 365 的使用者識別碼進行連線。

登入之後,使用者也可以隨時從任何 Office 應用程式的 Backstage,自由切換身分識別。

用戶端基礎結構   在幕後,用戶端驗證 API 可讓使用者登入及登出,以及切換作用中的使用者身分識別。其他 API 則可以持續追蹤漫遊設定 (喜好設定及最近使用的文件) 以及各身分識別可用的服務。

其他雲端身分識別服務   使用者會自動登入下列原生服務:

  • OneDrive (適用於 Microsoft 帳戶登入) 或 SharePoint Online (適用於公司身分識別登入)

  • 漫遊的最近使用的檔案與設定

  • 個人化

  • Microsoft 帳戶活動

使用者在使用 Microsoft 帳戶登入之後,也可以登入協力廠商雲端服務。例如,若您登入至 Facebook,此連線就會以該身分識別進行漫遊。

使用群組原則設定控制桌面設定

在有超過 4,000 項群組原則控制物件可供利用的情況下,您可以使用群組原則規定 Office 的使用者設定。這表示您可以為使用者建立從輕度管理到高度限制的一系列桌面設定。群組原則設定的優先順序一律高於 Office 自訂工具 (OCT) 設定。您也可以使用群組原則設定,停用在網路上不安全的特定檔案格式。如需詳細資訊,請參閱<Configure security by using OCT or Group Policy for Office 2013>。

淺談 Microsoft 資料中心

「Microsoft 資料中心安全性計畫」以風險為基礎,且包含多重面向。人員、程序及技術都在其考量範圍內。「隱私權計畫」可確保資料處理及資料傳送遵守一致的全球「高標」隱私權規範。Microsoft 資料中心在實體上也很安全。超過 700,000 平方英尺的總面積,以及數萬台伺服器都受到 24 小時全天候保護。如果發生斷電,還有可維持數天的備用電力。這些資料中心在北美、歐洲及亞洲等地都有備援。

Office 365 絕不會掃描您的電子郵件訊息或文件來建立分析、進行資料採礦、廣告或改善我們自己的服務。您的資料一律完全屬於您或您的公司,而且您可以隨時將其從我們的資料中心伺服器移除。

Office 365 遵守下列重要的商業基本產業標準:

  • ISO 27001 認證:Office 365 達到或超過 ISO/TEC 27001:2005 所定義之實體、邏輯、程序及管理控制的嚴格組合。

  • 歐盟示範條款:Office 365 符合且能夠簽署與歐盟示範條款,以及歐盟安全港架構相關的標準合約條款。

  • HIPAA 商業夥伴合約:Office 365 可與所有客戶簽署 HIPAA 要件。HIPAA 控管受保護之狀況資訊的使用、公開及防護。

目錄及 Web 擴充功能

Office 2013 包含 Office 用戶端的新式擴充性模型,可讓 Web 開發人員建立 Office 應用程式,此為利用網路力量擴充 Office 用戶端的 Web 擴充功能。Office 相關應用程式是 Office 應用程式中的一個區域,其中包含可與文件互動的網頁可增強內容,以及提供新的互動內容類型和功能。使用者可以從新的 Office 市集,或是從文件範本解決方案之獨立應用程式或子元件形式的私人目錄或 SharePoint 應用程式,取得 Office 應用程式。

在信任中心的 [受信任應用程式目錄]下,您可以控制Office 應用程式,包括下列各項:

  • 停用所有應用程式

  • 僅停用來自 Office 市集的應用程式

  • 新增或移除受信任目錄表格的受信任目錄

以委付金鑰及新的 DocRecrypt 工具重設文件的密碼

Office 2013 提供新的委付金鑰功能。其可讓組織的 IT 管理員使用私人委付金鑰,解密用密碼保護的文件。例如,如果文件使用 Word、Excel 或 PowerPoint 加密,而文件的原始擁有者已忘記密碼或離開組織,IT 管理員將可以使用私人委付金鑰擷取資料。

委付金鑰功能僅適用於以新一代密碼編譯儲存及加密的檔案。此為 Office 2010 及 Office 2013 中使用的預設加密法。如需這項新功能的詳細資訊,請參閱<在 Office 2013 中移除或重設檔案密碼>。

數位簽章

Office 2013 中的數位簽章改進項目包括:

  • 支援 Open Document Format (ODF v1.2) 檔案格式

  • XAdES (XML 進階電子簽章) 的增強功能

ODF v1.2 檔案格式支援可讓使用者使用看不見的數位簽章,在 Office 2013 中以數位方式簽署 ODF 文件。這些數位簽署的文件不支援簽名欄或圖章。此外,Office 2013 可以為從其他應用程式中簽署,但在 Office 2013 中開啟的 ODF 文件,提供數位簽章驗證。

Office 2013 中的 XAdES 改進項目包括在建立 XAdES 數位簽章時改進的使用者體驗。此功能提供使用者更詳細的簽章資訊。

資訊版權管理 (IRM)

Office 2013 包含一個新的 IRM 用戶端,有新的 UI 可幫助簡化身分識別選項。它也支援 Rights Management Services (RMS) 伺服器的自動服務探索。此外,Office 2013 有對 Microsoft Office Web Application Companion (WAC) 的唯讀 IRM 支援。WAC 可以檢視 SharePoint 文件庫的 IRM 保護文件,或是附加至 Outlook Web Access (OWA) 中之訊息的 IRM 保護文件。

受保護的檢視

使用 Windows 2012 做為 Office 2013 的作業系統時,Office 2013 可提供更好的受保護檢視,那就是「沙箱」技術。Office 2013 使用 Windows 2012 AppContainer 功能,由其提供更強大的程序隔離,也會封鎖從沙箱進行網路存取。受保護的檢視在 Office 2010 就已引進。受保護的檢視有助於減少對電腦的利用,它會在受限的環境 (即所謂的「基本範圍」) 中開啟檔案,如此可以先檢查檔案,再於 Excel、PowerPoint 或 Word 中開啟檔案。

在 Microsoft 中,軟體生命週期的每一個步驟階段,都會考量到安全性。投入 Office 功能或產品開發的每個員工,都必須接受安全性訓練,並隨著產業和威脅的發展持續進修。在設計功能或產品時,我們要求該團隊從一開始就要考量到使用者資料安全性和隱私,以及如何使用加密或驗證或其他方法,減少對這些考量的威脅。他們的決策會以環境、預期或潛在的暴露,以及資料敏感度為基礎。發行 Office 產品之前,該團隊會執行多項攻擊面檢閱,以及建立事件回應計畫。

Microsoft 不僅仰賴員工來確定使用者資料是安全的,還會使用工具和自動化的品質保證測試。這些測試大概分為三項類別:

  • 功能測試:此測試會確認使用者介面的每一個小細節,以確保使用者的輸入、輸出及動作都如預期及公告所為。

  • 模糊測試:此測試會將大量隨機或非預期的資料插入軟體中,以顯現安全性問題。模糊測試是 Office 2007 版的一大部分,並繼續隨附於這個最新版本中。

  • 若是 Web 應用程式:會使用動態或掃描工具來測試潛在的安全性錯誤,像是跨網站指令碼處理 (XSS) 或 SQL 插入。

測試永不停止。Microsoft Security Response Center (MSRC) 負責處理產品出版之後出現的安全性問題。此團隊會快速動員,並提供即時修正給客戶。

快速檢閱前幾版 Office 的安全性進展

在 Office XP、Office 2003、Office 2007 及 Office 2010 中採用的安全性控制,已減少攻擊、改善使用者體驗、強化、減少攻擊面,並讓 IT 管理員較容易建立健全的防禦來抵抗威脅,同時又能維護使用者產品。以下是其做法:

採用下列功能已降低對 Office 的攻擊:

  • 受保護的檢視

  • 文件流程保護

  • 修補程式管理

  • 加密彈性

下列功能改善了使用者體驗:

  • 信任中心和訊息列、信任的位置、信任的發行者,以及困難的信任決策

  • 可採取的安全性提示

  • 改善 [以密碼加密] 功能

  • 文件檢查

  • XML 檔案格式支援

Office 已透過下列功能強化攻擊面:

  • 資料執行防止 (DEP) 支援

  • 強制執行群組原則

  • 支援數位簽章的信任時間戳記

  • 網域型密碼複雜性檢查及強制執行

  • 加密改進項目

  • CryptoAPI 支援

Office 已透過下列功能減少攻擊面:

  • Office 檔案驗證

  • 擴充的檔案封鎖設定

  • ActiveX 控制項安全性

  • ActiveX 刪除位元

  • 加密檔案的完整性檢查

  • 巨集安全性層級

檔案模糊測試可用以找出先前未知的各種檔案格式弱點。Office 團隊已對數百萬個檔案進行過數千萬次的模糊測試,並發現且修正數百項弱點。

此硬體及軟體技術從 Office 2010 開始即內建在 Windows 中,並擴充至所有 Office 應用程式,它會找出在保留記憶體中嘗試執行程式碼的檔案。在 64 位元版本中,此保護一律會開啟;在 32 位元版本中,可使用群組原則設定進行設定。如果偵測到惡意程式碼,則會自動關閉受感染的應用程式。

Office 2010 開始採用受保護的檢視 (可安全檢視可疑的檔案)。現在有了 Windows 2012 AppContainer (被限制網路存取),程序隔離更加強化了。

顯示: