Угрозы безопасности и контрмеры для выпуска 2013 системы Microsoft Office

Статья
12/22/2017

Применимо к: Office client

Последнее изменение раздела: 2016-12-16

Сводка. Сведения о том, как функции безопасности Office 2013 могут уменьшить риски и угрозы для активов, документов и процессов Office в организации..

Аудитория: ИТ-специалисты

Надежная конфигурация рабочего стола является важной частью защитной стратегии любой организации. Эта статья начинается с краткого обзора различных общих угрозу безопасности, а также уязвимостей деловых документов и активов вашей организации, а затем в ней описываются доступные в Office 2010 и Office 2013 функции безопасности, которые помогают уменьшить опасность. Просмотрите эти параметры, чтобы определить, какие стандартные и дополнительные функции защиты Office следует использовать в вашей организации.

Указатель для справочника по безопасности Office.

Эта статья входит в состав набора Руководство по безопасности Office 2013. Используйте этот обзор в качестве начального этапа для поиска статей, загружаемых файлов, примеров и видеозаписей, помогающих оценить совместимость Office 2013.

Вы ищете информацию о безопасности отдельных приложений Office 2013? Для этого можно выполнить поиск по словам "2013 security" (безопасность 2013) на сайте Office.com.

В этой статье:

Риски, связанные с безопасностью данных
Угрозы для приложений, обеспечивающих эффективную работу рабочих станций
Стандартные меры безопасности в Office 2013

Риски, связанные с безопасностью данных

Большинство ИТ-специалистов и специалистов по безопасности разделяют угрозы, связанные с безопасностью, на три общие категории:

Риски, связанные с конфиденциальностью Эти риски представляют собой угрозы интеллектуальной собственности организации. Они исходят от неавторизованных пользователей и вредоносного кода, целью которых является получение доступа к сказанному, написанному и созданному в этой организации.
Риски, связанные с целостностью данных Эти риски представляют угрозы бизнес-ресурсам. Они исходят от неавторизованных пользователей и вредоносного кода, целью которых является повреждение критически важных бизнес-данных организации. Эти риски распространяются на любые бизнес-активы, содержащие критически важную для организации информацию, такие как серверы баз данных, файлы данных и серверы электронной почты.
Риски доступности Эти риски представляют угрозы бизнес-процессам. Они исходят от неавторизованных пользователей и вредоносного кода, целью которых является нарушение бизнес-процессов и работы пользователей. Процессы бизнес-аналитики, компоненты и возможности приложений и рабочие процессы подвержены рискам, связанным с доступностью данных.

Чтобы обеспечить защиту организации от этих трех категорий рисков, рекомендуем использовать стратегию безопасности. Она должна включать несколько дополняющих друг друга уровней защиты от неавторизованных пользователей и вредоносного кода. Как правило, используются следующие уровни:

Защита демилитаризованной зоны с помощью брандмауэров и прокси-серверов.
Меры физической безопасности, такие как ограниченный доступ к центрам данным и серверным помещениям.
Средства безопасности рабочих станций, такие как личные брандмауэры, антивирусные приложения и средства обнаружения шпионских программ.

По умолчанию модель безопасности Office 2013 способствует устранению всех трех типов рисков в организации. Однако каждая организация имеет собственные возможности инфраструктуры, требования к производительности и требования к безопасности рабочих мест. Чтобы определить, насколько организация может устранить эти бизнес-риски, необходимо оценивать как сами угрозы, так и соответствующие уязвимости.

Угрозы для приложений, обеспечивающих эффективную работу рабочих станций

Модель безопасности Office 2013, как и в Office 2010, позволяет устранить пять видов угроз, относящихся к приложениям обеспечения эффективной работы. Каждая из таких угроз включает в себя уязвимости, которые можно использовать для атак на систему безопасности. На следующем рисунке показаны угрозы безопасности и примеры наиболее распространенных источников угроз.

Типы угроз безопасности

Большинство организаций сталкиваются с некоторым потенциальным риском от этих угроз безопасности. Однако большинство организаций также имеют дело с уникальными сочетаниями уязвимостей и потенциальных угроз безопасности. Следовательно, важно понять риски и составить план снижения риска, подходящий для вашей организации.

Стандартные меры безопасности в Office 2013

Office 2013 предоставляет различные меры противодействия, которые помогают устранить угрозы бизнес-активам и бизнес-процессам. Мера противодействия — это средство безопасности или элемент обеспечения безопасности, с помощью которых можно устранить одну или несколько угроз безопасности. Как правило, можно изменить поведение меры противодействия путем настройки параметров в центре развертывания Office или в групповой политике с помощью Office 2013административных шаблонов.

Многие меры противодействия в Office 2013 устраняют определенные виды угроз для определенного приложения. Например, InfoPath 2013 содержит меру противодействия, которая служит для предупреждения пользователей о возможном присутствии в формах веб-маяков. Можно изменить поведение этой меры противодействия, настроив параметр Пользовательский интерфейс маяка для форм, открытых в InfoPath в центре развертывания или в групповой политике.

Другие меры противодействия устраняют более широкий спектр угроз, которые часто возникают в нескольких приложениях. Например, функция защищенного просмотра позволяет пользователям просмотреть содержимого ненадежных документов, презентаций, электронных таблиц без необходимости включения небезопасного содержимого или вредоносного кода, который может нанести вред компьютеру. Эта меры противодействия используется в Excel 2013, PowerPoint 2013, Word 2013 и Outlook 2013 при предварительном просмотре вложения в виде файла Excel 2013, PowerPoint 2013, Visio 2013 и Word 2013. Можно изменить это поведение, настроив ряд параметров в центре развертывания или в групповой политике. Подробные сведения см. в статье Планирование параметров режима защищенного просмотра в Office 2013.

В следующих разделах описаны часто используемые меры противодействия, входящие в состав Office 2013.

Параметры элементов ActiveX в Office 2013

Вы можете использовать параметры элементов ActiveX для отключения элементов ActiveX и изменения способов их загрузки в приложения Office 2013. По умолчанию надежные элементы ActiveX загружаются в безопасном режиме с постоянными значениями параметров. При этом пользователи не уведомляются о загрузке элементов ActiveX. Ненадежные элементы ActiveX загружаются другим способом, зависящим от метки того или иного элемента управления и наличия в файле проекта VBA вместе с самим элементом ActiveX. Ниже приведено поведение по умолчанию при работе с ненадежными элементами ActiveX:

Если элемент ActiveX помечен как безопасный для инициализации (SFI) и содержится в документе, в котором отсутствует проект VBA, этот элемент управления загружается в безопасном режиме с использованием постоянных значений параметров. Панель сообщений не отображается, и пользователь не уведомляется о наличии элемента ActiveX. Чтобы использовалось подобное поведение, все элементы ActiveX в документе должны быть помечены как SFI.
Если элемент управления ActiveX помечен как небезопасный для инициализации (UFI) и в документе отсутствует проект VBA, то пользователь видит уведомление на панели сообщений, а элементы ActiveX отключаются. Однако пользователь может использовать панель сообщений для включения элементов ActiveX. Если пользователь включит элементы ActiveX, все эти элементы (как UFI, так и SFI) будут загружены в безопасном режиме с постоянными значениями параметров.
Если в документе, где присутствует проект VBA, имеются элементы, помеченные как UFI или SFI, пользователь видит уведомление на панели сообщений, а элементы ActiveX отключаются. Однако пользователь может использовать панель сообщений для включения элементов ActiveX. Если пользователь включит их, все элементы ActiveX (как UFI, так и SFI) будут загружены в безопасном режиме с постоянными значениями параметров.

Важно!
Если в реестре задан бит аннулирования для элемента ActiveX, то элемент управления не загружается и не может быть загружен ни в каком случае. Панель сообщений не отображается, а пользователи не получают уведомления о наличии элемента ActiveX. Подробные сведения о битах аннулирования см. в трех частях статьи в блоге TechNet Бит аннулирования: вопросы и ответы.

Если в реестре задан бит аннулирования для элемента ActiveX, то элемент управления не загружается и не может быть загружен ни в каком случае. Панель сообщений не отображается, а пользователи не получают уведомления о наличии элемента ActiveX. Подробные сведения о битах аннулирования см. в трех частях статьи в блоге TechNet Бит аннулирования: вопросы и ответы.

Чтобы изменить поведение по умолчанию для элементов управления ActiveX, ознакомьтесь со статьей Планирование параметров безопасности для элементов ActiveX в Office 2013.

Параметры надстроек Office 2013

Можно использовать параметры надстроек для отключения надстроек, требовать подпись надстроек от надежного издателя и отключать уведомления, связанные с надстройками. По умолчанию установленные и зарегистрированные надстройки могут выполняться без вмешательства пользователей и отображения предупреждений. Чтобы изменить это поведение по умолчанию, ознакомьтесь со статьей Планирование параметров безопасности для надстроек в Office 2013.

Управление доступом пользователей к приложениям для Office 2013

С помощью групповой политики или Центра управления безопасностью можно ограничивать или запрещать доступ пользователей в организации к приложениям из Магазина Office или корпоративного каталога в приложения для Office. Эти приложения для Office являются веб-расширениями, которые дополняют клиентские приложения Office для улучшения контента Office, а также предоставляют новые интерактивные типы контента и функции.

Восстановление документов Office 2013, если пароль потерян или забыт

Такие предосторожности, как защита документа или электронной таблицы паролем, действуют, пока владелец не забудет пароль или покинет организацию. Теперь ИТ-администратор может настроить клиентские компьютеры организации, чтобы включить метаданные сертификатов в документы Office, защищенные паролем. Позже, если пароль будет утерян или забыт, вы сможете удалить или изменить пароль документа с помощью средства DocRecrypt. Подробные сведения см. в статье Удаление и сброс паролей файлов в Office 2013.

Параметры цифровых подписей в Office 2013

С помощью параметров цифровых подписей в центре развертывания Office можно настроить уровень расширенной цифровой подписи XML (XAdES). По умолчанию Office 2013 создает электронную подпись прямой политики XAdES (EPES). ИТ-администратор также может ограничить подписывание сертификатов по имени поставщика. ИТ-администраторы также могут настроить алгоритмы хэширования и размеры общедоступных ключей, разрешенных в действительных цифровых подписях. Эти параметры можно настроить в инструменте OCT. Подробные сведения см. в статье Планирование параметров цифровой подписи для Office 2013.

Параметры внешнего содержимого в Office 2013

Параметры внешнего контента можно использовать для изменения способов доступа приложений Office 2013 к внешнему контенту. Внешний контент — это любой вид контента, доступ к которому необходимо получать удаленно, например подключения к данным и ссылки на электронные таблицы, ссылки на веб-страницы и документы, ссылки на изображения и мультимедиа. По умолчанию при открытии пользователем файла, содержащего ссылку на внешний контент, на панели сообщений появляется уведомление об отключенных ссылках. Чтобы включить ссылки, пользователи должны щелкнуть панель сообщений или коснуться ее. Рекомендуется не изменять эти параметры по умолчанию. Дополнительные сведения о блокировании и отмене блокировки внешнего содержимого в документах Office см. в статье Блокирование и разблокирование внешнего содержимого в документах приложений Office.

Параметры блокировки файлов в Office 2013

С помощью параметров блокировки файлов можно запретить открывать и сохранять определенные типы файлов. Эти параметры также можно использовать, чтобы файлы определенных типов не открывались в режиме защищенного просмотра или принудительно открывались в нем. По умолчанию Excel 2013, PowerPoint 2013 и Word 2013 принудительно открывают некоторые типы файлов в режиме защищенного просмотра. Пользователи не могут открывать файлы этих типов для редактирования. Дополнительные сведения см. в статье Планирование параметров блокировки файлов в Office 2013.

Параметры проверки файлов Office в Office 2013

Параметры проверки файлов Office можно использовать для отключения функции проверки файлов Office и изменения обработки этой функцией файлов Office, которые не прошли проверку. Эти параметры также позволяют запретить функции поверки файлов Office отображения запросов пользователей об отправке сведений о проверке в корпорацию Майкрософт. По умолчанию функция проверки файлов Office включена. Файлы, которые не проходят проверку, открываются в режиме защищенного просмотра, и пользователи могут изменить их только после открытия файлов в этом режиме. Дополнительные сведения о параметрах проверки файлов Office см. в статье Планирование параметров проверки файлов для Office 2013.

Параметры сложности паролей в Office 2013

Параметры сложности паролей можно использовать для принудительного применения длины и сложности паролей, которые будут использоваться функцией шифрования с использованием паролей. Параметры сложности паролей позволяют принудительно применять длину и сложность пароля на доменном уровне, если в организации были установлены правила сложности паролей в групповой политике домена или на локальном уровне, если в организации не используются доменные параметры сложности паролей. По умолчанию приложения Office 2013 не проверяют длину или сложность пароля при шифровании пользователем файла с помощью функции шифрования с использованием паролей. Подробные сведения см. в статье Планирование параметров сложности паролей для Office 2013.

Параметры конфиденциальности в Office 2013

Параметры конфиденциальности можно использовать для предотвращения появления диалогового окна приветствия Microsoft Office 2013 при первом запуске пользователем Office 2013. С помощью этого диалогового окна пользователь может зарегистрироваться в различных интернет-службах для защиты и улучшения работы приложений Office 2013. Кроме того, можно использовать параметры конфиденциальности для включения интернет-служб, отображающихся на странице приветствия Microsoft Office 2013. По умолчанию диалоговое окно приветствия Microsoft Office 2013 появляется при первом запуске пользователем Office 2013, после чего пользователи могут включить рекомендованные интернет-службы, включить только некоторые из них или не вносить никаких изменений. Если пользователь не вносит изменения в конфигурацию, в силу вступают следующие параметры по умолчанию:

Приложения Office 2013 не загружают небольшие программы, облегчающие поиск неисправностей, а сведения сообщения об ошибке не отправляются в корпорацию Майкрософт.
Пользователи не регистрируются в программе улучшения качества программного обеспечения.

Чтобы изменить это поведение по умолчанию или запретить отображение диалогового окна приветствия Microsoft Office 2013, ознакомьтесь с разделом Планирование параметров конфиденциальности для Office 2013.

Параметры режима защищенного просмотра в Office 2013

Параметры защищенного просмотра можно использовать для предотвращения открытия файлов в режиме защищенного просмотра или принудительного открытия файлов в этом режиме. К тому же можно указать, следует ли запускать скрипты и программы, работающие в сеансе 0, в режиме защищенного просмотра. По умолчанию защищенный просмотр включен, и все ненадежные файлы открываются в этом режиме. Скрипты и программы, работающие в сеансе 0, не открываются в режиме защищенного просмотра.

Кроме того, теперь режим защищенного просмотра включает новую технологию ”песочницы” при использовании Office 2013 в операционной системе Windows 8. В рамках этих улучшений режим защищенного просмотра теперь работает в сценариях RunAs и remoteApp в Windows 8.

Дополнительные сведения о параметрах защищенного просмотра см. в статье Планирование параметров режима защищенного просмотра в Office 2013.

Примечание
Также можно использовать параметры защищенного просмотра для предотвращения открытия определенных типов файлов в режиме защищенного просмотра или принудительного открытия определенных видов файлов в таком режиме.

Параметры надежных документов в Office 2013

Параметры надежных документов можно использовать для отключения функции надежных документов и предотвращения пометки хранящихся на общих сетевых ресурсах документов как надежных. Надежные документы обходят большинство проверок безопасности при открытии, кроме того, в них разрешено все активное содержимое. Обратите внимание, что антивирусную проверку и проверку на бит аннулирования ActiveX невозможно обойти. По умолчанию функция надежных документов включена. Это означает, что пользователи могут помечать безопасные файлы как надежные документы. Кроме того, пользователи могут помечать файлы на общих сетевых ресурсах как надежные. Рекомендуется не изменять эти параметры по умолчанию.

Планирование параметров надежных расположений в Office 2013

Параметры надежных расположений можно использовать для назначения файлам надежных расположений. Файлы, хранящиеся в надежных расположениях, обходят большинство проверок безопасности при открытии, и все содержимое этих файлов разрешено (антивирусную проверку и проверку на бит аннулирования ActiveX нельзя обойти). По умолчанию несколько расположений помечены как надежные. Кроме того, отключены надежные расположения в сети, например в общих сетевых папках. Чтобы изменить это поведение по умолчанию и узнать, какие расположения считаются надежными по умолчанию, ознакомьтесь с разделом Планирование и настройка параметров надежных расположений для Office 2013.

Параметры надежных издателей в Office 2013

Параметры надежных издателей можно использовать для обозначения некоторых типов активного содержимого как безопасного, например элементов управления ActiveX, надстроек и макросов VBA. Если издатель подписывает активное содержимое цифровым сертификатом и цифровой сертификат издателя добавляется в список "Надежные издатели", активное содержимое считается надежным. По умолчанию в списке "Надежные издатели" нет издателей. Необходимо добавить издателей в список "Надежные издатели", чтобы реализовать эту функцию безопасности. Подробные сведения о включении функции "Надежные издатели" см. в разделе Планирование и настройка параметров надежных издателей для Office 2013.

Параметры макросов VBA в Office 2013

Параметры макросов VBA можно использовать для изменения способа поведения макросов VBA, отключения VBA и изменения способа поведения макросов VBA в программно запущенных приложениях. По умолчанию VBA включен, и разрешается выполнение надежных макросов VBA без уведомления. Надежные макросы VBA включают в себя макросы, которые были подписаны надежным издателем, хранятся в надежном документе или хранятся в документе, расположенном в надежном расположении. Ненадежные макросы VBA отключены, однако на панели сообщений появляется оповещение, с помощью которого можно включить ненадежные макросы VBA. Кроме того, макросы VBA могут выполняться в приложениях, запускаемых программным способом.

Чтобы изменить это поведение по умолчанию, см. раздел Планирование параметров безопасности для макросов VBA для Office 2013.

См. также