• 项目

了解 Office 2010 的安全威胁和对策

 

适用于: Office 2010

上一次修改主题: 2016-11-29

安全桌面配置是任何组织深层防御策略的一个重要部分。但是在规划包含 Microsoft Office 2010 的安全桌面配置之前,必须了解与 Office 2010 相关的安全风险和威胁,然后确定其中哪些安全风险和威胁对组织的业务资产或业务流程具有风险。还必须确定哪些隐私风险和威胁对用户的个人信息和私人信息具有风险。

本文内容:

  • 信息安全风险

  • 对桌面生产效率应用程序的威胁

  • Office 2010 中的默认对策

信息安全风险

大多数 IT 专业人员和 IT 安全专家将信息安全风险分为以下三大类:

  • 保密性风险 由于未经授权的用户和恶意代码会试图访问在组织中所讲述、编写和创建的内容,因此这些风险会对组织的知识产权构成威胁。

  • 完整性风险 由于未经授权的用户和恶意代码会试图破坏组织所依赖的业务数据,因此这些风险会对业务资源构成威胁。完整性风险会危害包含组织关键信息的任何业务资产,如数据库服务器、数据文件和电子邮件服务器。

  • 可用性风险 由于未经授权的用户和恶意代码会试图破坏您的经营方式以及信息工作人员完成工作的方式,因此这些风险会对业务流程构成威胁。商业智能流程、应用程序的特性与功能以及文档工作流过程都可能会受到可用性风险的威胁。

为了帮助确保您的组织不遭受上述三类风险的威胁,建议使用深度防御安全策略;即一项纳入多层重叠防御来抵御未经授权的用户和恶意代码的安全策略。防御层通常包括:

  • 外围网络保护,如防火墙和代理服务器。

  • 物理安全措施,如物理安全数据中心和服务器机房。

  • 桌面安全工具,如个人防火墙、病毒扫描程序以及间谍软件检测。

如果 Office 2010 是组织环境的一部分,则深度防御策略还必须包括随 Office 2010 一起提供的缓解机制。这些缓解机制包括许多技术、设置和功能。使用这些机制有助于缓解对 Office 2010 应用程序的威胁,并保护处于公司核心地位的知识产权、业务资源和业务流程。

默认情况下,Office 2010 安全模型可帮助组织缓解所有这三种风险。但是,每个组织都具有不同的基础结构功能、不同的生产效率要求以及不同的桌面安全要求。若要确定组织缓解这些业务风险的确切方式,您必须评估利用这些风险的威胁和威胁代理。

对桌面生产效率应用程序的威胁

Office 2010 的安全模型可以帮助您缓解五种生产效率软件安全威胁。其中每种安全威胁都包括一些威胁代理,并且可以被各种安全攻击所利用。下图显示了安全威胁和最常见的威胁代理的示例。

安全威胁类型

大多数组织面临着五种安全威胁所带来的一些潜在风险。但是,大多数组织要应对威胁代理和潜在安全攻击的独特组合。

活动内容威胁

活动内容威胁是常见的桌面安全威胁。典型的威胁代理包括 ActiveX 控件、外接程序和 VBA 宏。编写恶意代码或创建恶意程序的程序员可能会利用这些威胁代理,然后在用户的计算机上运行恶意的代码或程序。活动内容威胁会给任意规模的组织带来潜在风险,特别是会给允许用户执行以下操作的组织带来风险:

  • 运行 ActiveX 控件、外接程序或 VBA 宏。

  • 打开电子邮件附件。

  • 在公用网络(如 Internet)中共享文档。

  • 打开组织以外的来源(如客户、供应商或合作伙伴)提供的文档。

未经授权的访问威胁

未经授权的用户试图获得信息的访问权限时,会出现未经授权的访问威胁。未经授权的用户的潜在目标包括:

  • 文档文件 如果未经授权的用户获得了文档文件的访问权限,则他们可以删除、替换或破坏文件。例如,恶意程序员可能使用文件格式攻击来利用文档中的未经授权的访问威胁。

  • 文档内的信息 此信息包括文本、图形、备注、修订、注释、自定义 XML 数据、隐藏文字、水印以及页眉和页脚信息。当未经授权的用户访问文档中的信息时,他们可以访问敏感数据,如公司机密数据以及有关用户的个人或私人信息。他们也可以修改、破坏或删除信息,并且可以使用其访问权限向受信任位置中保存的文档添加活动内容。

  • 元数据 与文档关联的信息(包括作者姓名、组织名称、文档编辑时间或文档版本号等文档属性)。获取了元数据访问权限的未经授权的用户可能会访问敏感的个人或公司数据,他们也可能破坏或删除元数据。

大多数组织面临未经授权的访问威胁,但是很多组织认为威胁的影响程度很小,或者认为缓解威胁的管理成本太高,并未采取足够的措施来缓解威胁。这些认知可能会导致做法和环境不安全,例如:

  • 组织的网络安全体系结构无法阻止入侵者或攻击者获得内部网络的访问权限,这将增加入侵者或攻击者可能会获得组织文档访问权限的风险。

  • 组织允许用户通过 Internet 发送、接收或共享专有的文档,包括财务数据、项目计划、演示文稿或绘图。

  • 组织不阻止用户将便携式计算机连接到公用网络,这将增加无法识别的攻击者可能会获得便携式计算机上所保存文档的访问权限的风险。

  • 组织不阻止用户将包含专有信息的文档带出办公室。

  • 未经授权的攻击者或入侵者有可能会获得包含专有信息的文档的访问权限。

外部内容威胁

外部内容威胁包括在 Intranet 或公用网络(如 Internet)上将文档链接到另一个文档、数据库或网站的任何威胁代理。攻击者通过下面的威胁代理来利用外部内容威胁:

  • 超链接 攻击者通常会创建指向不受信任的文档或网站(这些网站包含恶意的代码或内容)的超链接来利用此威胁代理。

  • 数据连接 攻击者通常会通过以下方式利用此威胁代理:创建到数据源或数据库的数据连接,然后使用数据连接恶意操作或提取数据。

  • Web 信号 攻击者利用此威胁代理的一种典型情形是在电子邮件中嵌入一个指向远程映像的不可见链接。当用户打开该电子邮件时,链接将会激活并下载远程映像。在此过程中,用户信息(如用户的电子邮件地址和用户计算机的 IP 地址)可能会发送到远程计算机。

  • 包装程序对象 攻击者利用此威胁代理的方式可能是让嵌入对象运行恶意代码。

如果组织执行以下操作,则外部威胁可能会带来风险:

  • 为用户提供不受限制的公用网络(如 Internet)访问权限。

  • 不阻止用户接收包含嵌入图像和 HTML 的电子邮件。

  • 不阻止用户使用电子表格或其他文档中的数据连接。

浏览器威胁

当应用程序或文档以编程方式使用诸如 Microsoft Internet Explorer 之类的 Web 浏览器的功能时,可能存在这些威胁。浏览器威胁给应用程序和文档带来了风险,因为针对浏览器的任何威胁都会影响到承载浏览器的应用程序或文档。浏览器威胁包括许多威胁代理,并且可通过各种安全攻击进行利用。例如,这些威胁代理包括 ActiveX 控件安装、文件下载、MIME 探查、区域提升和外接程序安装。

如果您的组织执行以下操作,则浏览器威胁可能会带来风险:

  • 允许用户运行使用浏览器功能的 ActiveX 控件、外接程序或宏。

  • 开发和分发使用浏览器功能的 Office 解决方案。

零时差漏洞攻击威胁

在发现诸如 Microsoft 安全公告或 Service Pack 之类的软件更新尚未解决的安全漏洞时,可能会启动零时差漏洞攻击。零时差漏洞攻击可能会采用多种形式,这些形式包括:

  • 远程代码执行

  • 特权提升

  • 信息泄露

恶意程序员和用户可能通过各种安全攻击来利用安全漏洞。在发布安全公告或 Service Pack 来应对安全漏洞之前,此漏洞可能会给您的组织带来潜在威胁。

Office 2010 中的默认对策

Office 2010 提供多种对策来帮助缓解对业务资产和业务流程的威胁。对策 是缓解一个或多个安全威胁的安全功能或安全控件。通常可以通过在 Office 自定义工具 (OCT) 中配置设置或使用 Office 2010 管理模板通过组策略配置设置,来更改对策的行为。

Office 2010 中的许多对策可以缓解某特定应用程序中特定类型的威胁。例如,Microsoft InfoPath 2010 包括的对策会通知用户表单中可能存在 Web 信号。通过在 OCT 中或通过组策略配置“InfoPath 中打开的表单的引导用户界面”设置,可以更改此对策的行为。

其他对策可以缓解多个应用程序共有的多种威胁。例如,通过使用受保护的视图功能,用户可以查看不受信任的文档、演示文稿和工作簿的内容,而不会使不安全的内容或恶意代码危害计算机。当您预览 Excel 2010、PowerPoint 2010、Microsoft Visio 2010 和 Word 2010 的附件时,Microsoft Excel 2010、Microsoft PowerPoint 2010、Microsoft Word 2010 和 Microsoft Outlook 2010 会使用此对策。您可以通过在 OCT 中配置或通过组策略配置一些设置来更改其行为。

以下各节介绍 Office 2010 中最常用的对策。

ActiveX 控件设置

您可以使用 ActiveX 控件设置来禁用 ActiveX 控件并更改 ActiveX 控件加载到 Office 2010 应用程序中的方式。默认情况下,使用永久值在安全模式下加载受信任的 ActiveX 控件,不会通知用户已经加载了 ActiveX 控件。不受信任的 ActiveX 控件的加载方式不同,具体取决于 ActiveX 控件的标记方式以及 VBA 项目是否与 ActiveX 控件共同存在于文件中。不受信任的 ActiveX 控件的默认行为如下:

  • 如果 ActiveX 控件被标记为“初始化安全 (SFI)”,并且包含在不包含 VBA 项目的文档中,将使用永久值在安全模式下加载 ActiveX 控件。不会出现消息栏,并且不会通知用户存在 ActiveX 控件。必须将文档中的所有 ActiveX 控件都标记为 SFI,才会发生此行为。

  • 如果 ActiveX 控件被标记为“初始化不安全 (UFI)”,并且包含在不包含 VBA 项目的文档中,则会在消息栏中通知用户 ActiveX 控件被禁用。但是用户可以单击消息栏来启用 ActiveX 控件。如果用户启用 ActiveX 控件,将使用永久值在安全模式下加载所有 ActiveX 控件(标记为 UFI 和 SFI 的控件)。

  • 如果标记为 UFI 或 SFI 的 ActiveX 控件所在的文档还包含 VBA 项目,则会在消息栏中通知用户 ActiveX 控件被禁用。但是用户可以单击消息栏来启用 ActiveX 控件。如果用户启用 ActiveX 控件,将使用永久值在安全模式下加载所有 ActiveX 控件(标记为 UFI 和 SFI 的控件)。

重要

如果在注册表中为 ActiveX 控件设置了消除位,则不会加载该控件,并且在任何情形下都无法加载该控件。不会出现消息栏,并且不会通知用户存在 ActiveX 控件。

若要更改 ActiveX 控件的默认行为,请参阅为 Office 2010 规划 ActiveX 控件的安全设置

外接程序设置

您可以使用外接程序设置来禁用外接程序,要求外接程序由受信任发布者签名以及禁用外接程序通知。默认情况下,可以在不需要用户干预或通知用户的情况下运行已安装和已注册的外接程序。若要更改此默认行为,请参阅规划 Office 2010 加载项的安全设置

加密技术和加密设置

这些设置将在 Office 2010 正式发布时可用。

数据执行保护设置

您可以使用数据执行保护 (DEP) 设置在 Office 2010 应用程序中禁用 DEP。DEP 是一项硬件和软件对策,可帮助阻止恶意代码运行。默认情况下,DEP 在 Office 2010 应用程序中处于启用状态,建议不要更改此默认设置。

数字签名设置

这些设置将在 Office 2010 正式发布时可用。

外部内容设置

您可以使用外部内容设置来更改 Office 2010 应用程序访问外部内容的方式。外部内容是远程访问的任何类型的内容(如数据连接和工作簿链接、指向网站和文档的超链接以及指向图像和媒体的超链接)。默认情况下,当用户打开包含指向外部内容的链接的文件时,消息栏将通知用户链接已被禁用。用户可以通过单击消息栏来启用这些链接。建议不要更改这些默认设置。

文件阻止设置

您可以使用文件阻止设置阻止打开或保存特定文件类型,也可以使用这些设置阻止或强制在受保护的视图中打开某些文件类型。默认情况下,Excel 2010、PowerPoint 2010 和 Word 2010 强制仅在受保护的视图中打开几种文件。用户无法打开这些文件类型进行编辑。

Office 文件验证设置

您可以使用 Office 文件验证设置禁用 Office 文件验证功能,以及更改 Office 文件验证功能处理未通过验证的文件的方式。您也可以使用这些设置阻止 Office 文件验证功能提示用户向 Microsoft 发送验证信息。默认情况下,Office 文件验证功能处于启用状态。未通过验证的文件在受保护的视图中打开,用户可以在受保护的视图中打开文件后编辑文件。有关 Office 文件验证设置的详细信息,请参阅规划 Office 2010 的 Office 文件验证设置

密码复杂性设置

您可以使用密码复杂性设置来强制设置用于“用密码进行加密”功能的密码长度和复杂性。如果组织已经通过基于域的组策略建立了密码复杂性规则,则可以通过密码复杂性设置在域级别实施密码长度和复杂性,如果组织尚未实施基于域的密码复杂性组策略,则可以通过密码复杂性设置在本地级别实施密码长度和复杂性。默认情况下,当用户使用“用密码进行加密”功能对文件进行加密时,Office 2010 应用程序不会检查密码长度或复杂性。

隐私选项

您可以使用隐私选项阻止在用户首次启动 Office 2010 时出现“欢迎使用 Microsoft Office 2010”对话框。此对话框允许用户注册各种基于 Internet 的服务,以帮助保护和改进 Office 2010 应用程序。您也可以使用隐私选项启用在“欢迎使用 Microsoft Office 2010”对话框中出现的基于 Internet 的服务。默认情况下,“欢迎使用 Microsoft Office 2010”对话框在用户首次启动 Office 2010 时出现,用户可以启用推荐的基于 Internet 的服务,启用这些服务的子集,或不进行任何配置更改。如果用户不更改任何配置,以下默认设置将生效:

  • Office 2010 应用程序不连接到 Office.com 以获取更新的帮助内容。

  • Office 2010 应用程序不下载帮助诊断问题的小程序,并且不向 Microsoft 发送错误消息信息。

  • 用户不报名参加客户体验改善计划。

  • 当用户从帮助系统中执行搜索查询时,不向 Microsoft 发送有关所安装的 Office 2010 应用程序的信息以改进 Office.com 搜索结果。

若要更改此默认行为,或者要禁止显示“欢迎使用 Microsoft Office 2010”框,请参阅规划 Office 2010 的隐私选项

受保护的视图设置

您可以使用受保护的视图设置阻止文件视图中打开以及强制文件在受保护的视图中打开。您也可以指定是否希望在受保护的视图中打开在会话 0 中运行的脚本和程序。默认情况下,受保护的视图处于启用状态,所有不受信任的文件均在受保护的视图中打开。在会话 0 中运行的脚本和程序不在受保护的视图中打开。有关受保护的视图设置的详细信息,请参阅规划 Office 2010 的“受保护的视图”设置

备注

您也可以使用文件阻止设置来阻止或强制在受保护的视图中打开特定文件类型。

受信任的文档设置

您可以使用受信任的文档设置禁用“受信任的文档”功能,还可以阻止用户信任网络共享上存储的文档。打开受信任的文档时,将跳过大部分安全检查,并启用所有活动内容(两项无法跳过的检查是防病毒检查和 ActiveX 消除位检查)。默认情况下,“受信任的文档”功能处于启用状态,这意味着用户可以将安全文件指定为受信任的文档。此外,用户也可以将网络共享上的文件指定为受信任的文档。建议不要更改这些默认设置。

受信任位置设置

您可以使用受信任位置设置为文件指定安全位置。打开受信任位置存储的文件时,将跳过大部分安全检查,并会启用该文件中的所有内容(两项无法跳过的检查是防病毒检查和 ActiveX 消除位检查)。默认情况下,会将多个位置指定为受信任位置。此外,位于网络上的受信任位置(如共享文件夹)处于禁用状态。若要更改此默认行为,以及了解哪些位置默认情况下被指定为受信任位置,请参阅规划 Office 2010 的受信任位置设置

受信任的发布者设置

您可以使用受信任的发布者设置将某些类型的活动内容(如 ActiveX 控件、外接程序和 VBA 宏)指定为安全内容。当发布者用数字证书对活动内容签名时,您可以将该发布者的数字证书添加到“受信任的发布者”列表中,该活动内容将被认为是受信任的内容。默认情况下,“受信任的发布者”列表不包含任何发布者。必须将发布者添加到“受信任的发布者”列表中才能实现此安全功能。若要实现“受信任的发布者”功能,请参阅规划 Office 2010 的受信任的发布者设置

VBA 宏设置

您可以使用 VBA 宏设置更改 VBA 宏的行为方式、禁用 VBA 以及更改 VBA 宏在以编程方式启动的应用程序中的行为方式。默认情况下,VBA 处于启用状态,并且允许在不给出通知的情况下运行受信任的 VBA 宏。受信任的 VBA 宏包括由受信任的发布者签名、存储在受信任文档中或者存储在位于受信任位置的文档中的 VBA 宏。不受信任的 VBA 宏处于禁用状态,但消息栏中的通知允许用户启用不受信任的 VBA 宏。此外,允许在以编程方式启动的应用程序中运行 VBA 宏。

若要更改此默认行为,请参阅规划 Office 2010 的 VBA 宏的安全设置