Uncategorized

Macrobeveiliging beheren in Office 2016

 

Office-macro's zijn een van de meest voorkomende manieren waarop hackers infiltreren Windows Pc's. In deze Vraag het aan de beheerder, Ik zal kijken hoe u Office 2016 kunt beveiligen om aanvallen te voorkomen.

Macrogebaseerde malware was vroeger een van de meest populaire manieren om te infecteren Windows en was grotendeels uitgestorven. Maar begin 2015 meldde Microsoft dat macro-gebaseerde malware een comeback begon te maken. Ondanks inspanningen van Microsoft om de beveiliging in Office 2016 te versterken, nemen infecties veroorzaakt door macrogebaseerde malware toe.

Microsofts Security Intelligence Report-volume 21, dat gegevens presenteert die zijn verzameld van januari tot juni 2016, laat zien dat Microsoft Word-documenten het meest voorkomende bestandstype waren met kwaadaardige payloads:

Microsoft Word-bestanden goed voor 38.5 procent van schadelijke bestanden. Hiervan waren de meest voorkomende bestandsextensies .doc, gebruikt voor de binaire bestandsindeling die wordt gebruikt in Word 97-2003 en .docm, en wordt gebruikt voor Word-documenten die macro's bevatten.

Typen schadelijke bestanden geblokkeerd door Office 365 ATP (Image Credit: Microsoft)

Soorten schadelijke bestanden die worden geblokkeerd door Office 365 ATP (afbeelding Krediet: Microsoft)

Visual Basic voor toepassingen en macro's

Visual Basic for Applications (VBA) is een programmeertaal, gebaseerd op Visual Basic, die is opgenomen in de bureaublad-apps van Microsoft Office. Ontwikkelaars kunnen het gebruiken om complexe of repetitieve taken te automatiseren, of gebruikers kunnen macro's maken om taken te automatiseren zonder programmeerkennis. Net als elke krachtige technologie kan VBA door hackers worden misbruikt om schadelijke code uit te voeren. Volgens Microsoft hebben 98-percentages van alle aanvallen op Office betrekking op macro's.

Aanvallen met macro's zijn niet nieuw en er zijn technologieën ingebouwd in Office die erop gericht zijn de kans te verkleinen dat gebruikers per ongeluk schadelijke code gebruiken. Beveiligde weergave opent documenten die zijn gedownload van de internetzone in een sandbox, waardoor actieve inhoud en de mogelijkheid om documenten te bewerken worden beperkt totdat gebruikers expliciete toestemming hebben gegeven. Het Vertrouwenscentrum stelt de macrobeveiliging in op 'Schakel alle macro's uit met notificatie' Dit betekent dat zodra Beveiligde weergave is uitgeschakeld, gebruikers een andere waarschuwing ontvangen voordat actieve inhoud in het document is ingeschakeld.

Veiligheidsmechanismen versus beveiligingsmaatregelen

Het is belangrijk om te weten dat de standaardinstellingen van het Vertrouwenscentrum in Office zijn ontworpen om gebruikers aan te moedigen te overwegen of ze een document vertrouwen voordat ze het openen met volledige toegang tot Office. Het is ook ontworpen om een ​​verdedigingslinie te bieden als een kwaadaardig document per ongeluk of uit nieuwsgierigheid wordt geopend. De meeste standaardinstellingen voor het Vertrouwenscentrum zijn geen bedieningselementen om te voorkomen dat gebruikers geïnfecteerde documenten openen, maar functioneren als een beveiligingsmechanisme dat kan worden omzeild. Net zoals veiligheidsgordels in auto's, kunnen gebruikers zich afmelden voor hun gebruik.

Beveiligde weergave in Office 2016 (afbeelding creditering: Russell Smith)

Beveiligde weergave in Office 2016 (afbeelding creditering: Russell Smith)

Er zijn specifieke scenario's waarin Office-documenten worden geopend in de beveiligde weergave:

  • Gedownload van internet
  • Verkregen als e-mailbijlage van een onveilige afzender
  • Bevindt zich in een onveilige map zoals de Tijdelijke Internet-bestanden map
  • Kan niet worden gevalideerd als een bekend formaat
  • Wordt geblokkeerd door het beleid Bestanden blokkeren

Afhankelijk van het scenario kunnen gebruikers Protected View omzeilen. Bestanden die zijn gedownload van de internetzone activeren de beveiligde weergave, maar dit kan worden uitgeschakeld door op te klikken Bewerking inschakelen. En dat is niet de enige manier. Wanneer bestanden worden uitgepakt uit zip-archieven met Windows, behouden ze de metagegevensinstelling die aangeeft dat ze van internet zijn gedownload. Als een app van een derde partij wordt gebruikt, zoals 7-zip, worden die metadata uit de uitgepakte bestanden verwijderd. Als alternatief kunnen bestanden worden 'gedeblokkeerd' door de eigenschappen van het bestand in Verkenner te wijzigen.

Nadat de beveiligde weergave is uitgeschakeld, ontvangen gebruikers een andere waarschuwing over de aanwezigheid van actieve inhoud, zoals VBA-code. Nogmaals, de standaardinstellingen voor het Vertrouwenscentrum bieden deze melding de mogelijkheid om Inhoud aanzetten.

Schakel macro's uit

De beveiligingsmechanismen in Office 2016 bieden mogelijk een verstandige balans tussen beveiliging en bruikbaarheid voor veiligheidsbewuste, technisch onderlegde gebruikers. Maar kunt u het risico nemen dat ongekwalificeerd personeel cruciale beslissingen neemt over de beveiliging van uw organisatie? De meeste gebruikers hebben geen toegang nodig tot geavanceerde functies zoals macro's en VBA. Vanwege de dreiging die macro's vormen, raad ik aan macro's in Office uit te schakelen. Laat de veiligheid niet aan het toeval over. Gebruikers negeren beveiligingswaarschuwingen en kunnen eenvoudig worden misleid tot het uitschakelen van beveiligingsbeschermingen door social engineering.

Schakel macro's uit in het Office 2016 Trust Center (Image Credit: Russell Smith)

Schakel macro's uit in het Office 2016 Trust Center (Image Credit: Russell Smith)

Gebruik Groepsbeleid om het Vertrouwenscentrum te configureren. Gebruikers moeten geen toestemming krijgen om vertrouwde locaties toe te voegen en macrobeveiliging moet worden ingesteld op Schakel alle macro's uit zonder melding. Deze instelling betekent dat gebruikers niet de mogelijkheid krijgen om actieve inhoud in te schakelen, zelfs als ze ervoor kiezen Protected View uit te schakelen of op de een of andere manier het te omzeilen. Als u macro's echt wilt uitschakelen, moet u ervoor zorgen dat gebruikers geen vertrouwde locaties in het vertrouwenscentrum kunnen toevoegen of documenten kunnen kopiëren naar vertrouwde locaties waartoe zij toegang hebben.

Als u besluit te stoppen met het uitschakelen van macro's, kunt u de standaardinstellingen van het Vertrouwenscentrum op een aantal manieren scherpen. U kunt bijvoorbeeld niet-ondertekende code blokkeren of vertrouwde locaties toevoegen. Office 2016 bevat ook een instelling voor Groepsbeleid genaamd Blokkeer macro's van het uitvoeren van Office-bestanden van internet. Dit blokkeert automatisch macro's in documenten die zijn gedownload van internet, zelfs als het Vertrouwenscentrum is ingesteld op Schakel alle macro's in.

Vertrouwde locaties

Bestanden op vertrouwde locaties worden geopend met volledige toegang tot Office, ongeacht eventuele andere beperkingen die u hebt ingesteld. Documenten die zijn geopend vanaf vertrouwde locaties, zijn altijd vertrouwd, dus zelfs als u macro's in het Vertrouwenscentrum uitschakelt, inclusief Schakel alle macro's uit behalve digitaal ondertekende macro'sactieve inhoud wordt altijd uitgevoerd in documenten die zijn geopend vanaf vertrouwde locaties.

Als u gebruikers hebt die wel met macro's moeten werken, kunt u zorgvuldig een of meer vertrouwde netwerklocaties beheren die beperkt zijn tot een beperkte set documenten, gebruikers en machtigingen. Vertrouwde locaties kunnen worden ingesteld in het Vertrouwenscentrum. Vertrouwenscentrum vertrouwde locaties kunnen ook worden gedefinieerd met behulp van Groepsbeleid en beheerders kunnen gebruikers blokkeren van het definiëren van hun eigen vertrouwde locaties.

Ondertekening VBA-code

Een andere optie is om te eisen dat de ingesloten code in Office-documenten digitaal wordt ondertekend. Deze methode kan werken voor in-house geproduceerde documenten, maar het verkrijgen van zakelijke partners om code te ondertekenen is niet zo'n gemakkelijke taak. Een manier om dit te doen is om de code zelf te ondertekenen in documenten van zakenpartners die een certificaat voor ondertekening van codes gebruiken dat is uitgegeven door uw eigen PKI-certificeringsinstantie (CA). Op die manier kunt u voorkomen dat de code van iemand anders wordt ondertekend met een certificaat dat is uitgegeven door een openbare basiscertificeringsinstantie, die wordt vertrouwd door apparaten buiten uw organisatie. Dit is echter geen aanbevolen aanpak.

Office-macro geblokkeerd vanwege ongeldige digitale handtekening (Image Credit: Russell Smith)

Office Macro geblokkeerd vanwege ongeldige digitale handtekening (Image Credit: Russell Smith)

Het uitschakelen van alle macro's behalve die die digitaal ondertekend zijn, is geen beveiligingsoplossingen. Verre van dat. Gebruikers kunnen zelf code ondertekenen in Office-documenten. Office 2016 vertrouwt alleen zelfondertekende certificaten die zijn gemaakt door de aangemelde gebruiker op het apparaat waarop het certificaat is gegenereerd of waar het certificaat is toegevoegd aan de Trusted Root Certification Authorities map in de Certificaten-Huidige gebruiker op te slaan. U moet rekening houden met de mogelijkheid dat gebruikers door middel van social engineering zelf documenten kunnen ondertekenen die zij ontvangen met schadelijke VBA-code. Het is niet moeilijk. Gebruikers kunnen ook proberen een zelfondertekend certificaat te importeren zodat de schadelijke code door Office wordt vertrouwd.

Blokbinaire en open XML macrobestandsindelingen blokkeren

Open XML-bestandsindelingen, zoals .docx en .pptx, werden geïntroduceerd in Office 2007 om oudere binaire bestandsindelingen zoals .doc te vervangen. Een voordeel van Open XML is betere detectie van kwaadaardige code, omdat het document gemakkelijker kan worden ontleed door antimalware-software. Wanneer antimalware-software Office-documenten scant, is deze minder nauwkeurig bij het detecteren van schadelijke payloads in binaire bestandsindelingen. Gebruikers kunnen geen VBA-code toevoegen aan standaard Open XML Office-documenten en moeten documenten opslaan met een bestandsextensie die eindigt op 'm', zoals .docm en .pptm als ze VBA-code bevatten.

Het Vertrouwenscentrum is standaard ingesteld om Office 95-, 6.0- en 2-documenten te openen in de beveiligde weergave, maar bewerken is niet toegestaan. Bestandsblokkering kan in Groepsbeleid worden ingesteld om dit gedrag voor andere bestandsindelingen in te schakelen, dus u kunt overwegen latere Office-versies van binaire indelingen aan de lijst toe te voegen.

Met macht komt verantwoordelijkheid. Microsoft Office is een krachtige reeks hulpprogramma's die uw bedrijf tot succes kunnen maken. Maar net als veel andere technologieën zijn er nadelen als u de risico's niet goed beheert.

De post Macrobeveiliging beheren in Office 2016 verscheen eerst op Petri.