Управління Macro Security в офісі 2016

Офісні макроси є одним з найбільш поширених способів проникнення хакерів у ПК з ОС Windows. У цьому Попросіть адміністратораЯ розгляну, як можна захистити Office 2016 для запобігання атакам.

Макро-шкідливі програми використовувалися як один з найпопулярніших способів зараження Windows і в значній мірі вимерли. Але на початку 2015, Microsoft повідомила, що зловмисні програми на основі макросів почали повертатися. Незважаючи на зусилля Microsoft посилити безпеку в Office 2016, інфекції, спричинені макропотоками, зростають.

Обсяг 21 звіту Microsoft Intelligence Report, в якому представлені дані, зібрані з січня по червень 2016, показує, що документи Microsoft Word були найпоширенішим типом файлів, які містять шкідливі корисні навантаження

Файли Microsoft Word припадають на 38.5 відсотків шкідливих файлів. З них найбільш поширені файлові розширення .doc, що використовуються для формату бінарних файлів, що використовуються в Word 97-2003 і .docm, що використовуються для документів Word, які містять макроси.

Типи шкідливих файлів, заблокованих Office 365 ATP (кредит на зображення: Microsoft)

Типи шкідливих файлів, блокованих Office 365 ATP (кредит на зображення: Microsoft)

Visual Basic для додатків і макросів

Visual Basic для додатків (VBA) - це мова програмування, заснована на Visual Basic, яка включена в настільні програми Microsoft Office. Розробники можуть використовувати його для автоматизації складних або повторюваних завдань, або користувачі можуть створювати макроси для автоматизації завдань без будь-яких знань програмування. Як і будь-яка потужна технологія, VBA може зловживати хакерами для запуску шкідливого коду. За даними Microsoft, 98 відсотків всіх атак на Office пов'язані з макросами.

Атаки, що використовують макроси, не є новими, і в Office є вбудовані технології, спрямовані на зменшення ймовірності випадкового запуску шкідливого коду користувачами. Захищений вигляд відкриває документи, завантажені з зони Інтернету в пісочниці, обмежуючи активний вміст і здатність редагувати документи, поки користувачі не надають явного дозволу. Центр довіри встановлює макрозахист "Вимкнути всі макроси з повідомленням" це означає, що після того, як захищений вигляд буде вимкнено, користувачі отримуватимуть інше попередження, перш ніж активований вміст увімкнено в документі.

Механізми безпеки проти контролю безпеки

Важливо розуміти, що налаштування Центру довіри за замовчуванням у Office призначені для заохочення користувачів до розгляду довіри до документа перед його відкриттям з повним доступом до Office. Він також призначений для забезпечення лінії захисту, якщо шкідливий документ відкритий випадково або з цікавості. Більшість налаштувань Центру довіри за замовчуванням не є елементами керування для запобігання відкриттю інфікованих документів, але функціонують як механізм безпеки, який можна обійти. Як і ремені безпеки в автомобілях, користувачі можуть відмовитися від їх використання.

Захищений перегляд у Office 2016 (кредит для зображень: Russell Smith)

Захищений перегляд у Office 2016 (кредит для зображень: Russell Smith)

Існують певні сценарії, коли документи Office відкриваються в захищеному вигляді:

  • Завантажено з Інтернету
  • Отримано як вкладення електронної пошти від небезпечного відправника
  • Є в небезпечній папці, наприклад Temporary Internet Files папка
  • Не можна перевірити як відомий формат
  • Заблоковано політикою блокування файлів

Залежно від сценарію, користувачі можуть обійти захищений перегляд. Файли, завантажені з Інтернет-зони, активують режим Protected View, але його можна вимкнути, натиснувши Увімкнути редагування. І це не єдиний шлях. Коли файли витягуються з архівів zip за допомогою Windows, вони зберігають налаштування метаданих, які ідентифікують їх як завантажені з Інтернету. Якщо використовується стороннє додаток, наприклад 7-zip, метадані видаляються з витягнутих файлів. Крім того, файли можуть бути розблоковані, змінюючи властивості файлу в Провіднику файлів.

Після того, як захищений перегляд буде вимкнено, користувачі отримують інше попередження про наявність активного вмісту, наприклад, коду VBA. Знову ж таки, налаштування Центру довіри за замовчуванням надають це повідомлення з можливістю Увімкнути вміст.

Вимкнути макроси

Механізми безпеки в Office 2016 можуть забезпечити розумний баланс між безпекою і зручністю для користувачів, які розуміють безпеку, технічно підковані. Але чи не ризикуєте ви дозволити некваліфікованому персоналу прийняти критичні рішення щодо безпеки вашої організації? Більшість користувачів не потребують доступу до розширених функцій, таких як макроси та VBA. Через загрозу, яку створюють макроси, рекомендую вимкнути макроси в Office. Не залишайте безпеку випадково. Користувачі ігнорують застереження щодо безпеки і можуть бути легко обмануті, щоб вимкнути захист безпеки шляхом соціальної інженерії.

Вимкнути макроси в Центрі довіри Office 2016 (кредит на зображення: Russell Smith)

Вимкнути макроси в центрі довіри Office 2016 (кредит на зображення: Russell Smith)

Використовуйте групову політику для налаштування центру довіри. Користувачам не слід дозволяти додавати довірені місця, а для макросів необхідно встановити значення Вимкнути всі макроси без повідомлення. Це налаштування означає, що користувачам не буде надано можливість активувати активний вміст, навіть якщо вони вибирають вимкнути захищений вигляд або якось обійти його. Якщо потрібно повністю вимкнути макроси, потрібно переконатися, що користувачі не можуть додавати довірені місця в Центрі довіри або копіювати документи до будь-яких надійних місць, до яких вони мають доступ.

Якщо ви вирішили зупинити відключення макросів, ви можете затягнути налаштування Центру довіри за промовчанням кількома способами. Наприклад, ви можете заблокувати непідписаний код або додати довірені місця. Office 2016 також має назву налаштування групової політики Блокувати макроси від запуску файлів Office з Інтернету. Це автоматично блокує макроси в документах, завантажених з Інтернету, навіть якщо центр довіри встановлено на Увімкнути всі макроси.

Довірені місця

Файли в надійних місцях відкриваються з повним доступом до Office, незалежно від будь-яких інших обмежень, які існують. Документи, відкриті з надійних місць, завжди довіряють, так що навіть якщо ви вимкнете макроси в Центрі довіри, включаючи Вимкнути всі макроси за винятком цифрових макросів, активний вміст завжди працюватиме у документах, відкритих з надійних місць.

Якщо у вас є користувачі, яким потрібно працювати з макросами, ви можете ретельно керувати одним або кількома надійними мережевими місцями, які обмежені обмеженим набором документів, користувачів і дозволів. Довірені місця можна встановити в Центрі довіри. Довірені адреси Центру довіри також можна визначити за допомогою групової політики, а адміністратори можуть заблокувати користувачам визначення власних надійних місць.

Підписання коду VBA

Інший варіант - вимагати, щоб код, вбудований в документи Office, був цифровим підписом. Цей метод може працювати для документів, створених вдома, але змусити ділових партнерів підписати код не так просто. Один із способів цього полягає в тому, щоб підписати код самостійно в документах від ділових партнерів, використовуючи сертифікат підпису коду, виданий власною службою сертифікації інфраструктури відкритого ключа (PKI). Таким чином, ви можете уникнути підписування чужого коду, використовуючи сертифікат, виданий загальним кореневим ЦС, якому довірятимуть пристрої поза вашою організацією. Однак цей підхід не рекомендується.

Макрос Office заблоковано через недійсний цифровий підпис (кредит на зображення: Russell Smith)

Macro Office заблоковано через недійсний цифровий підпис (зображення кредиту: Russell Smith)

Вимкнення всіх макросів, окрім тих, що підписані цифровим способом, не є панацеєю безпеки. Далеко від цього. Користувачі можуть самостійно підписувати код у документах Office. Office 2016 довіряє лише самозаписаним сертифікатам, створеним користувачем, що входить до системи, на пристрої, де був створений сертифікат, або де сертифікат додано до Довірені сертифікаційні центри папка в Сертифікати-поточний користувач магазин. Ви повинні розглянути можливість того, що користувачів можна переконати самостійно підписати документи, які вони отримують, що містять шкідливий код VBA через соціальну інженерію. Це не важко. Користувачі також можуть спробувати імпортувати самостійно підписаний сертифікат, щоб зловмисний код довіряв Office.

Блокуйте бінарні та відкриті формати файлів макросів XML

Відкриті формати файлів XML, такі як .docx та .pptx, були введені в Office 2007 для заміни застарілих бінарних форматів файлів, таких як .doc. Однією з переваг Open XML є краще виявлення шкідливого коду, оскільки документ може бути легше проаналізований програмним забезпеченням антивірусного програмного забезпечення. Коли антивірусне програмне забезпечення сканує документи Office, він менш точний при виявленні шкідливих навантажень у форматах бінарних файлів. Користувачі не можуть додати код VBA до стандартних документів Open XML Office і повинні зберігати документи, використовуючи розширення файлу, що закінчується на 'm', наприклад .docm та .pptm, якщо вони містять код VBA.

Центр довіри встановлено за замовчуванням для відкриття документів Office 95, 6.0 та 2 у захищеному представленні, але не дозволяє редагувати. Блок файлів можна встановити в груповій політиці, щоб увімкнути цю поведінку для інших форматів файлів, тому ви можете розглянути можливість додавання пізніших версій Office бінарних форматів до списку.

З владою приходить відповідальність. Microsoft Office - це потужний набір інструментів, який може сприяти успіху вашого бізнесу. Але, як і у багатьох технологій, є недоліки, якщо ви не правильно керуєте ризиками.

Повідомлення Управління Macro Security в офісі 2016 вперше з'явився на Петрі.

Залишити коментар

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.