Carder
Professional
- Messages
- 2,619
- Reaction score
- 1,921
- Points
- 113
Введение
Приложения Microsoft Office могут выполнять макросы для автоматизации рутинных задач. Однако макросы могут содержать вредоносный код, приводящий к несанкционированному доступу к конфиденциальной информации в рамках целевого кибер-вторжения.Этот документ был разработан для обсуждения подходов, которые могут применяться организациями для защиты систем от вредоносных макросов, при этом соблюдая баланс как своих бизнес-требований, так и требований безопасности.
Имена и расположение параметров групповой политики, используемых в этом документе, взяты из Microsoft Office 2016 и в равной степени применимы к Microsoft Office 365 ProPlus и Microsoft Office 2019. Однако некоторые различия могут существовать для более ранних версий, чем Microsoft Office 2016.
Резюме
Наблюдается рост количества попыток взлома организаций с помощью вредоносных макросов. В частности, были замечены злоумышленники, использующие методы социальной инженерии, чтобы побудить пользователей выполнить вредоносные макросы в файлах Microsoft Office. Цель этих вредоносных макросов может варьироваться от киберпреступности до более изощренных попыток эксплуатации.Понимая бизнес-требования к использованию макросов и применяя рекомендации, содержащиеся в этом документе, организации могут эффективно управлять риском разрешения макросов в своих средах.
Объяснения макросов
Что такое макросы?
Файлы Microsoft Office могут содержать встроенный код (известный как макрос), написанный на языке программирования Visual Basic для приложений (VBA).Макрос может содержать серию команд, которые можно закодировать или записать, а затем воспроизвести позже для автоматизации повторяющихся задач. Макросы - это мощные инструменты, которые могут быть легко созданы начинающими пользователями для значительного повышения их производительности. Однако злоумышленник также может создавать макросы для выполнения различных злонамеренных действий, таких как помощь в взломе рабочих станций с целью кражи конфиденциальной информации или отказа в доступе к ней.
Как макросы проверяются и доверяют?
В Microsoft Office есть как надежные документы, так и функции надежного расположения. После определения надежных документов или надежных расположений макросы в надежных документах или макросы в файлах Microsoft Office в надежных расположениях автоматически выполняются при открытии файлов. Хотя использование надежных документов не приветствуется, надежные местоположения, если они реализованы контролируемым образом, могут позволить организациям надлежащим образом сбалансировать как свои бизнес-требования, так и требования безопасности.Приложения Microsoft Office позволяют разработчикам включать информацию о себе, подписывая свои макросы цифровой подписью. Сертификат подписи, который используется для создания подписанного макроса, подтверждает, что макрос исходит от подписавшего, а сама подпись подтверждает, что макрос не был изменен. Сертификаты с цифровой подписью могут быть созданы пользователями самостоятельно, получены от коммерческого центра сертификации или получены от администратора безопасности организации, если у них есть собственный центр сертификации.
Как определить, каким макросам доверять?
Чтобы управлять использованием макросов в организации, все макросы, созданные пользователями или третьими сторонами, должны быть проверены независимой стороной для разработчика и оценены как безопасные до утверждения для использования в организации.При оценке того, безопасны ли макросы, оценщики должны задать себе следующие вопросы:
- Есть ли бизнес-требования к конкретному макросу?
- Макрос был разработан или предоставлен доверенным лицом?
- Был ли макрос утвержден надежной и технически квалифицированной стороной?
Защита систем от вредоносных макросов
В следующей таблице показаны преимущества безопасности, влияние на бизнес и сложность реализации различных подходов к управлению макросами в файлах Microsoft Office.| Подход | Преимущество безопасности | Влияние на бизнес | Сложность реализации |
| Все макросы отключены | Очень высоко | Высоко | Низкий |
| Включены только макросы из надежных расположений | Высоко | Высоко | Средняя |
| Включены только макросы с цифровой подписью доверенных издателей. | Высоко | Средняя | Высоко |
| Пользователи решают, какие макросы включить, в каждом конкретном случае. | Низкий | Низкий | Низкий |
| Все макросы включены | Никто | Никто | Низкий |
Все макросы отключены
Если у организаций нет бизнес-требований к использованию макросов, поддержку их использования следует отключить в пакете Microsoft Office.Чтобы пользователи или злоумышленник не могли обойти элементы управления безопасностью макросов, следует отключить всю поддержку доверенных документов и надежных расположений.
Чтобы пользователи не могли сознательно или непреднамеренно изменять элементы управления безопасностью макросов через интерфейс центра управления безопасностью приложения Microsoft Office, организациям следует применять элементы управления безопасностью макросов с помощью параметров групповой политики.
Включены только макросы из надежных расположений
Если организации предъявляют бизнес-требования к использованию макросов, можно разрешить выполнение утвержденных макросов в файлах Microsoft Office в надежных расположениях. Однако только определенные приложения Microsoft Office, для которых есть бизнес-требования к использованию макросов, должны иметь разрешение на выполнение утвержденных макросов. Все остальные приложения Microsoft Office должны иметь отключенную поддержку макросов.Чтобы пользователи или злоумышленник не могли обойти элементы управления безопасностью макросов, следует отключить поддержку доверенных документов, в то время как надежные расположения должны запрещать всем пользователям, за исключением утвержденных, добавлять или изменять макросы в файлах Microsoft Office в этих местах. Использование надлежащим образом защищенного сетевого пути в качестве надежного расположения может помочь в централизованном управлении и контроле макросов в файлах Microsoft Office.
Чтобы пользователи не могли сознательно или непреднамеренно изменять элементы управления безопасностью макросов через интерфейс центра управления безопасностью приложения Microsoft Office, организациям следует применять элементы управления безопасностью макросов с помощью параметров групповой политики.
Включены только макросы с цифровой подписью доверенных издателей.
Если у организации есть бизнес-требования к использованию макросов, можно разрешить выполнение только макросов, подписанных цифровой подписью доверенных издателей. Однако только определенные приложения Microsoft Office, для которых есть бизнес-требования к использованию макросов, должны иметь разрешение на выполнение макросов с цифровой подписью. Все остальные приложения Microsoft Office должны иметь отключенную поддержку макросов.Чтобы пользователи или злоумышленник не могли обойти элементы управления безопасностью макросов, следует отключить поддержку доверенных документов и надежных расположений.
Чтобы еще больше снизить вероятность подписания злоумышленником вредоносного макроса и его выполнения пользователями, для пользователей должна быть отключена возможность включать макросы, подписанные ненадежным издателем, или добавлять дополнительных доверенных издателей. Это включает в себя панель доверия, представление за кулисами, панель управления «Свойства обозревателя» и использование инструментов управления сертификатами.
Организации должны позаботиться о достаточном тестировании этого подхода перед внедрением, чтобы убедиться в отсутствии непредвиденных последствий реализации вышеуказанных ограничений для Microsoft Office и функций управления сертификатами в их среде.
Чтобы пользователи не могли сознательно или непреднамеренно изменять элементы управления безопасностью макросов через интерфейс центра управления безопасностью приложения Microsoft Office, организациям следует применять элементы управления безопасностью макросов с помощью параметров групповой политики.
Пользователи решают, какие макросы включить, в каждом конкретном случае.
Если организации предъявляют бизнес-требования к использованию макросов, им следует управлять использованием макросов в своей среде, используя один из рекомендованных подходов, обсуждаемых ниже. Полагаться на то, что пользователи будут принимать правильные решения в области безопасности в 100% случаев, - нереалистичное ожидание, учитывая изощренность многих попыток целевого фишинга. Таким образом, предоставление пользователям возможности решать, какие макросы включать в каждом конкретном случае, представляет значительный риск и не должно реализовываться.Все макросы включены
Если организации предъявляют бизнес-требования к использованию макросов, им следует управлять использованием макросов в своей среде, используя один из рекомендованных подходов, обсуждаемых ниже. Разрешение неограниченного выполнения всех макросов представляет серьезный риск и никогда не должно реализовываться.Рекомендуемый подход
Чтобы защитить себя от вредоносных макросов, организациям следует реализовать один из следующих рекомендуемых подходов:- все макросы отключены
- включены только макросы из надежных расположений
- включены только макросы с цифровой подписью доверенных издателей.
- реализовать контроль приложений для предотвращения вредоносного макроса, запускающего неутвержденные приложения
- реализовывать фильтрацию электронной почты и веб-содержимого для проверки входящих файлов Microsoft Office на наличие макросов, а также блокировать или помещать их в карантин при необходимости
- реализовать ведение журнала выполнения макросов для проверки использования только утвержденных макросов (например, путем регистрации выполнения известных расширений файлов, таких как dotm, docm, xlsm, pptm и ppsm)
- Убедитесь, что пользователи, которым поручено оценивать безопасность макросов, прошли соответствующее обучение VBA.
Параметры групповой политики
Следующие параметры групповой политики могут быть реализованы в зависимости от желаемого организацией подхода к управлению макросами в файлах Microsoft Office.Майкрософт Виндоус
| Настройка групповой политики | Все макросы отключены | Только макросы из надежных расположений | Только макросы, подписанные цифровой подписью доверенных издателей |
| Конфигурация компьютера \ Политики \ Шаблоны администрирования \ Компоненты Windows \ Internet Explorer \ Панель управления Интернетом | |||
| Отключить страницу содержимого | Нет данных | Нет данных | Включено |
| Конфигурация пользователя \ Административные шаблоны \ Компоненты Windows \ Консоль управления Microsoft \ Ограниченные / разрешенные оснастки | |||
| Сертификаты | Нет данных | Нет данных | Выключено |
Microsoft Office 2016
| Настройка групповой политики | Все макросы отключены | Только макросы из надежных расположений | Только макросы, подписанные цифровой подписью доверенных издателей |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Office 2016 \ Параметры безопасности | |||
| Безопасность автоматизации | Включено Установите уровень безопасности автоматизации: отключите макросы по умолчанию | Включено Установите уровень безопасности автоматизации: используйте уровень безопасности макроса приложения | Включено Установите уровень безопасности автоматизации: используйте уровень безопасности макроса приложения |
| Отключить все уведомления панели доверия для проблем безопасности | Нет данных | Нет данных | Включено |
| Отключить VBA для приложений Office | Включено | Выключено | Выключено |
| Область сканирования среды выполнения макросов | Нет данных | Включить для всех документов | Включить для всех документов |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Office 2016 \ Параметры безопасности \ Центр управления безопасностью | |||
| Разрешить сочетание политики и местоположений пользователей | Выключено | Выключено | Выключено |
Microsoft Access 2016
| Настройка групповой политики | Все макросы отключены | Только макросы из надежных расположений | Только макросы, подписанные цифровой подписью доверенных издателей |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Access 2016 \ Параметры приложения \ Безопасность \ Центр управления безопасностью | |||
| Отключить доверенные документы | Включено | Включено | Включено |
| Отключите надежные документы в сети | Включено | Включено | Включено |
| Настройки уведомлений о макросах VBA | Включено Отключить все без уведомления | Включено Отключить все без уведомления | Включено Отключить все макросы, кроме макросов с цифровой подписью |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Access 2016 \ Параметры приложения \ Безопасность \ Центр управления безопасностью \ Надежные расположения | |||
| Разрешить надежные расположения в сети | Выключено | Включено | Выключено |
| Отключить все надежные местоположения | Включено | Выключено | Включено |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Access 2016 \ Отключить элементы в пользовательском интерфейсе \ Custom | |||
| Отключить команды | Нет данных | Нет данных | Включено Введите идентификатор командной строки для отключения: 19092 |
Microsoft Excel 2016
| Настройка групповой политики | Все макросы отключены | Только макросы из надежных расположений | Только макросы, подписанные цифровой подписью доверенных издателей |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Excel 2016 \ Отключить элементы в пользовательском интерфейсе \ Custom | |||
| Отключить команды | Нет данных | Нет данных | Включено Введите идентификатор командной строки для отключения: 19092 |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Excel 2016 \ Параметры Excel \ Безопасность | |||
| Сканирование зашифрованных макросов в книгах Excel Open XML | Нет данных | Проверять зашифрованные макросы (по умолчанию) | Проверять зашифрованные макросы (по умолчанию) |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Excel 2016 \ Параметры Excel \ Безопасность \ Центр управления безопасностью | |||
| Запретить запуск макросов в файлах Office из Интернета | Нет данных | Включено | Включено |
| Доверять доступ к проекту Visual Basic | Выключено | Выключено | Выключено |
| Отключить доверенные документы | Включено | Включено | Включено |
| Отключите надежные документы в сети | Включено | Включено | Включено |
| Настройки уведомлений о макросах VBA | Включено Отключить все без уведомления | Включено Отключить все без уведомления | Включено Отключить все макросы, кроме макросов с цифровой подписью |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Excel 2016 \ Параметры Excel \ Безопасность \ Центр управления безопасностью \ Надежные расположения | |||
| Разрешить надежные расположения в сети | Выключено | Включено | Выключено |
| Отключить все надежные местоположения | Включено | Выключено | Включено |
Microsoft Outlook 2016
| Настройка групповой политики | Все макросы отключены | Только макросы из надежных расположений | Только макросы, подписанные цифровой подписью доверенных издателей |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Outlook 2016 \ Отключить элементы в пользовательском интерфейсе \ Custom | |||
| Отключить команды | Нет данных | Нет данных | Включено Введите идентификатор командной строки для отключения: 19092 |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Outlook 2016 \ Безопасность \ Центр управления безопасностью | |||
| Применение настроек безопасности макросов к макросам, надстройкам и дополнительным действиям | Включено | Включено | Включено |
| Настройки безопасности для макросов | Включено Уровень безопасности: никогда не предупреждать, отключить все | Включено Уровень безопасности: никогда не предупреждать, отключить все | Включено Уровень безопасности: предупреждать о подписи, отключать неподписанные |
Microsoft PowerPoint 2016
| Настройка групповой политики | Все макросы отключены | Только макросы из надежных расположений | Только макросы, подписанные цифровой подписью доверенных издателей |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft PowerPoint 2016 \ Отключить элементы в пользовательском интерфейсе \ Custom | |||
| Отключить команды | Нет данных | Нет данных | Включено Введите идентификатор командной строки для отключения: 19092 |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft PowerPoint 2016 \ Параметры PowerPoint \ Безопасность | |||
| Сканирование зашифрованных макросов в презентациях PowerPoint Open XML | Нет данных | Проверять зашифрованные макросы (по умолчанию) | Проверять зашифрованные макросы (по умолчанию) |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft PowerPoint 2016 \ Параметры PowerPoint \ Безопасность \ Центр управления безопасностью | |||
| Запретить запуск макросов в файлах Office из Интернета | Нет данных | Включено | Включено |
| Доверять доступ к проекту Visual Basic | |||
| Отключить доверенные документы | Включено | Включено | Включено |
| Отключите надежные документы в сети | Включено | Включено | Включено |
| Настройки уведомлений о макросах VBA | Включено Отключить все без уведомления | Включено Отключить все без уведомления | Включено Отключить все макросы, кроме макросов с цифровой подписью |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft PowerPoint 2016 \ Параметры PowerPoint \ Безопасность \ Центр управления безопасностью \ Надежные расположения | |||
| Разрешить надежные расположения в сети | Выключено | Включено | Выключено |
| Отключить все надежные местоположения | Включено | Выключено | Включено |
Microsoft Project 2016
| Настройка групповой политики | Все макросы отключены | Только макросы из надежных расположений | Только макросы, подписанные цифровой подписью доверенных издателей |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Project 2016 \ Параметры проекта \ Безопасность \ Центр управления безопасностью | |||
| Разрешить надежные расположения в сети | Выключено | Включено | Выключено |
| Отключить все надежные местоположения | Включено | Выключено | Включено |
| Настройки уведомлений о макросах VBA | Включено Отключить все без уведомления | Включено Отключить все без уведомления | Включено Отключить все макросы, кроме макросов с цифровой подписью |
Microsoft Publisher 2016
| Настройка групповой политики | Все макросы отключены | Только макросы из надежных расположений | Только макросы, подписанные цифровой подписью доверенных издателей |
| Конфигурация пользователя \ Policies \ Administration Templates \ Microsoft Publisher 2016 \ Отключить элементы в пользовательском интерфейсе \ Custom | |||
| Отключить команды | Нет данных | Нет данных | Включено Введите идентификатор командной строки для отключения: 19092 |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Publisher 2016 \ Безопасность | |||
| Уровень безопасности автоматизации издателя | Включено Высокий (отключен) | Включено Высокий (отключен) | Включено По пользовательскому интерфейсу (запрашивается) |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Publisher 2016 \ Security \ Trust Center | |||
| Настройки уведомлений о макросах VBA | Включено Отключить все без уведомления | Включено Отключить все без уведомления | Включено Отключить все макросы, кроме макросов с цифровой подписью |
Microsoft Visio 2016
| Настройка групповой политики | Все макросы отключены | Только макросы из надежных расположений | Только макросы, подписанные цифровой подписью доверенных издателей |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Visio 2016 \ Отключить элементы в пользовательском интерфейсе \ Custom | |||
| Отключить команды | Нет данных | Нет данных | Включено Введите идентификатор командной строки для отключения: 19092 |
| Конфигурация пользователя \ Policies \ Administration Templates \ Microsoft Visio 2016 \ Visio Options \ Security \ Macro Security | |||
| Включение Microsoft Visual Basic для создания проектов приложений | Выключено | Выключено | Выключено |
| Загрузка проектов Microsoft Visual Basic для приложений из текста | Выключено | Выключено | Выключено |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Visio 2016 \ Параметры Visio \ Безопасность \ Центр управления безопасностью | |||
| Разрешить надежные расположения в сети | инвалид | Включено | Выключено |
| Запретить запуск макросов в файлах Office из Интернета | Нет данных | Включено | Включено |
| Отключить все надежные местоположения | Включено | Выключено | Включено |
| Отключить доверенные документы | Включено | Включено | Включено |
| Отключите надежные документы в сети | Включено | Включено | Включено |
| Настройки уведомлений о макросах VBA | Включено Отключить все без уведомления | Включено Отключить все без уведомления | Включено Отключить все макросы, кроме макросов с цифровой подписью |
Microsoft Word 2016
| Настройка групповой политики | Все макросы отключены | Только макросы из надежных расположений | Только макросы, подписанные цифровой подписью доверенных издателей |
| Конфигурация пользователя \ Политики \ Шаблоны администрирования \ Microsoft Word 2016 \ Отключить элементы в пользовательском интерфейсе \ Custom | |||
| Отключить команды | Нет данных | Нет данных | Включено Введите идентификатор командной строки для отключения: 19092 |
| Конфигурация пользователя \ Policies \ Administration Templates \ Microsoft Word 2016 \ Word Options \ Security | |||
| Сканирование зашифрованных макросов в документах Word Open XML | Нет данных | Проверять зашифрованные макросы (по умолчанию) | Проверять зашифрованные макросы (по умолчанию) |
| Конфигурация пользователя \ Policies \ Administration Templates \ Microsoft Word 2016 \ Word Options \ Security \ Trust Center | |||
| Запретить запуск макросов в файлах Office из Интернета | Нет данных | Включено | Включено |
| Доверять доступ к проекту Visual Basic | Выключено | Выключено | Выключено |
| Отключить доверенные документы | Включено | Включено | Включено |
| Отключите надежные документы в сети | Включено | Включено | Включено |
| Настройки уведомлений о макросах VBA | Включено Отключить все без уведомления | Включено Отключить все без уведомления | Включено Отключить все макросы, кроме макросов с цифровой подписью |
| Конфигурация пользователя \ Policies \ Administration Templates \ Microsoft Word 2016 \ Word Options \ Security \ Trust Center \ Trusted Locations | |||
| Разрешить надежные расположения в сети | Выключено | Включено | Выключено |
| Отключить все надежные местоположения | Включено | Выключено | Включено |
