Рабочие станции часто становятся целью злоумышленников, использующих вредоносные веб-сайты, электронные письма или съемные носители в попытке извлечь конфиденциальную информацию. Защита приложений на рабочих станциях - важная часть снижения этого риска.
В этом документе представлены рекомендации по усилению защиты приложений Microsoft Office 365 ProPlus, Office 2019 и Office 2016. Перед внедрением рекомендаций, содержащихся в этом документе, необходимо провести тестирование, чтобы убедиться, что возможность непреднамеренного негативного воздействия на бизнес-процессы снижена в максимально возможной степени.
Административные шаблоны групповой политики для Microsoft Office 365 профессиональный плюс, Office 2019 и Office 2016, упомянутые в этом документе, можно получить в Microsoft [1]. После загрузки ADMX и связанные файлы ADML могут быть помещены в папку% SystemDrive% \ Windows \ SYSVOL \ domain \ Policies \ PolicyDefinitions на контроллере домена, и они будут автоматически загружены в редактор управления групповой политикой. Поскольку административные шаблоны групповой политики для Microsoft Office периодически обновляются Microsoft, следует позаботиться о том, чтобы всегда использовалась последняя версия.
ASR предлагает ряд правил уменьшения поверхности атаки, связанных с Microsoft Office, к ним относятся:
Для организаций, использующих антивирусную программу «Защитник Windows», можно реализовать следующий параметр групповой политики, чтобы обеспечить соблюдение указанных выше правил ASR.
Следующий параметр групповой политики может быть реализован для блокировки использования Flash в Microsoft Office.
Следующие записи реестра могут быть реализованы с помощью предпочтений групповой политики, чтобы помочь предотвратить загрузку вредоносных данных из внешних источников данных при использовании Microsoft Excel и Microsoft Word.
Следующие параметры групповой политики могут быть реализованы для предотвращения загрузки вредоносных данных из внешних источников данных при использовании Microsoft Excel и Microsoft Word.
Макрос может содержать серию команд, которые можно закодировать или записать, а затем воспроизвести позже для автоматизации повторяющихся задач. Макросы - это мощные инструменты, которые могут быть легко созданы начинающими пользователями для значительного повышения их производительности. Однако злоумышленник также может создавать макросы для выполнения различных вредоносных действий, таких как помощь в взломе рабочих станций с целью кражи конфиденциальной информации или отказа в доступе к ней. Чтобы снизить этот риск, организациям следует отключить или обезопасить использование макросов Microsoft Office.
Следующие записи реестра можно реализовать с помощью предпочтений групповой политики для предотвращения активации пакетов OLE в Microsoft Excel, Microsoft PowerPoint и Microsoft Word.
Для отключения использования элементов управления ActiveX в Microsoft Office можно реализовать следующий параметр групповой политики.
Следующие параметры групповой политики могут быть реализованы для управления надстройками в Microsoft Excel, Microsoft PowerPoint, Microsoft Project, Microsoft Visio и Microsoft Word.
В качестве альтернативы можно реализовать следующие параметры групповой политики, чтобы отключить все надстройки в Microsoft Excel, Microsoft PowerPoint, Microsoft Project, Microsoft Visio и Microsoft Word.
[TD]
Для включения функции усиления защиты расширений в Microsoft Excel можно реализовать следующий параметр групповой политики.
Следующие параметры групповой политики могут быть реализованы для блокировки определенных типов файлов в Microsoft Excel, Microsoft PowerPoint, Microsoft Visio и Microsoft Word.
Следующие параметры групповой политики могут быть реализованы для включения функциональности OFV в Microsoft Excel, Microsoft PowerPoint и Microsoft Word.
Следующий параметр групповой политики может быть реализован, чтобы отключить возможность использования кнопок действий для запуска внешних программ в Microsoft PowerPoint.
Следующие параметры групповой политики могут быть реализованы для включения функции защищенного просмотра в Microsoft Excel, Microsoft PowerPoint и Microsoft Word.
[TDВыключено[/TD]
Следующие параметры групповой политики могут быть реализованы для отключения использования надежных документов в Microsoft Excel, Microsoft PowerPoint, Microsoft Visio и Microsoft Word.
Следующие параметры групповой политики могут быть реализованы, чтобы пользователи знали о скрытой разметке в файлах Microsoft PowerPoint и Microsoft Word.
Следующие параметры групповой политики могут быть реализованы, чтобы пользователи не отправляли информацию в Microsoft.
Введение
Рабочие станции часто становятся целью злоумышленников, использующих вредоносные веб-сайты, электронные письма или съемные носители в попытке извлечь конфиденциальную информацию. Защита приложений на рабочих станциях - важная часть снижения этого риска.В этом документе представлены рекомендации по усилению защиты приложений Microsoft Office 365 ProPlus, Office 2019 и Office 2016. Перед внедрением рекомендаций, содержащихся в этом документе, необходимо провести тестирование, чтобы убедиться, что возможность непреднамеренного негативного воздействия на бизнес-процессы снижена в максимально возможной степени.
Административные шаблоны групповой политики для Microsoft Office 365 профессиональный плюс, Office 2019 и Office 2016, упомянутые в этом документе, можно получить в Microsoft [1]. После загрузки ADMX и связанные файлы ADML могут быть помещены в папку% SystemDrive% \ Windows \ SYSVOL \ domain \ Policies \ PolicyDefinitions на контроллере домена, и они будут автоматически загружены в редактор управления групповой политикой. Поскольку административные шаблоны групповой политики для Microsoft Office периодически обновляются Microsoft, следует позаботиться о том, чтобы всегда использовалась последняя версия.
Высокие приоритеты
Следующие рекомендации, перечисленные в алфавитном порядке, следует рассматривать как высшие приоритеты при усилении безопасности развертываний Microsoft Office.Уменьшение поверхности атаки
Снижение поверхности атаки (ASR) [2] - это новая функция безопасности, представленная в Microsoft Windows 10 версии 1709 как часть Exploit Guard в Защитнике Windows. Он разработан для борьбы с угрозой использования вредоносными программами законных функций в приложениях Microsoft Office. Чтобы использовать ASR, антивирус «Защитник Windows» должен быть настроен в качестве основного антивирусного ядра сканирования в реальном времени на рабочих станциях.ASR предлагает ряд правил уменьшения поверхности атаки, связанных с Microsoft Office, к ним относятся:
- Блокировать исполняемый контент из почтового клиента и веб
- почты BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Запретить всем приложениям Office создавать дочерние процессы D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Запретить приложениям Office создавать исполняемое содержимое 3B576869-A4EC-4529-8536-B80A7769E899
Запретить приложениям Office внедрять код в другие процессы 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84- Блокировать вызовы Win32 API из макроса Office
92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
Запретить приложению связи Office создавать дочерние процессы 26190899-1602-49E8-8B27-EB1D0A1CE869.
Для организаций, использующих антивирусную программу «Защитник Windows», можно реализовать следующий параметр групповой политики, чтобы обеспечить соблюдение указанных выше правил ASR.
| Настройка групповой политики | Рекомендуемый вариант | � |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Антивирус Защитника Windows \ Exploit Guard в Защитнике Windows \ Снижение поверхности атаки | � | |
| Настроить правила уменьшения поверхности атаки | Включено Установите состояние для каждого правила ASR: BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550 D4F940AB-401B-4EFC-AADC-AD5F3C50688A 3B576869-A4EC-4529-8536-B80A7769E899 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B 26190899-1602-49E8-8B27-EB1D0A1CE869 | 1 1 1 1 1 1 |
Flash-контент
Приложения Microsoft Office предлагают возможность загрузки встроенного Flash-содержимого. К сожалению, злоумышленники могут использовать эту функцию для встраивания вредоносного Flash-содержимого в документы Microsoft Office в рамках целевых фишинговых кампаний [4]. Чтобы снизить этот риск, активацию Flash-содержимого следует заблокировать в документах Microsoft Office.Следующий параметр групповой политики может быть реализован для блокировки использования Flash в Microsoft Office.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация компьютера \ Политики \ Административные шаблоны \ Руководство по безопасности MS | � |
| Блокировать активацию Flash в документах Office | Заблокировать всю активацию |
Последняя версия
Новые версии Microsoft Office предлагают значительные улучшения в функциях безопасности, функциональности и стабильности. Часто отсутствие улучшенных функций безопасности позволяет злоумышленнику легко скомпрометировать старые версии Microsoft Office. Чтобы снизить этот риск, следует использовать последнюю поддерживаемую версию Microsoft Office (Microsoft Office 365 ProPlus или Office 2019).Загрузка внешнего контента
Динамический обмен данными (DDE) - это протокол, используемый для передачи данных между приложениями. Например, использование внешних источников данных для автоматического обновления содержимого в электронных таблицах Microsoft Excel. К сожалению, злоумышленники могут использовать функциональность DDE и другие методы загрузки внешнего контента во вредоносных целях [5] [6] . Чтобы снизить этот риск, организациям следует отключить возможность загрузки данных из внешних источников данных в Microsoft Excel и Microsoft Word.Следующие записи реестра могут быть реализованы с помощью предпочтений групповой политики, чтобы помочь предотвратить загрузку вредоносных данных из внешних источников данных при использовании Microsoft Excel и Microsoft Word.
| Запись в реестре | Рекомендуемый вариант |
| HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Office \ 16.0 \ Excel \ Безопасность | � |
| DataConnectionWarnings | REG_DWORD 0x00000002 (2) |
| RichDataConnectionWarnings | REG_DWORD 0x00000002 (2) |
| WorkbookСсылкаПредупреждения | REG_DWORD 0x00000002 (2) |
| HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Office \ 16.0 \ Word \ Безопасность | � |
| AllowDDE | REG_DWORD 0x00000000 (0) |
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Excel 2016 \ Параметры Excel \ Безопасность \ Центр управления безопасностью \ Внешнее содержимое | � |
| Всегда предотвращайте открытие ненадежных файлов Microsoft Query | Включено |
| Не разрешать запуск сервера динамического обмена данными (DDE) в Excel | Включено |
| Не разрешать поиск сервера динамического обмена данными (DDE) в Excel | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Word 2016 \ Параметры Word \ Advanced | � |
| Обновить автоматические ссылки при открытии | Выключено |
Макросы
Файлы Microsoft Office могут содержать встроенный код (известный как макрос), написанный на языке программирования Visual Basic для приложений (VBA).Макрос может содержать серию команд, которые можно закодировать или записать, а затем воспроизвести позже для автоматизации повторяющихся задач. Макросы - это мощные инструменты, которые могут быть легко созданы начинающими пользователями для значительного повышения их производительности. Однако злоумышленник также может создавать макросы для выполнения различных вредоносных действий, таких как помощь в взломе рабочих станций с целью кражи конфиденциальной информации или отказа в доступе к ней. Чтобы снизить этот риск, организациям следует отключить или обезопасить использование макросов Microsoft Office.
Пакеты связывания и встраивания объектов
Пакеты связывания и встраивания объектов (OLE) позволяют встраивать контент из других приложений в электронные таблицы Microsoft Excel, презентации Microsoft PowerPoint и документы Microsoft Word. К сожалению, как и макросы Microsoft Office, злоумышленники могут использовать пакеты OLE для выполнения вредоносного кода [8]. Чтобы снизить этот риск, организациям следует предотвратить активацию пакетов OLE в Microsoft Excel, Microsoft PowerPoint и Microsoft Word.Следующие записи реестра можно реализовать с помощью предпочтений групповой политики для предотвращения активации пакетов OLE в Microsoft Excel, Microsoft PowerPoint и Microsoft Word.
| Запись в реестре | Рекомендуемое значение |
| HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Office \ 16.0 \ Excel \ Безопасность | � |
| PackagerPrompt | REG_DWORD 0x00000002 (2) |
| HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Office \ 16.0 \ PowerPoint \ Security | � |
| PackagerPrompt | REG_DWORD 0x00000002 (2) |
| HKEY_CURRENT_USER \ Программное обеспечение \ Microsoft \ Office \ 16.0 \ Word \ Безопасность | � |
| PackagerPrompt | REG_DWORD 0x00000002 (2) |
Устранение уязвимостей безопасности
Для устранения уязвимостей системы безопасности, обнаруженных в Microsoft Office, Microsoft регулярно выпускает исправления. Если исправления не будут применены в надлежащие сроки, это может позволить злоумышленнику легко взломать рабочие станции. Чтобы снизить этот риск, патчи следует применять в надлежащие сроки, определяемые серьезностью уязвимостей безопасности, которые они устраняют, и любыми уже принятыми мерами по снижению.Средние приоритеты
Следующие рекомендации, перечисленные в алфавитном порядке, следует рассматривать как средний приоритет при усилении защиты развертываний Microsoft Office.ActiveX
Хотя элементы управления ActiveX могут использоваться в законных деловых целях для обеспечения дополнительных функций Microsoft Office, они также могут использоваться противником для получения несанкционированного доступа к конфиденциальной информации или для выполнения вредоносного кода. Чтобы снизить этот риск, необходимо отключить элементы управления ActiveX для Microsoft Office.Для отключения использования элементов управления ActiveX в Microsoft Office можно реализовать следующий параметр групповой политики.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Office 2016 \ Параметры безопасности | � |
| Отключить все ActiveX | Включено |
Надстройки
Хотя надстройки могут использоваться в законных деловых целях для обеспечения дополнительных функций Microsoft Office, они также могут использоваться противником для получения несанкционированного доступа к конфиденциальной информации или для выполнения вредоносного кода. Чтобы снизить этот риск, следует управлять использованием надстроек.Следующие параметры групповой политики могут быть реализованы для управления надстройками в Microsoft Excel, Microsoft PowerPoint, Microsoft Project, Microsoft Visio и Microsoft Word.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Excel 2016 \ Параметры Excel \ Безопасность \ Центр управления безопасностью | � |
| Отключить уведомление Trust Bar для неподписанных надстроек приложений и заблокировать их | Включено |
| Требовать, чтобы надстройки приложения были подписаны доверенными издателями | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft PowerPoint 2016 \ Параметры PowerPoint \ Безопасность \ Центр управления безопасностью | � |
| Отключить уведомление Trust Bar для неподписанных надстроек приложений и заблокировать их | Включено |
| Требовать, чтобы надстройки приложения были подписаны доверенными издателями | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Project 2016 \ Параметры проекта \ Безопасность \ Центр управления безопасностью | � |
| Отключить уведомление Trust Bar для неподписанных надстроек приложений и заблокировать их | Включено |
| Требовать, чтобы надстройки приложения были подписаны доверенными издателями | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Visio 2016 \ Параметры Visio \ Безопасность \ Центр управления безопасностью | � |
| Отключить уведомление Trust Bar для неподписанных надстроек приложений и заблокировать их | Включено |
| Требовать, чтобы надстройки приложения были подписаны доверенными издателями | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Word 2016 \ Параметры Word \ Безопасность \ Центр управления безопасностью | � |
| Отключить уведомление Trust Bar для неподписанных надстроек приложений и заблокировать их | Включено |
| Требовать, чтобы надстройки приложения были подписаны доверенными издателями | Включено |
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Excel 2016 \ Параметры Excel \ Безопасность \ Центр управления безопасностью | � |
| Отключить все надстройки приложений | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft PowerPoint 2016 \ Параметры PowerPoint \ Безопасность \ Центр управления безопасностью | � |
| Отключить все надстройки приложений | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Project 2016 \ Параметры проекта \ Безопасность \ Центр управления безопасностью[/TD | � |
| Отключить все надстройки приложений | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Visio 2016 \ Параметры Visio \ Безопасность \ Центр управления безопасностью | � |
| Отключить все надстройки приложений | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Word 2016 \ Параметры Word \ Безопасность \ Центр управления безопасностью | � |
| Отключить все надстройки приложений | Включено |
Укрепление расширений
Усиление защиты расширений смягчает ряд сценариев, в которых злоумышленник может обманом заставить пользователей открыть вредоносные файлы Microsoft Excel. По умолчанию пользователи будут предупреждены, если содержимое файла или тип MIME не соответствует расширению файла; однако пользователи все равно могут разрешить открытие таких файлов. Поэтому важно, чтобы открывались только файлы Microsoft Excel, прошедшие проверку целостности. Чтобы снизить этот риск, для Microsoft Excel необходимо включить функцию усиления защиты.Для включения функции усиления защиты расширений в Microsoft Excel можно реализовать следующий параметр групповой политики.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Excel 2016 \ Параметры Excel \ Безопасность | � |
| Заставить расширение файла соответствовать типу файла | Включено Всегда соответствовать типу файла |
Блокировка типов файлов
Блокировку типов файлов можно использовать для блокировки открытия файлов небезопасных типов, таких как устаревшие, двоичные и бета-версии файлов в Microsoft Office. Не сумев заблокировать такие типы файлов, злоумышленник может использовать уязвимости в этих типах файлов для выполнения вредоносного кода на рабочих станциях. Чтобы снизить этот риск, следует запретить открытие файлов небезопасных типов в Microsoft Office.Следующие параметры групповой политики могут быть реализованы для блокировки определенных типов файлов в Microsoft Excel, Microsoft PowerPoint, Microsoft Visio и Microsoft Word.
| Параметры групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Excel 2016 \ Параметры Excel \ Безопасность \ Центр управления безопасностью \ Параметры блокировки файлов | � |
| Файлы dBase III / IV | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Файлы Dif и Sylk | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Макросы и файлы надстроек Excel 2 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Листы Excel 2 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Макросы и файлы надстроек Excel 3 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Рабочие листы Excel 3 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Макросы и файлы надстроек Excel 4 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Книги Excel 4 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Рабочие листы Excel 4 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Книги Excel 95 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Книги и шаблоны Excel 95-97 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Книги и шаблоны Excel 97-2003 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Установить поведение блока файла по умолчанию | Включено Заблокированные файлы не открываются |
| Веб-страницы и электронные таблицы Excel 2003 XML | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft PowerPoint 2016 \ Параметры PowerPoint \ Безопасность \ Центр управления безопасностью \ Параметры блокировки файлов | � |
| PowerPoint 97-2003 презентации, шоу, шаблоны и файлы надстроек | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Установить поведение блока файла по умолчанию | Включено Заблокированные файлы не открываются |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Visio 2016 \ Параметры Visio \ Безопасность \ Центр управления безопасностью \ Параметры блокировки файлов | � |
| Visio 2000-2002 Двоичные чертежи, шаблоны и наборы элементов | Включено Настройка блокировки файла: открытие / сохранение заблокировано |
| Visio 2003-2010 Двоичные чертежи, шаблоны и наборы элементов | Включено Настройка блокировки файла: открытие / сохранение заблокировано |
| Visio 5.0 или более ранняя версия двоичных чертежей, шаблонов и наборов элементов | Включено Настройка блокировки файла: открытие / сохранение заблокировано |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Word 2016 \ Параметры Word \ Безопасность \ Центр управления безопасностью \ Параметры блокировки файлов | � |
| Установить поведение блока файла по умолчанию | Включено Заблокированные файлы не открываются |
| Бинарные документы и шаблоны Word 2 и более ранних версий | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Бинарные документы и шаблоны Word 2000 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Двоичные документы и шаблоны Word 2003 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Бинарные документы и шаблоны Word 2007 и более поздних версий | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Бинарные документы и шаблоны Word 6.0 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Бинарные документы и шаблоны Word 95 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Двоичные документы и шаблоны Word 97 | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
| Бинарные документы и шаблоны Word XP | Включено Настройка блокировки файлов: открытие / сохранение заблокировано, использовать политику открытия |
Проверка файлов Office
Проверка файлов Office (OFV) проверяет, соответствует ли формат файла Microsoft Office ожидаемому стандарту. По умолчанию файлы Microsoft Office, не прошедшие проверку OFV, открываются в режиме защищенного просмотра, при этом пользователям предоставляется возможность разрешить редактирование. Кроме того, OFV можно настроить для открытия файлов Microsoft Office в режиме защищенного просмотра в принудительном режиме только для чтения или просто заблокировать их открытие. Если Microsoft Office настроен на отключение OFV, пользователи могут не знать, что они открывают файл Microsoft Office, который может иметь вредоносный характер. Чтобы снизить этот риск, для Microsoft Office необходимо включить функцию OFV.Следующие параметры групповой политики могут быть реализованы для включения функциональности OFV в Microsoft Excel, Microsoft PowerPoint и Microsoft Word.
| Параметры групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Excel 2016 \ Параметры Excel \ Безопасность | � |
| Отключить проверку файлов | Выключено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft PowerPoint 2016 \ Параметры PowerPoint \ Безопасность | � |
| Отключить проверку файлов | Выключено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Word 2016 \ Параметры Word \ Безопасность | � |
| Отключить проверку файлов | Выключено |
Запуск внешних программ
Microsoft PowerPoint предлагает возможность назначать функциональные кнопки «Запуск программы». При этом щелчок по кнопке действия автоматически запускает назначенную программу без запроса. Эта функция может быть использована злоумышленником для выполнения вредоносной программы или использования других законных программ для дальнейшего целевого кибер-вторжения. Чтобы снизить этот риск, следует отключить возможность запуска внешних программ с помощью кнопок действий.Следующий параметр групповой политики может быть реализован, чтобы отключить возможность использования кнопок действий для запуска внешних программ в Microsoft PowerPoint.
| Параметры групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft PowerPoint 2016 \ Параметры PowerPoint \ Безопасность | � |
| Запуск программ | отключить (не запускать никаких программ) |
Защищенный просмотр
Защищенный просмотр можно использовать для открытия файлов Microsoft Office из ненадежных мест в изолированной среде. По умолчанию защищенный просмотр включен для файлов Microsoft Office, которые были загружены из Интернета, открыты из определенного небезопасного места или открыты как вложение из Microsoft Outlook. Однако организации могут отключить защищенный просмотр для любого или всех этих сценариев. В таком случае злоумышленник может воспользоваться любым из этих способов для доставки вредоносного файла Microsoft Office на рабочую станцию пользователя. Чтобы снизить этот риск, для Microsoft Office необходимо включить защищенный просмотр.Следующие параметры групповой политики могут быть реализованы для включения функции защищенного просмотра в Microsoft Excel, Microsoft PowerPoint и Microsoft Word.
| Параметры групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Excel 2016 \ Параметры Excel \ Безопасность \ Центр управления безопасностью \ Защищенный просмотр | � |
| Всегда открывайте ненадежные файлы базы данных в режиме защищенного просмотра | Включено |
| Не открывайте файлы из зоны Интернета в режиме защищенного просмотра | Выключено |
| Не открывайте файлы в небезопасных местах в режиме защищенного просмотра | Выключено |
| Установить поведение документа в случае сбоя проверки файла | Включено Блокировать файлы |
| Отключить защищенный просмотр для вложений, открытых из Outlook | Выключено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft PowerPoint 2016 \ Параметры PowerPoint \ Безопасность \ Центр управления безопасностью \ Защищенный просмотр | � |
| Не открывайте файлы из зоны Интернета в режиме защищенного просмотра | Выключено |
| Не открывайте файлы в небезопасных местах в режиме защищенного просмотра | Выключено |
| Установить поведение документа в случае сбоя проверки файла | Включено Блокировать файлы |
| Отключить защищенный просмотр для вложений, открытых из Outlook | Выключено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Word 2016 \ Параметры Word \ Безопасность \ Центр управления безопасностью \ Защищенный просмотр | � |
| Не открывайте файлы из зоны Интернета в режиме защищенного просмотра | Выключено |
| Не открывайте файлы в небезопасных местах в режиме защищенного просмотра | Выключено |
| Установить поведение документа в случае сбоя проверки файла | Включено Блокировать файлы |
| Отключить защищенный просмотр для вложений, открытых из Outlook | � |
[TDВыключено[/TD]
Надежные документы
Microsoft Office считает, что макросы, элементы управления ActiveX и другое активное содержимое в надежных документах безопасно. Злоумышленник может воспользоваться этим доверием, изменив доверенные документы, чтобы они содержали вредоносный код. Чтобы снизить этот риск, следует отключить доверенные документы для Microsoft Office.Следующие параметры групповой политики могут быть реализованы для отключения использования надежных документов в Microsoft Excel, Microsoft PowerPoint, Microsoft Visio и Microsoft Word.
| Параметры групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Excel 2016 \ Параметры Excel \ Безопасность \ Центр управления безопасностью | � |
| Отключить доверенные документы | Включено |
| Отключите надежные документы в сети | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft PowerPoint 2016 \ Параметры PowerPoint \ Безопасность \ Центр управления безопасностью | � |
| Отключить доверенные документы | Включено |
| Отключите надежные документы в сети | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Visio 2016 \ Параметры Visio \ Безопасность \ Центр управления безопасностью | � |
| Отключить доверенные документы | Включено |
| Отключите надежные документы в сети | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Word 2016 \ Параметры Word \ Безопасность \ Центр управления безопасностью | � |
| Отключить доверенные документы | Включено |
| Отключите надежные документы в сети | Включено |
Низкие приоритеты
Следующие рекомендации, перечисленные в алфавитном порядке, должны рассматриваться как низкие приоритеты при усилении защиты развертываний Microsoft Office.Скрытая разметка
Чтобы помочь пользователям в совместной разработке файлов Microsoft Office, Microsoft Office позволяет пользователям отслеживать изменения, относящиеся к вставке, удалению и форматированию содержимого, а также предоставляет возможность оставлять комментарии. Пользователи могут выбрать просмотр или скрытие этих пометок. Если содержимое разметки скрыто, пользователи могут не знать, что важные изменения или комментарии все еще могут быть включены, когда файлы Microsoft Office распространяются сторонним лицам или передаются в общественное достояние. Чтобы снизить этот риск, пользователи должны знать о скрытой разметке в файлах Microsoft Office.Следующие параметры групповой политики могут быть реализованы, чтобы пользователи знали о скрытой разметке в файлах Microsoft PowerPoint и Microsoft Word.
| Параметры групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft PowerPoint 2016 \ Параметры PowerPoint \ Безопасность | � |
| Сделать скрытую разметку видимой | Включено |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Word 2016 \ Параметры Word \ Безопасность | � |
| Сделать скрытую разметку видимой | Включено |
Отчетная информация
Microsoft Office содержит встроенные функции, а именно инструмент обратной связи Office, который позволяет пользователям отправлять отзывы, включая снимки экрана, в Microsoft. Эта информация, если ее захватит злоумышленник, может раскрыть конфиденциальную информацию на рабочих станциях, такую как имена файлов, имена каталогов, версии установленных приложений или контент, открытый в других приложениях. Эта информация впоследствии может быть использована злоумышленником для адаптации вредоносного кода для конкретных рабочих станций или пользователей. Чтобы снизить этот риск, следует отключить в Microsoft Office функцию, позволяющую сообщать информацию в Microsoft.Следующие параметры групповой политики могут быть реализованы, чтобы пользователи не отправляли информацию в Microsoft.
| Настройка групповой политики | Рекомендуемый вариант |
| Конфигурация пользователя \ Политики \ Административные шаблоны \ Microsoft Office 2016 \ Конфиденциальность \ Центр управления безопасностью | � |
| Разрешить включение снимка экрана в отзыв об Office | Выключено |
| Автоматически получать небольшие обновления для повышения надежности | Выключено |
| Настроить тип диагностических данных, отправляемых Office в Microsoft | Включено Тип диагностических данных: Основные |
| Отключить мастер подписки при первом запуске | Включено |
| Включить программу улучшения качества обслуживания клиентов | Выключено |
| Отправить отзыв в офис | Выключено |
| Отправить личную информацию | Выключено |
