Рабочие станции часто становятся целью злоумышленников, использующих вредоносные веб-сайты, электронные письма или съемные носители в попытке извлечь конфиденциальную информацию. Защита приложений на рабочих станциях - важная часть снижения этого риска.
В этом документе представлены рекомендации по усилению защиты приложений Microsoft Office 365 ProPlus, Office 2019 и Office 2016. Перед внедрением рекомендаций, содержащихся в этом документе, необходимо провести тестирование, чтобы убедиться, что возможность непреднамеренного негативного воздействия на бизнес-процессы снижена в максимально возможной степени.
Административные шаблоны групповой политики для Microsoft Office 365 профессиональный плюс, Office 2019 и Office 2016, упомянутые в этом документе, можно получить в Microsoft [1]. После загрузки ADMX и связанные файлы ADML могут быть помещены в папку% SystemDrive% \ Windows \ SYSVOL \ domain \ Policies \ PolicyDefinitions на контроллере домена, и они будут автоматически загружены в редактор управления групповой политикой. Поскольку административные шаблоны групповой политики для Microsoft Office периодически обновляются Microsoft, следует позаботиться о том, чтобы всегда использовалась последняя версия.
ASR предлагает ряд правил уменьшения поверхности атаки, связанных с Microsoft Office, к ним относятся:
Для организаций, использующих антивирусную программу «Защитник Windows», можно реализовать следующий параметр групповой политики, чтобы обеспечить соблюдение указанных выше правил ASR.
Введение
Рабочие станции часто становятся целью злоумышленников, использующих вредоносные веб-сайты, электронные письма или съемные носители в попытке извлечь конфиденциальную информацию. Защита приложений на рабочих станциях - важная часть снижения этого риска.В этом документе представлены рекомендации по усилению защиты приложений Microsoft Office 365 ProPlus, Office 2019 и Office 2016. Перед внедрением рекомендаций, содержащихся в этом документе, необходимо провести тестирование, чтобы убедиться, что возможность непреднамеренного негативного воздействия на бизнес-процессы снижена в максимально возможной степени.
Административные шаблоны групповой политики для Microsoft Office 365 профессиональный плюс, Office 2019 и Office 2016, упомянутые в этом документе, можно получить в Microsoft [1]. После загрузки ADMX и связанные файлы ADML могут быть помещены в папку% SystemDrive% \ Windows \ SYSVOL \ domain \ Policies \ PolicyDefinitions на контроллере домена, и они будут автоматически загружены в редактор управления групповой политикой. Поскольку административные шаблоны групповой политики для Microsoft Office периодически обновляются Microsoft, следует позаботиться о том, чтобы всегда использовалась последняя версия.
Высокие приоритеты
Следующие рекомендации, перечисленные в алфавитном порядке, следует рассматривать как высшие приоритеты при усилении безопасности развертываний Microsoft Office.Уменьшение поверхности атаки
Снижение поверхности атаки (ASR) [2] - это новая функция безопасности, представленная в Microsoft Windows 10 версии 1709 как часть Exploit Guard в Защитнике Windows. Он разработан для борьбы с угрозой использования вредоносными программами законных функций в приложениях Microsoft Office. Чтобы использовать ASR, антивирус «Защитник Windows» должен быть настроен в качестве основного антивирусного ядра сканирования в реальном времени на рабочих станциях.ASR предлагает ряд правил уменьшения поверхности атаки, связанных с Microsoft Office, к ним относятся:
- Блокировать исполняемый контент из почтового клиента и веб
- почты BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550
Запретить всем приложениям Office создавать дочерние процессы D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Запретить приложениям Office создавать исполняемое содержимое 3B576869-A4EC-4529-8536-B80A7769E899
Запретить приложениям Office внедрять код в другие процессы 75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84- Блокировать вызовы Win32 API из макроса Office
92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B
Запретить приложению связи Office создавать дочерние процессы 26190899-1602-49E8-8B27-EB1D0A1CE869.
Для организаций, использующих антивирусную программу «Защитник Windows», можно реализовать следующий параметр групповой политики, чтобы обеспечить соблюдение указанных выше правил ASR.
Настройка групповой политики | Рекомендуемый вариант |