Опубликовано: 1 ноября 2003 г.
Аннотация
Разрабатывая пакет Office 2003, корпорация Microsoft внедряла новые процессы и принципы, следуя концепции защищенности информационных систем (Trustworthy Computing). Создаваемый продукт должен был стать изначально более защищенным, более надежным по конструкции и более безопасным в развертывании, чем предыдущие версии Microsoft Office. В данном документе описывается, какие новшества внедряла команда Office Trustworthy Computing при разработке пакета Office 2003. Здесь обсуждается результат этой работы: доступность более безопасного набора приложений по работе с информацией, описываются ключевые особенности, настройки по умолчанию и возможности развертывания.
На этой странице:
Введение
Предложенная корпорацией Microsoft® концепция Trustworthy Computing определяет необходимость использования новых процессов разработки, призванных гарантировать улучшение безопасности программных продуктов, поставляемых клиентам. Применение этих новых процессов в разработке пакета Office 2003 позволило создать продукт, изначально более защищенный, более надежный по конструкции и в развертывании, чем предыдущие версии Microsoft Office. Результатом этого стало создание наиболее безопасной в настоящий момент версии Office.
В первом разделе настоящего документа объясняется, какое место в концепции Trustworthy Computing отводится безопасности, а затем описывается, каким образом обеспечивается безопасность по умолчанию, в конструкции и в развертывании. В заключение обсуждается, каким образом пакет Office 2003 (различных выпусков, в которые входят Microsoft Office Word 2003, Microsoft Office Excel 2003 и другие основные программы) обеспечивает большую безопасность, чем предыдущие версии Microsoft Office. Часть рассматриваемого материала посвящена описанию большого позитивного эффекта, который оказала на процесс разработки команда Office Trustworthy Computing, управляя принятием новых спецификаций для процессов написания, тестирования и оценки ПО, и многими другими вещами.
Для более детального изучения особенностей безопасности и управления ее настройками обратитесь к статье Microsoft Office 2003 Security Whitepaper (EN).
Описание концепции Trustworthy Computing
В январе 2002 года Билл Гейтс призвал 50 000 служащих корпорации Microsoft к разработке новой безопасной информационной среды для клиентов – такой же надежной, как электричество, питающее наши дома и офисы. Четыре основных элемента новой концепции защищенности информационных систем (Trustworthy Computing) - это защищенность, конфиденциальность, надежность и бизнес-целостность. Они несут следующий смысл:
Защищенность. Потребители имеют право рассчитывать на то, что системы устойчивы к атакам, и что конфиденциальность, целостность и доступность системы, а также ее данные находятся под защитой.
Конфиденциальность. Потребители имеют право управлять личной информацией, и кто бы ни использовал эти данные, он должен придерживаться при этом принципов добросовестности.
Надежность. Потребители вправе рассчитывать на правильное выполнение продуктом своих функций.
Бизнес-целостность. Поставщик продукта оказывает информационную поддержку и несет ответственность за качество работы продукта.
Корпорация Microsoft создала основу для отслеживания и измерения этого развития в соответствии с целями безопасности и концепции защищенности информационных систем: безопасность по конструкции, безопасность по умолчанию, безопасность в развертывании и взаимодействие с клиентами (secure by design, secure by default, secure in deployment, and communications (SD3+C)).
Безопасность по конструкции
Цель безопасности по конструкции – устранить все уязвимые места в безопасности до выпуска продукта и добавить особенности, позволяющие увеличить его защищенность. Безопасность по конструкции включает в себя:
Построение безопасной архитектуры. Здания банков сконструированы в соответствии с требованиями безопасности, их архитектура есть прямое следствие необходимости иметь банковское хранилище и другие вспомогательные средства безопасности. Программное обеспечение должно разрабатываться аналогичным образом. Корпорация Microsoft приступает к разработке продуктов, изначально заботясь о безопасности системы.
Добавление функций безопасности. Корпорация Microsoft расширяет функциональность своих продуктов, добавляя новые возможности обеспечения безопасности.
Уменьшение числа уязвимостей в новом и существующем коде. Корпорация Microsoft совершенствует процедуры разработки ПО с целью сделать разработчиков более осведомленными в вопросах безопасности на этапах проектирования и разработки ПО.
Изначальная безопасность
Цель изначальной безопасности для корпорации Microsoft – это выпуск продуктов, защита которых усилена отключением служб, не задействованных в большинстве сценариев использования, и уменьшением числа выдаваемых автоматически разрешений. Эти меры снижают возможности для проведения атак. Принятие осознанного решения о внедрении этих процессов увеличивает вероятность того, что они будут управляемы и контролируемы.
Безопасность в развертывании
Безопасность конструкции и изначальная безопасность очень важны, но они применяются на этапе разработки продукта. Безопасность в развертывании важна, поскольку работа компьютеров и сетевых систем не должна прерываться при установке нового ПО. Поэтому корпорация Microsoft улучшает поддержку клиентов, чтобы помочь им справиться с пятью отдельными, но тесно связанными задачами:
Защита систем, которая обеспечивается правильным подбором людей, процессов и технологий, призванных гарантировать доступность данных только доверенным пользователям, правильную настройку систем и их должное обновление, для предотвращения доступа неавторизованных пользователей. Сетевая защита аналогична запиранию дверей Вашего дома от злоумышленников.
Обнаружение попыток вторжения, нарушений безопасности, эксплуатационных проблем, непредвиденного поведения или предшествующих отказу симптомов. Эта задача напоминает включение домашней сигнализации для предупреждения о потенциальной опасности.
Оборона систем путем автоматической корректировки действий при обнаружении нарушений безопасности или подозрении о них. Оборона сродни звонку в полицию при нападении.
Восстановление компьютеров, ставших ненадежными, вызывающих сомнения в надежности либо вышедших из строя, зависит от наличия надлежащих систем и процессов для восстановления компьютеров и необходимых данных к состоянию последней удачной конфигурации, чтобы уменьшить время их простоя. Восстановление сродни вызову страховой компании для возмещения ущерба после вторжения. В случае с информационными технологиями это означает наличие резервных систем, позволяющих быстро вернуть поврежденные системы в рабочее состояние.
Координирование и управление защитой, обнаружением, обороной и восстановлением важных систем означает наличие правильных политик и процедур для согласования этих действий. Управление похоже на установку правил домашней безопасности, покупку страховки и обновление Ваших полисов по мере того, как изменяется состав Вашего имущества. Похожим образом управление ИТ-безопасностью нуждается в обновлении политик безопасности по мере того, как со временем меняются компоненты и угрозы для них. Многие задачи управления безопасностью могут быть автоматизированы, а системы могут быть настроены на уведомление администратора о нарушениях политики или о превышении установленного для пользователя быстродействия или поведенческого порога. Управление безопасностью изначально подразумевает, что администраторы имеют соответствующие знания и опыт и следуют политикам и процедурам безопасности.
Взаимодействие с клиентами
Улучшения безопасности, исправления и базы знаний приносят мало пользы без широкого распространения и непосредственной связи с потребителями. Корпорация Microsoft выстраивает двустороннее общение с клиентами, чтобы создать полезные инструменты и руководства для уменьшения рисков безопасности. Стратегия взаимодействия корпорации Microsoft включает:
Получение точной информации и быстрое создание исправлений при обнаружении уязвимостей.
Обеспечение потребителей инструментами и предписывающими руководствами, помогающими понять, как правильно обслуживать их системы.
Предупреждение о новых атаках и предоставление советов и рекомендаций по их отражению, которые изменяются в ответ на угрозы и развитие технологий.
Обеспечение безопасности пакета Office 2003
Чтобы сделать Office 2003 наиболее защищенным набором приложений по работе с информацией из когда-либо созданных корпорацией Microsoft, при его разработке учитывался опыт обеспечения безопасности в предыдущих версиях Office. Например, в Office XP корпорация Microsoft сделала огромный шаг в обеспечении защищенности, включив в этот пакет улучшенную защиту от макросов, возможности подписывания кода и другие возможности (такие как обработка вложений в Outlook), специально разработанные в ответ на новые и появляющиеся угрозы. Разработка Office XP представляла собой грандиозную на тот момент работу по обеспечению безопасности, и полученные уроки помогли разработчикам создать новые защитные механизмы, улучшить существующие, и усовершенствовать модель развертывания для пакета Office 2003.
Office 2003 не просто «более защищен» по сравнению с Office XP. Результатом цикла разработки первой версии пакета Office, основанного на концепции Trustworthy Computing, стало достижение более высокого уровня безопасности, чем когда-либо ранее. Это произошло потому, что корпорация Microsoft улучшила создание процессов и методологий внедрения защиты в процесс разработки. На стадии начальной разработки, еще до создания спецификаций, команда разработчиков осуществила моделирование угроз. Результатом этих плановых мероприятий стало выявление и понимание всевозможных угроз, что позволило создать спецификации с тщательной проработкой вопросов защиты. В основу каждой функции была положена безопасность.
Корпорация Microsoft также создала межгрупповую команду, названную командой Office Trustworthy Computing. Эта команда, состоящая из ключевых разработчиков, отвечала за достижение нескольких важных целей:
Обеспечить принятие новых процессов и методов построения защищенной информационной среды.
Определять общую концепцию безопасности для всех разработчиков Office. Например, выполняя оценку реализации функциональных возможностей на этапах анализа, тестирования и интеграции, эта виртуальная команда должна была представить свое крупномасштабное видение дальнейшего развития и выдать соответствующие рекомендации. Например, были случаи, когда команда Office Trustworthy Computing видела, что две разные группы разработчиков работают над разными функциями, в которых предполагалось использование аналогичных процедур безопасности, и направляла обе команды к общему решению.
Обеспечить обучение и наставничество на всех уровнях групп разработчиков вне зависимости от их специализации.
Установить средства разработки и тестирования и наблюдать за их использованием. Например, команда использовала средство автоматизированного обзора кода Office (Office Automated Code Review, OACR) - систему всестороннего анализа кода, основанную на инструментарии Prefast, разработанную для обеспечения соответствия всего кода стандартам Trustworthy Computing. В соответствии с OACR весь код должен пройти все тесты безопасности, прежде чем он будет допущен к проверке.
Наблюдать за соответствием политики конфиденциальности Office, включая проверку соответствия Office требованиям законодательства о защите частной информации.
В контексте концепции Trustworthy Computing команда Office Trustworthy Computing совершила успешный прорыв в разработке пакета Office 2003. Члены этой команды имели полезный опыт работы над безопасностью в предыдущих версиях Office и знакомство с достижениями команды Windows® Server™ 2003 по внедрению принципов Trustworthy Computing. У них также был опыт участия в соответствующих командах разработчиков, где они были персонально ответственны за продукт, создаваемый командой. Другими словами, это видение и основа разработки, вдохновленные концепцией Trustworthy Computing, позволили корпорации Microsoft создать изначально более защищенную версию Office, более надежную по конструкции и более безопасную в развертывании, чем предыдущие версии Office.
Безопасность по конструкции
Пакет Office 2003 обладает рядом важных особенностей, особое внимание при разработке которых было направлено на обеспечение и улучшение безопасности:
Защита данных и документов
Функциональная возможность ограничения редактирования в Word 2003 позволяет пользователям «запирать» части документов Word, чтобы предотвратить их изменение теми пользователями, которым это не разрешено. Автор документа может выбрать, разрешать другим пользователям производить изменения путем исправлений, или сделать весь документ доступным только для чтения.
Функциональная возможность ограничения форматирования в Word 2003 позволяет пользователям «запирать» документ при помощи панели Защита документа (Protect Document), чтобы его содержание можно было редактировать, не изменяя при этом стили документа, задающие его форматирование.
Используемый в Word 2003 формат XML включает технологические расширения, позволяющие антивирусным сканерам быстро и эффективно сканировать W3C-совместимый родной формат файла Word XML. Корпорация Microsoft, сотрудничая с разработчиками антивирусного ПО, добавила три новых флага в заголовки документов, сохраненных в родном формате файлов Word XML, которые позволят антивирусным программам быстрее определять наличие в документе потенциально опасных встроенных объектов или макросов и удалять их при необходимости.
Цифровые подписи для баз данных Microsoft Office Access 2003. В Access 2003 теперь можно подписывать базы данных цифровой подписью.
Защита от злонамеренных воздействий
Механизм изолирования Microsoft Office InfoPath™ 2003. Изолируются решения InfoPath, установленные из Интернета (загрузка которых может быть тихой, а обновление автоматическим) и сохраненные в локальном кэше. Изолированные решения запускаются по модели безопасности, похожей на запуск веб-страниц в Internet Explorer, и получают доступ только к текущим формам (не имея доступа ни к каким ресурсам на локальном компьютере).
Блокирование вложений. Для защиты частной информации и борьбы с веб-угрозами Microsoft Office Outlook® 2003 по умолчанию блокирует загрузку стороннего содержимого из Интернета. Если сообщение электронной почты пытается негласно соединиться с веб-сервером, Outlook блокирует это соединение до тех пор, пока пользователь не решит просмотреть его содержание.
Защита смарт-документов. Смарт-документы должны быть подписаны доверенным центром сертификации до того, как они могут быть загружены и установлены на компьютер пользователя. После чего пользователь, получив запрос, может принять решение об установке смарт-документа.
Изначальная безопасность
Для обеспечения изначальной защиты пакета Office 2003 количество возможностей для атаки было уменьшено путем создания более строгих начальных настроек, включающих новые функции, разработанные в ответ на развивающиеся угрозы, и улучшения интеграции мер безопасности между приложениями пакета Office 2003 и другими программами, такими как службы Microsoft Windows SharePoint™.
Уменьшение возможностей для атак. Для создания защищенной среды в пакете Office 2003 корпорация Microsoft оптимизировала ряд настроек таким образом, что от пользователя не требуется понимание процессов обеспечения безопасности. Например, в Outlook 2003 по умолчанию блокируются ссылки на внешние ресурсы для защиты от некоторых типов угроз и спама. Другим примером защиты пользователей от коварных злоумышленников является привязка стилей (XSL) в Excel 2003 к уровням защиты от макросов таким образом, что они не запускаются автоматически. При этом уровень защиты от макросов по умолчанию установлен как Высокий (High).
Новые функции, включенные по умолчанию, уменьшают риск ряда растущих угроз безопасности и дают пользователям полномочия поддерживать собственную безопасность на высоком уровне. Например, при загрузке элемента ActiveX®, помеченного как небезопасный, программы пакета Office 2003 будут запрашивать разрешение на его использование. Корпорация Microsoft также проделала некоторую работу над выдачей запроса по опасным сценариям обращения к URL, основная цель которой – предложить защиту в случае сокрытия URL-адреса, например, в панели инструментов или настройках меню.
Интеграция с различными приложениями обеспечивает более широкий подход к безопасности. Например, все программы пакета Office 2003 теперь используют кэш Microsoft Internet Explorer для временного размещения файлов, относя все возможные атаки и действия скриптов к зоне Интернет, что предпочтительнее зоны локального компьютера.
Большее количество ключевых начальных настроек пакета Office 2003 Вы найдете в Приложении А.
Безопасность в развертывании
В дополнение к защищенной архитектуре и расширенным функциям безопасности в пакете Office 2003 корпорация Microsoft предоставила своим потребителям возможность использовать инструменты, предписывающие руководства, обучение и обслуживание.
Инструменты
Корпорация Microsoft предоставляет несколько различных методов для создания и развертывания настроек безопасности:
Мастер выборочной установки (Custom Installation Wizard, CIW). Простейшим способом применения настроек в процессе развертывания пакета Office 2003 является использование мастера выборочной установки. Этот мастер является специальным инструментом в составе набора Office Resource Kit, предназначенным для определения связанных с развертыванием параметров, доступных в пакете Office 2003.
Admin.oft. Используя файл Admin.oft (из набора Office Resource Kit), администраторы могут изменять для клиентов начальные настройки безопасности Outlook 2003.
Системная политика. Администраторы могут использовать системную политику для развертывания настроек Office. Системная политика имеет преимущество в том, что ее настройки применяются постоянно, в отличие от настроек развертывания, заданных мастером выборочной установки, которые могут быть изменены пользователями. Два узла системной политики обеспечивают такой же по эффективности контроль над настройками определенного компьютера и пользователя, как и мастер выборочной установки. Настройки хранятся в реестре, и программы пакета Office 2003 проверяют их значения при каждом запуске. В результате заданные администратором политики соблюдаются точно, поскольку пользователи не могут изменить эти настройки.
Лучшее в системных политиках то, что для изменения настроек не нужно конфигурировать каждый отдельный компьютер – при следующем входе пользователя в систему (или периодически – на клиентах Windows 2000) новые настройки автоматически загружаются и применяются.
Групповые политики. Групповые политики Microsoft Windows 2000 и Microsoft Windows Server 2003 похожи на системные политики, но являются более всеохватывающими. Вы можете создавать объекты групповой политики (Group Policy Objects, GPO) для различных задач и при этом имеете больше возможностей для применения их настроек.
Существуют два основных вида объектов групповой политики, которые администратор может создавать для пакета Office 2003: объекты для развертывания и управления собственно программами пакета Office 2003, и объекты для управления настройками (рассмотрение ранее упомянутых функций распространения и публикации ПО Windows 2000/Windows Server 2003 выходит за рамки данного документа).
Настройками можно управлять индивидуально для каждого пользователя. Политики, определяющие, что пользователи могут делать и чего они не могут, применяются к определенным пользователям или группам независимо от их местонахождения, а не только к конкретным компьютерам. Тем не менее, Office включает также и настройки безопасности для компьютера, которые при необходимости могут быть замещены пользовательскими настройками.
Предписывающие руководства
В качестве дальнейшей помощи по улучшению развертывания безопасности корпорация Microsoft предоставляет потребителям следующие руководства и решения по управлению исправлениями:
Набор Office 2003 Editions Resource Kit (EN) разработан для администраторов, ИТ-специалистов и работников служб поддержки, которые занимаются развертыванием и поддержкой пакета Microsoft Office 2003 в своих организациях. Функционально Office Resource Kit представляет собой набор инструментов, разработанных специально для поддержки Microsoft Office System, а также содержит информацию, касающуюся развертывания, безопасности, обмена сообщениями и всемирной поддержки.
Документ Microsoft Office 2003 Security Whitepaper (EN) предоставляет детальное описание новых функций безопасности, а также советы по необходимым настройкам при развертывании с использованием мастера выборочной установки, файла Admin.oft, системных политик и объектов групповой политики.
Ресурс Patch Management Service Offerings (EN) для помощи организациям в безопасном и эффективном развертывании исправлений и пакетов обновлений с использованием:
Служба обновления программного обеспечения Microsoft (Microsoft Software Update Service)
Анализатор основных элементов защиты (Microsoft Baseline Security Analyzer, MBSA)
Обучение и партнерство
Корпорация Microsoft и ее партнеры предоставляют новые и улучшенные продукты для обнаружения вторжений, антивирусной защиты, а также услуги по разработке стратегии, архитектуры, политики и внедрению безопасности. Корпорация Microsoft и ее сертифицированные партнеры по обучающим решениям проводят подготовку ИТ-персонала к распознаванию и снижению угроз безопасности по мере их развития. Для получения помощи Вам необходимо:
Приобрести знания и навыки по программам: Microsoft Consulting Services, Microsoft Certified Partners и Microsoft Gold Certified Partner Program for Security Solutions.
Пройти ориентированный на безопасность тренинг, организуемый Microsoft Learning Solutions partners и Authorized Academic Training Partners (AATPs), или программу Microsoft Training & Certification.
Взаимодействие с клиентами
В соответствии с основными обязательствами по поддержанию актуального и своевременного взаимодействия с потребителями по вопросам безопасности корпорация Microsoft предприняла определенные шаги, чтобы предоставить пользователям пакета Office 2003 необходимые инструменты и ресурсы:
Microsoft Office Update – онлайн-расширение Office, которое помогает Вам поддерживать актуальность Ваших продуктов Office. Обновления программ Office созданы для пакетов Office 2003, Office XP и Office 2000, чтобы обеспечить Вам высочайший уровень безопасности, стабильности и необходимой функциональности.
Microsoft Office 2003 Security Whitepaper предоставляет подробное описание новых функций безопасности, а также рекомендации по настройкам развертывания путем использования мастера выборочной установки, файла Admin.oft, системных политик и объектов групповых политик.
Технологии безопасности в Office 2003
Для получения лучшего представления о том, как корпорация Microsoft разрабатывала пакет Office 2003, делая его наиболее защищенным из всех версией Office, полезно узнать немного больше об основных функциях, их работе и о том, как они соответствуют общим принципам безопасности. Вы увидите, что многие из описанных здесь функций были реализованы еще в Office XP. Мы укажем, какие из этих функций в пакете Office 2003 были просто улучшены, а какие являются абсолютно новыми.
Три основные сферы, относящиеся к безопасности в пакете Office 2003:
Цифровые сертификаты и подписи
Защита и восстановление данных
Возможности отдельных программ
В данном разделе основное внимание уделяется описанию указанных возможностей и процессу их создания с учетом безопасности. Также в нем затрагиваются вопросы развертывания и использования Office 2003, но только в той мере, чтобы помочь понять мощь или значимость этих функций.
Цифровые подписи и сертификаты
Пакет Office 2003 поддерживает цифровые подписи и подписывание кода, относящиеся к различным, но связанным между собой задачам безопасности. Пакет Office 2003 также предоставляет новые функциональные возможности по управлению доверенными источниками, чтобы помочь пользователям и администраторам воспользоваться всеми преимуществами применения цифровых подписей и подписывания кода.
Цифровые подписи
В Office 2003 технология цифровых подписей используется для подписывания файлов, документов, презентаций, рабочих книг и других данных. Если подписан целый файл, это означает, что он не был изменен с момента его подписания.
Подписывание кода
Термин «подписывание кода» означает использование цифровой подписи для исполняемого кода (включая элементы ActiveX и макросы). Подписывание кода используется для проверки элементов ActiveX, подписанных с использованием Microsoft Authenticode®, на предмет неизменности кода с момента его подписания. Наличие подписи у элемента или макроса с большой вероятностью подтверждает то, что он создан подписавшим его лицом, и не был изменен. Подписывание не гарантирует доброжелательности, надежности или компетенции подписывающего лица, оно только помогает убедиться в том, что объект произведен определенным лицом.
Примечание. Если файл содержит макрос, подписывание макроса и подписывание файла – это два разных процесса. Для получения дополнительной информации обратитесь к статье Введение в инфраструктуру открытых ключей Windows 2000.
В дополнение к поддержке цифровых подписей и подписыванию кода для Microsoft Office Word 2003, PowerPoint® 2003 и Excel 2003, пакет Office 2003 включает такую же поддержку для Access 2003, в том числе подписывание файлов баз данных, макросов, кода Visual Basic® for Applications и надстроек СОМ.
Элементы ActiveX – «Безопасные для инициализации». Дополнительная защита в пакете Office 2003 помогает Вам сохранять элементы в безопасности от изменения злоумышленниками. В предыдущих версиях Office регистрация элементов не всегда различала элементы ActiveX, помеченные как безопасные для инициализации (Safe for Initialization, SFI) и как небезопасные для инициализации (Unsafe for Initialization, UFI), как только элемент был зарегистрирован в системе.
Для уменьшения этой угрозы безопасности Office 2003 при загрузке элемента ActiveX будет определять, какой это элемент – безопасный или нет. Небезопасные элементы уведомляют пользователя о наличии потенциально небезопасного объекта и запрашивают пользователя о том, должен данный элемент быть установлен или нет. По умолчанию такой элемент не будет установлен.
Макросы. Подписывание макросов позволяет Вам определять порядок запуска макроса определенным пользователем. Вы можете указать, могут ли запускаться неподписанные макросы, а также предоставить список доверенных сертификатов, используемых в Вашей сети. Поскольку цифровые сертификаты, которые создали Вы сами, не обладают формальными полномочиями сертификации, подписанные ими макро-проекты относятся к самозаверяющим. Созданные Вами сертификаты считаются неидентифицированными и вызывают появление предупреждающих сообщений, если уровень безопасности установлен как Высокий (High) или Средний (Medium).
Смарт-тэги. Смарт-тэги являются исполняемым кодом, а не элементами ActiveX, поэтому они считаются частью подсистемы защиты от макросов. Когда уровень безопасности для программы установлен как Высокий (High), неподписанные модули смарт-тэгов не загружаются. Если установлен уровень безопасности Средний (Medium), пользователь видит предупреждение о том, что программа получила запрос на выполнение неподписанного кода. Модули смарт-тэгов могут быть заверены цифровой подписью, чтобы работать при высоком уровне защиты от макросов.
Доверенные источники
Обычно пользователи принимают спонтанные решения о том, стоит ли доверять исполняемому файлу. Возможность указания доверенных источников в пакете Office 2003 позволяет администраторам определять, какие файлы должны быть подписаны для запуска на компьютерах пользователей, и что запущены могут быть только файлы, поступившие из списка доверенных источников. Применение функции доверенных источников требует использования цифровых сертификатов для подписи каждого исполняемого файла. Цифровая подпись определяет источник, давая пользователю гарантию безопасного запуска.
Пакет Office 2003, работающий под управлением ОС Microsoft Windows XP и выше, предоставляет дополнительные функциональные возможности для упрощения администрирования доверенных источников. Внесение издателя в список запрещенных позволяет сверить любую цифровую подпись со списком отмененных или просроченных подписей. Если издатель найден в этом списке, исполняемый файл считается недопустимым для установки.
Защита и восстановление данных
Отдельные приложения пакета Office 2003 предоставляют разные методы защиты документов, которые работают совместно и дополняют такие функции уровня операционной системы, как шифрованная файловая система (Encrypting File System, EFS) Microsoft Windows 2000, использование разрешений NTFS и разрешений общего доступа.
Элементы управления доступом к файлам
В приложениях Word 2003, Excel 2003 и PowerPoint 2003 (как и их предшественниках из Office XP) предложены три типа защиты, ограничивающей круг пользователей, которые могут открывать или изменять файл:
Защита открытия файла. Требует от пользователя ввода пароля перед открытием файла. Документ фактически зашифрован (с использованием указанного Вами алгоритма), поэтому не может быть прочитан кем-либо, не знающим пароля.
Защита от изменения файла. Позволяет пользователям открывать документ, но не разрешает изменять или сохранять изменения в нем без введения определенного пароля.
Рекомендован доступ только для чтения. Пользователь получает запрос на открытие документа в режиме «только для чтения», но может выбрать открытие файла в режиме полного доступа без необходимости ввода пароля.
Создатели документов автоматически получают доступ на чтение из своего файла и запись в него.
Примечание. Возможность защиты файла от изменения, а также ограничение доступа с помощью атрибута «только для чтения» не шифруют документ или пароль. Следовательно, защищенные с помощью этих способов документы могут быть взломаны. Если такой риск существует, рекомендуется шифровать документ.
Цифровые подписи и шифрование
Отдельные файлы Word 2003, PowerPoint 2003 и Excel 2003 могут быть подписаны цифровой подписью, зашифрованы или же подписаны и зашифрованы. Необходимые действия можно выбрать на вкладке Безопасность (Security) в окне Параметры (Options) меню Сервис (Tools). Пакет Office 2003 может использовать любого поставщика CryptoAPI, установленного в системе. Зашифрованные с применением CryptoAPI документы не могут быть открыты предыдущими версиями Office.
Удаление личной информации
Метаданные, которые в Office содержат информацию об авторе документа и тех, кто его редактировал, являются полезной частью документа. Программы пакета Office 2003, поддерживающие отслеживание изменений, хранят сведения о том, какие данные были изменены, кем и когда. Эта информация используется как для отображения исправлений, так и для возможности быстро и избирательно объединить исправления с исходным документом.
Эти метаданные, также известные как свойства документа или свойства файла документа, могут быть удалены из файлов Word 2003, PowerPoint 2003 и Excel 2003 перед сохранением. Кроме того, Word 2003 позволяет Вам получать предупреждение при сохранении, распечатке или отправке по почте файла, содержащего метаданные (включая отслеженные изменения и примечания). Это предупреждение носит всего лишь информативный характер – Вам необходимо удалить метаданные самостоятельно, если Вы не хотите их распространять.
Восстановление и автовосстановление данных
Автовосстановление на первый взгляд не выглядит функцией безопасности. Тем не менее, широкое понимание безопасности как «всего, что помогает предотвратить потерю данных» будет обязательно включать эту функцию, впервые представленную в Office XP. Когда программа пакета Office 2003 сталкивается с проблемой и перестает отвечать, окно Восстановление приложения (Application Recovery) позволяет Вам закрыть эту программу вручную. Файлы, над которыми Вы работали, будут проверены на ошибки, а информация в них по возможности будет восстановлена.
Вы можете обезопасить свою работу, используя функцию автовосстановления для регулярного сохранения временной копии файла, над которым Вы работаете. Чтобы иметь возможность восстановления документа после сбоя питания или другой проблемы, Вам необходимо включить функцию автовосстановления до возникновения проблемы. При необходимости Вы можете задать интервал автосохранения, отличный от установленных по умолчанию 10 минут.
Каждый раз, когда программа пакета Office 2003 перезапускается после аварийного завершения, на панели Восстановление документов (Document Recovery) отобразятся все файлы, которые были восстановлены после того, как программа перестала отвечать на запросы. Вы также можете перезапустить программу и продолжить работу с того места, на котором остановились.
Антивирусные интерфейсы API в Office 2003
Предыдущие версии Office включали API для антивирусного программного обеспечения, что позволяло перехватывать процесс открытия файла и сканировать открывающиеся в Office документы. Такая же возможность имеется в приложениях Word 2003, Excel 2003, PowerPoint 2003 и Access 2003. Эта функциональность важна для потребителей, и все больше разработчиков и поставщиков антивирусных программ запрашивают ее. Однако использование разработчиками ПО интерфейса программирования приложений, применяемого на дисковом уровне, может негативно сказываться на быстродействии.
Возможности защиты в отдельных приложениях
Поскольку разные программы пакета Office 2003 имеют разные возможности и назначение, в них доступны различные типы защиты содержимого документов, которые дополняют возможность защиты книг или документов с помощью пароля.
Примите к сведению, что защита от изменений отдельных секций документа описанными ниже методами не дает гарантии безопасности, поскольку защищенные элементы сами по себе не зашифрованы. Коды полей, например, могут быть просмотрены в таком текстовом редакторе, как Блокнот, а скрытые ячейки книги Excel можно просмотреть, скопировав включающий скрытые ячейки диапазон рабочего листа, вставив его в новую таблицу и использовав команду Отобразить (Unhide).
Защита документов в Word 2003
В Word 2003 добавлены новые возможности защиты документов, помимо имеющихся в Office ХР. Как и в Office ХР, Вы можете запретить внесение определенных типов изменений в Ваши документы. В меню Сервис (Tools) выберите пункт Параметры (Options), перейдите на вкладку Безопасность (Security) и нажмите кнопку Установить защиту (Protect Document). Помимо некоторых функциональных возможностей, существовавших в Office XP, защита документов в Office 2003 имеет новые важные особенности:
Ограничения форматирования. Одним из дополнений в Word 2003 является способность защищать форматирование документа, ограничивая его выбором стилей. Это позволяет владельцу документа гарантировать соответствие стилей таблиц и стандартов форматирования. Воспользовавшись ссылкой Настройки (Settings), Вы можете определить конкретные стили, которые будут доступны редакторам документа.
Ограничения редактирования, устанавливаемые индивидуально для каждого пользователя. С помощью панели защиты документов в Word 2003 можно ограничить права редактирования документа аналогично тому, как это было сделано в Office XP. Имеются следующие ограничения редактирования: Не изменять (Только для чтения) (No Changes (Read Only)), Отслеживать изменения (Tracked changes), Примечания (Comments), Формы (Forms) и Секции (Sections). Одним из улучшений по сравнению с Word ХР является возможность ограничения или предоставления доступа на уровне пользователей или групп, что открывает новые возможности для совместной работы. Рассмотрим следующий сценарий: у пользователя есть документ, в который другие пользователи должны добавить информацию, но он не хочет, чтобы его сотрудники изменяли что-либо, кроме предназначенных для них разделов. Вместо рассылки многочисленных копий документа и последующего самостоятельного объединения изменений пользователь может дать каждому сотруднику индивидуальный доступ, разослав один документ, в котором каждый пользователь может изменять только собственные разделы.
Защита книг в Excel 2003
Совместно с парольной защитой и инструментами шифрования файлов Excel 2003 позволяет Вам защищать дополнительные элементы внутри рабочих листов или книг. В меню Сервис | Защита (Tools | Protection) представлены четыре команды:
Команда Защитить лист (Protect Sheet) позволяет защитить ячейки в пределах листа и предотвратить изменения в обычных и защищенных ячейках. Пользователи могут защитить ячейки, используя команду Формат ячеек (Format Cells). Защита листа также позволяет предоставить пользователям доступ только к определенным операциям внутри листа, включая форматирование ячеек, строк и столбцов, вставку и удаление строк и столбцов, изменение или вставку ссылок, а также редактирование объектов различных типов.
Команда Разрешить изменение диапазонов (Allow Users to Edit Ranges) позволяет задать разрешения на доступ и редактирование указанных ячеек и диапазонов защищенного листа для определенных групп пользователей, а также отдельных пользователей и компьютеров.
Команда Защитить книгу (Protect Workbook) позволяет указать пункты, которые Вы хотите защитить в книге, а также назначить пароль для предотвращения снятия защиты неавторизованными пользователями.
Команда Защитить книгу и дать общий доступ (Protect and Share Workbook) предоставляет общий доступ к книге и включает отслеживание изменений. Это позволяет другим пользователям вносить исправления, которые необходимо отслеживать. Тем не менее, Вы можете указать пароль, чтобы отключить отслеживание изменений. Для книги, к которой уже был предоставлен общий доступ, Вы можете включить защиту общего доступа и отслеживание изменений, но не сможете задать пароль до тех пор, пока не отключите общий доступ к ней.
Защита документов в PowerPoint 2003
Как и другие программы пакета Office 2003, PowerPoint 2003 поддерживает настройку уровня защиты от макросов, а также шифрование файлов, добавление цифровых подписей и удаление личной информации из файлов перед их сохранением.
Защита данных в Access 2003
В Access включены следующие методы для управления уровнем доступа к Вашим базам данных и их объектам, который получают пользователи:
Отображение/сокрытие объектов в окне базы данных (Show or hide objects in the Database window). С помощью этого простейшего метода защиты Вы можете скрыть от других пользователей объекты, содержащиеся в вашей базе данных.
Безопасность на уровне пользователя (User-level security). Один из лучших методов защиты базы данных, с помощью которого Вы можете устанавливать различные уровни доступа к важным данным и объектам в Вашей базе. Для доступа к базе данных, которая была защищена этим методом, пользователям необходимо при запуске Access ввести пароль. Access считывает файл информации о рабочей группе, где каждый пользователь идентифицирован по уникальному коду. Уровень доступа и перечень объектов, к которым пользователь имеет доступ, определяются на основании этого идентификационного кода и пароля.
Подписывание баз данных Access (Digital Signatures for Access Databases). В Office 2003 пользователи могут подписывать свои базы данных цифровой подписью, при этом Access вычисляет и сохраняет хэш как для проектов VBA, так и для макросов Access в базе данных.
Пользователь (или ИТ-администратор) указывает один из трех уровней безопасности, которые определяют поведение Access при запуске баз данных. Этот уровень является общим для всех подписанных объектов, которые хранятся в базе данных, включая надстройки СОМ, проекты VBA и макросы. Надстройки СОМ и надстройки для Диспетчера надстроек (Add-in Manager) будут иметь отметку Доверять всем установленным надстройкам и шаблонам (Trust all installed add-ins and templates) на всех уровнях безопасности. При низком уровне безопасности Access будет работать аналогично его предыдущим версиям. При высоком уровне безопасности Access будет открывать только базы данных, которые имеют доверенную цифровую подпись.
Изолированный режим JET ES (JET ES Sandbox). Служба обработки выражений (Expression Service, ES) используется при каждом вычислении выражения в Access. Она в свою очередь вызывает встроенные функции Access, определенные пользователем функции или приложения Visual Basic для вычисления значений.
Эти выражения могут представлять угрозу – вот почему JET выполняется в изолированном режиме. В Access 2003 этот режим позволяет выполнять:
Безопасные функции VBA
Безопасные функции и свойства Access
Доверенные функции, определенные пользователем
Примечание. В изолированном режиме есть ряд ограничений, поэтому некоторые разрешенные приложения Access не будут правильно функционировать. Для их корректной работы пользователь может определить собственные функции, которые будут по очереди вызывать незащищенные функции VBA или Access.
Обеспечение безопасности в Outlook 2003
Outlook 2003 представляет собой важное обновление продукта, включающее новые возможности, улучшенное быстродействие и большее количество улучшений, чем в предыдущих версиях. В Outlook 2003 наряду с функциями безопасности, доступными в Office ХР, включены расширенные возможности защиты управления электронной почтой. Outlook 2003 предоставляет следующие возможности:
Защита вложений. Чтобы предотвратить заражение компьютера вирусами, Outlook 2003 проверяет тип каждого вложенного в сообщение файла, сверяя его с внутренним списком разрешенных типов файлов. Администраторы могут также дополнить список в общей папке Exchange, чтобы клиенты Outlook 2003 в организации имели собственный список. Каждый тип файла в списке относится к одному из уровней:
Уровень 1: такие типы файлов, как .bat, .exe, .vbs и .js, блокируются Outlook 2003, и пользователи не могут ни видеть их, ни получить к ним доступ. В столбце Вложения (Attachment) списка писем папки Входящие (Inbox) отображается значок скрепки, информируя Вас о том, что сообщение имеет вложение, а на информационной панели в верхней части сообщения указывается список заблокированных вложенных файлов.
Уровень 2: все остальные типы файлов. Для таких файлов отображается значок вложения. Двойной щелчок мыши по значку вызывает диалоговое окно сохранения файла, который невозможно запустить прямо из письма. После сохранения вложения Вы можете решить, что с ним делать.
При отправке вложения с файлом, имеющим расширение, которое включено в список ограничений, Outlook отображает предупреждение о том, что Ваши корреспонденты могут не получить доступа к этому типу вложений.
Защита адресной книги. В Outlook 2003 сторонним программам более не предоставляется автоматический доступ к Вашей адресной книге или списку контактов, также им не разрешено отправлять сообщения от Вашего имени. Доступ программ к контактной информации – это «палка о двух концах»: очень полезно позволить некоторым программам (таким как Microsoft ActiveSync® или Palm Desktop) работать с Вашими контактами, но эти же возможности могут быть использованы вирусами или другими вредоносными приложениями для самораспространения.
Если программа пытается получить доступ к Вашей адресной книге Outlook 2003, на экран выводится предупреждение, как показано на Рисунке 1. Вы можете разрешить программе доступ на этот конкретный случай – или можете установить флажок Разрешить доступ на (Allow access for) и выбрать значение времени до 10 минут. Если Вы не хотите давать программе доступ к адресной книге, нажмите кнопку Нет (No).
Рисунок 1 – Outlook 2003 отображает предупреждение о попытке доступа сторонней программы к контактной информации.
Настройки ограниченных узлов. В Outlook 2003 по умолчанию используется зона безопасности Ограниченные узлы (Restricted Sites), что является более предпочтительным, чем зона Интернет (Internet). Исполнение сценариев в зоне ограниченных узлов также по умолчанию отключено. Эта зона безопасности отключает большинство автоматических операций со сценариями и предотвращает открытие элементов ActiveX без разрешения. Эти новые функции безопасности помогают защитить пользователей от многих вирусов, распространяющихся с использованием сценариев. Для получения дополнительной информации о зонах Интернет и Ограниченные узлы обратитесь к статье Использование зон безопасности в обозревателе Internet Explorer (Q174360) базы знаний корпорации Microsoft.
Защита сообщений в формате HTML. Для защиты от вирусов, которые могут содержаться в полученных Вами HTML-сообщениях, сценарии таких сообщений не запускаются, а элементы ActiveX отключаются вне зависимости от настроек Вашей зоны безопасности. Это происходит по той причине, что в Outlook 2003 по умолчанию используется зона безопасности Ограниченные узлы.
Установка СОМ-элементов. Теперь администраторы могут создавать список надстроек СОМ, которым доверяют обновления безопасности и которые могут быть запущены без блокирования системой защиты Outlook 2003. Чтобы Outlook 2003 мог надлежащим образом обрабатывать этот список доверенных СОМ-надстроек, администраторы должны сначала установить элемент на тот компьютер, который они используют для изменения настроек безопасности. Сам элемент не нужно устанавливать на компьютеры конечных пользователей – только на машину администратора.
Защита от спама. Фильтр нежелательной почты использует разработанное подразделением Microsoft Research ядро нейро-решений, которое просматривает всю входящую почту. Письма, являющиеся нежелательными, перемещаются в папку фильтра, но не удаляются автоматически. Фильтр приспосабливается и обучается на Ваших предпочтениях, используя простой обучающий механизм. Пользователь указывает фильтру, какие письма из перемещенных в папку нежелательной почты в действительности были нужными, а какие – спамом. Фильтр использует эту информацию для обработки принимаемых впоследствии сообщений.
Блокирование ссылок на внешние ресурсы. Теперь пользователи могут контролировать, разрешать ли в Outlook 2003 автоматическую загрузку и отображение внешнего содержимого при открытии сообщения в формате HTML. Спам-сообщения часто содержат ссылки на внешние объекты, такие как изображения или звуки. При открытии или просмотре такого сообщения внешнее содержимое загружается, и Ваш адрес e-mail определяется отправителем как реальный, после чего Вы можете стать мишенью для огромного количества нежелательной почты.
Службы Windows SharePoint Services
Интеграция пакета Office 2003 со службами Windows SharePoint Services предоставляет предприятию возможность масштабирования и простоту развертывания. С точки зрения безопасности комбинация Office 2003 и Windows SharePoint Services улучшает управление документами Office, включая контроль версий документов и управление совместной работой над ними. Эта интеграция включает возможность разграничивать доступ к документу на основе групп и отдельных пользователей, а также возможность более гибко настраивать разрешения на уровне библиотеки или списка документов.
Возможности библиотеки документов улучшают работу сотрудников в предоставлении общего доступа и совместной работе над документацией без необходимости жертвовать безопасностью этих документов. Интеграция пакета Office 2003 со встроенными функциями безопасности служб Windows SharePoint Services для ограничения доступа путем индивидуальных и групповых разделений помогает обеспечить безопасную среду для совместной работы над документами.
Примечание. Необходимо наличие Microsoft Windows Server 2003, IIS и SQL Server.
InfoPath
В Office 2003 предлагается два способа развертывания InfoPath с тремя различными уровнями безопасности. Развертывание в изолированном режиме делает формы доступными через веб-сервер или службы Windows SharePoint Services. При этом способе развертывания формы не регистрируются локально; они кэшируются для автономного доступа и обновляются автоматически. Данный метод развертывания для обеспечения максимальной безопасности использует изолированный режим на уровне Internet Explorer.
Второй способ распространения форм InfoPath заключается в их упаковке в пакет установщика Windows и последующем развертывании полученного таким образом MSI-файла. Этот тип развертывания использует регистрацию и доверенные связи для обеспечения безопасности. Он больше подходит для комплексных решений, которые требуют полного доступа к системе.
Заключение
Улучшенная безопасность пакета Office 2003 отражает особое отношение корпорации Microsoft к созданию систем, которые более защищены изначально, более надежны по конструкции и более безопасны в развертывании. В дополнение к широким возможностям безопасности пакет Office 2003 по умолчанию настроен на усиление защиты. Корпорация Microsoft также предоставляет предписывающие руководства, обучение и инструменты, позволяющие клиентам производить развертывание более безопасно.
Для получения дополнительной информации обратитесь к странице: http://www.microsoft.com/office
Приложение А. Важные настройки по умолчанию
Не претендуя на полное описание всех начальных настроек безопасности во всех программах пакета Office 2003, в приведенном ниже списке перечислены новые ключевые настройки.
Как в приложениях Office XP, так и в приложениях Office 2003 уровень безопасности по умолчанию установлен как Высокий (High). Для исполнения код VBA должен быть подписан, а сертификаты должны быть доверенными. Такие же настройки в настоящее время применяются в Project Professional 2003, Publisher 2003 и Visio 2003.
В Access 2003 сервер выражений ядра базы данных теперь по умолчанию запускается в защищенном режиме. Раньше для изменения способа работы механизма Вам необходимо было изменить соответствующий параметр реестра.
В Access 2003 теперь также используется модель безопасности, на основании которой пользователю будут выданы запросы при открытии базы данных с кодом VBA, выражениями и т.д. При этом используется Средний (Medium) уровень безопасности (ради обратной совместимости). Это означает, что пользователю будет выдан запрос, но по умолчанию подпись НЕ требуется.
При загрузке элементов ActiveX, помеченных как небезопасные, программы пакета Office 2003 теперь будут запрашивать пользователя об использовании сохраняющихся (возможно опасных) свойств документа. Для получения такого запроса в предыдущих версиях Office Вам необходимо было задать параметр реестра.
В пакете Office 2003 теперь поддерживается возможность использования бита аннулирования для элементов ActiveX. Элементы с таким битом, указанные в списке Internet Explorer, не инициализируются.
Некоторые элементы ActiveX, входящие в комплект поставки Office (включая таковые для веб-сервисов Office) являются «замкнутыми на сайт» - они могут быть запущены только с указанных сайтов или доменов, принадлежащих среде, в которой используется Office. Это означает, что ошибка в элементе не может быть использована кодом вредоносных веб-сайтов, поскольку они не могут инициализировать этот элемент.
Чтобы иметь возможность исполнять код или позволить компонентам обновиться, решения на основе смарт-документов Word 2003 и Excel 2003 должны быть подписаны, их сертификаты должны быть доверенными, и они должны относиться к зоне доверенных узлов.
Веб-части не могут использоваться в SmartPage на SharePoint до тех пор, пока элемент не установлен и явно не помечен администратором сайта как доверенный для использования.
Службы Windows SharePoint Services по умолчанию используют встроенную проверку подлинности.
Программа улучшения качества ПО по умолчанию отключена.
Решения InfoPath запускаются в изолированном режиме, кроме тех случаев, когда они явно установлены на компьютер пользователя.
В Outlook изначально используется расширенная фильтрация спама.
В Outlook по умолчанию блокируются ссылки на внешние ресурсы, чтобы избежать возможных негативных последствий.
В Word 2003 данные полей или встроенных полей не пересчитываются автоматически.
Все программы пакета Office 2003 теперь используют кэш Internet Explorer для временного размещения файлов. Тем самым мы ограничиваем возможности для атаки зоной Интернет, а не локальным компьютером, что является более предпочтительным с точки зрения безопасности.
Программы Office 2003 теперь отображают запросы в случаях наличия «опасных» URL-адресов. Основная цель такого поведения – предложить защиту, когда адрес скрыт, к примеру, в настройках меню или панели.
Таблицы стилей XSL в Excel теперь связаны с уровнем защиты от макросов, поэтому они не будут просто «запускаться» - и поскольку уровень защиты от макросов по умолчанию Высокий (High), таким же он будет и для XSL. Если быть более точным, то таблицы стилей XSL можно использовать на всех уровнях безопасности, но как только обнаруживается что-либо потенциально опасное, дальнейшая их обработка происходит на максимальном уровне безопасности.
Анонимный доступ в службах Windows SharePoint Services выключен и запрещен по умолчанию.
По умолчанию службы Windows SharePoint Services блокируют большое количество типов файлов, включенных в соответствующий список, что препятствует их загрузке в библиотеки документов. В их число входят файлы с расширениями exe, com и bat.
Службы Windows SharePoint Services и сопроводительные службы по умолчанию запускаются с правами учетной записи NetworkService.
В Excel 2003 функции таблиц запросов и доступа к данным отображают предупреждение для пользователей в момент обновления и автообновления при открытии.
Обсуждение статьи на форуме