Иллюстрированный самоучитель по настройке Office 2003

Повышение уровня защиты системы

Последние изменения в компонентах безопасности Microsoft® Office 2003 привели к изменениям в процессе установки пакета приложений Office. Теперь в состав стандартной конфигурации Office входят другие методы хранения и принятия сертификатов доверия, а также большее количество административных функций для ограничения запуска элементов управления ActiveX®. Для управления запуском элементов ActiveX теперь можно использовать шесть параметров.

Существуют также и другие улучшения на уровне исходного кода, обеспечивающие защиту от переполнения буфера и защиту при работе с вложениями сообщений электронной почты. Хотя эти улучшения не столь очевидны, они помогают повысить уровень защиты системы при установке пакета Office и во время работы его приложений.

Но даже с учетом всех нововведений администраторам необходимо настраивать установку Office в соответствии с требованиями безопасности организации. Для этого администраторы должны проводить тщательное тестирование конфигурации Office. Кроме этого может потребоваться полная проверка всех средств Office, с помощью которых осуществляется доступ к сети Интернет, работа с паролями, электронной почтой и вложениями, а также запуск элементов управления ActiveX, надстроек и макросов.

Безусловно, приложения Office защищены лишь настолько, насколько защищены сеть и операционная система, и насколько надежны пароли доступа к данным, созданным с помощью этих приложений. В этой статье излагаются основные моменты, связанные с безопасностью Office, а также рассказывается о том, каким образом можно повысить уровень безопасности системы с помощью встроенных возможностей, внеся лишь небольшие изменения в процесс развертывания и использования Office на компьютерах пользователей.

Проверка компонентов Office, подверженных уязвимости

Существует несколько компонентов Office 2003, подверженных потенциальным уязвимостям. Особенно уязвимыми считаются приложения, имеющие возможность доступа к сети Интернет или к локальной сети. Установленные антивирусные программы снижают риск, связанный с доступом к локальным или глобальным сетям, но при этом необходимо также обеспечить защиту внутренних ресурсов от атак, производимых извне. Этого можно достичь несколькими путями: поддерживать в актуальном состоянии антивирусные базы, запретить доступ к нежелательным веб-узлам с помощью прокси-сервера (брандмауэра), закрыть внешние порты TCP/IP или ограничить их использование.

Администраторы могут также запретить доступ к определенным функциям и параметрам приложений Office 2003. Для этого им необходимо ознакомиться с содержимым шаблонов системных политик (ADM-файлов) каждого приложения Office 2003, а также с системными политиками операционной системы и определить, какие из них наилучшим образом подходят для решения задач по обеспечению безопасности вычислительной среды организации.

Проверка программного обеспечения сторонних разработчиков

Исполняемые файлы сторонних разработчиков всегда должны иметь действительную цифровую подпись, являющуюся частью сертификата, выданного центром сертификации. Если приобретенный программный продукт не имеет действительного сертификата доверия, устанавливать этот продукт не рекомендуется. В случае, если неподписанное программное обеспечение должно быть установлено, его необходимо протестировать и только потом распространять среди пользователей организации. Во время тестирования необходимо тщательно проверить работу приложения и убедиться, что оно работает так, как предполагается и не приводит к умышленному либо случайному распространению компьютерных вирусов.

Примечание
При активации или установке любого исполняемого файла из приложений Office пользователи обычно получают запрос на принятие сертификата доверия для этого файла. Если при установке или запуске нового исполняемого файла пользователь не получает такого запроса, то, вероятно, сертификат уже был принят ранее, или же в приложении Office установлен уровень защиты от макросов Низкая (Low)
.

Сокращение числа уязвимостей

Снижение вероятности атак злоумышленников частично достигается путем сокращения до минимума числа уязвимостей вычислительной системы, а также путем установки и своевременного обновления антивирусного программного обеспечения. Эти методы защиты могут изменить установленные в организации правила и способы использования программного обеспечения. Такими методами могут являться:

  • Установка и настройка брандмауэра (прокси-сервера).
  • Использование паролей для доступа к сетевым ресурсам.
  • Защита паролем и управление правами доступа к серверам и общим ресурсам корпоративной сети.

Каждый из этих методов является очень важным шагом к снижению угрозы безопасности системы. Тем не менее, в большинстве случаев рекомендуется проводить обучение пользователей и объяснять им, какие методы использования информации являются безопасными, а какие – нет. Обучение пользователей безопасным методам работы является первым шагом на пути к обеспечению защиты вычислительной среды. Если пользователи знают о том, что они не должны открывать подозрительные электронные сообщения или запускать неизвестные программы, загруженные из Интернета или принесенные из дома, риск проникновения в систему компьютерных вирусов, червей и троянских программ снижается.

Существуют и другие методы защиты от атак злоумышленников. Эти методы предполагают установку только необходимого для работы программного обеспечения и использование только необходимых для работы функций.

Удаление неиспользуемых компонентов Office

Если приложение Office по умолчанию включено в установку, но использовать его не планируется, установите для него параметр Not Available (Компонент недоступен) или Not Available, Hidden, Locked в мастере Custom Installation Wizard или Custom Maintenance Wizard. Большинство задач по настройке конфигурации Office должно выполняться до начала его развертывания на компьютерах пользователей. Для проверки различных конфигураций Office необходимо использовать тестовый компьютер. После того, как Вы настроите подходящую конфигурацию, Все необходимые изменения должны быть включены в файл преобразования, который используется для установки Office. Для внесений изменений в конфигурацию уже установленного пакета Office используйте мастер Custom Maintenance Wizard.

Дополнительная защита компонентов вычислительной среды

Любые компоненты вычислительной среды, имеющие возможность доступа к ресурсам локальной сети или сети Интернет, а также к данным, содержащимся на внешних носителях, являются уязвимыми для атак злоумышленников. В шаблонах групповых политик, которые доступны из оснастки Групповая политика (Group Policy), содержатся несколько политик, помогающих повысить степень защищенности операционной системы. Все процессы, диалоги и параметры, с помощью которых предоставляется доступ к потенциально небезопасным компонентам, должны быть проверены на предмет соответствия политикам информационной безопасности организации. Некоторые групповые политики содержатся в шаблонах system.adm, conf.adm и inetres.adm, расположенных в папках "%windir%\system32\grouppolicy\adm" или "%windir%\inf".

Цифровое подписывание документов с помощью самостоятельно созданных макросов

Использование цифрового подписывания документов помогает повысить степень их надежности, поскольку в этом случае пользователи располагают информацией о происхождении того или иного документа. Если в Вашей организации используется цифровое подписывание документов, Вы можете использовать собственный макрос для отслеживания появления диалогового окна Сохранить как (Save As) и выполнения метода ActiveDocument.Signatures.Add. Этот метод вызывает диалоговое окно цифрового подписывания документа, в котором пользователь должен выбрать цифровую подпись перед сохранением документа. Для использования метода Signatures.Add у Вас должны иметься цифровые подписи, выпущенные центром сертификации.

Автор: Артем Жауров aka Borodunter
Материалы взяты с сайта OSzone.net.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.