Pages

2 mar 2016

Utwardzanie Office 2013, czyli jak uczynić pakiet biurowy bardziej bezpiecznym

Utwardzanie (ang. hardening) to w odniesieniu do bezpieczeństwa teleinformatycznego termin określający zespół działań mających na celu poprawę stanu zabezpieczeń oraz ograniczenie do minimum ryzyka związanego z możliwością ich przełamania. Przy wykorzystaniu złośliwych stron internetowych, wiadomości e-mail ze szkodliwymi załącznikami oraz informatycznych nośników danych zawierających złośliwe oprogramowanie, hackerzy wyłudzają i pozyskują poufne informacje. Proces utwardzania środowisk stacji roboczych, w tym pakietu biurowego jest ważnym krokiem w kierunku poprawy bezpieczeństwa. Nasz dzisiejszy artykuł zawiera zalecenia dotyczące utwardzania pakietu Microsoft Office 2013, a do tego celu wykorzystane zostały szablony administracyjne polis grupowych (ADMX) pozyskane ze strony Microsoft. We wcześniejszych lub późniejszych wersjach pakietu Microsoft Office, mogą występować pewne drobne różnice w nazwach i lokalizacjach ustawień szablonów zabezpieczeń
Przedstawione przez nas ustawienia szablonów ADMX, obsługiwane są od systemu Windows 7 i dotyczą głownie programów Word, Excel, PowerPoint oraz Outlook.

KROK 1 - pozyskanie szablonów (polis grupowych) ADMX

Pobieramy ze strony Microsoft paczkę z polisami dla Office 2013 (najnowsza wersja 15.0.4727.1000 z 18.05.2015 r.):
Wersja dla systemów 32-bitowych (11,2 MB):

https://download.microsoft.com/download/5/8/C/58CA3974-1640-4CFC-A991-3904B3B8939C/admintemplates_32bit.exe
Wersja dla systemów 64-bitowych (11,4 MB):
https://download.microsoft.com/download/5/8/C/58CA3974-1640-4CFC-A991-3904B3B8939C/admintemplates_64bit.exe


Po wybraniu odpowiedniej paczki i pobraniu na dysk twardy, uruchamiamy ją, akceptujemy postanowienia licencyjne i wypakowujemy pliki do wskazanego folderu. Po wypakowaniu i przejściu do katalogu admx zobaczymy pliki z rozszerzeniami .admx oraz foldery:

KROK 2 - instalacja szablonów ADMX

Instalacja ogranicza się do skopiowania plików z rozszerzeniem .admx i folderu z wybranym językiem do odpowiedniego katalogu na stacji roboczej lub serwerze z kontrolerem domeny. Jak już zapewne zauważyliście, brak katalogu pl-pl oznacza, że ustawienia szablonów nie zostały opisane w języku polskim. My skorzystamy z wersji angielskiej oraz pokażemy jak przeprowadzić utwardzanie na lokalnej stacji roboczej, niepodłączonej do domeny. W zależności od wykorzystania szablonów - na lokalnej stacji roboczej lub serwerze z kontrolerem domeny - pliki .admx oraz folder en-us muszą zostać skopiowane do odpowiedniego katalogu. 
W przypadku instalacji polis grupowych ADMX na lokalnej stacji, wszystkie pliki z rozszerzeniem .admx z katalogu admx muszą zostać skopiowane do katalogu: C:\Windows\PolicyDefinitions, natomiast wszystkie pliki .adml z katalogu en-us muszą zostać skopiowane do katalogu: C:\Windows\PolicyDefinitions\en-US
[Komentarz]:
W przypadku potrzeby wykorzystania polis grupowych ADMX dla Office 2013 na serwerze z kontrolerem domeny, powyższe pliki należy skopiować analogicznie do katalogu: C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions oraz użyć narzędzia Group Policy Management Editor w celu ich konfiguracji.

Po skopiowaniu plików, uruchamiamy na naszej stacji roboczej narzędzie edytora lokalnych zasad grupy (uruchom: gpedit.msc) i rozwijamy gałęzie jak przedstawiono poniżej na obrazku:
W przypadku prawidłowej instalacji polis ADMX, w gałęziach "Szablony administracyjne" pojawią się gałęzie z ustawieniami dla pakietu biurowego Office 2013.

KROK 3 -  implementacja ustawień w edytorze lokalnych zasad grupy (gpedit.msc) 

W poniższych tabelach przedstawiliśmy podstawowe ustawienia związane z utwardzaniem pakietu Microsoft Office 2013. Wszystkie ustawienia należy konfigurować poprzez narzędzie gpedit.msc, szukając odpowiednich gałęzi i zmieniając lub wybierając odpowiednią wartość.

1. ZAGADNIENIA NAJWIĘKSZEJ WAGI
[Komentarz]:
Makra w pakiecie biurowym Office mogą być wykorzystywane w organizacji np. do automatyzacji najczęściej podejmowanych działań, ale pamiętajmy o tym, że mogą być również wykorzystane przez hakera w celu uzyskania nieautoryzowanego dostępu do poufnych informacji lub wykonania złośliwego kodu na komputerze ofiary. Domyślnie w pakiecie Office użytkownicy mogą zezwolić na wykonanie niezaufanego makra, po pojawieniu się komunikatu (powiadomienia) i wybraniu odpowiedniej opcji. Celem skutecznego utwardzenia pakietu Microsoft Office 2013, przyjęliśmy zasadę, iż wszystkie makra są wyłączone, bez powiadamiania.



Nazwa polisy grupowej
Zalecana wartość
User Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel Options\Security\Trust Center
Trust Access to Visual Basic Project
Disabled
VBA Macro Notification Settings
Enabled

Disable all without notification
User Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel Options\Security\Trust Center\Trusted Locations
Allow Trusted Locations on the network
Disabled
Disable all trusted locations
Enabled
User Configuration\Policies\Administrative Templates\Microsoft Office 2013\Security Settings
Automation Security
Enabled

Set the Automation Security Level: Use application macro security level
User Configuration\Policies\Administrative Templates\Microsoft Office 2013\Security Settings\Trust Center
Allow mix of policy and user locations
Disabled
User Configuration\Policies\Administrative Templates\Microsoft Outlook 2013\Security\Trust Center
Apply macro security settings to macros, add-ins and additional actions
Enabled

Security setting for macros
Enabled

Security Level: Never warn, disable all
User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\PowerPoint Options\Security\Trust Center
Trust Access to Visual Basic Project
Disabled
VBA Macro Notification Settings
Enabled

Disable all without notification
User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\PowerPoint Options\Security\Trust Center\Trusted Locations
Allow Trusted Locations on the network
Disabled
Disable all trusted locations
Enabled
User Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word Options\Security\Trust Center
Trust Access to Visual Basic Project
Disabled
VBA Macro Notification Settings
Enabled

Disable all without notification
User Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word Options\Security\Trust Center\Trusted Locations
Allow Trusted Locations on the network
Disabled
Disable all trusted locations
Enabled

Przykład poprawnego ustawienia dwóch pierwszych wartości z powyższej tabeli:

2. ZAGADNIENIA ŚREDNIEJ WAGI
[Komentarz]:
Zagadnienia, których odpowiednie użycie na stacji roboczej może umożliwić atakującemu wykorzystanie podatności, ale nie prowadzą one do uzyskania natychmiastowego dostępu do uprzywilejowanych kont, zasobów lub też poufnych informacji.


Nazwa polisy grupowej
Zalecana wartość
User Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel Options\Security\Trust Center
Turn off trusted documents
Enabled
Turn off Trusted Documents on the network
Enabled
User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\PowerPoint Options\Security\Trust Center
Turn off trusted documents
Enabled
Turn off Trusted Documents on the network
Enabled
User Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word Options\Security\Trust Center
Turn off trusted documents
Enabled
Turn off Trusted Documents on the network
Enabled
User Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel Options\Security\Trust Center
Disable all application add-ins
Enabled
Disable Trust Bar Notification for unsigned application add-ins and block them
Not configured
Require that application add-ins are signed by Trusted Publisher
Not configured
User Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel Options\Security\Trust Center\Trusted Locations
Allow Trusted Locations on the network
Disabled
Disable all trusted locations
Enabled
User Configuration\Policies\Administrative Templates\Microsoft Office 2013\Security Settings\Trust Center
Allow mix of policy and user locations
Disabled
User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\PowerPoint Options\Security\Trust Center
Disable all application add-ins
Enabled
Disable Trust Bar Notification for unsigned application add-ins and block them
Not configured
Require that application add-ins are signed by Trusted Publisher
Not configured
User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\ PowerPoint Options\Security\Trust Center\Trusted Locations
Allow Trusted Locations on the network
Disabled
Disable all trusted locations
Enabled
User Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word Options\Security\Trust Center
Disable all application add-ins
Enabled
Disable Trust Bar Notification for unsigned application add-ins and block them
Not configured
Require that application add-ins are signed by Trusted Publisher
Not configured
User Configuration\Policies\Administrative Templates\Microsoft Word 2013\ Word Options\Security\Trust Center\Trusted Locations
Allow Trusted Locations on the network
Disabled
Disable all trusted locations
Enabled
User Configuration\Policies\Administrative Templates\Microsoft Office 2013\Security Settings
Disable All ActiveX
Enabled
User Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel Options\Security
Turn off file validation
Disabled
User Configuration\Policies\Administrative Templates\Microsoft Office 2013\Security Settings
Turn off error reporting for files that fail file validation
Enabled
User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\PowerPoint Options\Security
Turn off file validation
Disabled
User Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word Options\Security
Turn off file validation
Disabled
User Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel Options\Security\Trust Center\Protected View
Do not open files from the Internet Zone in Protected View
Disabled
Do not open files in unsafe locations in Protected View
Disabled
Set document behaviour if file validation fails
Enabled

Block files completely
Turn off Protected View for attachments opened from Outlook
Disabled
User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\PowerPoint Options\Security\Trust Center\Protected View
Do not open files from the Internet Zone in Protected View
Disabled
Do not open files in unsafe locations in Protected View
Disabled
Set document behaviour if file validation fails
Enabled

Block files completely
Turn off Protected View for attachments opened from Outlook
Disabled
User Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word Options\Security\Trust Center\Protected View
Do not open files from the Internet Zone in Protected View
Disabled
Do not open files in unsafe locations in Protected View
Disabled
Set document behaviour if file validation fails
Enabled

Block files completely
Turn off Protected View for attachments opened from Outlook
Disabled
User Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel Options\Security
Force file extension to match file type
Enabled

Always match file type
User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\PowerPoint Options\Security
Force file extension to match file type
Enabled

Always match file type
User Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word Options\Security
Force file extension to match file type
Enabled

Always match file type
User Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel Options\Security\Trust Center\File Block Settings
dBase III / IV files
Enabled

File block setting: Block
Dif and Sylk files
Enabled

File block setting: Block
Excel 2 macrosheets and add-in files
Enabled

File block setting: Block
Excel 2 worksheets
Enabled

File block setting: Block
Excel 2007 and later add-in files
Enabled

File block setting: Block
Excel 2007 and later binary workbooks
Enabled

File block setting: Block
Excel 2007 and later macro-enabled workbooks and templates
Enabled

File block setting: Block
Excel 3 macrosheets and add-in files
Enabled

File block setting: Block
Excel 3 worksheets
Enabled

File block setting: Block
Excel 4 macrosheets and add-in files
Enabled

File block setting: Block
Excel 4 workbooks
Enabled

File block setting: Block
Excel 4 worksheets
Enabled

File block setting: Block
Excel 95 workbooks
Enabled

File block setting: Block
Excel 95-97 workbooks and templates
Enabled

File block setting: Block
Excel 97-2003 add-in files
Enabled

File block setting: Block
Excel 97-2003 workbooks and templates
Enabled

File block setting: Block
Set default file block behavior
Enabled

Blocked files are not opened
User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\PowerPoint Options\Security\Trust Center\File Block Settings
PowerPoint 97-2003 presentations, shows, templates and add-in files
Enabled

File block setting: Block
PowerPoint beta files
Enabled

File block setting: Block
Set default file block behavior
Enabled

Blocked files are not opened
User Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word Options\Security\Trust Center\File Block Settings
Set default file block behavior
Enabled

Blocked files are not opened
Word 2 and earlier binary documents and templates
Enabled

File block setting: Block
Word 2000 binary documents and templates
Enabled

File block setting: Block
Word 2003 binary documents and templates
Enabled

File block setting: Block
Word 2007 binary and later binary documents and templates
Enabled

File block setting: Block
Word 6.0 binary documents and templates
Enabled

File block setting: Block
Word 95 binary documents and templates
Enabled

File block setting: Block
Word 97 binary documents and templates
Enabled

File block setting: Block
Word XP binary documents and templates
Enabled

File block setting: Block
User Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\PowerPoint Options\Security
Make hidden markup visible
Enabled
User Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word Options\Security
Make hidden markup visible
Enabled

3. ZAGADNIENIA MNIEJSZEJ WAGI
[Komentarz]:
Zagadnienia, których nieodpowiednia konfiguracja w połączeniu z innymi podatnościami mogą prowadzić do zwiększenia ryzyka dla stacji roboczej.


Nazwa polisy grupowej
Zalecana wartość
User Configuration\Policies\Administrative Templates\Microsoft Office 2013\Privacy\Trust Center
Allow including screenshot with Office Feedback
Disabled
Automatically receive small updates to improve reliability
Disabled
Disable Opt-in Wizard on first run
Enabled
Enable Customer Experience Improvement Program
Disabled
Send Office Feedback
Disabled
User Configuration\Policies\Administrative Templates\Microsoft Office 2013\Security Settings\Trust Center\Trusted Catalogs
Allow Unsecure Apps and Catalogs
Disabled


To już wszystkie podstawowe ustawienia, nad którymi warto się pochylić. Po konfiguracji wszystkich wartości uruchom ponownie swoją stację roboczą aby je zaimplementować. 

Przygotowaliśmy także pełny spis powyższych ustawień w formie jednego pliku PDF, który możecie pobrać stąd:
https://drive.google.com/file/d/0B17RLpQ4vqUzb24zSlRtSmN1cTQ/view?usp=sharing


Nalezy mieć świadomość, że powyższy poradnik nie gwarantuje bezpieczeństwa, tylko je w pewnym stopniu zwiększa. Żaden proces utwardzania nie zastąpi zdrowego rozsądku i rozwagi podczas codziennej pracy.

3 komentarze:

  1. Utworzyliście wreszcie bardziej skrótową nazwę domeny: zawszeczujni.pl :)

    OdpowiedzUsuń
  2. Teraz łatwiej nas zapamiętać ;)

    OdpowiedzUsuń
  3. świetny blogo bezpieczeństwie. Będę odwiedzać was regularnie.

    OdpowiedzUsuń