Utwardzanie (ang. hardening) to w odniesieniu do bezpieczeństwa teleinformatycznego termin określający zespół działań mających na celu poprawę stanu zabezpieczeń oraz ograniczenie do minimum ryzyka związanego z możliwością ich przełamania. Przy wykorzystaniu złośliwych stron internetowych, wiadomości e-mail ze szkodliwymi załącznikami oraz informatycznych nośników danych zawierających złośliwe oprogramowanie, hackerzy wyłudzają i pozyskują poufne informacje. Proces utwardzania środowisk stacji roboczych, w tym pakietu biurowego jest ważnym krokiem w kierunku poprawy bezpieczeństwa. Nasz dzisiejszy artykuł zawiera zalecenia dotyczące utwardzania pakietu Microsoft Office 2013, a do tego celu wykorzystane zostały szablony administracyjne polis grupowych (ADMX) pozyskane ze strony Microsoft. We wcześniejszych lub późniejszych wersjach pakietu Microsoft Office, mogą występować pewne drobne różnice w nazwach i lokalizacjach ustawień szablonów zabezpieczeń.
Przedstawione przez nas ustawienia szablonów ADMX, obsługiwane są od systemu Windows 7 i dotyczą głownie programów Word, Excel, PowerPoint oraz Outlook.
KROK 1 - pozyskanie szablonów (polis grupowych) ADMX
Pobieramy ze strony Microsoft paczkę z polisami dla Office 2013 (najnowsza wersja 15.0.4727.1000 z 18.05.2015 r.):
Wersja dla systemów 32-bitowych (11,2 MB):
https://download.microsoft.com/download/5/8/C/58CA3974-1640-4CFC-A991-3904B3B8939C/admintemplates_32bit.exe
Wersja dla systemów 64-bitowych (11,4 MB):
https://download.microsoft.com/download/5/8/C/58CA3974-1640-4CFC-A991-3904B3B8939C/admintemplates_64bit.exe
Po wybraniu odpowiedniej paczki i pobraniu na dysk twardy, uruchamiamy ją, akceptujemy postanowienia licencyjne i wypakowujemy pliki do wskazanego folderu. Po wypakowaniu i przejściu do katalogu admx zobaczymy pliki z rozszerzeniami .admx oraz foldery:
KROK 2 - instalacja szablonów ADMX
Instalacja ogranicza się do skopiowania plików z rozszerzeniem .admx i folderu z wybranym językiem do odpowiedniego katalogu na stacji roboczej lub serwerze z kontrolerem domeny. Jak już zapewne zauważyliście, brak katalogu pl-pl oznacza, że ustawienia szablonów nie zostały opisane w języku polskim. My skorzystamy z wersji angielskiej oraz pokażemy jak przeprowadzić utwardzanie na lokalnej stacji roboczej, niepodłączonej do domeny. W zależności od wykorzystania szablonów - na lokalnej stacji roboczej lub serwerze z kontrolerem domeny - pliki .admx oraz folder en-us muszą zostać skopiowane do odpowiedniego katalogu.
W przypadku instalacji polis grupowych ADMX na lokalnej stacji, wszystkie pliki z rozszerzeniem .admx z katalogu admx muszą zostać skopiowane do katalogu: C:\Windows\PolicyDefinitions, natomiast wszystkie pliki .adml z katalogu en-us muszą zostać skopiowane do katalogu: C:\Windows\PolicyDefinitions\en-US
[Komentarz]:
W przypadku potrzeby wykorzystania polis grupowych ADMX dla Office 2013 na serwerze z kontrolerem domeny, powyższe pliki należy skopiować analogicznie do katalogu: C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions oraz użyć narzędzia Group Policy Management Editor w celu ich konfiguracji.
Po skopiowaniu plików, uruchamiamy na naszej stacji roboczej narzędzie edytora lokalnych zasad grupy (uruchom: gpedit.msc) i rozwijamy gałęzie jak przedstawiono poniżej na obrazku:
W przypadku prawidłowej instalacji polis ADMX, w gałęziach "Szablony administracyjne" pojawią się gałęzie z ustawieniami dla pakietu biurowego Office 2013.
KROK 3 - implementacja ustawień w edytorze lokalnych zasad grupy (gpedit.msc)
W poniższych tabelach przedstawiliśmy podstawowe ustawienia związane z utwardzaniem pakietu Microsoft Office 2013. Wszystkie ustawienia należy konfigurować poprzez narzędzie gpedit.msc, szukając odpowiednich gałęzi i zmieniając lub wybierając odpowiednią wartość.
1. ZAGADNIENIA NAJWIĘKSZEJ WAGI
[Komentarz]:
Makra w pakiecie biurowym Office mogą być wykorzystywane w organizacji np. do automatyzacji najczęściej podejmowanych działań, ale pamiętajmy o tym, że mogą być również wykorzystane przez hakera w celu uzyskania nieautoryzowanego dostępu do poufnych informacji lub wykonania złośliwego kodu na komputerze ofiary. Domyślnie w pakiecie Office użytkownicy mogą zezwolić na wykonanie niezaufanego makra, po pojawieniu się komunikatu (powiadomienia) i wybraniu odpowiedniej opcji. Celem skutecznego utwardzenia pakietu Microsoft Office 2013, przyjęliśmy zasadę, iż wszystkie makra są wyłączone, bez powiadamiania.
W przypadku instalacji polis grupowych ADMX na lokalnej stacji, wszystkie pliki z rozszerzeniem .admx z katalogu admx muszą zostać skopiowane do katalogu: C:\Windows\PolicyDefinitions, natomiast wszystkie pliki .adml z katalogu en-us muszą zostać skopiowane do katalogu: C:\Windows\PolicyDefinitions\en-US
[Komentarz]:
W przypadku potrzeby wykorzystania polis grupowych ADMX dla Office 2013 na serwerze z kontrolerem domeny, powyższe pliki należy skopiować analogicznie do katalogu: C:\Windows\SYSVOL\domain\Policies\PolicyDefinitions oraz użyć narzędzia Group Policy Management Editor w celu ich konfiguracji.
Po skopiowaniu plików, uruchamiamy na naszej stacji roboczej narzędzie edytora lokalnych zasad grupy (uruchom: gpedit.msc) i rozwijamy gałęzie jak przedstawiono poniżej na obrazku:
W przypadku prawidłowej instalacji polis ADMX, w gałęziach "Szablony administracyjne" pojawią się gałęzie z ustawieniami dla pakietu biurowego Office 2013.
KROK 3 - implementacja ustawień w edytorze lokalnych zasad grupy (gpedit.msc)
W poniższych tabelach przedstawiliśmy podstawowe ustawienia związane z utwardzaniem pakietu Microsoft Office 2013. Wszystkie ustawienia należy konfigurować poprzez narzędzie gpedit.msc, szukając odpowiednich gałęzi i zmieniając lub wybierając odpowiednią wartość.
1. ZAGADNIENIA NAJWIĘKSZEJ WAGI
[Komentarz]:
Makra w pakiecie biurowym Office mogą być wykorzystywane w organizacji np. do automatyzacji najczęściej podejmowanych działań, ale pamiętajmy o tym, że mogą być również wykorzystane przez hakera w celu uzyskania nieautoryzowanego dostępu do poufnych informacji lub wykonania złośliwego kodu na komputerze ofiary. Domyślnie w pakiecie Office użytkownicy mogą zezwolić na wykonanie niezaufanego makra, po pojawieniu się komunikatu (powiadomienia) i wybraniu odpowiedniej opcji. Celem skutecznego utwardzenia pakietu Microsoft Office 2013, przyjęliśmy zasadę, iż wszystkie makra są wyłączone, bez powiadamiania.
Nazwa
polisy grupowej
|
Zalecana
wartość
|
User
Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel
Options\Security\Trust Center
|
|
Trust Access to Visual Basic
Project
|
Disabled
|
VBA Macro Notification
Settings
|
Enabled
Disable
all without notification
|
User
Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel
Options\Security\Trust Center\Trusted Locations
|
|
Allow Trusted Locations on
the network
|
Disabled
|
Disable all trusted locations
|
Enabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Office
2013\Security Settings
|
|
Automation Security
|
Enabled
Set
the Automation Security Level: Use application macro security level
|
User
Configuration\Policies\Administrative Templates\Microsoft Office
2013\Security Settings\Trust Center
|
|
Allow mix of policy and user
locations
|
Disabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Outlook
2013\Security\Trust Center
|
|
Apply macro security settings
to macros, add-ins and additional actions
|
Enabled
|
Security setting for macros
|
Enabled
Security
Level: Never warn, disable all
|
User
Configuration\Policies\Administrative Templates\Microsoft PowerPoint
2013\PowerPoint Options\Security\Trust Center
|
|
Trust Access to Visual Basic
Project
|
Disabled
|
VBA Macro Notification
Settings
|
Enabled
Disable
all without notification
|
User
Configuration\Policies\Administrative Templates\Microsoft PowerPoint
2013\PowerPoint Options\Security\Trust Center\Trusted Locations
|
|
Allow Trusted Locations on
the network
|
Disabled
|
Disable all trusted locations
|
Enabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word
Options\Security\Trust Center
|
|
Trust Access to Visual Basic
Project
|
Disabled
|
VBA Macro Notification
Settings
|
Enabled
Disable
all without notification
|
User
Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word
Options\Security\Trust Center\Trusted Locations
|
|
Allow Trusted Locations on
the network
|
Disabled
|
Disable all trusted locations
|
Enabled
|
Przykład poprawnego ustawienia dwóch pierwszych wartości z powyższej tabeli:
2. ZAGADNIENIA ŚREDNIEJ WAGI
[Komentarz]:
Zagadnienia, których odpowiednie użycie na stacji roboczej może umożliwić atakującemu wykorzystanie podatności, ale nie prowadzą one do uzyskania natychmiastowego dostępu do uprzywilejowanych kont, zasobów lub też poufnych informacji.
Zagadnienia, których odpowiednie użycie na stacji roboczej może umożliwić atakującemu wykorzystanie podatności, ale nie prowadzą one do uzyskania natychmiastowego dostępu do uprzywilejowanych kont, zasobów lub też poufnych informacji.
Nazwa polisy
grupowej
|
Zalecana
wartość
|
User
Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel
Options\Security\Trust Center
|
|
Turn off trusted documents
|
Enabled
|
Turn off Trusted Documents on
the network
|
Enabled
|
User
Configuration\Policies\Administrative Templates\Microsoft PowerPoint
2013\PowerPoint Options\Security\Trust Center
|
|
Turn off trusted documents
|
Enabled
|
Turn off Trusted Documents on
the network
|
Enabled
|
User Configuration\Policies\Administrative
Templates\Microsoft Word 2013\Word Options\Security\Trust Center
|
|
Turn off trusted documents
|
Enabled
|
Turn off Trusted Documents on
the network
|
Enabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel
Options\Security\Trust Center
|
|
Disable all application
add-ins
|
Enabled
|
Disable Trust Bar
Notification for unsigned application add-ins and block them
|
Not configured
|
Require that application
add-ins are signed by Trusted Publisher
|
Not configured
|
User
Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel
Options\Security\Trust Center\Trusted Locations
|
|
Allow Trusted Locations on
the network
|
Disabled
|
Disable all trusted locations
|
Enabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Office 2013\Security
Settings\Trust Center
|
|
Allow mix of policy and user
locations
|
Disabled
|
User
Configuration\Policies\Administrative Templates\Microsoft PowerPoint
2013\PowerPoint Options\Security\Trust Center
|
|
Disable all application
add-ins
|
Enabled
|
Disable Trust Bar
Notification for unsigned application add-ins and block them
|
Not configured
|
Require that application
add-ins are signed by Trusted Publisher
|
Not configured
|
User
Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\
PowerPoint Options\Security\Trust Center\Trusted Locations
|
|
Allow Trusted Locations on
the network
|
Disabled
|
Disable all trusted locations
|
Enabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word
Options\Security\Trust Center
|
|
Disable all application
add-ins
|
Enabled
|
Disable Trust Bar
Notification for unsigned application add-ins and block them
|
Not configured
|
Require that application
add-ins are signed by Trusted Publisher
|
Not configured
|
User
Configuration\Policies\Administrative Templates\Microsoft Word 2013\ Word
Options\Security\Trust Center\Trusted Locations
|
|
Allow Trusted Locations on
the network
|
Disabled
|
Disable all trusted locations
|
Enabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Office 2013\Security
Settings
|
|
Disable All ActiveX
|
Enabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel
Options\Security
|
|
Turn off file validation
|
Disabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Office
2013\Security Settings
|
|
Turn off error reporting for
files that fail file validation
|
Enabled
|
User
Configuration\Policies\Administrative Templates\Microsoft PowerPoint
2013\PowerPoint Options\Security
|
|
Turn off file validation
|
Disabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word
Options\Security
|
|
Turn off file validation
|
Disabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel
Options\Security\Trust Center\Protected View
|
|
Do not open files from the
Internet Zone in Protected View
|
Disabled
|
Do not open files in unsafe
locations in Protected View
|
Disabled
|
Set document behaviour if
file validation fails
|
Enabled
Block files completely
|
Turn off Protected View for
attachments opened from Outlook
|
Disabled
|
User
Configuration\Policies\Administrative Templates\Microsoft PowerPoint 2013\PowerPoint
Options\Security\Trust Center\Protected View
|
|
Do not open files from the
Internet Zone in Protected View
|
Disabled
|
Do not open files in unsafe
locations in Protected View
|
Disabled
|
Set document behaviour if
file validation fails
|
Enabled
Block files completely
|
Turn off Protected View for
attachments opened from Outlook
|
Disabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word
Options\Security\Trust Center\Protected View
|
|
Do not open files from the
Internet Zone in Protected View
|
Disabled
|
Do not open files in unsafe
locations in Protected View
|
Disabled
|
Set document behaviour if
file validation fails
|
Enabled
Block files completely
|
Turn off Protected View for
attachments opened from Outlook
|
Disabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel
Options\Security
|
|
Force file extension to match
file type
|
Enabled
Always match file type
|
User
Configuration\Policies\Administrative Templates\Microsoft PowerPoint
2013\PowerPoint Options\Security
|
|
Force file extension to match
file type
|
Enabled
Always match file type
|
User
Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word
Options\Security
|
|
Force file extension to match
file type
|
Enabled
Always match file type
|
User
Configuration\Policies\Administrative Templates\Microsoft Excel 2013\Excel
Options\Security\Trust Center\File Block Settings
|
|
dBase III / IV files
|
Enabled
File block setting: Block
|
Dif and Sylk files
|
Enabled
File block setting: Block
|
Excel 2 macrosheets and
add-in files
|
Enabled
File block setting: Block
|
Excel 2 worksheets
|
Enabled
File block setting: Block
|
Excel 2007 and later add-in
files
|
Enabled
File block setting: Block
|
Excel 2007 and later binary
workbooks
|
Enabled
File block setting: Block
|
Excel 2007 and later
macro-enabled workbooks and templates
|
Enabled
File block setting: Block
|
Excel 3 macrosheets and
add-in files
|
Enabled
File block setting: Block
|
Excel 3 worksheets
|
Enabled
File block setting: Block
|
Excel 4 macrosheets and
add-in files
|
Enabled
File block setting: Block
|
Excel 4 workbooks
|
Enabled
File block setting: Block
|
Excel 4 worksheets
|
Enabled
File block setting: Block
|
Excel 95 workbooks
|
Enabled
File block setting: Block
|
Excel 95-97 workbooks and
templates
|
Enabled
File block setting: Block
|
Excel 97-2003 add-in files
|
Enabled
File block setting: Block
|
Excel 97-2003 workbooks and
templates
|
Enabled
File block setting: Block
|
Set default file block
behavior
|
Enabled
Blocked files are not opened
|
User Configuration\Policies\Administrative
Templates\Microsoft PowerPoint 2013\PowerPoint Options\Security\Trust
Center\File Block Settings
|
|
PowerPoint 97-2003
presentations, shows, templates and add-in files
|
Enabled
File block setting: Block
|
PowerPoint beta files
|
Enabled
File block setting: Block
|
Set default file block
behavior
|
Enabled
Blocked files are not opened
|
User
Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word
Options\Security\Trust Center\File Block Settings
|
|
Set default file block
behavior
|
Enabled
Blocked files are not opened
|
Word 2 and earlier binary
documents and templates
|
Enabled
File block setting: Block
|
Word 2000 binary documents
and templates
|
Enabled
File block setting: Block
|
Word 2003 binary documents
and templates
|
Enabled
File block setting: Block
|
Word 2007 binary and later
binary documents and templates
|
Enabled
File block setting: Block
|
Word 6.0 binary documents and
templates
|
Enabled
File block setting: Block
|
Word 95 binary documents and
templates
|
Enabled
File block setting: Block
|
Word 97 binary documents and
templates
|
Enabled
File block setting: Block
|
Word XP binary documents and
templates
|
Enabled
File block setting: Block
|
User
Configuration\Policies\Administrative Templates\Microsoft PowerPoint
2013\PowerPoint Options\Security
|
|
Make hidden markup visible
|
Enabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Word 2013\Word
Options\Security
|
|
Make hidden markup visible
|
Enabled
|
3. ZAGADNIENIA MNIEJSZEJ WAGI
[Komentarz]:Zagadnienia, których nieodpowiednia konfiguracja w połączeniu z innymi podatnościami mogą prowadzić do zwiększenia ryzyka dla stacji roboczej.
Nazwa polisy
grupowej
|
Zalecana
wartość
|
User
Configuration\Policies\Administrative Templates\Microsoft Office
2013\Privacy\Trust Center
|
|
Allow including screenshot
with Office Feedback
|
Disabled
|
Automatically receive small
updates to improve reliability
|
Disabled
|
Disable Opt-in Wizard on
first run
|
Enabled
|
Enable Customer Experience
Improvement Program
|
Disabled
|
Send Office Feedback
|
Disabled
|
User
Configuration\Policies\Administrative Templates\Microsoft Office
2013\Security Settings\Trust Center\Trusted Catalogs
|
|
Allow Unsecure Apps and
Catalogs
|
Disabled
|
To już wszystkie podstawowe ustawienia, nad którymi warto się pochylić. Po konfiguracji wszystkich wartości uruchom ponownie swoją stację roboczą aby je zaimplementować.
Przygotowaliśmy także pełny spis powyższych ustawień w formie jednego pliku PDF, który możecie pobrać stąd:
https://drive.google.com/file/d/0B17RLpQ4vqUzb24zSlRtSmN1cTQ/view?usp=sharing
Nalezy mieć świadomość, że powyższy poradnik nie gwarantuje bezpieczeństwa, tylko je w pewnym stopniu zwiększa. Żaden proces utwardzania nie zastąpi zdrowego rozsądku i rozwagi podczas codziennej pracy.
Przygotowaliśmy także pełny spis powyższych ustawień w formie jednego pliku PDF, który możecie pobrać stąd:
https://drive.google.com/file/d/0B17RLpQ4vqUzb24zSlRtSmN1cTQ/view?usp=sharing
Nalezy mieć świadomość, że powyższy poradnik nie gwarantuje bezpieczeństwa, tylko je w pewnym stopniu zwiększa. Żaden proces utwardzania nie zastąpi zdrowego rozsądku i rozwagi podczas codziennej pracy.
Utworzyliście wreszcie bardziej skrótową nazwę domeny: zawszeczujni.pl :)
OdpowiedzUsuńTeraz łatwiej nas zapamiętać ;)
OdpowiedzUsuńświetny blogo bezpieczeństwie. Będę odwiedzać was regularnie.
OdpowiedzUsuń