Функція “Надійні документи” в Office 2010, MS Office, Програмні керівництва, статті

Доброго дня, мене звати майтхили Данідж. Я керую програмами у відділі безпеки Office корпорації Майкрософт. У цій версії Office я працював над різними функціями безпеки та конфіденційності: перевіркою файлів Office, рекомендованими параметрами, поліпшенням інспектора документів і функції “Надійні документи” (Trusted Documents). Всі ці компоненти я опишу у блозі найближчим часом. Сьогодні я коротко розповім про функції Надійні документи, яка покращує користувальницький інтерфейс при взаємодії з іншими функціями безпеки. Якщо ви хочете дізнатися про інші функції безпеки, які розробляються у нас у відділі, перейдіть за цим посиланням. При роботі з документами Office, Що містять макроси, елементи керування ActiveX, підключення до даних та інші типи активного вмісту, що блокується центром управління безпекою Office, мені дуже заважали постійно з’являються запити безпеки. Функція “Надійні документи” (Trusted Documents) дозволяє зменшити кількість подібних запитів.


Перед тим, як перейти до опису принципів роботи функції “Надійні документи” (Trusted Documents), мені хотілося б трохи розповісти про те, чому ми створили цю функцію. Версії Office до Office 2007 відображали діалогові вікна для макросів та інших типів активного вмісту перед відкриттям документа. Ці діалогові вікна були корисні, але створювали безліч проблем: запит на включення макросів відображався до початку роботи з файлом. Багато користувачів, яким не були потрібні макроси, також включали їх, хоча найчастіше їм просто потрібно прочитати документ.


У версії Office 2007 це було виправлено. До відкриття документа відображалося НЕ діалогове вікно, а панель повідомлень. Це було кроком вперед, так як тепер читання і змін документів могло виконуватися безпечно, а попередження про безпеку відображалися потім. На жаль, постійно використовуючи документи з макросами або книги з підключеннями даних, доводилося щоразу включати активний вміст на панелі повідомлень. Це могло дратувати користувачів, так як для виконання цього завдання доводилося робити два зайвих клацання мишею, а будь-яких відчутних переваг з точки зору безпеки праці з документом це не давало. Саме тому основне значення для нас мали наступні моменти:


а) По-перше, наскільки часто користувач змінює свою думку про довіру до документа? Якщо вміст одного разу вже було включено, то це, швидше за все, буде зроблено ще раз, щоб документ працював коректно.


б) По-друге, якщо макрос або інший вміст було створено зі злим умислом, то комп’ютер вже міг бути скомпрометований при першому включенні макросу, тому повторний запит на включення вмісту для цього ж файлу не дає ніяких переваг.


Це підштовхнуло нас до створення нового компонента – функції Надійні документи (Trusted Documents). Додаток Office 14 запам’ятовує, де було включено активний вміст, і не виводить повторний запит для одного і того ж документа.


Отже, що ж являють собою надійні документи? Ця функція дозволяє завжди дозволяти в документі активний вміст (наприклад, макроси, елементи керування ActiveX і т. д.). Програма запам’ятовує зроблений для файлу вибір і не відображає запит безпеки при наступному відкритті того ж документа.


Такий підхід точніше відображає процес роботи користувачів. Якщо я створюю документ з макросом, то мені не хочеться постійно вирішувати макроси при кожному відкритті цього документа. Якщо ж я отримую документи з щоденними звітами від мого колеги, який має зведену таблицю, то мені не хочеться кожен раз дозволяти підключення до даних на довіреному сервері при оновленні чисел. Як користувач я також можу відкривати документи з різних папок (SharePoint, мережеві сховища, локальний комп’ютер або вкладення з листів). При цьому я не хочу кожен раз розміщати їх в довірену папку. Функція “Надійні документи” (Trusted Documents) вирішує всі описані проблеми. Якщо вміст в перший раз було включено, а відомості про довіру для даного документа не змінювалися, повідомлення про безпеку для вмісту відображатися не буде.


Функція “Надійні документи” (Trusted Documents) дозволяє зберігати налаштування довіри для кожного файлу окремо. Налаштування додаються в розділ поточного користувача в локальному реєстрі і містять повний шлях до файлу, а також інші відомості (наприклад, час створення документа). Зверніть увагу, що відомості про довіру зберігаються на конкретному комп’ютері, тому при відкритті документа на іншому комп’ютері попередження буде виведено повторно. Крім того, так як відомості містять не тільки шлях до файлу, вони дозволяють запобігти “соціотехніческіе” атаки, наприклад підміну цього документа шкідливим з тим же ім’ям.


Режим захищеного перегляду дозволяє створити надійний периметр безпеки між довіреними документами на комп’ютері і новими недовірених документами, відкритими з Інтернету, додатків і т. д. Наприклад, документ з макросом спочатку відкривається в захищеному режимі. Якщо користувач довіряє цьому файлу і виходить із захищеного режиму, то макроси не дозволяються автоматично. Замість цього додаток виводить панель повідомлень, яка дозволяє вирішити макроси. Заборона на автоматичний запуск макросів після виходу з режиму захищеного перегляду знижує ризик атаки на комп’ютер в тих випадках, коли користувач має намір тільки створити коментарі до документу, не запускаючи макроси. Якщо ж документ зберігається разом з явним дозволом макросів, то файл переходить в розряд довірених. При його повторному відкритті режим захищеного перегляду не відображається, а все активний вміст документа буде дозволено.


У додатку Office 2010 панель повідомлень буде відображатися в тому випадку, якщо документ містить макрос, підключення до даних, елемент управління ActiveX або інше активне вміст. Нижче показана панель повідомлень, яка виводиться в тому випадку, якщо відключено кілька типів активного вмісту (наприклад, макроси й елементи керування ActiveX).


Існує два способи зробити документ надійним. При виборі команди панелі повідомлень Включити вміст (Enable Content) документ буде автоматично додано до списку надійних документів в реєстрі. По-друге, користувач може клацнути панель повідомлень для отримання додаткової інформації. При цьому відкриється подання Backstage, в якому натискання кнопки “Включити вміст” (Enable Content) дозволяє вибрати один з двох варіантів.


а) Користувач може дозволити весь вміст і зробити документ надійним. При цьому будуть дозволені всі макроси й елементи керування ActiveX, а документ буде додано до списку надійних документів в реєстрі. Цей параметр дозволяє одним клацанням миші дозволити весь вміст і додати документ до списку надійних. При наступному відкритті документа попередження про безпеку не буде відображено.


б) Досвідчені користувачі, яким необхідно вибрати дозволені або заборонені типи вмісту, можуть натиснути кнопку “Додаткові параметри” (Advanced Options). При цьому буде відкрито вікно “Повідомлення про безпеку “(Security Notifications), яке дозволяє включити вміст для одноразового використання (як в Office 2007).


Подібно функції “Надійні розташування” (Trusted Locations), обмеження і параметри безпеки існують також і для довірених документів. Наприклад, програма не дозволяє користувачам довіряти документам з недовірених розташувань (наприклад, файлів з папки Temporary Internet Files або TEMP).


Довіра документам, розташованим в мережевих сховищах, небезпечніше довіри документам на локальному жорсткому диску, так як інші користувачі, які мають доступ до мережного розташування, можуть змінити вміст файлу. Саме тому при спробі додавання мережевого документа в список надійних буде відображено попередження. Центр управління безпекою (Trust Center) дозволяє забороняти довіру до документів з довіреної розташування. При цьому додаток Office буде отримувати сповіщення про безпеку при кожному відкритті документа з мережі. Крім цього центр безпеки також містить інші параметри, наприклад можливість повного відключення всіх надійних документів або очищення відомостей про них. Ці параметри знаходяться в розділі параметрів програми і можуть встановлюватися адміністратором ІТ-підрозділу через групову політику (наприклад, адміністратор може заборонити створення надійних документів в мережевих сховищах, обмежуючи їх розташування локальним жорстким диском).


Таким чином, основною метою функції “Надійні документи” та інших компонентів безпеки в Office 14 є усунення непотрібних попереджень і запит тільки необхідної інформації. Зниження “втоми від діалогових вікон “може допомогти користувачам у прийнятті більш усвідомлених рішень при появі попереджень про безпеку.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*