Режим захищеного перегляду в Office 2010, MS Office, Програмні керівництва, статті

Доброго дня! Мене звуть Вікас, і я працюю в групі безпеки Office Trustworthy Computing. Сьогодні я докладніше розповім вам про функції, над якою я працюю, під назвою “Protected View” (Захищений перегляд “). Режим захищеного перегляду є однією з нових функцій, доданих в систему безпеки Office 2010.

Потенційні небезпеки при відкритті документа Office


Будь-яке складне програмне забезпечення з часом може піддаватися новим видам атак. Двійкові формати файлів, характерні для попередніх версій Office, були схильні подібного роду атакам. В останні роки зловмисники знайшли спосіб управління двійковими файлами Office таким чином, що при їх відкриття або розборі їх власний код додається до коду відкритих файлів. Щоб справитися з цими атаками двійкових файлів, в Office 2007 було включено кілька нових форматів файлів на основі XML. Файли форматів XML значно простіше розбирати; забезпечити безпеку з їх допомогою теж простіше в порівнянні з попередніми двійковими форматами. Ми розуміємо, що сьогодні використовуються мільярди двійкових файлів і перехід на XML-формати займе якийсь час, але чим раніше буде виконаний перехід, тим швидше ви зможете скористатися перевагами безпеки від використання нових форматів.

Для вирішення проблеми атак група розробників Office раніше спеціально створила середовище MOICE (ізольована середу перетворення Microsoft Office). Середа MOICE виконувала “знешкодження” файлу за допомогою перетворення потенційно небезпечного двійкового файлу в безпечний XML-формат, а потім назад в двійковий і тільки після цього відкривала файл. Метою такого перетворення було видалення шкідливого коду, прихованого всередині файлу. Серед недоліків середовища MOICE можна відзначити наступне: файли, перетворення яких займало багато часу, довго відкривалися, що розчаровувало користувачів. Крім того, після перетворення деякі файли могли відображатися не повністю, тому очевидно, що з точки зору зручності використання, дана функція потребувала доопрацювання.

Покращення в Office 2010


У Office 2010, файли з потенційно небезпечних джерел (наприклад, з мережі Інтернет) відкриваються в режимі захищеного перегляду. Даний режим виглядає аналогічно будь-якого іншого поданням тільки для читання. Однак насправді при відкритті файлу в режимі захищеного перегляду, він відкривається в новій “пісочниці” Office 2010. Пісочниця Office 2010 є “новою версією” ізольованою середовища MOICE, описаної раніше. Але на відміну від MOICE перетворення файлу не виконується. Натомість файл відкривається в пісочниці відповідного додатки (Word, Excel або PowerPoint) і за наявності у файлі шкідливого коду даний підхід не дозволить йому змінити документ, профіль або параметри користувача. Далі я опишу цей процес докладніше.

Використання режиму захищеного перегляду


Оскільки захищений перегляд є режимом “тільки для читання”, ми розуміємо, що це не той режим, який повинен бути використаний для всіх відкритих файлів. При розробці даної функції передбачалося його використання в наступних потенційно небезпечних випадках:

· Відкриття файлів з мережі Інтернет. Коли файл завантажується з Інтернету, служба Attachment Execution Service Windows поміщає спеціальну мітку в альтернативний потік даних файлу, щоб позначити, що файл отриманий із зони Інтернету. Якщо відкривається файл Word, Excel або PowerPoint, що містить дану позначку, він буде відкриватися в режимі захищеного перегляду до тих пір, поки користувач не вирішить, чи можна довіряти файлу і редагувати його. Для цього користувачеві потрібно натиснути кнопку “Enable Editing” (Дозволити редагування), показану нижче.


У деяких випадках файл з мережевого ресурсу, який, на думку користувача, є частиною інтрамережі, відкривається в режимі захищеного перегляду, а на панелі безпеки з’являється повідомлення, що даний файл отримано з Інтернету. Це може відбуватися через неправильні налаштування проксі-сервера або через невибраного параметра “Automatically detect intranet network” (Автоматично визначати приналежність до інтрамережі) елемента “Local intranet” (Місцева інтрамережа) діалогового вікна “Internet Options” (Властивості оглядача), як показано на малюнку нижче:


· Відкриття вкладень з Outlook 2010. Вкладення з Outlook 2010 відкриваються в режимі захищеного перегляду. Адміністратори можуть налаштувати політику таким чином, що в режимі захищеного перегляду будуть відкриватися всі вкладення або тільки вкладення, відправлені не з середовища Exchange.

· Відкриття файлів, отриманих з небезпечних місць. Прикладом небезпечного розташування файлів є папка “Тимчасові файли Інтернету”. Адміністратори можуть розширити перелік небезпечних розташувань, включивши в нього інші потенційно небезпечні папки.

· Файли, заблоковані політикою блокування файлів. В Office 2007 ми включили функцію під назвою Блокування файлів. Вона дозволяє адміністраторам визначати типи файлів, які не слід відкривати. Якщо один з типів блокується, стає неможливо відкрити файл даного типу. З відгуків користувачів ми дізналися, що це знижує зручність використання, оскільки користувачі як і раніше хотіли “прочитати” заблоковані файли. У Office 2010 заблоковані файли можна відкрити в режимі захищеного перегляду, а адміністратори можуть визначити, чи зможуть користувачі вийти з режиму захищеного перегляду і відредагувати файл чи ні. Сподіваємося, дана функція допоможе вам забути про всі страхи і побоювання!

· Файли, що не пройшли перевірку файлів Office. Перевірка файлів Office – це нова функція, яка сканує файл Office при відкритті і перевіряє його за відомою схемою. При наявності невідповідностей між файлом і схемою, файл не пройде перевірку і відкриється в режимі захищеного перегляду. Аналогічно функції “File Block” (Блокування файлів), можна налаштувати політику для визначення, чи зможе користувач перейти в режим редагування.

· Файли, відкриті за допомогою діалогового вікна “File Open” (Відкрити файл). Можна відкрити файл у режимі захищеного перегляду за допомогою команди “Open” (Відкрити).


Режим захищеного перегляду спрощує роботу користувачам


Найбільшою перевагою використання режиму захищеного перегляду є усунення запитів безпеки “are you sure” (Продовжити?) І одночасне надання більш високого рівня захисту. Якщо ви є користувача Outlook, ви могли помітити, що кожен раз при відкритті вкладення з’являється питання:


Особисто мені складно відповісти на це питання, попередньо не переглянувши вмісту файлу. У Office 2010 дане діалогове вікно не з’являється, а файл відразу відкривається в режимі захищеного перегляду. Це дозволяє переглянути вміст і прийняти обгрунтоване рішення, чи варто довіряти файлу. Якщо файл не заслуговує довіри чи його необхідно лише прочитати, то можна виконати дану дію і закрити файл. Така велика кількість перевірок безпеки дозволяє нам більше не турбуватися, відкриваючи файл.

Крім спливаючого діалогового вікна при відкритті файлу, ми також видалили запрошення панелі перегляду Outlook, показане нижче.


Тепер, коли файли Word, Excel, PowerPoint і Visio можна переглянути в панелі перегляду Outlook і включений режим захищеного перегляду, більше не будуть з’являтися запрошення з питанням про довіру до днищ файлу.

Оформлення режиму захищеного перегляду


Режим захищеного перегляду змінив оформлення додатків Word, Excel і PowerPoint. Коли файл відкривається в захищеному режимі, виконуються два примірники програми. Розглянемо відкриття файлу на прикладі Word. У нас є один екземпляр файлу Winword.exe, що виконується в контексті облікового запису, під якою користувач увійшов в систему (ми називаємо цей процес “хост-процесом”), і другий примірник Winword.exe, виконується як ізольований процес (ми називаємо цей процес “клієнтським процесом”). Цей ізольований процес ми також називаємо пісочницею Office, тому дані поняття можуть бути використані як взаємозамінні.

Найкраще описати дані поняття можна за допомогою малюнка. До клієнтського процесу відноситься частина користувальницького інтерфейсу, виділена чорним кольором, а все інше є частиною хост-процесу, як показано на малюнку нижче.


Коли користувач клацає небудь елемент інтерфейсу хост-процесу, обмеження привілеїв для користувача інтерфейсу (UIPI) дозволяє бути впевненими, що дана дія була виконана користувачем, тому необхідність у додаткових діалогових вікнах “Ви дійсно виконали цю дію?” відпадає. Хост-процесс володіє верхньою частиною фрейма додатки, як показано на малюнку вище, і включає заголовок вікна, стрічку, панель безпеки, рядок стану і т. д. Хост-процесс управляє вікнами режиму захищеного і незахищеного перегляду і виконує роль “посередника” для клієнтського процесу. Одночасно може виконуватися тільки один примірник клієнтського (ізольованого) процесу, і всі файли, відкриті в режимі захищеного перегляду, використовують одну і ту ж пісочницю програми. Коли всі вікна режиму захищеного перегляду закриваються, клієнтський процес зупиняється. Якщо клієнту необхідно виконати привілейовану завдання, таку як звернення до файлової системи, реєстру або іншим системним ресурсів, виконується запит до хост-процесу і хост буде виконувати роль посередника і виконає завдання при наявності достатніх привілеїв.

Як згадувалося раніше, клієнтський процес – це ще один процес Windows, який виконується в контексті облікового запису користувача, однак при цьому використовується маркер обмеженого доступу. За допомогою маркера обмеженого доступу цей процес був позбавлений декількох прав і привілеїв. Для ще більшого обмеження функціональності клієнтського процесу, він виконується як процес з низьким ступенем цілісності. Маркер обмеженого доступу і низька цілісність (обмеження привілеїв користувача інтерфейсу) складають основу для пісочниці Office 2010.

Як говорилося раніше, режим захищеного перегляду є одним з багатьох інструментів безпеки в Office 2010. Щоб шкідлива програма могла бути виконана в режимі захищеного перегляду, їй доведеться обійти такі засоби, як DEP (Запобігання виконання даних), ASLR, GS і інші способи перевірки файлів. А після цього шкідливої ​​програмі доведеться знайти спосіб вибратися з пісочниці.

Сподіваюся, що тепер при отриманні “небезпечного” файлу Word, Excel або PowerPoint, ви не будете боятися, що щось погане може трапитися з вашим комп’ютером, а зможете відкрити даний файл в режимі захищеного перегляду.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*