Предотвращение атак формата файлов с помощью проверки файлов в Office 2016
Сводка: В этой статье объясняется, как предотвратить атаки на формат файлов с помощью проверки файлов в Office 2016.
Проверяя файлы, Office 2016 помогает предотвратить атаки на форматы файлов путем проверки двоичных форматов файлов Office перед их открытием в Excel 2016, PowerPoint 2016 или Word 2016. Вы можете изменить способ проверки файлов, хранящихся в двоичных форматах Файлов Microsoft Office в Office 2016, настроив параметры.
Планирование проверки файлов в Office
Проверка файлов Office помогает обнаружить и предотвратить эксплойт, известный как атака в формате файла или атака с нечетким файлом. Атаки в формате файлов используют целостность файла и происходят, когда кто-то изменяет структуру файла с намерением добавить вредоносный код. Как правило, вредоносный код выполняется удаленно и используется для повышения привилегий учетных записей с ограниченным доступом на компьютере. Злоумышленник может использовать код для получения доступа к компьютеру. Получение этого доступа может позволить злоумышленнику считывать конфиденциальную информацию с жесткого диска компьютера или устанавливать вредоносные программы, такие как червь или программа ведения журнала ключей. Чтобы проверить файлы, Office сравнивает структуру файла с предопределенной схемой файла, которая представляет собой набор правил, определяющих, как выглядит доступный для чтения файл. Если Office обнаруживает, что структура файла не соответствует всем правилам, описанным в схеме, файл не проверяется.
Атаки на форматы файлов чаще всего происходят в файлах, хранящихся в двоичных форматах Office. По этой причине Office сканирует и проверяет следующие типы файлов:
Файлы книг Excel 97–2003. Эти файлы имеют расширение XLS и включают все BIFF8-файлы.
Файлы шаблонов Excel 97–2003. Эти файлы имеют расширение XLT и включают все BIFF8-файлы.
Файлы Microsoft Excel 5.0/95. Эти файлы имеют расширение XLS и включают все BIFF5-файлы.
Файлы презентаций PowerPoint 97–2003. Эти файлы имеют расширение РРТ.
Файлы презентаций PowerPoint 97–2003. Эти файлы имеют расширение PPS.
Файлы шаблонов PowerPoint 97–2003. Эти файлы имеют расширение POT.
Файлы документов Word 97–2003. Эти файлы имеют расширение DOC.
Файлы шаблонов Word 97–2003. Эти файлы имеют расширение DOT.
Office 2016 предоставляет несколько параметров, которые позволяют изменить способ работы Office для проверки файлов:
Включение или отключение проверки файлов Office.
определять поведение документа в случае, когда файл не проходит проверку;
Запретить Office 2016 отправлять сведения о проверке файлов Office в корпорацию Майкрософт.
По умолчанию Office проверяет файлы. Любые файлы, не прошедшие проверку, открываются в режиме защищенного просмотра. Пользователь может включить редактирование для этих файлов. Кроме того, пользователям предлагается отправить сведения о проверке файлов Office в корпорацию Майкрософт. Если пользователь разрешает это, корпорации Майкрософт пересылается только информация о файлах, не прошедших проверку.
Не рекомендуется изменять параметры по умолчанию для проверки файлов Office. Однако некоторым организациям может потребоваться настроить параметры проверки файлов Office в соответствии с особыми требованиями к безопасности. В частности, следующие типы организаций имеют требования к безопасности, которые могут потребовать изменения параметров по умолчанию для проверки файлов Office:
Организации, которые ограничивают доступ к Интернету. Проверка файлов Office, которая предлагает пользователям отправлять сведения об ошибке проверки в корпорацию Майкрософт примерно каждые две недели, может нарушить политики доступа к Интернету организации. В этом случае вы можете запретить Office отправлять информацию в Корпорацию Майкрософт. Дополнительные сведения см. в разделе Отключение отчетов о проверке файлов Office в Office далее в этой статье.
Организации, в которых имеются строго ограниченные среды безопасности. Вы можете настроить проверку файлов Office так, чтобы файлы, которые не прошли проверку, не открывались или открывались только в защищенном режиме. Этот подход является более строгим, чем параметры по умолчанию для проверки файлов Office, и может подходить для организаций с заблокированной средой безопасности. Дополнительные сведения об изменении поведения документа см. в статье Изменение поведения документа при сбое проверки в Office далее в этой статье.
Организации, которые не хотят отправлять свои файлы Майкрософт. Если пользователи разрешают это, проверка файлов Office отправляет копии всех файлов, которые не прошли проверку, в корпорацию Майкрософт. Вы можете настроить проверку файлов Office, чтобы пользователям не было предложено отправлять сведения о проверке в Корпорацию Майкрософт.
Отключение проверки файлов Office в Office 2016
Чтобы отключить проверку файлов Office, можно использовать параметр Отключить проверку файлов. Этот параметр необходимо настроить для каждого приложения для Excel 2016, PowerPoint 2016 и Word 2016. Если данный параметр включен, файлы, хранящиеся в двоичном формате Office, не сканируются и не проверяются. Например, если включить параметр Отключить проверку файлов для Excel 2016, проверка файлов Office не сканирует и не проверяет файлы книг Excel 97–2003, файлы шаблонов Excel 97–2003 или файлы Microsoft Excel 5.0/95. Если пользователь открывает один из этих типов файлов и файл содержит атаку в формате файла, атака не будет обнаружена или предотвращаема, если другие средства управления безопасностью не обнаруживают и не предотвращают такую атаку.
Рекомендуется не отключать проверку файлов Office. Проверка файлов Office является ключевой частью многоуровневой стратегии защиты в Office 2016 и должна быть включена на всех компьютерах в организации. Если вы хотите запретить проверку файлов Office, рекомендуется также настроить надежные расположения. Файлы, открытые из доверенных расположений, пропускают проверки файлов Office. Вы также можете доверять определенным документам, чтобы предотвратить проверку файла с помощью проверки файлов Office. Файлы, которые считаются доверенными документами, не проходят проверку файлов Office.
Изменение поведения документа при сбое проверки в Office
Чтобы изменить поведение файлов, которые не прошли проверку, можно использовать параметр групповой политики Задать поведение документов, не прошедших проверку файлов. Если этот параметр включен, можно выбрать один из следующих вариантов.
Блокировать файлы Файлы, которые не прошли проверку, не открываются в защищенном представлении, и пользователи не могут открывать файлы для редактирования.
Если вы выберете параметр Открывать файлы в режиме защищенного просмотра и файл не пройдет проверку, пользователь увидит следующий текст в панели сообщений:
В office PROTECTED VIEW обнаружена проблема с этим файлом. Щелкните для получения дополнительных сведений.
Если пользователь выбирает панель сообщений, появится представление Microsoft Office Backstage, которое предоставляет более подробное описание проблемы и позволяет пользователям включить файл для редактирования.
Открытие файлов в защищенном режиме Файлы открываются в защищенном представлении, чтобы пользователи могли просматривать содержимое файла, но пользователи не могут открывать файлы для редактирования. Этот параметр представляет поведение по умолчанию для проверки файлов Office.
Если вы выбрали параметр Блокировать файлы и файл не прошел проверку, пользователь увидит следующее сообщение:
Office обнаружил проблему с этим файлом. Чтобы защитить компьютер, этот файл не удается открыть.
Пользователи могут развернуть диалоговое окно и просмотреть более подробное объяснение причины, по которой файл не открывается, или закрыть диалоговое окно, нажав кнопку ОК.
Отключение отчетов о проверке файлов Office в Office
Чтобы не отображать диалоговое окно, предлагающее отправить информацию корпорации Майкрософт, можно использовать параметр групповой политики Отключить отчеты об ошибках для файлов, не прошедших проверку файлов. Он также запрещает передачу информации о проверке корпорации Майкрософт.
Каждый раз, когда файл не проходит проверку, Office 2016 собирает сведения о том, почему не удалось проверить файл. Примерно через две недели после сбоя проверки файла Office 2016 предлагает пользователям отправить сведения о проверке файлов Office в корпорацию Майкрософт. Сведения о проверке включают в себя такие сведения, как типы файлов, размеры файлов, время открытия файлов и время, необходимое для проверки файлов. Копия любого файла, который не выполнил проверку, отправляется в корпорацию Майкрософт. Пользователи видят список файлов, когда им будет предложено отправить сведения о проверке в корпорацию Майкрософт. Пользователи могут отказаться от отправки сведений о проверке в корпорацию Майкрософт, что означает, что в корпорацию Майкрософт не отправляются никакие сведения о неудачных проверках, а файлы не отправляются в корпорацию Майкрософт. Если организация ограничивает доступ к Интернету, имеет ограничительные политики доступа к Интернету или не хочет отправлять файлы в корпорацию Майкрософт, может потребоваться включить параметр Отключить отчеты об ошибках для файлов, которые не прошли проверку файлов групповая политика.
Важно!
Иногда проверка файлов Office может указывать на то, что проверка файла завершилась сбоем, если на самом деле файл является допустимым. Отчеты о проверке помогают корпорации Майкрософт улучшить проверку файлов Office и свести к минимуму появление ложноположительных результатов.
Статьи по теме
Блокировка форматов файлов в Office 2016
Предотвращение атак формата файлов с помощью проверки файлов в Office 2016
Настройка безопасной среды для открытия файлов с помощью режима защищенного просмотра в Office 2016