Обзор безопасности в Office 2013
Применимо к: Office 2013, Office 365 ProPlus
Последнее изменение раздела: 2016-12-16
Сводка. Объяснение новых функциональных возможностей безопасности в Office 2013: проверка подлинности, удостоверение, каталог и расширение веб-приложений, криптоключ и многое другое.
Аудитория: ИТ-специалисты
Office 2013 поддерживает новые функции проверки подлинности. Теперь пользователи могут создать профиль, выполнить единый вход, а затем бесперебойно работать с локальными и облачными файлами Office без необходимости в повторной идентификации. Пользователи могут подключать различные службы, такие как учетную запись OneDrive для бизнеса организации или собственную учетную запись OneDrive, к своему профилю Office. После этого пользователи получают мгновенный доступ ко всем своим файлам и соответствующему хранилищу. Пользователи проходят проверку подлинности один раз для всех приложений Office, включая OneDrive. Это справедливо независимо от поставщика удостоверений, будь то учетная запись Майкрософт или идентификатор пользователя, которые используются для доступа к Office 365 для профессионалов и малого бизнеса, либо протокол проверки подлинности, используемый самим приложением. Такие протоколы включают, к примеру, OAuth, проверку подлинности на основе форм, проверку подлинности на основе утверждений и встроенную проверку подлинности Windows. С точки зрения пользователя все слаженно работает. С точки зрения ИТ-специалиста эти подключенные службы очень просты в управлении.
Эта статья входит в состав набора Руководство по безопасности Office 2013. Используйте этот обзор в качестве начального этапа для поиска статей, загружаемых файлов, примеров и видеозаписей, помогающих оценить совместимость Office 2013. Ищете информацию о безопасности отдельных приложений Office 2013? Для этого можно выполнить поиск по словам "2013 security" (безопасность 2013) на сайте Office.com. |
Проверка подлинности и удостоверения в Office 2013
Защита начинается с проверки подлинности и удостоверения. В этом выпуске Office представлено фундаментальное изменение с удостоверения и проверки подлинности на основе компьютера на удостоверение и проверку подлинности на основе пользователя. Такое смещение акцентов позволяет естественным образом перемещать содержимое, ресурсы, списки недавно использованных элементов, параметры, ссылки на сообщества и личные настройки с настольного компьютера на планшет, на смартфон или на общедоступный компьютер в зависимости от того, где работает пользователь. Для ИТ-администратора пользовательские журналы аудита и сведения о соответствии требованиям также разделяются по удостоверениям.
В этой новой среде пользователи выполняют вход в Office 365, используя одно из следующих удостоверений.
Идентификаторы учетных записей рабочая или учебная учетная запись, которые управляются Майкрософт При использовании Office 365 в деловых целях, когда идентификаторы пользователей корпораций и менее крупных предприятий размещены в облаке Майкрософт. Этот сценарий также поддерживает несколько связанных идентификаторов пользователей и возможность единого входа.
—или—
Федеративные идентификаторы пользователей, которые находятся во владении организации. При использовании Office 365 в деловых целях, когда идентификаторы корпоративных пользователей хранятся на собственных ресурсах предприятий.
Учетная запись Майкрософт Как правило, пользователи используют этот идентификатор для входа в Office 365 в личных целях. Пользователи могут иметь различные связанные идентификаторы Windows Live ID, выполнить единый вход, пройти проверку подлинности, а затем переключаться с одной учетной записи Майкрософт на другую в рамках единого сеанса. Повторной проверки подлинности не требуется.
ИТ-администратор может также настроить применение для любого пользователя многофакторной проверки подлинности в Office 365. Многофакторная проверка подлинности обеспечивает более высокий уровень безопасности для пользователей, чем тот, который достигается просто вводом паролей. В случае применения многофакторной проверки подлинности для Office 365 пользователи должны предоставить подтверждение посредством ответа на телефонный звонок, текстовое сообщение или уведомление приложения на смартфоне после ввода правильного пароля. Вход может быть выполнен только после удовлетворения этого фактора проверки подлинности. Действия по настройке см. в статье о настройке многофакторной проверки подлинности для Office 365.
С точки зрения ИТ-администратора Active Directory — это ключевой фактор новой парадигмы. ИТ-администраторы могут выполнять следующие действия.
Управлять политиками паролей пользователей на различных устройствах и в различных службах
Использовать групповые политики для настройки рабочей среды
Осуществлять управление с помощью диспетчера удостоверений Forefront Identity Manager (FIM) или служб федерации Active Directory (AD FS)
Облако позволяет осуществить описанные ниже действия.
Учетные записи пользователей могут управляться в облаке с помощью веб-портала. Настройка очень проста. Можно подготовить работу пользователей вручную, чтобы обеспечить более точное управление. Серверов не требуется. Все управление осуществляется специалистами корпорации Майкрософт.
Любые локально размещенные каталоги синхронизируются посредством Active Directory с веб-порталом. Подготовка может быть автоматизирована и выполнена даже при наличии учетных записей, управляемых в облаке.
Пользователи имеют возможность выполнения единого входа с использованием служб AD FS. Подготовка может быть автоматизирована, и поддерживается многофакторная проверка подлинности.
Как показано на следующей схеме, вы как ИТ-администратор отвечаете за проверку подлинности. Если у вас небольшое предприятие, вы можете использовать службы удостоверений в Microsoft Azure, чтобы регистрировать пользователей, управлять ими и проверять их подлинность. Учетные записи пользователей управляются из облака с помощью веб-портала и Azure Active Directory в облаке Майкрософт. Серверов не требуется. Все управление осуществляют специалисты Майкрософт. При обработке удостоверения и проверки подлинности полностью в облаке без привязки к любому локальному хранилищу Active Directory ИТ-администраторы по-прежнему могут подготавливать идентификаторы и пользовательский доступ к службам через портал или командлеты PowerShell (и отменять эту подготовку).
В шаге 1 ИТ-специалисты подключаются к веб-доступу Центр администрирования Office 365 в облаке Майкрософт. Они запрашивают новые идентификаторы организации или управляют существующими.
В шаге 2 эти запросы передаются в ваш Azure AD.
В шаге 3, если это запрос на изменение идентификатора, такое изменение выполняется и отображается в Центр администрирования Office 365. В случае с запросом нового идентификатора такой запрос посылается платформе подготовки идентификаторов.
В шаге 4 новые идентификаторы и изменения в существующих идентификаторах отображаются в Центр администрирования Office 365.
Удостоверение и проверка подлинности в Office 365 управляется полностью в облаке без интеграции с локальной службой каталогов Active Directory.
Согласно следующей схеме, после того как вы настроите учетные записи пользователей в Центр администрирования Office 365 в облаке Майкрософт, они могут выполнять вход с любого устройства, а также устанавливать Office 365 профессиональный плюс на пяти устройствах.
После того как вы подготовили работу пользователей (см. предыдущую схему) в шаге 1, они входят в Office с помощью одного из представленных ниже удостоверений.
Учетная запись рабочая или учебная учетная запись (например, mike@contoso.onmicrosoft.com или mike@contoso.com)
Личная учетная запись Майкрософт (например, mike@outlook.com)
В шаге 2 средствами Майкрософт определяется местоположение, в котором происходит проверка подлинности данных пользователей, а также необходимые файлы и параметры Office, в зависимости от выбранных пользователями удостоверений. Это удостоверение сопоставляется с Azure AD, после чего удостоверение электронной почты и связанный пароль отправляются соответствующему серверу Azure AD для проверки подлинности.
В шаге 3 происходит проверка и удовлетворение запроса, а также потоковая передача приложений Office на устройство. После этого приложения готовы к использованию. Сохраненные в OneDrive для бизнеса документы, связанные с выбранным удостоверением, можно просматривать, редактировать и сохранять в устройстве или снова в OneDrive для бизнеса.
Подготовка удостоверений с использованием синхронизации службы каталогов Azure. Проверка подлинности осуществляется в облаке.
На следующей схеме показан сценарий с гибридным развертыванием локально и в облаке. Средство синхронизации Azure AD в облаке Майкрософт синхронизирует ваши локальные и облачные удостоверения корпоративного пользователя.
В шаге 1 установите средство синхронизации Azure AD. Это средство поможет синхронизировать Azure AD в соответствие с изменениями в локальном каталоге.
В шагах 2 и 3 создайте учетные записи новых пользователей в вашей локальной службе Active Directory. Средство синхронизации Azure AD периодически будет проверять ваш локальный сервер Active Directory на предмет новосозданных удостоверений. После этого оно передаст эти удостоверения в Azure AD, свяжет локальные и облачные удостоверения и сделает их видимыми для вас в Центр администрирования Office 365.
В шагах 4 и 5 при изменении удостоверения в локальной службе Active Directory происходит синхронизация изменений в Azure AD, и они становятся доступными вам в Центр администрирования Office 365.
В шагах 6 и 7, если среди ваших пользователей есть федеративные пользователи, они входят с помощью вашего AD FS. AD FS создает маркер безопасности, который передается Azure AD. Происходит проверка и подтверждение подлинности маркера, а затем — авторизация пользователя в Office 365.
Подготовка удостоверений с использованием синхронизации каталогов Azure. Проверка подлинности осуществляется Active Directory Federation Server 2.0 и облаком.
С точки зрения пользователей удостоверение используется при выполнении входа.
Клиентский интерфейс пользователя. В начале каждого сеанса пользователь может выбрать подключение либо к частному облаку с использованием учетной записи Майкрософт, либо к локальному корпоративному серверу, либо к облаку, управляемому Майкрософт, для использования таких служб, как Office 365, и получения доступа к своим документам, изображениям и прочим данным.
Если пользователи выбирают подключение с использованием своих идентификаторов Идентификатор Microsoft ID, то вход выполняется с использованием учетной записи Майкрософт (ранее известной как "Паспорт" или Windows Live ID). Кроме того, пользователи могут выбрать подключение с использованием своих идентификаторов пользователей, которые используются для получения доступа к Office 365.
После выполнения входа пользователь может в любое время сменить удостоверение на экране Backstage любого приложения Office.
Клиентская инфраструктура. За кадром интерфейсы API проверки подлинности клиентов позволяют пользователям выполнять вход и выход и переключать активное удостоверение пользователя. Дополнительные интерфейсы API отслеживают перемещаемые параметры (настройки и недавно открытые документы), а также службы, доступные каждому удостоверению.
Прочие облачные службы работы с удостоверениями Пользователи автоматически могут выполнить вход в следующие изначально доступные службы:
OneDrive, для входа с использованием учетной записи Майкрософт или SharePoint Online для корпоративного удостоверения
Перемещение недавно использованных файлов и параметров
Персонализация
Действия, связанные с учетными записями Майкрософт
Пользователи могут также входить в сторонние облачные службы после выполнения входа с помощью учетной записи Майкрософт. Например, при входе в Facebook будет выполнено подключение с использованием этого удостоверения.
Использование параметров групповой политики для управления конфигурациями настольных компьютеров
Благодаря возможности работы администраторов с более чем 4 000 объектов управления групповыми политиками можно использовать групповую политику для управления пользовательскими параметрами в Office. Это означает, что администратор может создать целый ряд как мало управляемых, так и строго ограниченных конфигураций настольных компьютеров для пользователей. Параметры групповой политики всегда имеют преимущество над параметрами центра развертывания Office. Параметры групповой политики можно также использовать для отключения определенных форматов файлов, которые не являются безопасными при использовании в сети. Подробнее см. Настройка параметров безопасности с использованием центра развертывания Office или групповой политики Office 2013.
Несколько слов о центрах обработки данных Майкрософт
Программа безопасности центров обработки данных Майкрософт — это многомерная программа, основанная на управлении рисками. В ней учитываются людские ресурсы, процессы и технологии. Программа конфиденциальности обеспечивает выполнение общепринятых стандартов конфиденциальности в сфере обработки и передачи данных. Кроме того, обеспечивается физическая безопасность центров обработки данных Майкрософт. Более 65 000 кв. метров и десятки тысяч серверов охраняются 24 часа в день, 7 дней в неделю. При сбое электропитания включаются резервные источники, обеспечивающие бесперебойную работу на несколько дней. Отказоустойчивость этих центров обработки данных обеспечивается географической избыточностью, а сами центры располагаются в Северной Америке, Европе и Азии.
Office 365 никогда не сканирует пользовательские сообщения электронной почты или документы с целью анализа, сбора данных, рекламы или улучшения собственных служб. Пользовательские данные принадлежат исключительно пользователю и его компании; в любое время они могут быть удалены с серверов центра обработки данных
Office 365 соответствует требованиям следующих важных и ключевых для бизнеса отраслевых стандартов.
Сертификация ISO 27001 Office 365 соответствует и даже превосходит строгие стандарты физических, логических, процессуальных и управленческих элементов управления, определенных в международном стандарте ISO/TEC 27001:2005.
Типовые статьи ЕС Office 365 соответствует требованиям стандартных договорных статей, которые связаны с типовыми статьями ЕС и соглашением Safe Harbor ("безопасная бухты").
Соглашение с бизнес-партнерами HIPAA Office 365 может заключить соглашение о требованиях HIPAA со всеми клиентами. HIPAA регулирует использование, раскрытие и охрану соответствующих данных здравоохранения.
Каталоги и веб-расширения
Office 2013 включает новую модель расширения для клиентов Office, позволяющую веб-разработчикам создавать приложения для Office — веб-расширения, которые с помощью Интернета расширяют возможности клиентов Office. приложение для Office — это область в приложении Office, содержащая веб-страницу, которая может взаимодействовать с документом для расширения возможностей работы с содержимым и предоставления новых типов интерактивного содержимого и функциональных возможностей. Пользователи могут получить приложения для Office из нового магазина Office или из частного каталога в виде отдельных приложений, подкомпонентов решения на основе шаблонов документов либо в качестве приложения SharePoint.
В разделе центра управления безопасностью Доверенные каталоги приложений можно управлять приложения для Office, выполняя, помимо прочих, следующие действия:
отключение всех приложений;
отключение приложений только из магазина Office;
добавление доверенных каталогов в таблицу доверенных каталогов и их удаление из нее;
сброс пароля документа с помощью криптоключа или нового средства DocRecrypt.
Office 2013 предоставляет новые возможности криптоключа. Это позволяет ИТ-администраторам в организации расшифровывать защищенные паролем документы с помощью криптоключа. Например, если документ был зашифрован с помощью Word, Excel или PowerPoint и исходный владелец документа забыл пароль или уволился из организации, ИТ-администратор сможет восстановить данные с помощью частного криптоключа.
Возможности криптоключа поддерживаются только для файлов, которые были сохранены и зашифрованы с использованием криптографии следующего поколения. Это шифрование по умолчанию, которое используется в Office 2010 и Office 2013. Если в целях соответствия требованиям поведение по умолчанию было изменено для поддержки предыдущих форматов, функциональные возможности криптоключа не будут поддерживаться. Дополнительные сведения об этой новой функции см. в статье Удаление и сброс паролей файлов в Office 2013.
Цифровые подписи
Улучшения цифровых подписей в Office 2013 связаны со следующими функциональными возможностями.
Поддержка форматов файлов ODF версии 1.2
Улучшения XAdES (XML Advanced Electronic Signatures)
Поддержка форматов файлов ODF версии 1.2 позволяет пользователям подписывать документы ODF в Office 2013 с помощью невидимых цифровых подписей. Эти подписанные документы не поддерживают строки подписей или печати. Кроме того, Office 2013 предоставляет средство проверки цифровой подписи документов ODF, подписанных в других приложениях, но открываемых в Office 2013.
Улучшения XAdES в Office 2013 включают более удобную работу пользователей при создании цифровой подписи XAdES. Пользователи получают более детальные сведения о подписи.
Управление правами на доступ к данным (IRM)
Office 2013 включает новый клиент управления правами на доступ к данным, который оснащен новым пользовательским интерфейсом, упрощающим выбор удостоверения. Кроме того, клиент поддерживает автоматическое обнаружение серверов служб управления правами. Office 2013 может предоставлять поддержку IRM Microsoft Office Web Application Companions (WAC) с правом только для чтения. С помощью WAC можно просматривать документы, защищенные с помощью управления правами на доступ данных, в библиотеке SharePoint или вложенных в сообщения Outlook Web Access (OWA).
Защищенный просмотр
Office 2013 предоставляет улучшенные возможности защищенного просмотра, технологии "песочницы", при применении которой Office 2013 используется вместе с Windows 2012 как операционная система. Office 2013 задействует функциональную возможность Windows 2012 AppContainer, которая обеспечивает более надежную изоляцию и блокирует сетевой доступ из этой песочницы. Защищенный просмотр был представлен в Office 2010. С его помощью можно снизить вероятность использования компьютера злоумышленниками, так как файлы открываются в ограниченной среде, которая называется lowbox, чтобы их можно было изучить, прежде чем они станут доступными в Excel, PowerPoint или Word.
Office 2013 разработан с самого начала с учетом безопасности
В корпорации Майкрософт безопасность учитывается на каждом шагу жизненного цикла программного обеспечения. Каждый сотрудник, вносящий свой вклад в тот или иной компонент или продукт Office, должен пройти обучение по вопросам безопасности и продолжать следить за развитием угроз и отраслевой защиты. При разработке компонента или продукта группа должна рассматривать безопасность и конфиденциальность пользовательских данных с самого начала их использования, а также оценивать, как можно снизить соответствующие угрозы с помощью шифрования, проверки подлинности или других методов. Решения группы основываются на среде, ожидаемой или потенциальной подверженности рискам и конфиденциальности данных. Группа выполняет ряд обзоров поверхности атаки и создает план реагирования на инциденты еще до выхода продукта Office.
При обеспечении безопасности данных корпорация Майкрософт полагается не только на своих сотрудников. Используются также средства и автоматизированные тесты проверки качества, которые можно разделить на три категории.
Функциональное тестирование — все части пользовательского интерфейса проверяются на соответствие ввода, вывода и операций заявленным целям.
Нечеткое тестирование — большие объемы случайных и неожиданных данных вставлялись в программное обеспечение для выявления проблем с безопасностью. Этот вид тестирования стал значительной частью подготовки выпуска Office 2007 и применяется к самому последнему выпуску.
Для веб-приложений динамические средства и средства веб-сканирования используются для проверки потенциальных угроз безопасности, таких как сценарии между узлами (XSS) или внедрение кода SQL.
Проверки никогда не прекращаются. Microsoft Security Response Center (MSRC) несет ответственность за обработку вопросов, связанных с безопасностью, возникших после выпуска продукта. Эта группа быстро мобилизуется и предоставляет клиентам быстрые исправления.
Быстрый обзор развития технологий безопасности по сравнению с предыдущими выпусками Office
Элементы управления безопасностью, представленные в Office XP, Office 2003, Office 2007 и Office 2010, снижают вероятность атак, повышают удобство работы пользователя, защищают и уменьшают поверхность атаки и упрощают ИТ-администраторам построение надежной защиты от угроз без ущерба производительности пользователей. Ниже эти аспекты освещены более подробно.
Ввод следующих функциональных возможностей устранил некоторые виды атак на Office.
Защищенный просмотр
Защита рабочих процессов, связанных с документами
Управление исправлениями
Криптографическая гибкость
Следующие функциональные возможности повысили удобство работы пользователей.
Центр управления безопасностью и панель сообщений, надежные расположения, доверенные издатели и решения о доверии
Запросы безопасности, выполняющие определенные действия
Улучшения функции защиты с помощью пароля
Инспектор документов
Поддержка формата файлов XML
В Office обеспечивается повышенная защита поверхности атаки благодаря следующим функциональным возможностям.
Поддержка предотвращения выполнения данных (DEP)
Внедрение групповых политик
Поддержка надежных меток времени для цифровых подписей
Проверка и принудительное применение зависимости сложности пароля от домена
Усиление шифрования
Поддержка CryptoAPI
В Office была снижена поверхности атаки благодаря следующим функциональным возможностям.
Проверка файла Office
Расширенные параметры блокировки файлов
Безопасность элементов управления ActiveX
Бит аннулирования ActiveX
Проверка целостности зашифрованных файлов
Уровни безопасности макросов
Дополнительные сведения о нечетком тестировании файлов
Нечеткое тестирование файлов используется для определения ранее известных уязвимостей в различных форматах файлов. Группа Office провела нечеткое тестирование миллионов файлов несколько десятков миллионов раз, поэтому обнаружила и исправила сотни уязвимостей.
More on data execution prevention
Эта технология оборудования и программного обеспечения, встроенная в Windows и расширенная на все приложения Office, начиная с Office 2010 определяет файлы, которые пытаются запустить код в зарезервированной памяти. Эта защита всегда действует на 64-разр. версиях и настраивается на 32-разр. версиях с помощью групповых политик. Если обнаружен злонамеренный код, приложение под угрозой закрывается автоматически.
Дополнительные сведения о защищенном просмотре
Защищенный просмотр, обеспечивающий безопасный просмотр подозрительных файлов, был представлен в Office 2010. Теперь благодаря Windows 2012 AppContainer, который ограничивает сетевой доступ, обеспечивается дополнительная изоляция процесса.
См. также
Руководство по безопасности Office 2013
Обзор удостоверения, проверки подлинности и авторизации в Office 2013
Сравнение компонентов безопасности в номерах SKU Office 365 и Office 2013
Планирование управления правами на доступ к данным в Office 2013
Планирование параметров цифровой подписи для Office 2013