Guia de Segurança do Office 2007
A Microsoft acaba de divulgar o Guia de Segurança para o Office 2007, um conjunto de documentos contendo todas as orientações e recomendações para configurar com a segurança do Office 2007. Este é o primeiro guia de segurança feito para o Office, e foi elaborado nos moldes dos guias de segurança para Windows já lançados anteriormente.
O pacote contém os seguintes documentos:
¦ 2007 Microsoft Office Security Guide - O guia de segurança propriamente dito, com as configurações de segurança recomendadas para o Office 2007 nas configurações Enterprise Client (a "default") e Specialized Security - Limited Functionality (a "super segura", onde algumas funcionalidades estão restritas).
¦ Threats and Countermeasures - Se as configurações anteriores não te atendem, você pode usar este documento para criar a sua própria configuração de segurança própria mais adequada aos seus riscos. Este documento explica cada uma das mais de 100 configurações de segurança presentes no Office, identificando conta qual ameaça a configuração protege e qual o impacto caso a configuração seja adotada.
¦ Security Settings for 2007 Office Applications - Uma planilha contendo a lista de todas as configurações de segurança.
Um ponto interessante é que neste guia a Microsoft passa a adotar o Common Configuration Enumeration (CCE) do MITRE para identificar cada uma das configurações de segurança dos seus produtos. Por exemplo, configurar o Outlook para encriptar todos os e-mails é o CCE-1181, e requerer algoritmo ECDSA de curvas elípticas para encriptação é o CCE-1658. Com o CCE é possível se ter um vocabulário comum para descrever e comparar o hardening feito pelas políticas de segurança, da mesma forma que o CVE criou um vocabulário comum para descrever vulnerabilidades.
O Guia de Segurança do Office 2007 ainda vem com o GPOAccelerator, um script que configura no Active Directory as políticas de segurança necessárias para configurar tanto o perfil Enterprise Client quanto o Specialized Security - Limited Functionality.
O guia é fornecido gratuitamente, e as configurações recomendadas por ele são totalmente suportadas pela Microsoft. Por enquanto somente a versão em inglês está disponível, mas a tradução para português deverá estar no site de segurança do Technet Brasil nos próximos meses.