Essential Huit configurer les paramètres des macros Microsoft Office
Cet article guide les administrateurs informatiques tout au long de la stratégie d’atténuation Essential Huit pour la configuration des paramètres de macro Microsoft Office. Les contrôles décrits sont alignés sur l’intention de Essential Eight Maturity Level 3. L’application des stratégies recommandées pour renforcer Microsoft 365 Apps répond à certains contrôles pour le renforcement de l’application utilisateur.
Notes
Les conseils relatifs à l’activation de l’exécution de macros Office à partir d’emplacements approuvés ne sont pas inclus dans cet article. Il est recommandé d’utiliser un serveur de publication approuvé à la place.
L’Australian Cyber Security Centre (ACSC) fournit plusieurs documents d’aide sur le renforcement des Microsoft 365 Apps et les stratégies recommandées pour la configuration des macros. Toutes les stratégies de cet article sont basées sur les références suivantes :
- Recommandations pour le renforcement du système
- Renforcement de Microsoft 365, Office 2021, Office 2019 et Office 2016
- Sécurité des macros Microsoft Office
Déploiement de Microsoft 365 Apps pour entreprise & des conseils de renforcement ACSC pour Microsoft 365 Apps entreprise
Intune dispose d’une fonctionnalité appelée Ensembles de stratégies. Les ensembles de stratégies permettent de combiner des applications, des stratégies de configuration et d’autres objets en une seule entité déployable. Le déploiement de Microsoft 365 Apps pour entreprise doit toujours être accompagné des stratégies de renforcement d’Office ACSC recommandées. Cela garantit que tous les utilisateurs de la suite d’applications Office disposent des stratégies de renforcement ACSC Office appropriées appliquées.
Pour appliquer l’ensemble de stratégies, l’administrateur doit effectuer trois étapes :
- Création de la stratégie qui ciblera les utilisateurs souhaités.
- Importation de la stratégie de renforcement acsc.
- Création de l’ensemble de stratégies combinant Microsoft 365 Apps et la stratégie de directive de renforcement ACSC.
- Créez une stratégie à utiliser pour contenir les utilisateurs ciblés avec les applications Office et les stratégies de renforcement d’Office. Pour le reste de cet article, ce groupe est appelé Tous les utilisateurs d’Office.
- Créez le Microsoft 365 Apps pour Windows 10 application ou ultérieure, sous Applications > Windows > Ajouter > Microsoft 365 Apps.
- Incluez les Microsoft 365 Apps requises par votre organization.
- Définissez l’architecture sur : 64 bits (recommandé).
- Définissez le canal de mise à jour sur : Canal entreprise semi-annuel (recommandé).
Notes
N’affectez pas l’application. Cette opération sera effectuée dans une étape ultérieure.
- Enregistrez la stratégie AcSC Office Hardening Guidelines sur votre appareil local.
- Accédez à la console Microsoft Intune.
- Importez une stratégie, sous Appareils Profils>>de configurationWindows>Créer une>stratégie d’importation.
- Nommez la stratégie, sélectionnez Rechercher des fichiers sous Fichier de stratégie et accédez à la stratégie enregistrée à l’étape 1.
- Sélectionnez Enregistrer.
- Accédez à Appareils > Scripts et créez un script PowerShell.
- Importez le script PowerShell pour empêcher l’activation des packages de liaison d’objets et d’incorporation.
- Exécutez ce script à l’aide des informations d’identification de connexion : Oui.
- Appliquer la signature de script case activée : Non.
-
- Exécuter le script dans l’hôte PowerShell 64 bits : Non.
- Affectez le script PowerShell à : Tous les utilisateurs d’Office (créé à l’étape 1).
Notes
Ce script PowerShell est spécifiquement destiné à Office 2016 et versions ultérieures. Un script pour empêcher l’activation d’OLE pour Office 2013 est fourni ici : OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.
Étape 3 : Création de l’ensemble de stratégies combinant Microsoft 365 Apps et stratégie de renforcement ACSC
- Accédez à Appareils > Ensembles de stratégies > Créer.
- Sous Applications de gestion des > applications, sélectionnez Microsoft 365 Apps (pour Windows 10 et versions ultérieures) (créée à l’étape 1).
- Sous Gestion des appareils > Profils de configuration d’appareil, sélectionnez Renforcement acsc Office (créé à l’étape 2).
- Sous Affectations, sélectionnez Tous les utilisateurs Office (créé à l’étape 1).
- Importez la stratégie Réduction de la surface d’attaque de sécurité des points de terminaison.
- Accédez à Graph Explorer et authentifiez-vous.
- Créez une requête POST en utilisant le schéma bêta pour le point de terminaison de stratégie Réduction de la surface d’attaque :
https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance
. - Copiez le code JSON dans la stratégie de renforcement de windows acsc Guidelines-Attack réduction de la surface et collez-le dans le corps de la demande.
- (Facultatif) modifiez la valeur du nom si nécessaire.
- Affectez la stratégie à : Tous les utilisateurs Office (créé à l’étape 1).
Notes
Cette stratégie de réduction de la surface d’attaque (ASR) configure chacune des règles ASR recommandées par l’ACSC en mode audit. Les règles ASR doivent être testées pour les problèmes de compatibilité dans n’importe quel environnement avant leur application.
En suivant le document jusqu’à ce stade, les atténuations supplémentaires suivantes sont effectuées :
Contrôle ISM Sep 2024 | Contrôle | Mesure |
---|---|---|
1488 | Les macros Microsoft Office dans les fichiers provenant d’Internet sont bloquées. | Pour chaque application Office, la stratégie suivante a été configurée (via la stratégiede renforcement d’Office ACSC ) : Bloquer l’exécution des macros dans les fichiers Office à partir d’Internet : Activé |
1675 | Les macros Microsoft Office signées numériquement par un éditeur non approuvé ne peuvent pas être activées via la barre des messages ou le mode Backstage. | Pour chaque application Office, la stratégie suivante a été configurée (via la stratégie de renforcement d’Office ACSC ) : Désactiver la notification de la barre d’approbation pour l’application non signée : Activé |
1672 | L’analyse antivirus des macros Microsoft Office est activée. | Les stratégies suivantes ont été configurées (via la stratégie AcSC Office Hardening Guidelines ) : Forcer l’analyse AV Runtime : Activé Étendue de l’analyse du runtime des macros : activée pour tous les documents Remarque : Cela nécessite l’exécution de Windows Defender sur l’appareil. |
1673 | Les macros Microsoft Office ne peuvent pas effectuer des appels d’API Win32. | La règle de réduction de la surface d’attaque suivante a été configurée (via la stratégie ASR) : Bloquer les appels d’API Win32 à partir de la macro Office (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B) |
La stratégie de blocage des macros n’est pas incluse dans l’ensemble de stratégies. Cela permet d’exempter de manière sélective des groupes d’utilisateurs qui ont un besoin métier démontré d’exécuter des macros. Tous les autres utilisateurs qui n’ont pas de besoin démontré sont empêchés d’exécuter des macros.
Pour faciliter une étape ultérieure, qui permet l’exécution de macros signées par des éditeurs approuvés, un nouveau groupe doit être créé. Ce groupe est exclu des autres stratégies de macro Office pour éviter les conflits et est autorisé à exécuter des macros signées par un éditeur approuvé. Tous les autres utilisateurs sont ciblés avec une stratégie pour désactiver l’exécution de toutes les macros.
Pour autoriser uniquement les macros qui ont été signées par un serveur de publication approuvé :
- Créez un groupe qui contient des utilisateurs capables d’exécuter des macros Office s’ils sont signés par un éditeur approuvé. Ce groupe est appelé : Autoriser l’exécution de macros - Éditeur approuvé.
- Enregistrez la stratégie Toutes les macros désactivées sur votre appareil local.
- Accédez à la console Microsoft Intune.
- Importez une stratégie, sous Appareils Profils>>de configurationWindows>Créer une>stratégie d’importation.
- Nommez la stratégie, sélectionnez Rechercher des fichiers sous Fichier de stratégie et accédez à la stratégie enregistrée (à partir de l’étape 2).
- Sélectionnez Enregistrer
- Affectez la stratégie Toutes les macros désactivées à Tous les utilisateurs d’Office (qui a été créée au début de ce document).
- Excluez le groupe Autoriser l’exécution des macros - Éditeur approuvé (de l’étape 1).
En suivant le document jusqu’à ce stade, les atténuations supplémentaires suivantes ont été effectuées :
Contrôle ISM Sep 2024 | Contrôle | Mesure |
---|---|---|
1671 | Les macros Microsoft Office sont désactivées pour les utilisateurs qui n’ont pas de besoins métier démontrés. | Par défaut, tous les utilisateurs d’Office sont ciblés avec une stratégie qui bloque l’exécution des macros (les stratégies diffèrent selon l’application Office) : Désactiver VBA pour les applications Office : Activé |
1489 | Les paramètres de sécurité des macros Microsoft Office ne peuvent pas être modifiés par les utilisateurs. | Les stratégies configurées et déployées via Intune ne peuvent pas être modifiées par les utilisateurs standard. Les stratégies de renforcement d’Office et de désactivation des macros ne peuvent pas être modifiées par les utilisateurs finaux. Assurez-vous que les utilisateurs exemptés de la stratégie Bloquer les macros sont ciblés avec une stratégie qui autorise uniquement l’exécution de macros à partir d’un éditeur approuvé. |
Pour les utilisateurs standard, il est recommandé d’utiliser le serveur de publication approuvé dans la mesure du possible en autorisant l’exécution de macros à partir d’un emplacement approuvé. L’utilisation d’un emplacement approuvé nécessite que chaque macro soit soigneusement vérifiée avant d’être placée dans l’emplacement approuvé. La raison de l’utilisation d’un éditeur approuvé est qu’en choisissant un éditeur approuvé, il existe un engagement démontré envers la sécurité de ses produits, ce qui réduit le risque d’utilisation de leurs macros par rapport à un emplacement ou un site web. Les utilisateurs exemptés de la stratégie qui bloque les macros de l’étape précédente sont ciblés avec une stratégie qui limite l’exécution des macros à une liste organisée de serveurs de publication approuvés.
Les macros Microsoft Office sont vérifiées pour s’assurer qu’elles sont exemptes de code malveillant avant d’être signées numériquement ou placées dans des emplacements approuvés
En implémentant les instructions de renforcement d’Office ACSC, les macros sont analysées par Microsoft Defender avant l’exécution (voir ci-dessus avec la réunion ISM-1672). Avant de signer des macros, un administrateur doit exécuter les macros sur un appareil déconnecté (avec les stratégies de renforcement d’Office ACSC appliquées), dédié à l’utilisation de la détermination de la sécurité des macros.
Des outils tiers sont également disponibles et peuvent fournir une analyse et une signature automatisées pour les macros envoyées.
Pour importer la stratégie Macros activées pour les serveurs de publication approuvés, procédez comme suit :
- Enregistrez la stratégie Macros activées pour les éditeurs approuvés sur votre appareil local.
- Accédez à la console Microsoft Intune.
- Importer une stratégie, sous Appareils Profils >> de configuration Windows > Créer une > stratégie d’importation
- Nommez la stratégie, sélectionnez Rechercher des fichiers sous Fichier de stratégie et accédez à la stratégie enregistrée (à partir de l’étape 2)
- Sélectionnez Enregistrer
- Affecter la stratégie au groupe : Autoriser l’exécution de macros - Éditeur approuvé
Après avoir importé la stratégie de serveur de publication approuvé, vous devez spécifier un ou plusieurs serveurs de publication approuvés. Pour ajouter un serveur de publication approuvé, suivez les instructions pour ajouter un certificat au magasin de certificats Éditeurs approuvés à l’aide de Intune : Ajout d’un certificat aux éditeurs approuvés à l’aide de Intune - Microsoft Tech Community.
Créez une stratégie pour chaque serveur de publication approuvé, au lieu de regrouper plusieurs serveurs de publication dans la même stratégie. Cela simplifie l’identification des serveurs de publication approuvés déployés et facilite la suppression de tous les serveurs de publication approuvés qui ne sont plus nécessaires. Déployez toutes les stratégies de certificat Éditeurs approuvés dans le même groupe : Autoriser l’exécution de macros – Éditeur approuvé.
Notes
Lors de la signature de macros, utilisez la version plus sécurisée du schéma de signature de projet VBS : signature V3.
En autorisant uniquement l’exécution de macros signées par un serveur de publication approuvé, les atténuations supplémentaires suivantes ont été satisfaites :
Contrôle ISM Sep 2024 | Contrôle | Mesure |
---|---|---|
1674 | Seules les macros Microsoft Office exécutées à partir d’un environnement bac à sable, d’un emplacement approuvé ou signées numériquement par un éditeur approuvé sont autorisées à s’exécuter. | Pour chaque application Office, le paramètre suivant a été configuré (via la stratégie Macros activées pour les éditeurs approuvés ) : Désactiver toutes les macros à l’exception des macros signées numériquement : Activé |
1487 | Seuls les utilisateurs privilégiés chargés de vérifier que les macros Microsoft Office sont exemptes de code malveillant peuvent écrire et modifier du contenu dans des emplacements approuvés. | Non applicable Seules les macros signées par un serveur de publication approuvé sont autorisées à s’exécuter pour certains utilisateurs. |
1890 | Les macros Microsoft Office sont vérifiées pour s’assurer qu’elles sont exemptes de code malveillant avant d’être signées numériquement ou placées dans des emplacements approuvés. | Un administrateur lance des macros sur un appareil auquel les stratégies de renforcement d’Office ACSC sont appliquées, déconnecté de l’environnement de production et dédié à déterminer la sécurité des macros avant la signature. |
Microsoft Defender pour point de terminaison (MDE) utilise la combinaison de technologie suivante, conçue avec le service cloud robuste de Microsoft :
- Capteurs comportementaux de point de terminaison : incorporés dans Windows, ces capteurs collectent et traitent les signaux comportementaux du système d’exploitation et envoient ces données de capteur à votre instance de Microsoft Defender pour point de terminaison privé, isolé et cloud.
- Analyse de la sécurité cloud : à l’aide du Big Data, de l’apprentissage des appareils et de l’optique Microsoft unique dans l’écosystème Windows, les produits cloud d’entreprise (tels que Office 365) et les ressources en ligne, les signaux comportementaux sont traduits en insights, détections et réponses recommandées aux menaces avancées.
- Renseignement sur les menaces : généré par les chasseurs Microsoft, les équipes de sécurité et augmenté du renseignement sur les menaces fourni par les partenaires, le renseignement sur les menaces permet à Defender pour point de terminaison d’identifier les outils, techniques et procédures des attaquants, et de générer des alertes lorsqu’ils sont observés dans les données de capteur collectées.
MDE pouvez être utilisé pour obtenir et conserver des journaux à partir de points de terminaison qui peuvent ensuite être utilisés pour la détection d’événements de cybersécurité.
L’intégration entre Microsoft Intune et MDE permet une intégration facile dans MDE pour les appareils Intune gérés.
Détails de l’implémentation : intégration des points de terminaison dans Microsoft Defender pour point de terminaison
- Créer un profil de configuration Windows avec un type de modèle > Microsoft Defender pour point de terminaison (appareils de bureau exécutant Windows 10 ou version ultérieure)
- Définissez Accélérer la fréquence des rapports de télémétrie sur Activer
- Affectez la stratégie à un groupe de déploiement.
Une fois que les appareils sont intégrés à MDE, certaines actions sont capturées pour révision et des actions peuvent être prises si nécessaire : Effectuer des actions de réponse sur un appareil dans Microsoft Defender pour point de terminaison.
En intégrant des appareils à MDE, les contrôles suivants sont respectés :
Contrôle ISM Sep 2024 | Contrôle | Mesure |
---|---|---|
1677, 1678 | Les exécutions de macros Microsoft Office autorisées et bloquées sont journalisées et protégées contre les modifications et suppressions non autorisées, surveillées pour détecter les signes de compromission et traitées lorsque des événements de cybersécurité sont détectés. | Les processus exécutés par des macros qui correspondent aux règles déployées de réduction de la surface d’attaque sont enregistrés dans Defender pour point de terminaison. Les exécutions qui correspondent à une indication d’attaque ou de compromission génèrent une alerte pour révision. |
Validez la liste des serveurs de publication approuvés sur un appareil avec un utilisateur autorisé à exécuter des macros à partir de serveurs de publication approuvés. Dans le magasin de certificats Éditeurs approuvés, vérifiez que chacun des certificats de serveur de publication approuvé :
- Est toujours requis pour les macros en cours d’utilisation dans votre organization.
- Le certificat est toujours dans sa période de validité.
- Le certificat a toujours une chaîne d’approbation valide.
Supprimez tous les certificats qui ne répondent pas aux critères précédents.
Contrôle ISM Sep 2024 | Contrôle | Mesure |
---|---|---|
1676 | La liste des éditeurs approuvés de Microsoft Office est validée sur une base annuelle ou plus fréquente. | Un administrateur vérifie les certificats dans le magasin de certificats Éditeurs approuvés, en veillant à ce que tous les certificats soient toujours requis et dans leur période de validité. Supprimez les certificats et les stratégies associées qui ne sont plus nécessaires. |