Essential Eight configurare le impostazioni delle macro di Microsoft Office
Configurare le impostazioni delle macro di Microsoft Office
Questo articolo illustra agli amministratori IT la strategia di mitigazione Essential Eight per la configurazione delle impostazioni delle macro di Microsoft Office. I controlli descritti sono allineati alla finalità di Livello di maturità 3 di Otto elementi essenziali. L'applicazione dei criteri consigliati per la protezione avanzata di Microsoft 365 Apps soddisfa determinati controlli per la protezione avanzata delle applicazioni utente.
Nota
I consigli per abilitare l'esecuzione di macro di Office da percorsi attendibili non rientrano nell'ambito di questo articolo. È consigliabile usare invece un server di pubblicazione attendibile.
Riferimenti
L'Australian Cyber Security Centre (ACSC) fornisce più documenti di orientamento sulla protezione avanzata di Microsoft 365 Apps e i criteri consigliati per la configurazione delle macro. Tutti i criteri in questo articolo sono basati sui riferimenti seguenti:
- Linee guida per la protezione avanzata del sistema
- Protezione avanzata di Microsoft 365, Office 2021, Office 2019 e Office 2016
- Sicurezza delle macro di Microsoft Office
Distribuzione di Microsoft 365 Apps for Enterprise & linee guida per la protezione avanzata ACSC per Microsoft 365 Apps for Enterprise
Intune ha una funzionalità denominata Set di criteri. I set di criteri consentono di combinare applicazioni, criteri di configurazione e altri oggetti in una singola entità distribuibile. La distribuzione di Microsoft 365 Apps for Enterprise deve essere sempre accompagnata dai criteri di protezione avanzata di Office ACSC consigliati. In questo modo si garantisce che tutti gli utenti della famiglia di app di Office abbiano applicato i criteri di protezione avanzata di Office ACSC appropriati.
Dettagli di implementazione
Per applicare il set di criteri, l'amministratore deve completare tre fasi:
- Creazione dei criteri destinati agli utenti desiderati.
- Importazione dei criteri acsc Hardening Guideline.
- Creazione del set di criteri che combina i criteri microsoft 365 Apps e ACSC Hardening Guideline.
Fase 1: Per creare i criteri per gli utenti desiderati
- Creare un criterio da usare per contenere gli utenti destinati alle app di Office e ai criteri di protezione avanzata di Office. Per il resto di questo articolo, questo gruppo è denominato Tutti gli utenti di Office.
- Creare l'app Microsoft 365 Apps per Windows 10 o versione successiva, in App > Windows > Aggiungi > app di Microsoft 365.
- Includere le app di Microsoft 365 come richiesto dall'organizzazione.
- Impostare l'architettura su: a 64 bit (scelta consigliata).
- Impostare il canale di aggiornamento su: Canale Enterprise semestrale (scelta consigliata).
Nota
Non assegnare l'applicazione. Questa operazione viene eseguita in un passaggio successivo.
Fase 2: Per importare i criteri guida per la protezione avanzata ACSC
- Salvare i criteri ACSC Office Hardening Guidelines nel dispositivo locale.
- Passare alla console di Microsoft Intune.
- Importare un criterio in Dispositivi> Profili >di configurazione diWindows> Creare >criteri di importazione.
- Assegnare un nome al criterio, selezionare Cerca file in File di criteri e passare al criterio salvato dal passaggio 1.
- Selezionare Salva.
Importare script per impedire l'attivazione di pacchetti di collegamento e incorporamento di oggetti
- Passare a Script dei dispositivi > e creare un nuovo script di PowerShell.
- Importare lo script di PowerShell per impedire l'attivazione di pacchetti di collegamento e incorporamento di oggetti.
- Eseguire questo script usando le credenziali di accesso: Sì.
- Applicare il controllo della firma dello script: No.
-
- Eseguire lo script nell'host PowerShell a 64 bit: No.
- Assegnare lo script di PowerShell a: Tutti gli utenti di Office (creati nella fase 1).
Nota
Questo script di PowerShell è specifico per Office 2016 e versioni successive. Uno script per impedire l'attivazione di OLE per Office 2013 è disponibile qui: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.
Fase 3: Creazione del set di criteri che combina i criteri microsoft 365 Apps e acsc Hardening Guideline
- Passare a Dispositivi > Set di criteri > Crea.
- In App di gestione > applicazioni selezionare Microsoft 365 Apps (per Windows 10 e versioni successive) (creato nella fase 1).
- In Device Management Device Configuration Profiles (Profili di configurazione del dispositivo) >selezionare ACSC Office Hardening (creato nella fase 2).
- In Assegnazioni selezionare Tutti gli utenti di Office (creati nella fase 1).
- Importare i criteri di riduzione della superficie di attacco di Endpoint Security.
- Passare a Graph Explorer e eseguire l'autenticazione.
- Creare una richiesta POST usando lo schema beta per l'endpoint dei criteri di riduzione della superficie di attacco:
https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance. - Copiare il codice JSON nei criteri acsc Windows Hardening Guidelines-Attack Surface Reduction e incollarlo nel corpo della richiesta.
- (Facoltativo) modificare il valore del nome, se necessario.
- Assegnare i criteri a: Tutti gli utenti di Office (creati nella fase 1).
Nota
Questo criterio di riduzione della superficie di attacco (ASR) configura ognuna delle regole ASR consigliate da ACSC in modalità di controllo. Le regole asr devono essere testate per verificare la compatibilità in qualsiasi ambiente prima dell'imposizione.
Seguendo il documento fino a questo punto, vengono effettuate le seguenti mitigazioni aggiuntive:
| Controllo ISM Giugno 2024 | Controllo | Misura |
|---|---|---|
| 1488 | Le macro di Microsoft Office nei file provenienti da Internet sono bloccate. | Per ogni applicazione di Office, sono stati configurati i criteri seguenti (tramite i criteri diprotezione avanzata di Office ACSC ): Impedire l'esecuzione di macro nei file di Office da Internet: Abilitato |
| 1675 | Le macro di Microsoft Office firmate digitalmente da un editore non attendibile non possono essere abilitate tramite la barra dei messaggi o la visualizzazione Backstage. | Per ogni applicazione di Office, sono stati configurati i criteri seguenti (tramite i criteri di protezione avanzata di Office ACSC ): Disabilitare la notifica della barra di attendibilità per un'applicazione non firmata: abilitata |
| 1672 | L'analisi antivirus delle macro di Microsoft Office è abilitata. | Sono stati configurati i criteri seguenti (tramite i criteri acsc Office Hardening Guidelines ): Force Runtime AV Scan: Enabled Ambito analisi runtime macro: abilitato per tutti i documenti Nota: è necessario che Windows Defender sia in esecuzione nel dispositivo. |
| 1673 | Alle macro di Microsoft Office viene impedito di effettuare chiamate API Win32. | La regola di riduzione della superficie di attacco seguente è stata configurata (tramite i criteri asr): Bloccare le chiamate API Win32 dalla macro di Office (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B) |
Controllo dell'esecuzione di macro
I criteri per bloccare le macro non sono inclusi nel set di criteri. In questo modo è possibile esentare in modo selettivo gruppi di utenti con esigenze aziendali dimostrate per l'esecuzione di macro. A tutti gli altri utenti che non hanno una necessità dimostrata viene impedito l'esecuzione di macro.
Dettagli di implementazione
Per facilitare un passaggio successivo, che consente l'esecuzione di macro firmate da autori attendibili, è necessario creare un nuovo gruppo. Questo gruppo è escluso da altri criteri macro di Office per evitare conflitti e sarà consentito eseguire macro firmate da un autore attendibile. A tutti gli altri utenti viene assegnato un criterio per disabilitare l'esecuzione di tutte le macro.
Per consentire solo le macro firmate da un server di pubblicazione attendibile:
- Creare un gruppo contenente gli utenti che sono in grado di eseguire macro di Office se sono firmati da un autore attendibile. Questo gruppo è noto come: Consenti esecuzione di macro - Autore attendibile.
- Salvare i criteri Tutte le macro disabilitate nel dispositivo locale.
- Passare alla console di Microsoft Intune.
- Importare un criterio in Dispositivi> Profili >di configurazione diWindows> Creare >criteri di importazione.
- Assegnare un nome al criterio, selezionare Cerca i file in File di criteri e passare ai criteri salvati (dal passaggio 2).
- Seleziona Salva.
- Assegnare il criterio Tutte le macro disabilitate a tutti gli utenti di Office (creato all'inizio di questo documento).
- Escludere il gruppo Consenti esecuzione macro - Autore attendibile (dal passaggio 1).
Seguendo il documento fino a questo punto, sono state effettuate le seguenti mitigazioni aggiuntive:
| Controllo ISM Giugno 2024 | Controllo | Misura |
|---|---|---|
| 1671 | Le macro di Microsoft Office sono disabilitate per gli utenti che non hanno un requisito aziendale dimostrato. | Per impostazione predefinita, a tutti gli utenti di Office viene assegnato un criterio che blocca l'esecuzione delle macro (i criteri sono diversi per ogni applicazione di Office): Disabilitare VBA per le applicazioni di Office: abilitato |
| 1489 | Le impostazioni di sicurezza delle macro di Microsoft Office non possono essere modificate dagli utenti. | I criteri configurati e distribuiti tramite Intune non possono essere modificati dagli utenti standard. I criteri per la protezione avanzata di Office e la disabilitazione delle macro non possono essere modificati dagli utenti finali. Assicurarsi che gli utenti esentati dal criterio Blocca macro siano destinati a un criterio che consente solo l'esecuzione di macro da un autore attendibile. |
Autore attendibile
Per gli utenti standard, è consigliabile usare l'autore attendibile quando possibile per consentire l'esecuzione di macro da un percorso attendibile. L'uso di un percorso attendibile richiede che ogni macro venga controllata accuratamente prima di essere inserita nella posizione attendibile. L'uso di un autore attendibile è dovuto al fatto che, scegliendo un server di pubblicazione attendibile, esiste un impegno dimostrato per la sicurezza dei prodotti, riducendo il rischio di usare le macro rispetto a una posizione o a un sito Web. Gli utenti esentati dai criteri che bloccano le macro dal passaggio precedente sono destinati a un criterio che limita l'esecuzione delle macro a un elenco curato di autori attendibili.
Le macro di Microsoft Office vengono controllate per assicurarsi che siano prive di codice dannoso prima di essere firmate digitalmente o inserite all'interno di posizioni attendibili
Implementando le linee guida per la protezione avanzata di ACSC per Office, le macro vengono analizzate da Microsoft Defender prima dell'esecuzione (vedere sopra con la riunione ISM-1672). Prima di firmare le macro, un amministratore deve eseguire le macro in un dispositivo disconnesso (con i criteri di protezione avanzata di Office ACSC applicati), dedicati all'uso di per determinare la sicurezza delle macro.
Sono disponibili anche strumenti di terze parti che possono fornire analisi e firma automatizzate per le macro inviate.
Dettagli di implementazione
Per importare i criteri Macro abilitate per autori attendibili, seguire questa procedura:
- Salvare i criteri Macro abilitate per autori attendibili nel dispositivo locale.
- Passare alla console di Microsoft Intune.
- Importare un criterio, in Dispositivi > Profili > di configurazione di Windows > Creare > criteri di importazione
- Assegnare un nome al criterio, selezionare Cerca i file in File di criteri e passare ai criteri salvati (dal passaggio 2)
- Seleziona Salva.
- Assegnare i criteri al gruppo: Consenti esecuzione macro - Autore attendibile
Dopo aver importato i criteri autore attendibile, è necessario specificare uno o più server di pubblicazione attendibili. Per aggiungere un server di pubblicazione attendibile, seguire le istruzioni per aggiungere un certificato all'archivio certificati autori attendibili usando Intune: Aggiunta di un certificato ai server di pubblicazione attendibili tramite Intune - Microsoft Tech Community.
Creare un nuovo criterio per ogni server di pubblicazione attendibile, anziché raggruppare più server di pubblicazione nello stesso criterio. Ciò semplifica l'identificazione dei server di pubblicazione attendibili distribuiti e semplifica la rimozione di tutti i server di pubblicazione attendibili che non sono più necessari. Distribuire tutti i criteri di certificato autori attendibili nello stesso gruppo: Consenti esecuzione macro - Autore attendibile.
Nota
Quando si firmano macro, usare la versione più sicura dello schema di firma del progetto VBS: firma V3.
Consentendo solo l'esecuzione di macro firmate da un server di pubblicazione attendibile, sono state soddisfatte le seguenti mitigazioni aggiuntive:
| Controllo ISM Giugno 2024 | Controllo | Misura |
|---|---|---|
| 1674 | Solo le macro di Microsoft Office in esecuzione da un ambiente sandbox, da un percorso attendibile o firmate digitalmente da un autore attendibile possono essere eseguite. | Per ogni app di Office, è stata configurata l'impostazione seguente tramite il criterio Macro abilitate per autori attendibili : Disabilitare tutte le macro ad eccezione delle macro firmate digitalmente: abilitata |
| 1487 | Solo gli utenti con privilegi responsabili del controllo che le macro di Microsoft Office siano prive di codice dannoso possono scrivere e modificare il contenuto all'interno di percorsi attendibili. | Non applicabile. Solo le macro firmate da un autore attendibile possono essere eseguite per utenti selezionati. |
| 1890 | Le macro di Microsoft Office vengono controllate per assicurarsi che siano prive di codice dannoso prima di essere firmate digitalmente o inserite in Posizioni attendibili. | Un amministratore avvierà macro in un dispositivo in cui sono applicati i criteri di protezione avanzata di Office ACSC, disconnessi dall'ambiente di produzione e dedicati allo scopo di determinare la sicurezza delle macro prima della firma. |
Registrazione dell'esecuzione di macro di Office
Microsoft Defender per endpoint (MDE) usa la combinazione di tecnologia seguente, creata con il servizio cloud affidabile di Microsoft:
- Sensori comportamentali degli endpoint: incorporati in Windows, questi sensori raccolgono ed elaborano i segnali comportamentali dal sistema operativo e inviano i dati del sensore all'istanza cloud privata, isolata e di Microsoft Defender per endpoint.
- Analisi della sicurezza cloud: uso di Big Data, apprendimento dei dispositivi e ottica Microsoft univoca nell'ecosistema Windows, prodotti cloud aziendali (ad esempio Office 365) e asset online, i segnali comportamentali vengono convertiti in informazioni dettagliate, rilevamenti e risposte consigliate alle minacce avanzate.
- Intelligence sulle minacce: generata da microsoft hunter, team di sicurezza e aumentata dall'intelligence sulle minacce fornita dai partner, l'intelligence sulle minacce consente a Defender per endpoint di identificare strumenti, tecniche e procedure degli utenti malintenzionati e generare avvisi quando vengono osservati nei dati raccolti dei sensori.
MDE può essere usato per ottenere e conservare i log dagli endpoint che possono quindi essere usati per il rilevamento di eventi di cyber security.
L'integrazione tra Microsoft Intune e MDE consente un facile onboarding in MDE per i dispositivi gestiti di Intune.
Dettagli di implementazione: onboarding degli endpoint in Microsoft Defender per endpoint
- Creare un nuovo profilo di configurazione di Windows con un tipo di modello > Microsoft Defender per endpoint (dispositivi desktop che eseguono Windows 10 o versioni successive)
- Impostare Velocizzare la frequenza dei report di telemetria su Abilita
- Assegnare i criteri a un gruppo di distribuzione.
Dopo l'onboarding dei dispositivi in MDE, alcune azioni vengono acquisite per la revisione e, se necessario, è possibile eseguire azioni: eseguire azioni di risposta in un dispositivo in Microsoft Defender per endpoint.
Eseguendo l'onboarding dei dispositivi in MDE, vengono soddisfatti i controlli seguenti:
| Controllo ISM Giugno 2024 | Controllo | Misura |
|---|---|---|
| 1677, 1678 | Le esecuzioni di macro di Microsoft Office consentite e bloccate vengono registrate e protette centralmente da modifiche ed eliminazioni non autorizzate, monitorate per individuare i segni di compromissione e attivate quando vengono rilevati eventi di sicurezza informatica. | I processi eseguiti dalle macro che corrispondono alle regole di riduzione della superficie di attacco distribuite vengono registrati in Defender per endpoint. Le esecuzioni che corrispondono a un'indicazione di attacco o compromissione genereranno un avviso per la revisione. |
Convalida dell'elenco di autori attendibili
Convalidare l'elenco di autori attendibili in un dispositivo con un utente a cui è stato consentito di eseguire macro da autori attendibili. Nell'archivio certificati autori attendibili verificare che ognuno dei certificati dell'autore attendibile:
- È ancora necessario per le macro in uso nell'organizzazione.
- Il certificato è ancora entro il periodo di validità.
- Il certificato ha ancora una catena di attendibilità valida.
Rimuovere tutti i certificati che non soddisfano i criteri precedenti.
| Controllo ISM Giugno 2024 | Controllo | Misura |
|---|---|---|
| 1676 | L'elenco di autori attendibili di Microsoft Office viene convalidato su base annuale o più frequente. | Un amministratore verifica i certificati nell'archivio certificati autori attendibili, verificando che tutti i certificati siano ancora necessari e entro il periodo di validità. Rimuovere tutti i certificati e i criteri associati che non sono più necessari. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per