Sicurezza dei componenti aggiuntivi per le riunioni di Teams quando si usa il client Outlook

  • Articolo
  • Si applica a:
    Microsoft Teams

Il componente aggiuntivo per le riunioni di Teams (o TMA) viene usato per pianificare riunioni in Teams dal client desktop Di Outlook su Windows.

Le coordinate TMA tra i servizi Outlook e Teams, quindi è importante mantenere il TMA sicuro. L'adottare misure di sicurezza contribuisce a ridurre il rischio di attacchi alla sicurezza informatica.

Ecco i modi per proteggere il componente aggiuntivo per le riunioni di Teams descritto in questo articolo:

  1. (scelta consigliata) Usare il Centro protezione di Microsoft Outlook per impedire a Outlook di caricare TMA quando le DLL TMA non sono firmate con un certificato di un autore attendibile.
    1. Usare criteri di gruppo per il dominio e aggiornare il certificato radice e l'autore attendibile, soprattutto perché impedisce agli utenti di essere chiesta l'attendibilità dell'autore.
  2. AppLocker può anche essere usato per impedire il caricamento di DLL da editori non attendibili.

Criteri di gruppo centro protezione di Microsoft Outlook

È possibile usare i criteri di gruppo centro protezione per la gestione dei componenti aggiuntivi:

  • Per assicurarsi che vengano caricati solo i componenti aggiuntivi attendibili dall'organizzazione
  • Per interrompere il caricamento dei componenti aggiuntivi da posizioni non specificate

Questa pratica contribuisce a evitare che malware comprometta la registrazione COM per il caricamento da un'altra posizione con DLL piantate.

Ecco i passaggi:

  1. Proteggere Outlook da componenti aggiuntivi non sicuri
    1. Passare al Centro protezione di Outlook, https://www.microsoft.com/en-us/trust-center.
    2. Al suo arrivo, selezionare Opzioni > file > Centro protezione.
    3. Selezionare Centro protezione di Microsoft Outlook.
    4. In Centro protezione di Microsoft Outlook nel menu a sinistra selezionare Impostazioni Centro protezione.
    5. In Impostazioni macro selezionare Notifiche per le macro con firma digitale, tutte le altre macro sono disabilitate.
    6. Gli amministratori devono selezionare Applica le impostazioni di sicurezza delle macro ai componenti aggiuntivi installati in questo caso.
    7. Selezionare il pulsante OK per apportare queste modifiche e uscire dal Centro protezione, quindi selezionare di nuovo OK per chiudere le opzioni.

Le scelte restano da lì.

Al di fuori del Centro protezione di Outlook:

  1. Riavviare Outlook nel client.

  2. Alla riapertura di Outlook, l'applicazione chiede l'autorizzazione per caricare ogni componente aggiuntivo, disabilitando automaticamente tutti i componenti aggiuntivi non firmati.

    1. L'immagine seguente illustra l'aspetto dell'esperienza utente di TMA: avviso di sicurezza di Outlook e funzionamento di Considera attendibili tutti i documenti di questo autore e Abilita applicazioni.
    2. Gli utenti finali visualizzano un avviso di sicurezza di Microsoft Outlook che potrebbe leggere Che Microsoft Office ha identificato un potenziale problema di sicurezza Microsoft.Teams.AddinLoader.dll. Le opzioni sono:
      1. Considera attendibili tutti i documenti di questo Autore.
        1. Se si seleziona questa opzione, l'autore del certificato verrà considerato attendibile e l'utente non verrà più richiesto finché il certificato non viene modificato.
      2. 2. Abilitare il componente aggiuntivo dell'applicazione.
        1. Questa opzione viene abilitata solo caso per caso, quindi il componente aggiuntivo viene abilitato per questa volta e all'utente verrà richiesto di nuovo.
      3. 3. Disabilitare il componente aggiuntivo dell'applicazione.
        1. Disabilita il componente aggiuntivo.
    3. Seguire la procedura per configurare Criteri di gruppo per considerare automaticamente attendibile una specifica autorità di certificazione radice.
      1. Aprire Criteri di gruppo Management Console nel controller di dominio.
      2. Creare un nuovo oggetto Criteri di gruppo o modificare un oggetto Criteri di gruppo esistente da usare per configurare le impostazioni.
      3. Passare quindi a Criteri > di configurazione > computer Impostazioni di Windows Impostazioni >> di sicurezza Criteri chiave pubblica.
      4. Fai clic con il pulsante destro del mouse su Autorità di certificazione radice attendibili e seleziona Importa.
      5. Passare al file microsoft root certificate authority 2010 dell'autore del certificato che si vuole considerare attendibile e importarlo.
      6. Collegare l'oggetto Criteri di gruppo all'unità organizzativa appropriata per applicare le impostazioni ai computer in cui si vuole usare il criterio. Per altre informazioni su questo processo, vedere: Distribuire i criteri di Applocker nella produzione
    4. Seguire quindi la procedura per configurare Criteri di gruppo in modo che consideri automaticamente attendibile l'autore.
      1. Aprire Criteri di gruppo Management Console nel controller di dominio.
      2. Crea un nuovo oggetto Criteri di gruppo o modifica un oggetto Criteri di gruppo esistente che vuoi usare per configurare le impostazioni.
      3. Passare a Criteri > di configurazione > computer Impostazioni di Windows Impostazioni >> di sicurezza Criteri chiave pubblica.
      4. Fare clic con il pulsante destro del mouse su Autori attendibili e scegliere Importa.
      5. Passare al file del certificato foglia Microsoft Corporation per l'autore del certificato che si vuole considerare attendibile e importarlo.
      6. Collegare l'oggetto Criteri di gruppo all'unità organizzativa appropriata per applicare le impostazioni ai computer scelti.

  3. Gestione dei componenti aggiuntivi tramite Criteri di gruppo

    1. Scaricare i file ADMX/ADML (Administrative Template) per Microsoft 365 Apps for enterprise/Office LTSC 2021/Office 2019/Office 2016 e lo Strumento di personalizzazione di Office per Office 2016.
    2. Aggiungere i file del modello ADMX/ADML al Criteri di gruppo Management:
      1. In Modelli > amministrativi configurazione > utente Centro protezione > di Microsoft Outlook (numero di versione). >
        1. Applicare le impostazioni di sicurezza delle macro a macro, componenti aggiuntivi e altre azioni: questa impostazione dei criteri controlla se Outlook applica anche le impostazioni di sicurezza delle macro ai componenti aggiuntivi COM installati e altre azioni.
          1. Imposta su: Abilitato
        2. Impostazione di sicurezza per le macro: questa impostazione dei criteri controlla il livello di sicurezza per le macro in Outlook.
          1. Imposta su: Avviso relativo alla firma, disabilita unsigned.
            1. Questa opzione corrisponde all'opzione Notifiche per le macro con firma digitale, tutte le altre macro disabilitate nel Centro protezione. Se un componente aggiuntivo è firmato digitalmente da un autore attendibile, può essere eseguito firmato da un autore attendibile.
      2. Criteri di gruppo aggiuntivi per i componenti aggiuntivi.
        1. In Modelli > amministrativi di configurazione > utente Microsoft Outlook 2016 > Sicurezza
          1. Configurare il livello di attendibilità dei componenti aggiuntivi: tutti i componenti aggiuntivi COM attendibili installati possono essere considerati attendibili. Le impostazioni di Exchange per i componenti aggiuntivi vengono comunque ignorate se presenti e questa opzione è selezionata.
        2. In Modelli > amministrativi di configurazione > utente Microsoft Outlook 2016 > Vari
          1. Blocca tutti i componenti aggiuntivi non gestiti: questa impostazione dei criteri Blocca tutti i componenti aggiuntivi che non sono gestiti dall'impostazione dei criteri "Elenco di componenti aggiuntivi gestiti".
          2. Elenco dei componenti aggiuntivi gestiti: questa impostazione dei criteri consente di specificare quali componenti aggiuntivi sono sempre abilitati, sempre disabilitati (bloccati) o configurabili dall'utente. Per bloccare i componenti aggiuntivi che non sono gestiti da questa impostazione dei criteri, è necessario configurare anche l'impostazione dei criteri "Blocca tutti i componenti aggiuntivi non gestiti".
        3. In Modelli > amministrativi configurazione > utente Impostazioni del modulo > di sicurezza > di Microsoft Outlook 2016 > Sicurezza Componenti aggiuntivi attendibili per la sicurezza > programmatici
          1. Configurare componenti aggiuntivi attendibili: questa impostazione dei criteri viene usata per specificare un elenco di componenti aggiuntivi attendibili che possono essere eseguiti senza restrizioni dalle misure di sicurezza in Outlook.

Applocker

I criteri di controllo dell'applicazione AppLocker consentono di controllare quali app e file possono essere eseguiti dagli utenti. Questi tipi di file includono file eseguibili, script, file di Windows Installer, DLL (Dynamic-Link Libraries), app in pacchetto e programmi di installazione di app in pacchetto.

Concentriamoci sull'uso di AppLocker per interrompere il caricamento delle DLL non firmate da un autore attendibile.

Usare AppLocker per interrompere il caricamento delle DLL non firmate.

Per usare Applocker per interrompere il caricamento delle DLL non firmate, è necessario creare una nuova regola DLL nel file locale o Criteri di gruppo.

Nota

I prerequisiti per questa sezione sono Windows 10 Enterprise e Education o Windows Server 2012 o versione successiva.

Per configurare AppLocker su Windows 10 o Windows 11 per una DLL specifica, attenersi alla seguente procedura:

  1. Aprire Editor criteri.
    1. Computer locale
      1. Aprire l'editor criteri di sicurezza locali. Digitare secpol.msc nella finestra di dialogo Esegui o nella barra di ricerca del menu Start, quindi premere INVIO.
    2. Criteri di gruppo
      1. Modificare un criterio di AppLocker tramite Criteri di gruppo | Microsoft Learn
  2. Nell'editor criteri di sicurezza locali passare a Regole DLL di AppLocker > criteri di controllo > applicazioni.
    1. Se usi un'edizione supportata di Windows e ancora non vedi le regole DLL, è possibile che AppLocker non sia abilitato o configurato nel sistema. In questo caso, puoi seguire questi passaggi per abilitare AppLocker:
      1. Aprire l'editor criteri di sicurezza locali. Digitare secpol.msc nella finestra di dialogo Esegui o nella barra di ricerca del menu Start, quindi premere INVIO.
      2. Nell'editor Criteri di sicurezza locali passa a AppLocker Criteri > di controllo applicazioni.
      3. Fai clic con il pulsante destro del mouse su AppLocker e seleziona Proprietà.
      4. In Proprietà AppLocker, nella scheda Applicazione:
        1. Selezionare Configurata accanto a Configura applicazione regole.
        2. Configurare criteri aggiuntivi, ad esempio le raccolte regole come modalità di sola verifica.
        3. Una volta verificato, può essere aggiornato per applicare
        4. Selezionare OK per salvare le modifiche.
        5. Verificare che il servizio Identità applicazione sia in esecuzione.
  3. Creare una nuova regola DLL
    1. Dall'editor criteri di sicurezza locali
      1. Fare clic con il pulsante destro del mouse su Regole DLL e scegliere Crea nuova regola.
      2. Nella procedura guidata Crea regola DLL selezionare Utilizza un file esistente e individuare il file DLL per cui si vuole creare una regola.
      3. Selezionare il tipo di regola da creare, ad esempio per consentire o negare, e configurare eventuali altre condizioni necessarie.
      4. Completare la procedura guidata e salvare la nuova regola.
    2. Oppure da PowerShell:
      1. È possibile eseguire il piping dei cmdlet di PowerShell necessari per creare una nuova regola DLL.
  4. Gestione dei componenti aggiuntivi tramite Criteri di gruppo di AppLocker
    1. Get-ChildItem : ottiene l'oggetto per il file
    2. Get-AppLockerFileInformation : ottiene le informazioni sui file necessarie per creare regole di AppLocker da un elenco di file o da un registro eventi
    3. New-AppLockerPolicy : crea un nuovo criterio di AppLocker da un elenco di informazioni sui file e altre opzioni di creazione di regole.
      1. RuleType deve essere pubblicato e in questo modo viene applicata la firma del codice.
      2. L'utente può essere un singolo utente o gruppo, tutti gli esempi usano Tutti.
      3. AllowWindows indica che il criterio AppLocker consente tutti i componenti windows locali.
    4. Per creare la regola DLL per file
      1. Il percorso del file TMA dipende dal tipo di installazione
        1. Installazione per utente
          1. Percorso di installazione: %localappdata%\Microsoft\TeamsMeetingAddin
        2. Installazione per macchina
          1. Percorso di installazione: C:\Programmi(x86)\TeamsMeetingAddin
      2. Get-ChildItem <TMAFileLocation>\Microsoft.Teams.AddinLoader.dll | Get-AppLockerFileInformation | New-AppLockerPolicy -RuleType Publisher, Hash -User Everyone -RuleNamePrefix TeamsMeetingAddin -AllowWindows -Xml | Out-File .\TMA.xml
      3. Impostare il criterio:
        1. Macchine locali i.Set-AppLockerPolicy -XmlPolicy .\TMA.xml -Merge
        2. Criteri di gruppo i. Set-AppLockerPolicy -XMLPolicy .\TMA.xm -LDAP "<LDAP Info for Group Policy>"
      4. I passaggi 1 e 2 devono essere completati per ogni DLL nelle directory x64 e x86 per TMA.
    5. Creare tutte le regole DLL contemporaneamente:
      1. Get-AppLockerFileInformation -Directory .\Microsoft\TeamsMeetingAddin\1.0.23089.2 -Recurse | New-AppLockerPolicy -Verbose -RuleType Publisher, Hash -User Everyone -RuleNamePrefix TeamsMeetingAddin -AllowWindows -Xml | Out-File \TMA.xml'
      2. Set-AppLockerPolicy -XmlPolicy .\TMA.xml -Merge3. Le informazioni LDAP sono necessarie per eseguire Criteri di gruppo aggiornamenti.

Informazioni importanti da sapere:

  1. Si presuppone che se AppLocker è attivato in un ambiente, il reparto IT ha familiarità con AppLocker. Sono consapevoli che è progettato per l'uso di un modello Allow e tutto ciò che non è consentito verrà bloccato.
  2. Le regole hash vengono fornite per il fallback quando la regola di Publisher non riesce. Le regole hash devono essere aggiornate ogni volta che il TMA viene aggiornato.
  3. Il comando di PowerShell per l'aggiunta di criteri di AppLocker sarà configurato in modo da corrispondere solo alla versione esatta della DLL aggiunta > , passare a Consenti proprietà per la regola di Publisher e modificare le opzioni di Versioni file per l'ambito in And Sopra la versione elencata.
  4. Per fare in modo che AppLocker accetti una gamma più ampia di versioni DLL per le regole di Publisher, passare all'elenco a discesa Consenti proprietà per la regola di pubblicazione e modificare l'elenco a discesa per La versione file in And ( da Exactly). Fare in modo che AppLocker accetti una gamma più ampia di versioni DLL per le regole di pubblicazione.
  5. Una volta abilitato, se il criterio AppLocker blocca il componente aggiuntivo, non verrà visualizzato e l'analisi dei componenti aggiuntivi COM mostrerà: Una volta abilitato, se il criterio AppLocker blocca il componente aggiuntivo non verrà visualizzato e controllando i componenti aggiuntivi COM il componente aggiuntivo risulta non disponibile.

Per altre informazioni

Abilitare o disabilitare le macro nei file di Microsoft 365 - supporto tecnico Microsoft AppLocker (Windows) | Microsoft Learn