Compreender ameaças de segurança e medidas defensivas para o Office 2010
Aplica-se a: Office 2010
Tópico modificado em: 2011-08-05
Uma configuração de área de trabalho segura é parte importante da estratégia de defesa abrangente de qualquer organização. No entanto, antes de planejar uma configuração de área de trabalho segura que inclua o O Microsoft Office 2010, você precisa compreender quais ameaças e riscos de segurança são relevantes para o Office 2010 e depois determinar quais deles representam um risco para os ativos ou processos empresariais da organização. Você também precisa determinar quais riscos e ameaças à privacidade afetam as informações pessoais e particulares dos usuários.
Neste artigo:
Riscos de segurança de informações
Ameaças a aplicativos de produtividade para área de trabalho
Medidas defensivas padrão no Office 2010
Riscos de segurança de informações
A maioria dos profissionais e especialistas em segurança de TI categoriza os riscos de segurança das informações em três amplas categorias:
Riscos de confidencialidade Esses riscos representam ameaças à propriedade intelectual de uma organização, provenientes de usuários não autorizados e código mal-intencionado que tentam acessar o que é dito, escrito e criado em uma organização.
Riscos de integridade Esses riscos representam ameaças aos seus recursos corporativos por parte de usuários não autorizados e código mal-intencionado que tentam corromper os dados corporativos dos quais a sua organização depende. Riscos de integridade prejudicam qualquer ativo empresarial que contém informações críticas para uma organização, como servidores de banco de dados, arquivos de dados e servidores de email.
Riscos de disponibilidade Esses riscos representam ameaças a processos empresariais, provenientes de usuários não autorizados e código mal-intencionado que tentam tumultuar a sua maneira de fazer negócios e o trabalho dos operadores de informações. Processos de business intelligence, capacidades e recursos de aplicativos e processos de fluxo de trabalho de documentos podem ser ameaçados por riscos de disponibilidade.
Para ajudar a garantir que a sua organização fique protegida contra todas essas três categorias de risco, recomenda-se uma estratégia de defesa abrangente; ou seja, que inclua várias camadas de defesa sobrepostas contra usuários não autorizados e código mal-intencionado. Em geral, essas camadas incluem o seguinte:
Proteção de rede de perímetro, como firewalls e servidores proxy.
Medidas físicas de segurança, como data centers e salas de servidores fisicamente seguros.
Ferramentas de segurança de área de trabalho, como firewalls pessoais, programas de verificação de vírus e detecção de spyware.
Se o Office 2010 fizer parte do ambiente de uma organização, a estratégia de defesa abrangente também deverá incluir os mecanismos de atenuação fornecidos com o Office 2010. Esses mecanismos de atenuação incluem várias tecnologias, configurações e recursos. Ao usá-los, você pode ajudar a reduzir o número de ameaças aos aplicativos do Office 2010 e a proteger a propriedade intelectual, os recursos e os processos empresariais que estão no centro vital da empresa.
Por padrão, o modelo de segurança do Office 2010 ajuda a organização a atenuar todos os três tipos de riscos. No entanto, cada organização tem diferentes recursos de infraestrutura, demandas de produtividade e requisitos de segurança de área de trabalho. Para determinar exatamente como a organização pode atenuar esses riscos corporativos, é necessário avaliar as ameaças e os agentes de ameaças que exploram esses riscos.
Ameaças a aplicativos de produtividade de área de trabalho
O modelo de segurança para o Office 2010 ajuda a atenuar cinco tipos de ameaças à segurança de softwares de produtividade. Cada um desses tipos inclui vários agentes de ameaças, que podem ser explorados por diversos ataques de segurança. A ilustração a seguir mostra ameaças à segurança e exemplos dos agentes de ameaças mais comuns.
A maioria das organizações enfrenta algum risco potencial decorrente desse cinco tipos de ameaças à segurança. No entanto, a maioria enfrenta combinações únicas de agentes de ameaças, bem como possíveis ataques ou explorações de segurança.
Ameaças ao conteúdo ativo
Ameaças ao conteúdo ativo são ameaças comuns à segurança da área de trabalho. Os agentes de ameaças típicos incluem controles ActiveX, suplementos e macros VBA. Esses agentes de ameaças podem ser explorados por programadores que escrevem código mal-intencionado ou criam programas mal-intencionados, que então são executados nos computadores dos usuários. Ameaças ao conteúdo ativo representam um risco em potencial para organizações de qualquer porte, especialmente para aquelas que permitem aos usuários fazer o seguinte:
Executar controles ActiveX, suplementos ou macros VBA.
Abrir anexos de email.
Compartilhar documentos em uma rede pública, como a Internet.
Abrir documentos de fontes externas à organização, como clientes, fornecedores ou parceiros.
Ameaças de acesso não autorizado
Ameaças de acesso não autorizado ocorrem quando usuários não autorizados tentam obter acesso às informações. Os possíveis alvos de usuários não autorizados incluem:
Arquivos de documentos Se usuários não autorizados obtiverem acesso a arquivos de documentos, eles poderão excluir, substituir ou corromper esses arquivos. Por exemplo, um programador mal-intencionado pode usar um ataque de formato de arquivo para explorar uma ameaça de acesso não autorizado em um documento.
Informações contidas em documentos Essas informações incluem texto, elementos gráficos, comentários, revisões, anotações, dados XML personalizados, texto oculto, marcas d'água e informações de cabeçalho e rodapé. Quando usuários não autorizados acessam as informações contidas em documentos, eles podem acessar dados confidenciais da empresa e informações pessoais ou particulares sobre os usuários. Também podem alterar, corromper ou excluir informações, além de usar seu acesso para adicionar conteúdo ativo a documentos salvos em locais confiáveis.
Metadados Informações associadas a documentos, incluindo propriedades de documentos como nome do autor, nome da organização, hora de edição do documento ou número de versão do documento. Os usuários não autorizados que obtêm acesso a metadados podem acessar dados confidenciais pessoais ou da empresa. Também podem corromper ou remover metadados.
A maioria das organizações enfrenta ameaças de acesso não autorizado, embora muitas delas não tomem medidas suficientes para atenuá-las por considerá-las mínimas ou por achar que o custo para atenuá-las é muito alto. Essas percepções podem resultar em práticas não seguras e em circunstâncias como as seguintes:
A arquitetura de segurança de rede da organização não consegue impedir que um intruso ou invasor obtenha acesso à rede interna, o que aumenta o risco de que esse intruso ou invasor obtenha acesso aos documentos da organização.
A organização permite que os usuários enviem, recebam ou compartilhem documentos internos pela Internet, incluindo dados financeiros, planos de projetos, apresentações ou desenhos.
A organização não impede que os usuários conectem computadores portáteis a redes públicas, o que aumenta o risco de que um invasor não identificado tenha acesso a documentos salvos nesses computadores.
A organização não impede que os usuários levem documentos contendo informações internas para fora do escritório.
Há uma chance de que um intruso ou invasor obtenha acesso a documentos que contêm informações internas.
Ameaças externas ao conteúdo
Ameaças externas ao conteúdo incluem qualquer agente de ameaça que vincule um documento a outro documento, a um banco de dados ou a um site na intranet ou em uma rede pública, como a Internet. Essas ameaças são exploradas por meio dos seguintes agentes de ameaças:
Hiperlinks Em geral, o invasor explora esse agente de ameaça criando hiperlinks para documentos não confiáveis ou sites que contenham código ou conteúdo mal-intencionado.
Conexões de dados O invasor costuma explorar esse agente de ameaça criando uma conexão com fontes ou bancos de dados e depois usando essas conexões para manipular ou extrair dados de modo mal-intencionado.
Web beacons Um cenário típico de exploração desse agente de ameaça é um invasor que insere um link invisível para uma imagem remota em uma mensagem de email. Quando um usuário abre essa mensagem, o link se torna ativo e baixa a imagem remota. Durante o processo, as informações dos usuários podem ser enviadas ao computador remoto, como o endereço de email do usuário e o endereço IP do seu computador.
Objetos de gerenciador Um invasor pode explorar esse agente de ameaça fazendo com que um objeto inserido execute código mal-intencionado.
Ameaças externas representam um risco quando a organização:
Fornece aos usuários acesso irrestrito a redes públicas, como a Internet.
Não impede que os usuários recebam mensagens de email contendo imagens inseridas e HTML.
Não impede que os usuários utilizem conexões de dados em planilhas ou outros documentos.
Ameaças ao navegador
Essas ameaças podem existir quando um aplicativo ou documento usa programaticamente a funcionalidade de um navegador da Web, como o Microsoft Internet Explorer. Ameaças ao navegador representam um risco para aplicativos e documentos, porque todas as ameaças existentes para o navegador também existem para o aplicativo ou documento que hospeda esse navegador. Ameaças ao navegador incluem vários agentes de ameaças e podem ser exploradas através de vários ataques de segurança. Exemplos desses agentes de ameaças incluem a instalação de controles ActiveX, downloads de arquivos, farejadores de MIME, elevação de zona e instalação de complementos.
Ameaças ao navegador representam um risco quando a organização:
Permite que os usuários executem controles ActiveX, suplementos ou macros que usam a funcionalidade do navegador.
Desenvolve e distribui soluções do Office que usam a funcionalidade do navegador.
Ameaças de exploração de dia zero
Explorações de dia zero podem ser iniciadas quando é encontrada uma vulnerabilidade de segurança que ainda não foi solucionada por uma atualização de software, como um boletim de segurança ou um service pack da Microsoft. Explorações de dia zero podem ter vários formatos, entre eles:
Execução de código remoto
Elevação de privilégio
Divulgação de informações
Programadores e usuários mal-intencionados podem explorar vulnerabilidades de segurança através de vários ataques de segurança. Até que um boletim de segurança ou um service pack seja lançado para responder à vulnerabilidade de segurança, esta pode representar uma ameaça potencial para a sua organização.
Medidas defensivas padrão no Office 2010
O Office 2010 fornece várias medidas defensivas que ajudam a atenuar ameaças aos seus ativos e processos empresariais. Uma medida defensiva é um recurso ou controle de segurança que atenua uma ou mais ameaças à segurança. Em geral, você pode alterar o comportamento de medidas defensivas definindo configurações na OCT (Ferramenta de Personalização do Office) ou através da Política de Grupo, usando Modelos Administrativos do Office 2010.
Muitas das medidas defensivas no Office 2010 atenuam um tipo específico de ameaça em um determinado aplicativo. Por exemplo, o Microsoft InfoPath 2010 inclui uma medida defensiva que avisa os usuários sobre a possível presença de Web beacons em formulários. É possível alterar o comportamento dessa medida defensiva definindo a configuração IU de Beacon para formulários abertos no InfoPath na OCT ou através da Política de Grupo.
Outras medidas defensivas atenuam tipos mais genéricos de ameaças que são comuns em vários aplicativos. Por exemplo, o recurso Modo de Exibição Protegido permite que os usuários exibam o conteúdo de documentos, apresentações e pastas de trabalho não confiáveis sem permitir que o conteúdo não seguro ou o código mal-intencionado prejudique o computador. Essa medida defensiva é usada pelos aplicativos Microsoft Excel 2010, Microsoft PowerPoint 2010, Microsoft Word 2010 e Microsoft Outlook 2010 quando você visualiza anexos para o Excel 2010, o PowerPoint 2010, o Microsoft Visio 2010 e o Word 2010. É possível alterar esse comportamento definindo várias configurações na OCT ou através da Política de Grupo.
As seções a seguir descrevem as medidas defensivas mais frequentemente usadas no Office 2010.
Configurações de controle ActiveX
É possível usar configurações de controles ActiveX para desabilitar controles ActiveX e alterar como eles são carregados nos aplicativos do Office 2010. Por padrão, controles ActiveX confiáveis são carregados no modo de segurança com valores persistentes, e os usuários não são notificados de que esses controles foram carregados. Um controle ActiveX não confiável é carregado de forma diferente dependendo de como está marcado e dependendo de um projeto VBA existir ou não no arquivo junto com esse controle. O comportamento padrão de controles ActiveX não confiáveis é o seguinte:
Se um controle ActiveX estiver marcado como SFI (Seguro para Inicialização) e estiver contido em um documento que não possui um projeto VBA, esse controle será carregado no modo de segurança com valores persistentes. A Barra de Mensagens não é exibida, e os usuários não são notificados sobre a presença do controle ActiveX. Todos os controles ActiveX do documento devem ser marcados como SFI para que esse comportamento ocorra.
Se um controle ActiveX estiver marcado como UFI (Não Seguro para Inicialização) e estiver contido em um documento que não possui um projeto VBA, os usuários serão notificados na Barra de Mensagens de que controles ActiveX estão desabilitados, mas poderão clicar nessa barra para habilitá-los. Se isso acontecer, todos os controles ActiveX (marcados como UFI e SFI) serão carregados no modo de segurança com valores persistentes.
Se um controle ActiveX marcado como UFI ou SFI estiver contido em um documento que também possui um projeto VBA, os usuários serão notificados na Barra de Mensagens de que controles ActiveX estão desabilitados, mas poderão clicar nessa barra para habilitá-los. Se isso acontecer, todos os controles ActiveX (marcados como SFI e UFI) serão carregados no modo de segurança com valores persistentes.
Importante
Se um kill bit estiver definido no Registro para um controle ActiveX, esse controle não será carregado e não poderá ser carregado em nenhuma circunstância. A Barra de Mensagens não é exibida, e os usuários não são notificados sobre a presença do controle ActiveX.
Para alterar o comportamento padrão de controles ActiveX, consulte Planejar configurações de segurança para os controles ActiveX do Office 2010.
Configurações de suplementos
É possível usar configurações para desabilitar suplementos, exigir que eles sejam assinados por um fornecedor confiável e desabilitar notificações para esses suplementos. Por padrão, suplementos instalados e registrados podem ser executados sem avisos e sem exigir a intervenção do usuário. Para alterar esse comportamento padrão, consulte Planejar configurações de segurança de suplementos para o Office 2010.
Configurações de criptografia
As configurações estarão disponíveis quando o Office 2010 for lançado oficialmente.
Configurações de Prevenção de Execução de Dados
É possível usar configurações de DEP (Prevenção de Execução de Dados) para desabilitar a DEP em aplicativos do Office 2010. A DEP é uma medida defensiva de hardware e software que ajuda a impedir a execução de código mal-intencionado. Por padrão, a DEP está habilitada nos aplicativos do Office 2010 e é recomendável não alterar essa configuração padrão.
Configurações de assinatura digital
As configurações estarão disponíveis quando o Office 2010 for lançado oficialmente.
Configurações de conteúdo externo
Você pode usar configurações de conteúdo externo para alterar o modo como os aplicativos do Office 2010 acessam conteúdo externo. Conteúdo externo representa qualquer tipo de conteúdo acessado remotamente, como conexões de dados e links de pastas de trabalho, hiperlinks para sites e documentos, e links para imagens e mídia. Por padrão, quando um usuário abre um arquivo que contém links para conteúdo externo, a Barra de Mensagens o notifica de que os links estão desabilitados. Os usuários podem habilitar links clicando na Barra de Mensagens. Convém não alterar essas configurações padrão.
Configurações de Bloqueio de Arquivos
É possível usar configurações de Bloqueio de Arquivos para impedir que tipos de arquivos específicos sejam abertos ou salvos. Essas configurações também podem ser usadas para evitar ou forçar a abertura de certos tipos de arquivos no Modo de Exibição Protegido. Por padrão, o Excel 2010, o PowerPoint 2010 e o Word 2010 forçam a abertura de vários tipos de arquivos somente no Modo de Exibição Protegido. Os usuários não podem abrir esses tipos de arquivos para edição.
Configurações de Validação de Arquivo do Office
É possível usar configurações para desabilitar o recurso Validação de Arquivo do Office e alterar a forma como esse recurso lida com arquivos que não passam na validação. Essas configurações também podem ser usadas para impedir que o recurso Validação de Arquivo do Office pergunte se os usuários desejam enviar informações de validação para a Microsoft. Por padrão, o recurso Validação de Arquivo do Office está habilitado. Os arquivos que não passam na validação são abertos no Modo de Exibição Protegido, e os usuários podem editá-los depois que eles são abertos nesse modo. Para obter mais informações sobre as configurações de Validação de Arquivo do Office, consulte Planejar configurações da Validação de Arquivos do Office para o Office 2010.
Configurações de complexidade de senhas
É possível usar configurações de complexidade de senhas para aplicar o comprimento e a complexidade às senhas que são usadas com o recurso Criptografar com Senha. Configurações de complexidade de senhas permitem aplicar o comprimento e a complexidade de senhas em nível de domínio, quando a organização estabeleceu regras de complexidade de senhas através da Política de Grupo com base em domínio, ou em nível local, quando ela não implementou a Política de Grupo de complexidade de senhas com base em domínio. Por padrão, os aplicativos do Office 2010 não verificam o comprimento, nem a complexidade da senha quando um usuário criptografa um arquivo usando o recurso Criptografar com Senha.
Opções de privacidade
É possível usar opções de privacidade para impedir a exibição da caixa de diálogo Bem-vindo ao Microsoft Office 2010 na primeira vez que um usuário inicia o Office 2010. Essa caixa de diálogo permite que os usuários se inscrevam em vários serviços de Internet que ajudam a proteger e a aprimorar aplicativos do Office 2010. Você também pode usar opções de privacidade para habilitar os serviços de Internet que aparecem na caixa de diálogo Bem-vindo ao Microsoft Office 2010. Por padrão, a caixa de diálogo Bem-vindo ao Microsoft Office 2010 é exibida quando um usuário inicia o Office 2010 pela primeira vez, e esse usuário pode habilitar os serviços de Internet recomendados, habilitar um subconjunto desses serviços ou não efetuar nenhuma alteração de configuração. Se um usuário não efetuar alterações de configuração, as seguintes configurações serão efetivadas:
Os aplicativos do Office 2010 não se conectam ao Office.com para obter conteúdo atualizado da Ajuda.
Os aplicativos do Office 2010 não baixam pequenos programas que ajudam a diagnosticar problemas, e informações de mensagens de erro não são enviadas à Microsoft.
Os usuários não são inscritos no Programa de Aperfeiçoamento da Experiência do Usuário.
Quando os usuários implementam uma consulta de pesquisa a partir do sistema de Ajuda, informações sobre quais aplicativos do Office 2010 estão instalados não são enviadas à Microsoft para aprimorar os resultados de pesquisa do Office.com.
Para alterar esse comportamento padrã, ou para omitir a caixa de diálogo Bem-vindo ao Microsoft Office 2010, consulte Planejar opções de privacidade para o Office 2010.
Configurações do Modo de Exibição Protegido
É possível usar configurações para impedir que os arquivos sejam abertos no Modo de Exibição Protegido e para forçar a sua abertura nesse modo. Também é possível especificar se você deseja que scripts e programas executados na Sessão 0 sejam abertos no Modo de Exibição Protegido. Por padrão, o Modo de Exibição Protegido está habilitado, e todos os arquivos não confiáveis são abertos nesse modo. Scripts e programas em execução na Sessão 0 não são abertos no Modo de Exibição Protegido. Para obter mais informações sobre configurações do Modo de Exibição Protegido, consulte Planejar configurações do Modo de Exibição Protegido para o Office 2010.
Observação
As configurações de Bloqueio de Arquivos também podem ser usadas para evitar ou forçar a abertura de tipos de arquivos específicos no Modo de Exibição Protegido.
Configurações de Documentos Confiáveis
É possível usar configurações para desabilitar o recurso Documentos Confiáveis e impedir que os usuários confiem em documentos armazenados em compartilhamentos de rede. Documentos confiáveis contornam a maioria das verificações de segurança quando são abertos, e todo o conteúdo ativo é habilitado (a verificação antivírus e a verificação de kill bit ActiveX não podem ser contornadas). Por padrão, o recurso Documentos Confiáveis está habilitado, significando que os usuários podem designar arquivos seguros como documentos confiáveis. Além disso, esses usuários podem designar arquivos em compartilhamentos de rede como documentos confiáveis. Convém não alterar essas configurações padrão.
Configurações de Locais Confiáveis
É possível usar configurações de Locais Confiáveis para designar locais seguros para arquivos. Os arquivos armazenados em locais confiáveis contornam a maioria das verificações de segurança quando são abertos, e todo o seu conteúdo é habilitado (a verificação antivírus e a verificação de kill bit ActiveX não podem ser contornadas). Por padrão, vários locais são designados como locais confiáveis. Além disso, os locais confiáveis que estão em uma rede, como pastas compartilhadas, são desabilitados. Para alterar esse comportamento padrão e descobrir quais locais estão designados como confiáveis por padrão, consulte Planejar configurações de Locais Confiáveis do Office 2010.
Configurações de Fornecedores Confiáveis
É possível usar configurações de Fornecedores Confiáveis para designar certos tipos de conteúdo ativo como seguros, incluindo controles ActiveX, suplementos e macros VBA. Quando um fornecedor assina conteúdo ativo com um certificado digital, e você adiciona o certificado digital desse fornecedor à lista Fornecedores Confiáveis, o conteúdo ativo é considerado confiável. Por padrão, não há fornecedores na lista Fornecedores Confiáveis. Você deve adicionar editores à lista Editores Confiáveis para implementar esse recurso de segurança. Para implementar o recurso Editores Confiáveis, consulte Planejar configurações de Fornecedores Confiáveis do Office 2010.
Configurações de macros VBA
É possível usar configurações para alterar o comportamento das macros VBA, desabilitar o VBA e alterar o comportamento de macros VBA em aplicativos que são iniciados programaticamente. Por padrão, o VBA está habilitado, e macros VBA confiáveis podem ser executadas sem notificação. Macros VBA confiáveis incluem aquelas que são assinadas por um fornecedor confiável, armazenadas em um documento confiável ou armazenadas em um documento que se encontra em um local confiável. Macros VBA não confiáveis ficam desabilitadas, mas uma notificação na Barra de Mensagens permite que os usuários as habilitem. Além disso, macros VBA podem ser executadas em aplicativos que são iniciados programaticamente.
Para alterar esse comportamento padrão, consulte Planejar configurações de segurança de macros VBA para o Office 2010.