Visão geral da segurança no Office 2013

  • Artigo

 

Aplica-se a: Office 2013, Office 365 ProPlus

Tópico modificado em: 2016-12-16

Resumo: entenda os novos recursos de segurança do Office 2013: autenticação, identidade, catálogo e extensão de aplicativos Web, chave de caução e muito mais.

Público: profissionais de TI

O Office 2013 inclui uma nova funcionalidade de autenticação. Agora, os usuários criam um perfil, entram uma única vez e, então, trabalham sem problemas e acessam os arquivos do Office -- locais ou na nuvem -- sem precisar de nova identificação. Os usuários podem se conectar a vários serviços, como o OneDrive for Business de uma organização ou a conta pessoal do OneDrive de um usuário, em seus respectivos perfis do Office. Depois disso, eles terão acesso instantâneo a todos os arquivos e ao armazenamento associado. Os usuários autenticam uma única vez para todos os aplicativos do Office, incluindo o OneDrive. E isso independe do provedor de identidade, quer seja uma conta da Microsoft ou uma ID de usuário, que você usa para acessar o Office 365 para profissionais e pequenas empresas ou do protocolo de autenticação utilizado pelo aplicativo. Os protocolos incluem, por exemplo, OAuth, autenticação baseada em formulários, autenticação baseada em declarações e Autenticação Integrada do Windows. Na perspectiva do usuário, tudo isso funciona. Do ponto de vista da TI, esses serviços conectados podem ser facilmente gerenciados.

Seta do mapa para o guia de segurança do Office.

Este artigo faz parte do Guia para a segurança do Office 2013. Use o mapa como um ponto inicial para artigos, downloads, scripts e vídeos que ajudam você a avaliar a segurança do Office 2013.

Você está procurando informações de segurança sobre aplicativos individuais do Office 2013? Você pode encontrar essas informações procurando por "segurança 2013" no Office.com.

Autenticação e identidade no Office 2013

A proteção começa com a autenticação e a identidade. Usando essa versão, o Office implementa uma alteração fundamental, mudando de identidade e autenticação centradas no computador para identidade e autenticação centradas no usuário. Essa mudança permite que conteúdo, recursos, listas usadas mais recentemente, configurações, links para comunidades e personalização acompanhem sem problemas os usuários à medida que eles se movem do desktop para o tablet, para o smartphone ou para um computador compartilhado ou público. Para o administrador de TI, as trilhas de auditoria e conformidade do usuário também são separadas por identidade.

Nesse novo ambiente, os usuários fazem logon no Office 365 usando uma destas identidades:

  • Sua ID de conta comercial ou escolar gerenciada pela Microsoft   Para uso do Office 365 em negócios, em que as IDs de usuário de grandes e pequenas empresas hospedadas na Microsoft são armazenadas na nuvem. Esse cenário também oferece suporte a várias ID de usuário vinculadas e ao longo único.

    —ou—

    ID de usuário federada pertencente à organização   Para uso do Office 365 em negócios, em que as IDs de usuário corporativas são armazenadas no local.

  • Conta da Microsoft   Em geral, os usuários utilizam essa identidade para entrar no Office 365 para fins não empresariais. Os usuários podem ter várias IDs do Windows Live vinculadas entre si e, então, entrar uma única vez, executar a autenticação e depois mudar de uma conta da Microsoft para outra durante a mesma sessão. Eles não precisam de nova autenticação.

O administrador de TI também pode configurar qualquer usuário para usar a autenticação multifator para Office 365. A autenticação multifator aumenta a segurança dos usuários, pois vai além de uma simples senha. Com a autenticação multifator para Office 365, os usuários precisam confirmar uma chamada telefônica, mensagens de texto ou uma notificação de aplicativo em seus smartphones, após a inserção correta das senhas. Somente após o cumprimento desse segundo fator de autenticação é que o usuário poderá entrar. Para conhecer as etapas de configuração, confira autenticação multifator para Office 365.

A partir da perspectiva de um administrador de TI, o Active Directory está no centro desse novo paradigma. Os administradores podem fazer o seguinte:

  • Controlar as políticas de senha do usuário entre dispositivos e serviços

  • Usar as Políticas de Grupo para configurar o ambiente operacional

  • Gerenciar com o FIM (Forefront Identity Manager) ou com o ADFS (Serviços de Federação do Active Directory)

A nuvem possibilita o seguinte:

  • As contas de usuário podem ser gerenciadas na nuvem usando um portal da web   A instalação é simples. É possível provisionar aos usuários manualmente para obter o máximo de controle. Não há a necessidade de servidores. A Microsoft gerencia tudo para você.

  • Quaisquer diretórios no local são sincronizados pelo Active Directory para o portal da web   O provisionamento pode ser automatizado e pode coexistir com as contas gerenciadas na nuvem.

  • Os usuários têm o recurso de logon único usando o AD FS   O provisionamento pode ser automatizado e há suporte para a autenticação multifator.

Como demonstrado no diagrama a seguir, como administrador profissional de TI, você está no comando. Se a sua empresa for de pequeno porte, use os serviços de identidade no Microsoft Azure para estabelecer, gerenciar e autenticar usuários. As contas de usuário são gerenciadas na nuvem por meio de um portal da Web e do Azure Active Directory, na nuvem da Microsoft. Nenhum servidor é necessário. A Microsoft gerencia tudo para você. Quando a identidade e a autenticação são totalmente processadas na nuvem, sem afinidade com qualquer repositório do Active Directory local, os administradores de TI ainda podem provisionar ou desprovisionar IDs e o acesso de usuários aos serviços, usando o portal ou cmdlets do PowerShell.

Na etapa 1, os profissionais de TI se conectam ao acesso via Web Centro de administração do Office 365 na nuvem da Microsoft. Eles solicitam novas IDs de organização ou gerenciam as existentes.

Na etapa 2, essas solicitações são passadas para o seu Azure AD.

Na etapa 3, se esta for uma solicitação de alteração, ela deverá ser feita e refletida no Centro de administração do Office 365. Se for uma solicitação de nova ID, a solicitação será emitida para a plataforma de provisionamento de ID.

Na etapa 4, as novas IDs e as alterações feitas em IDs existentes serão refletidas no Centro de administração do Office 365.

A identidade e a autenticação do Office 365 foram gerenciadas completamente na nuvem — sem interação do Active Directory local.

Autenticação e identidade gerenciadas na nuvem

No próximo diagrama, após a configuração dos usuários do Centro de administração do Office 365 na nuvem da Microsoft, eles podem entrar em qualquer dispositivo. E o Office 365 ProPlus pode ser instalado em até cinco desses dispositivos.

Após o provisionamento de um usuário (veja o diagrama anterior), na etapa 1, ele faz logon no Office usando uma destas identidades:

  • A conta comercial ou escolar (por exemplo, pedro@contoso.onmicrosoft.com ou pedro@contoso.com)

  • Conta pessoal da Microsoft (por exemplo, pedro@outlook.com)

Na etapa 2, a Microsoft detecta onde os usuários querem se autenticar e quais arquivos e configurações do Office eles querem usar na identidade escolhida. Essa identidade é associada a um Azure AD e a identidade de email e senha associada são passadas para o servidor correto do Azure AD para autenticação.

Na etapa 3, a solicitação é testada e concedida, e os aplicativos do Office são transmitidos para o dispositivo, prontos para uso. Os documentos salvos do OneDrive for Business e associados a essa identidade ficam disponíveis para exibição, edição e gravação no dispositivo local ou no OneDrive for Business.

Provisionamento de identidade preenchido usando a sincronização de diretórios do Azure. Essa é uma autenticação gerenciada na nuvem.

Experiência do usuário ao entrar na nuvem.

O diagrama a seguir mostra um cenário com implantação híbrida local e na nuvem. A ferramenta de Sincronização do Azure AD da nuvem da Microsoft mantém sincronizadas as identidades de usuário corporativo no local e na nuvem.

Na etapa 1, instale a ferramenta de Sincronização do Azure AD. Essa ferramenta ajuda a manter o Azure AD atualizado com as alterações mais recentes feitas no diretório local.

Nas etapas 2 e 3, crie novos usuários no seu Active Directory local. A ferramenta de Sincronização do Azure AD verificará periodicamente o servidor local do Active Directory para obter as novas identidades criadas. Depois, ela provisionará essas identidades no Azure AD, vinculará as identidades locais e na nuvem umas com as outras e as tornará visíveis por meio do Centro de administração do Office 365.

Nas etapas 4 e 5, à medida que a identidade é alterada no Active Directory local, essas alterações são sincronizadas com o Azure AD e disponibilizadas para você no Centro de administração do Office 365.

Nas etapas 6 e 7, se houver usuários federados, esses usuários farão logon no AD FS. O AD FS gera um token de segurança que é passado para o Azure AD. O token é verificado e validado e os usuários recebem autorização no Office 365.

O provisionamento de identidade foi preenchido usando a sincronização de diretórios do Azure; Active Directory Federation Server 2.0 e autenticação gerenciada na nuvem.

Provisionamento de identidade com o ADFS 2.0

Na experiência do usuário, a identidade é exibida quando o usuário faz logon.

A interface de usuário do cliente   No início de cada sessão, o usuário pode optar entre se conectar à nuvem pessoal, usando a conta da Microsoft, ou ao servidor corporativo local, ou à nuvem gerenciada pela Microsoft para acessar serviços como o Office 365 e documentos, imagens ou outros dados.

Se o usuário escolher se conectar usando o ID da Microsoft, ele fará logon usando a respectiva conta da Microsoft (anteriormente chamada de Passport ou ID do Windows Live); ou poderá se conectar usando a ID de usuário que utiliza para acessar o Office 365.

Após o logon, esse usuário também tem a liberdade de mudar quando quiser a identidade no Backstage de qualquer aplicativo do Office.

A infraestrutura cliente   Nos bastidores, as APIs de autenticação clientes permitem que os usuários façam logon e logoff e mudem a identidade de usuário ativo. Mais APIs controlam as configurações de roaming (preferências e documentos usados mais recentemente) e os serviços disponíveis para cada identidade.

Outros serviços de identidade de nuvem   Os usuários são conectados automaticamente aos seguintes serviços nativos:

  • OneDrive para logon com uma conta da Microsoft ou SharePoint Online para identidade corporativa

  • Roaming de arquivos usados mais recentemente e configurações

  • Personalização

  • Atividades da Conta da Microsoft

Os usuários também podem fazer logon em serviços na nuvem de terceiros após entrarem usando uma conta da Microsoft. Por exemplo, se eles fizerem logon no Facebook, a conexão usará um perfil móvel com essa identidade.

Use configurações da Política de Grupo para controlar configurações de desktop

Com mais de 4.000 objetos de controle de Política de Grupo, você pode usar a Política de Grupo para autorizar configurações do usuário para o Office. Isso significa que é possível criar uma variedade de configurações de área de trabalho fortemente gerenciadas e restritas, para os seus usuários. As configurações de Política de Grupo sempre têm precedência sobre as configurações de OCT (Ferramenta de Personalização do Office). Também é possível usar as configurações de Política de Grupo para desabilitar determinados formatos de arquivos que não são seguros na rede. Consulte Configurar a segurança usando a OCT ou a Política de Grupo para o Office 2013 para saber mais.

Considerações sobre os data centers da Microsoft

O Microsoft Data Center Security Program se baseia em risco e é multidimensional. Ele leva em consideração as pessoas, os processos e a tecnologia. O Programa de Privacidade se certifica de que práticas de privacidade consistentes, de padrão global e "nível elevado" sejam cumpridas para a manipulação e transferência de dados. Os data centers da Microsoft também são fisicamente seguros. Toda a área de mais de 65.000 m² e dezenas de milhares de servidores são protegidos 24 horas por dia, 7 dias por semana. Caso ocorra falta de energia, há reserva de energia para vários dias. Esses data centers são geograficamente redundantes e localizados na América do Norte, Europa e Ásia.

O Office 365 nunca verifica mensagens de email ou documentos para criar análises, minerar dados, anunciar ou melhorar seu próprio serviço. Seus dados são sempre e completamente seus ou da sua empresa, e você pode removê-los de nossos servidores de data center a qualquer momento.

O Office 365 obedece aos seguintes padrões do setor importantes e essenciais aos negócios:

  • Certificado pelo ISO 27001   O Office 365 atende ou excede o conjunto rigoroso de controles físicos, lógicos, de processo e gerenciamento definidos pelo ISO/TEC 27001:2005.

  • Cláusulas do modelo EU   O Office 365 é compatível e capaz de assinar cláusulas contratuais relacionadas às cláusulas do modelo EU e estrutura do EU Safe Harbor.

  • Acordo de Parceiro Comercial-HIPAA   O Office 365 pode assinar requisitos para HIPAA com todos os clientes. O HIPAA rege o uso, divulgação e proteção de informações de integridade protegidas.

Catálogos e extensões da Web

O Office 2013 inclui um novo modelo de extensão para clientes do Office, permitindo aos desenvolvedores da Web criar aplicativos do Office, que são extensões da Web que usam o poder da Web para estender clientes do Office. Um aplicativo para Office é uma região dentro de um aplicativo do Office que contém uma página da Web capaz de interagir com o documento para aumentar o conteúdo e fornecer novos tipos de conteúdo interativo e funcionalidades. O aplicativos do Office pode ser obtido pelos usuários no marketplace novo do Office ou em um catálogo privado na forma de aplicativos autônomos ou subcomponentes de uma solução de modelo de documento, ou um aplicativo do SharePoint.

Na Central de Confiabilidade, em Catálogos de Aplicativos Confiáveis, é possível controlar o aplicativos do Office:

  • Desabilitando todos os aplicativos

  • Desabilitando os aplicativos somente a partir da Office Store

  • Adicionando ou removendo catálogos confiáveis da Tabela de Catálogos Confiáveis

Redefinir a senha de um documento com uma chave de caução e com a nova ferramenta DocRecrypt

O Office 2013 oferece um novo recurso de chave de caução. Isso permite ao administrador de TI de uma organização descriptografar documentos protegidos por senha usando uma chave de caução privada. Por exemplo, se um documento for criptografado usando o Word, o Excel ou o PowerPoint e o proprietário original do documento esquecer a senha ou sair da organização, o administrador de TI poderá recuperar os dados usando uma chave de caução privada.

O recurso de chave de caução funciona apenas com arquivos salvos e criptografados por meio de criptografia de próxima geração. Esta é a criptografia padrão usada no Office 2010 e no Office 2013. Se, por motivos de compatibilidade, o comportamento padrão for alterado para usar o formato herdado, a funcionalidade de chave de caução não estará disponível. Para saber mais detalhes sobre esse novo recurso, consulte Remover ou redefinir senhas de arquivos no Office 2013.

Assinaturas digitais

Os aprimoramentos em assinaturas digitais do Office 2013 incluem o seguinte:

  • Suporte para formatos de arquivo ODF (Formato Open Document) v1.2

  • Aprimoramentos no XAdES (XML Advanced Electronic Signatures)

O suporte para formatos de arquivo ODF v1.2 permite que as pessoas assinem digitalmente os documentos ODF no Office 2013 usando assinaturas digitais invisíveis. Esses documentos assinados digitalmente não dão suporte a linhas de assinatura ou carimbos. Além disso, o Office 2013 fornece verificação de assinatura digital de documentos ODF assinados de dentro de outros aplicativos, mas que são abertos no Office 2013.

As melhorias de XAdES no Office 2013 incluem uma experiência do usuário aprimorada quando uma assinatura digital XAdES é criada. Os usuários recebem informações mais detalhadas sobre a assinatura.

Gerenciamento de Direitos de Informação (IRM)

O Office 2013 inclui um novo cliente de IRM que tem uma nova interface do usuário para ajudar a simplificar a seleção de identidade. Também dá suporte à descoberta de serviço automática de servidores RMS (Rights Management Services). Além disso, o Office 2013 dá suporte a IRM somente leitura para WACs (Web Application Companions) do Microsoft Office. Os WACs podem exibir documentos protegidos por IRM em uma biblioteca do SharePoint ou documentos protegidos por IRM anexados a mensagens do OWA (Outlook Web Access).

Modo de exibição protegido

O Office 2013 fornece um modo de exibição protegido melhorado, que é uma tecnologia de área restrita, quando o Office 2013 é utilizado com o sistema operacional Windows 2012. O Office 2013 usa o recurso AppContainer do Windows 2012, que proporciona um isolamento de processo mais robusto e também bloqueia o acesso à rede a partir da área restrita. O modo de exibição protegido foi apresentado no Office 2010. O modo de exibição protegido ajuda a reduzir as explorações em computadores abrindo arquivos em um ambiente restrito, denominado caixa inferior, para que possam ser examinados antes de serem abertos para edição no Excel, PowerPoint ou no Word.

Office 2013, projetado desde o início tendo a segurança em mente

Na Microsoft, a segurança é levada em consideração em cada etapa do ciclo de vida do software. Todo funcionário que contribui para um recurso ou produto do Office deve participar de constantes treinamentos de segurança à medida que o setor e as ameaças evoluem. Ao projetar um recurso ou produto, a equipe deve considerar a segurança e a privacidade dos dados do usuário desde o início e também como é possível reduzir as ameaças aos dados usando criptografia, autenticação ou outros métodos. As decisões da equipe se baseiam no ambiente, na exposição esperada ou potencial e na confidencialidade dos dados. A equipe executa várias análises de superfície de ataque e cria um plano de respostas a incidentes antes de liberar um produto do Office.

A Microsoft não depende apenas dos funcionários para se certificar de que os dados do usuário estão seguros. Ela também usa ferramentas e testes de garantia de qualidade automatizados. Esses se enquadram em três categorias gerais:

  • Teste funcional  Cada parte da interface do usuário é verificada para garantir que a entrada, a saída e a ação do usuário são aquelas pretendidas e anunciadas.

  • Teste de fuzzing  Grandes quantidades de dados aleatórios ou inesperados são injetados no software para revelar problemas de segurança. O teste de fuzzing era uma grande parte da versão Office 2007 e continua sendo nesta última versão.

  • Para aplicativos Web  Ferramentas de verificação dinâmica ou da Web são usadas para testar os possíveis bugs de segurança; por exemplo, XSS (cross-site scripting) ou injeção SQL.

Os testes nunca param. O MSRC (Microsoft Security Response Center) é responsável pela manipulação de problemas de segurança descobertos após um produto ser lançado. Essa equipe pode se mobilizar e fornecer rapidamente correções imediatas aos clientes.

Uma revisão rápida do progresso de segurança nas últimas versões do Office

Os controles de segurança apresentados no Office XP, no Office 2003, no Office 2007 e no Office 2010 reduziram ataques, aprimoraram a experiência do usuário, dificultaram e reduziram a superfície de ataques e, para os administradores de TI, facilitaram a criação de uma defesa robusta contra ameaças, mantendo a produtividade do usuário. Veja como:

A inclusão dos seguintes recursos reduziu os ataques no Office:

  • Modo de exibição protegido

  • Proteção do fluxo de documento

  • Gerenciamento de patches

  • Agilidade criptográfica

Os recursos a seguir aprimoraram a experiência do usuário:

  • O Centro de Confiabilidade e a barra de mensagens, locais confiáveis, editores confiáveis e decisões de confiança

  • Prompts de segurança acionáveis

  • Aprimoramentos no recurso Criptografar com Senha

  • Inspetor de Documento

  • Suporte para formato de arquivo XML

O Office dificultou a superfície de ataque por meio dos seguintes recursos:

  • Suporte a DEP (Prevenção de Execução de Dados)

  • Aplicação da Política de Grupo

  • Suporte para carimbo de data e hora confiável para assinaturas digitais

  • Verificação e aplicação de complexidade de senha com base em domínio

  • Aprimoramentos de fortalecimento de criptografia

  • Suporte para CryptoAPI

O Office reduziu a superfície de ataque por meio dos seguintes recursos:

  • Validação de arquivo do Office

  • Configurações de bloco de arquivo expandido

  • Segurança do controle ActiveX

  • “kill bit” do ActiveX

  • Verificação de integridade de arquivos criptografados

  • Níveis de segurança de macro

Mais sobre teste de fuzzing de arquivo

O teste de fuzzing é usado para identificar vulnerabilidades anteriormente desconhecidas em diversos formatos de arquivo. A equipe do Office realizou o teste de fuzzing em milhões de arquivos, dezenas de milhões de vezes, e descobriu e corrigiu centenas de vulnerabilidades.

Mais sobre a prevenção de execução de dados

Essa tecnologia de hardware e software, que foi criada no Windows e estendida para todos os aplicativos do Office, começando com o Office 2010, identifica arquivos que tentam executar código na memória reservada. Essa proteção ocorre sempre nas versões de 64 bits; nas versões de 32 bits, é configurável por meio das definições da Política de Grupo. Se um código invasor for detectado, o aplicativo afetado será desligado automaticamente.

Mais sobre o modo de exibição protegido

O modo de exibição protegido, que permite a exibição segura de arquivos suspeitos, foi introduzida no Office 2010. Agora, com o Windows 2012 AppContainer, que sofre restrição de acesso à rede, o isolamento de processo é ainda mais aprimorado.

Consulte também

Guia para a segurança do Office 2013
Visão geral de identidade, autenticação e autorização no Office 2013
Comparar recursos de segurança nos SKUs do Office 365 e Office 2013
Planejar o Gerenciamento de Direitos de Informação no Office 2013
Planejar configurações de assinatura digital do Office 2013