Безопасность надстроек для собраний Teams при использовании клиента Outlook

• Применяется к:

  Microsoft Teams

Надстройка для собраний Teams (или TMA) используется для планирования собраний в Teams из классического клиента Outlook в Windows.

TMA координирует работу служб Outlook и Teams, поэтому важно обеспечить безопасность TMA. Принятие мер безопасности помогает снизить риск кибератаки.

Вот способы защиты надстройки для собраний Teams, описанные в этой статье:

1. (Рекомендуется) Используйте Центр управления безопасностью Microsoft Outlook, чтобы предотвратить загрузку TMA outlook, если библиотеки DLL TMA не подписаны сертификатом доверенного издателя.
   1. Используйте групповые политики для домена и обновите корневой сертификат и доверенного издателя, тем более что это не позволяет пользователям запрашивать доверие издателю.
2. AppLocker также можно использовать для остановки загрузки библиотек DLL от недоверенных издателей.

Групповые политики Центра управления безопасностью Microsoft Outlook

Для управления надстройками можно использовать групповые политики Центра управления безопасностью :

• Загрузка только надстроек, которыми доверяет организация
• Остановка загрузки надстроек из неустановленных расположений

Эта практика помогает защититься от вредоносных программ, компрометирующих регистрацию COM для загрузки из другого расположения с помощью размещенных библиотек DLL.

Ниже приведены шаги.

1. Защита Outlook от небезопасных надстроек
   1. Перейдите в Центр управления безопасностью Outlook. https://www.microsoft.com/en-us/trust-center
   2. По прибытии выберите Центр управления параметрами > файлов>.
   3. Выберите Центр управления безопасностью Microsoft Outlook.
   4. В меню слева в разделе Центр управления безопасностью Microsoft Outlook выберите Параметры центра управления безопасностью.
   5. В разделе Параметры макросов выберите Уведомления для макросов с цифровой подписью, все остальные макросы отключены.
   6. В этом случае администраторы должны выбрать Применить параметры безопасности макросов к установленным надстройкам .
   7. Нажмите кнопку ОК , чтобы внести эти изменения и выйти из центра управления безопасностью, а затем еще раз нажмите кнопку ОК , чтобы закрыть параметры.

Выбор сохраняется оттуда.

Теперь за пределами Центра управления безопасностью Outlook:

1. Перезапустите Outlook на клиенте.

2. При повторном открытии Outlook приложение запрашивает разрешение на загрузку каждой надстройки, автоматически отключая все надстройки, которые не подписаны.

   1. На рисунке ниже показано, как выглядит пользовательский интерфейс TMA:
   2. Конечные пользователи видят уведомление о безопасности Microsoft Outlook, в котором может быть указано, что Microsoft Office определил потенциальные проблемы безопасности Microsoft.Teams.AddinLoader.dll. Ниже приведены следующие варианты:
      1. Доверяйте всем документам этого издателя.
         1. При выборе этого параметра издатель сертификата доверяет издателю, и пользователю не будет снова предложено, пока сертификат не изменится.
      2. 2. Включите надстройку приложения.
         1. Этот параметр включается только в индивидуальном порядке, поэтому эта надстройка включается в этот раз, и пользователю будет предложено снова.
      3. 3. Отключите надстройку приложения.
         1. Отключает надстройку.
   3. Выполните действия, чтобы настроить групповая политика для автоматического доверия определенному корневому центру сертификации.
      1. Откройте консоль управления групповая политика на контроллере домена (DC).
      2. Создайте объект групповая политика или измените существующий объект групповой политики, который требуется использовать для настройки параметров.
      3. Затем перейдите к разделу Политики конфигурации > компьютера Параметры > Windows Параметры безопасности Политики открытых > ключей.>
      4. Щелкните правой кнопкой мыши доверенные корневые центры сертификации и выберите Импорт.
      5. Перейдите к корневому сертификату Корневого центра сертификации Майкрософт 2010 для издателя сертификата, которому вы хотите доверять, и импортируйте его.
      6. Свяжите объект групповой политики с соответствующим подразделением организации, чтобы применить параметры к компьютерам, на которые вы хотите использовать политику. Дополнительные сведения об этом процессе см. в статье Развертывание политики Applocker в рабочей среде.
   4. Затем выполните действия, чтобы настроить групповая политика для автоматического доверия издателю.
      1. Откройте консоль управления групповая политика на контроллере домена.
      2. Создайте новый объект групповой политики или измените существующий объект групповой политики, который вы хотите использовать для настройки параметров.
      3. Перейдите в раздел Политики > конфигурации > компьютера Параметры > Windows Параметры безопасности Политики открытых > ключей.
      4. Щелкните правой кнопкой мыши доверенные издатели и выберите Импорт.
      5. Перейдите к файлу конечного сертификата Microsoft Corporation для издателя сертификатов, которому вы хотите доверять, и импортируйте его.
      6. Свяжите объект групповой политики с соответствующим подразделением организации, чтобы применить параметры к выбранным компьютерам.

3. Управление надстройками с помощью групповых политик

   1. Скачайте файлы административных шаблонов (ADMX/ADML) для Приложения Microsoft 365 для предприятий/Office LTSC 2021/Office 2019/Office 2016 и центра развертывания Office 2016.
   2. Добавьте файлы шаблонов ADMX/ADML в управление групповая политика:
      1. В разделе Конфигурация > пользователей Административные шаблоны > Microsoft Outlook (номер версии) > Центр безопасности > безопасности.
         1. Применение параметров безопасности макросов к макросам, надстройкам и дополнительным действиям. Этот параметр политики определяет, применяет ли Outlook параметры безопасности макросов к установленным надстройкам COM и дополнительным действиям.
            1. Задайте для: Включен
         2. Параметр безопасности для макросов. Этот параметр политики определяет уровень безопасности макросов в Outlook.
            1. Задайте для: Предупреждение для подписанного, отключить неподписанный.
               1. Этот параметр соответствует параметру Уведомления для макросов с цифровой подписью, все остальные макросы отключены в центре управления безопасностью. Если надстройка имеет цифровую подпись доверенного издателя, она может запускаться доверенным издателем.
      2. Дополнительные групповые политики для надстроек.
         1. В разделе Конфигурация > пользователей Административные шаблоны > Microsoft Outlook 2016 > Security
            1. Настройка уровня доверия для надстроек. Все установленные доверенные com-надстройки могут быть доверенными. Параметры Exchange для надстроек по-прежнему переопределяются, если они присутствуют и этот параметр выбран.
         2. В разделе Конфигурация > пользователей Административные шаблоны > Microsoft Outlook 2016 > Прочее
            1. Блокировать все неуправляемые надстройки. Этот параметр политики блокирует все надстройки, которые не управляются параметром политики "Список управляемых надстроек".
            2. Список управляемых надстроек. Этот параметр политики позволяет указать, какие надстройки всегда включены, всегда отключены (заблокированы) или настраиваются пользователем. Чтобы заблокировать надстройки, которые не управляются этим параметром политики, необходимо также настроить параметр политики "Блокировать все неуправляемые надстройки".
         3. В разделе Конфигурация > пользователей Административные шаблоны > Microsoft Outlook 2016 > Параметры > формы безопасности > Программная безопасность > доверенных надстроек
            1. Настройка доверенных надстроек. Этот параметр политики используется для указания списка доверенных надстроек, которые могут быть запущены без ограничений мерами безопасности в Outlook.

Applocker

Политики управления приложениями AppLocker помогают контролировать, какие приложения и файлы могут запускать пользователи. К этим типам файлов относятся исполняемые файлы, скрипты, файлы установщика Windows, библиотеки динамической компоновки (DLL), упакованные приложения и упакованные установщики приложений.

Давайте сосредоточимся на использовании AppLocker, чтобы остановить загрузку библиотек DLL, которые не подписаны доверенным издателем.

Используйте AppLocker, чтобы остановить загрузку неподписанных библиотек DLL.

Чтобы остановить загрузку неподписанных библиотек DLL с помощью Applocker, необходимо создать новое правило DLL в локальном или групповая политика.

Примечание.

Предварительные требования для этого раздела Windows 10 Корпоративная и, Для образовательных учреждений или Windows Server 2012 или более поздней версии.

Чтобы настроить AppLocker в Windows 10 или Windows 11 для определенной библиотеки DLL, выполните следующие действия.

1. Откройте редактор политик.
   1. Локальный компьютер
      1. Откройте редактор локальной политики безопасности. Введите secpol.msc в диалоговом окне Выполнить или в строке поиска меню "Пуск" и нажмите клавишу ВВОД.
   2. групповая политика
      1. Изменение политики AppLocker с помощью групповых политик | Microsoft Learn
2. В редакторе локальной политики безопасности перейдите к разделу Политики управления приложениями > Правила DLL AppLocker > .
   1. Если вы используете поддерживаемый выпуск Windows и по-прежнему не видите правила DLL, возможно, AppLocker не включен или настроен в вашей системе. В этом случае можно выполнить следующие действия, чтобы включить AppLocker:
      1. Откройте редактор локальной политики безопасности. Введите secpol.msc в диалоговом окне Выполнить или в строке поиска меню "Пуск", а затем нажмите клавишу ВВОД.
      2. В редакторе локальной политики безопасности перейдите в раздел Политики управления приложениями > AppLocker.
      3. Щелкните правой кнопкой мыши AppLocker и выберите Пункт Свойства.
      4. В разделе Свойства AppLocker на вкладке Принудительное применение:
         1. Выберите Настроено рядом с пунктом Настройка принудительного применения правил.
         2. Настройте дополнительные политики, такие как коллекции правил, в режиме только аудита.
         3. После проверки его можно обновить для принудительного применения.
         4. Нажмите кнопку ОК, чтобы сохранить изменения.
         5. Убедитесь, что служба удостоверений приложений запущена.
3. Создание правила DLL
   1. Из редактора локальной политики безопасности
      1. Щелкните правой кнопкой мыши правила DLL и выберите Создать новое правило.
      2. В мастере создания правила DLL выберите Использовать существующий файл и перейдите к dll-файлу, для которого нужно создать правило.
      3. Выберите тип правила, которое требуется создать (например, разрешить или запретить), и настройте другие необходимые условия правила.
      4. Завершите работу мастера и сохраните новое правило.
   2. Или из PowerShell:
      1. Командлеты PowerShell, необходимые для создания нового правила DLL, можно передавать вместе.
4. Управление надстройками с помощью групповых политик AppLocker
   1. Get-ChildItem — возвращает объект для файла.
   2. Get-AppLockerFileInformation — получает сведения о файлах, необходимые для создания правил AppLocker, из списка файлов или журнала событий.
   3. New-AppLockerPolicy — создает новую политику AppLocker на основе списка сведений о файлах и других параметров создания правил.
      1. RuleType необходимо опубликовать, и это принудительно подписывает код.
      2. Пользователь может быть отдельным пользователем или группой. Во всех примерах используются все.
      3. AllowWindows указывает, что политика AppLocker разрешает все локальные компоненты Windows.
   4. Создание правила DLL для каждого файла
      1. Расположение файла TMA зависит от типа установки
         1. Установка на пользователя
            1. Расположение установки: %localappdata%\Microsoft\TeamsMeetingAddin
         2. Установка на компьютер
            1. Расположение установки: C:\Program Files(x86)\TeamsMeetingAddin
      2. Get-ChildItem <TMAFileLocation>\Microsoft.Teams.AddinLoader.dll | Get-AppLockerFileInformation | New-AppLockerPolicy -RuleType Publisher, Hash -User Everyone -RuleNamePrefix TeamsMeetingAddin -AllowWindows -Xml | Out-File .\TMA.xml
      3. Задайте политику:
         1. Локальные компьютеры i.Set-AppLockerPolicy -XmlPolicy .\TMA.xml -Merge
         2. групповая политика i. Set-AppLockerPolicy -XMLPolicy .\TMA.xm -LDAP "<LDAP Info for Group Policy>"
      4. Шаги 1 и 2 необходимо выполнить для каждой библиотеки DLL в каталогах x64 и x86 для TMA.
   5. Создайте все правила DLL одновременно:
      1. Get-AppLockerFileInformation -Directory .\Microsoft\TeamsMeetingAddin\1.0.23089.2 -Recurse | New-AppLockerPolicy -Verbose -RuleType Publisher, Hash -User Everyone -RuleNamePrefix TeamsMeetingAddin -AllowWindows -Xml | Out-File .\TMA.xml'
      2. Set-AppLockerPolicy -XmlPolicy .\TMA.xml -Merge3. Сведения LDAP необходимы для выполнения групповая политика обновлений.

Важно знать:

1. Предполагается, что если AppLocker включен в среде, ИТ-отдел знаком с AppLocker. Они знают, что он предназначен для использования модели Allow, и все, что не разрешено, будет заблокировано.
2. Правила хэша предоставляются для резервного восстановления при сбое правила издателя. Хэш-правила необходимо обновлять при каждом обновлении TMA.
3. Команда PowerShell для добавления политик AppLocker будет настроена так, чтобы она соответствовала только точной версии добавляемой > библиотеки DLL, перейдите в раздел Разрешить свойства правила издателя и измените параметры Версии файлов для область на И выше указанной версии.
4. Чтобы AppLocker принимал более широкий диапазон версий DLL для правил издателя, перейдите в раздел Разрешить свойства для правила издателя и измените раскрывающийся список для параметра Версия файла на И выше (от Точно).
5. После включения, если политика AppLocker блокирует надстройку, она не будет отображаться, а при проверке надстроек COM отобразится:

Дополнительные сведения

Включение или отключение макросов в файлах Microsoft 365 — служба поддержки Майкрософт AppLocker (Windows) | Microsoft Learn