Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Обзор
В этой статье содержатся сведения о параметрах безопасности для приложений Microsoft Office. В нем содержатся рекомендации по тому, что пользователи могут сделать, чтобы обеспечить правильную защиту этих приложений при обработке полей динамического обмена данными (DDE).
Сведения об динамическом обмене данными
Microsoft Office предоставляет несколько методов передачи данных между приложениями. Протокол DDE — это набор сообщений и рекомендаций. Он отправляет сообщения между приложениями, которые совместно используют данные, и использует общую память для обмена данными между приложениями. Приложения могут использовать протокол DDE для одноразовой передачи данных и для непрерывного обмена, при котором приложения отправляют обновления друг другу по мере того, как новые данные становятся доступными.
Сценарий
В сценарии атаки по электронной почте злоумышленник может использовать протокол DDE, отправив пользователю специально созданный файл, а затем убедив пользователя открыть файл, как правило, путем соблазна в сообщении электронной почты. Злоумышленнику придется убедить пользователя отключить защищенный режим и щелкнуть один или несколько дополнительных запросов. Так как вложения электронной почты являются основным методом, который злоумышленник может использовать для распространения вредоносных программ, корпорация Майкрософт настоятельно рекомендует клиентам проявлять осторожность при открытии подозрительных файловых вложений.
Ключи управления функциями DDE
Microsoft Office предоставляет несколько ключей управления функциями, которые хранятся в реестре и отвечают за изменение функциональных возможностей продукта, улучшение поддержки отраслевых стандартов и повышение безопасности. Корпорация Майкрософт задокументирует эти ключи управления функциями и рекомендует включить определенные ключи управления функциями по соображениям безопасности. Дополнительные сведения см. в статье Защита и управление доступом к Office 2016.
Корпорация Майкрософт настоятельно рекомендует всем пользователям Microsoft Office просматривать ключи управления функциями, связанными с безопасностью, и включать их. Задание разделов реестра, описанных в следующих разделах, отключает автоматическое обновление данных из связанных полей.
Устранение сценариев атак DDE
Пользователи, которые хотят принять немедленные меры, могут защитить себя, вручную создав и задав записи реестра для Microsoft Office. Используйте следующие инструкции, чтобы задать разделы реестра на основе приложений Office, установленных в вашей системе.
Предупреждение
Если вы неправильно используете реестр Редактор, могут возникнуть серьезные проблемы, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.
Microsoft Excel
Excel зависит от функции DDE для запуска документов.
Чтобы предотвратить автоматическое обновление ссылок из Excel (включая DDE, OLE и ссылки на внешние ячейки или определенные имена), обратитесь к следующей таблице, чтобы задать строку версии раздела реестра для каждой версии:
| Версия Office | Строка версии> раздела <реестра |
|---|---|
| Office 2007 | 12.0 |
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Чтобы отключить функцию DDE в пользовательском интерфейсе, выполните следующие действия:
Перейдите в разделПараметры>файлов>Центр управления безопасностью> Параметры > центрауправления безопасностьюВнешнее содержимое, установите параметры безопасности для ссылок на книги, чтобы отключить автоматическое обновление ссылок на книги.
Чтобы отключить функцию DDE с помощью Редактор реестра, добавьте следующий раздел реестра:
Расположение:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Excel\Security
Имя: WorkbookLinkWarnings
Тип значения: DWORD
Значение: 2
Примечание.
Влияние мер по устранению рисков:
Отключение этой функции может помешать динамическому обновлению электронных таблиц Excel, если они отключены в реестре. Данные могут быть не полностью актуальными, так как они больше не обновляются автоматически через динамический канал. Чтобы обновить лист, пользователь должен запустить веб-канал вручную. Кроме того, пользователь не будет получать запросы на напоминание об обновлении листа вручную.
Microsoft Outlook
В следующей таблице приведена строка версии раздела реестра, указанная для каждой версии Office:
| Версия Office | Строка версии> раздела <реестра |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Для Office 2010 и более поздних версий, чтобы отключить функцию DDE с помощью Редактор реестра, добавьте следующий раздел реестра:
Расположение:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options\WordMail
Имя: DontUpdateLinks
Тип: DWORD
Значение : 1Для Office 2007, чтобы отключить функцию DDE с помощью Редактор реестра, добавьте следующий раздел реестра:
Расположение:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
Имя: fNoCalclinksOnopen_90_1
Тип: DWORD
Значение : 1
Примечание.
Влияние мер по устранению рисков:
Установка этого раздела реестра отключит автоматическое обновление для полей DDE и ссылок OLE. Пользователи по-прежнему могут включить обновление, щелкнув правой кнопкой мыши поле и выбрав "Обновить поле".
Microsoft Publisher
Документ Word, использующий протокол DDE, который запечатлен в документе publisher, может быть возможным вектором атаки. Вы можете предотвратить этот вектор атаки, применив Word изменения раздела реестра. Значения разделов реестра Word см. в следующем разделе.
Microsoft Word
В следующей таблице приведена строка версии раздела реестра, указанная для каждой версии Office:
| Версия Office** | Строка версии> раздела <реестра |
|---|---|
| Office 2010 | 14.0 |
| Office 2013 | 15.0 |
| Office 2016 | 16.0 |
Для Office 2010 и более поздних версий, чтобы отключить функцию DDE с помощью Редактор реестра, добавьте следующий раздел реестра:
Расположение:
HKEY_CURRENT_USER\Software\Microsoft\Office\<version>\Word\Options
Имя: DontUpdateLinks
Тип: DWORD
Значение : 1Для Office 2007, чтобы отключить функцию DDE с помощью Редактор реестра, добавьте следующий раздел реестра:
Расположение:
HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Options\vpref
Имя: fNoCalclinksOnopen_90_1
Тип: DWORD
Значение : 1
Примечание.
Влияние мер по устранению рисков:
Установка этого раздела реестра отключит автоматическое обновление для полей DDE и ссылок OLE. Пользователи по-прежнему могут включить обновление, щелкнув правой кнопкой мыши поле и выбрав "Обновить поле".
Сведения об обновлении Windows 10 Fall Creator Update (версия 1709)
Пользователи Windows 10 Fall Creator Update могут использовать Защитник Windows Exploit Guard для блокировки вредоносных программ на основе DDE с помощью сокращения направлений атаки (ASR).
Сокращение направлений атаки — это компонент в Защитник Windows Exploit Guard, который предоставляет предприятиям набор встроенных средств аналитики, которые могут блокировать базовое поведение, используемое вредоносными документами для выполнения атак, не препятствуя работе продукта. Блокируя вредоносное поведение независимо от угрозы или эксплойтов, ASR может защитить предприятия от никогда ранее невиданных атак нулевого дня, таких как эти недавно обнаруженные уязвимости: CVE-2017-8759, CVE-2017-11292 и CVE-2017-11826.
Для приложений Office ASR может:
- Запрет приложений Office на создание исполняемого содержимого
- Запретить запуск дочерних процессов в приложениях Office
- Запрет внедрения приложений Office в процесс
- Блокировка импорта Win32 из макрокода в Office
- Блокирование запутанного макрокода
Новые эксплойты, такие как DDEDownloader , используют всплывающее окно Динамического обмена данными (DDE) в документах Office для запуска загрузчика PowerShell; однако при этом они запускают дочерний процесс, который блокируется соответствующим правилом дочернего процесса.
Дополнительные сведения о Защитник Windows Exploit Guard см. в статье Защитник Windows Exploit Guard: уменьшение уязвимой области для вредоносных программ следующего поколения.
Корпорация Майкрософт изучает эту проблему и опубликует дополнительные сведения в этой статье, когда эта информация станет доступной.