使用 Outlook 用戶端時的 Teams 會議增益集安全性

發行項
07/01/2023
適用於:

Microsoft Teams

Teams 會議增益集 (或 TMA) 是用來從 Windows 上的 Outlook 桌面用戶端在 Teams 中排程會議。

Outlook 和 Teams 服務之間的 TMA 座標，因此請務必確保 TMA 安全。採取安全措施有助於降低網路安全性攻擊的風險。

以下是保護 Teams 會議增益集的方法，涵蓋在本文中：

(建議) 使用 Microsoft Outlook 信任中心，防止 Outlook 在 TMA DLL 未以受信任發行者的憑證簽署時載入 TMA。
1. 使用網域的群組原則，並更新 根憑證 和 受信任的發行者，特別是因為它防止使用者收到信任發行者提示。
AppLocker 也可以用來防止來自不受信任發行者的 DLL 載入。

Microsoft Outlook 信任中心群組原則

您可以使用 信任中心群組原則 來管理增益集：

若要確保只載入組織信任的增益集
若要停止增益集無法載入未指定的位置

此做法有助於防範惡意程式碼影響 COM 註冊，使其從另一個放置 DLL 的位置載入。

步驟如下：

保護 Outlook 免于不安全的增益集
1. 移至 Outlook 信任中心。 https://www.microsoft.com/en-us/trust-center
2. 到達時，選取 [檔案 > 選項 > 信任中心]。
3. 選 取 [Microsoft Outlook 信任中心]。
4. 在左側功能表的 [Microsoft Outlook 信任中心] 底下，選取 [ 信任中心設定]。
5. 在 [ 宏設定] 底下，選 取 [數位簽章宏的通知]，所有其他宏均已停用。
6. 在這種情況下，系統管理員必須選取 [ 將宏安全性設定套用至已安裝的載入 宏]。
7. 選取 [確定] 按鈕進行這些變更並結束信任中心，然後再次選取 [ 確定 ]，關閉選項。

這些選項會一直保留在那裡。

現在，在 Outlook 信任中心外：

重新開機用戶端上的 Outlook。
當 Outlook 重新開啟時，應用程式會要求載入每個增益集的許可權，並自動停用 任何未 簽署的增益集。
1. 下圖是使用者 TMA 體驗的外觀：
2. 使用者會看到 Microsoft Outlook 安全性注意事項，其中可能會讀出 Microsoft Office 已發現列出Microsoft.Teams.AddinLoader.dll的潛在安全性疑慮 。選項如下：
  1. 信任此 Publisher 的所有檔。
    1. 選取此選項會信任憑證的發行者，而且在憑證變更之前不會再次提示使用者。
  2. 2. 啟用應用程式增益集。
    1. 此選項只會在個別情況下啟用，因此此增益集會在此單次啟用，系統會再次提示使用者。
  3. 3. 停用應用程式增益集。
    1. 停用增益集。
3. 依照步驟設定群組原則自動信任特定跟憑證授權單位單位。
  1. 在您的網域控制站 (DC) 上開啟群組原則管理主控台。
  2. 建立新群組原則物件 (GPO) 或編輯您要用來設定設定的現有 GPO。
  3. 接下來移至電腦設定 > 原則 > Windows 設定安全性 >> 設定公開金鑰原則。
  4. 以滑鼠右鍵按一下 [受信任的根憑證授權單位]，然後選取 [匯入]。
  5. 流覽至您要信任之憑證發行者之跟憑證授權單位 Microsoft Root Certificate Authority 2010 檔案並匯入。
  6. 將 GPO 連結至適當的組織單位，以將設定套用至您要使用原則的電腦。如需此程式的詳細資訊，請參閱：將 Applocker 原則部署到生產中
4. 接下來，依照步驟設定群組原則自動信任發行者。
  1. 開啟您網域控制站上的群組原則管理主控台。
  2. 建立新的 GPO 或編輯您要用來設定設定的現有 GPO。
  3. 流覽至電腦設定 > 原則 > Windows 設定安全性 >> 設定公開金鑰原則。
  4. 以滑鼠右鍵按一下 [信任的發行者]，然後選取 [匯入]。
  5. 流覽至您要信任的憑證發行者葉憑證 Microsoft Corporation 檔案並匯入檔案。
  6. 將 GPO 連結至適當的組織單位，以將設定套用至您選擇的電腦。
透過群組原則管理增益集
1. 下載 (ADMX/ADML) Microsoft 365 Apps 企業版/Office LTSC 2021/Office 2019/Office 2016 的系統管理範本檔案，以及 Office 2016 的 Office 自訂工具。
2. 將 ADMX/ADML 範本檔案新增至群組原則管理：
  1. 在[使用者設定 > 管理模 > 板] 底下， (安全 > 性 > 信任中心) 版本號碼。
    1. 將宏安全性設定套用至宏、增益集及其他動作：此原則設定會控制 Outlook 是否也會將宏安全性設定套用至已安裝的 COM 增益集及其他動作。
      1. 設定為： 啟用
    2. 宏的安全性設定：此原則設定會控制 Outlook 中宏的安全性層級。
      1. 設定為： 已簽署、停用未簽署的警告。
        
        此選項會對應到 數位簽署宏的通知，所有其他宏 都會停用信任中心的選項。如果增益集是由信任的發行者數位簽署，增益集可以由信任的發行者執行。
  2. 增益集的其他群組原則。
    1. 在[使用者設定 > 管理模 > 板] 底下，Microsoft Outlook 2016安全性 >]
      1. 設定增益集信任等級：所有已安裝的受信任 COM 增益集都可以受到信任。如果出現增益集，增益集的 Exchange 設定仍會覆寫，且已選取此選項。
    2. 在[使用者設定 > 管理模 > 板] 下，Microsoft Outlook 2016 > 其他
      1. 封鎖所有未受管理的載入宏：此原則設定會封鎖所有不受「受管理增益集清單」原則設定管理的增益集。
      2. 受管理的增益集清單：此原則設定可讓您指定一律啟用哪些增益集、一律停用 (封鎖) ，或由使用者設定。若要封鎖不受此原則設定管理的增益集，您也必須設定「封鎖所有未受管理的增益集」原則設定。
    3. 在[使用者設定 > 管理模 > 板] 下，Microsoft Outlook 2016安全 > 性 > 表單設定 > 程式設計安全 > 性受信任的增益集
      1. 設定信任的載入宏：此原則設定是用來指定可執行且不受 Outlook 安全性措施限制的受信任增益集清單。

AppLocker

AppLocker 應用程式控制原則可協助您控制使用者可以執行哪些應用程式和檔案。這些檔案類型包括可執行檔、腳本、Windows Installer 檔案、動態連結媒體櫃 (DLL) 、封裝的應用程式，以及封裝的應用程式安裝程式。

讓我們專注于使用 AppLocker 來停止載入未由信任的發行者簽署的 DLL。

使用 AppLocker 來停止載入未簽署的 DLL。

若要使用 Applocker 來停止載入未簽署的 DLL，您必須在本機或群組原則中建立新的 DLL 規則。

注意事項

本節的先決條件是Windows 10 企業版和教育版或 Windows Server 2012 或更新版本。

若要針對特定 DLL 在Windows 10 或 Windows 11上設定 AppLocker，請遵循下列步驟：

開啟原則編輯器。
1. 本機電腦
  1. 開啟本地安全性原則編輯器。在 [執行] 對話方塊或 [開始] 功能表搜尋列中輸入 secpol.msc，然後按 Enter。
2. 群組原則
  1. 透過群組原則編輯 AppLocker 原則 |Microsoft Learn
在 [本機安全性原則編輯器] 中，流覽至應用程式控制原則 > AppLocker > DLL 規則。
1. 如果您使用受支援的 Windows 版本，但仍然沒有看到 DLL 規則，可能是因為 AppLocker 未在您的系統上啟用或設定。在此情況下，您可以依照下列步驟來啟用 AppLocker：
  1. 開啟本地安全性原則編輯器。在 [執行] 對話方塊或 [開始] 功能表搜尋列中輸入 secpol.msc，然後按 Enter。
  2. 在 [本機安全性原則編輯器] 中，流覽至應用程式控制原則 > AppLocker。
  3. 以滑鼠右鍵按一下 AppLocker，然後選取 [內容]。
  4. 在 [AppLocker 內容] 底下的 [強制執行] 索引標籤中：
    1. 選取 [設定規則強制執行] 旁的 [設定]。
    2. 將規則集合等額外原則設定為僅稽核模式。
    3. 一旦驗證完成，就可以更新為強制執行
    4. 選取 [確定] 儲存變更。
    5. 請確定應用程式身分識別服務正在執行中。
建立新的 DLL 規則
1. 從本地安全性原則編輯器
  1. 以滑鼠右鍵按一下 [DLL 規則]，然後選取 [建立新規則]。
  2. 在 [建立 DLL 規則] 精靈中，選取 [使用現有檔案]，然後流覽至您要為其建立規則的 DLL 檔案。
  3. 選取您要建立 (的規則類型，例如允許或拒絕) ，以及設定所需的任何其他規則條件。
  4. 完成精靈並儲存新規則。
2. 或從 PowerShell：
  1. 建立新 DLL 規則所需的 PowerShell Cmdlet 可以一起管線。
透過 AppLocker 群組原則管理增益集
1. Get-ChildItem - 取得檔案的物件
2. Get-AppLockerFileInformation - 從檔案清單或事件記錄檔取得建立 AppLocker 規則所需的檔案資訊
3. New-AppLockerPolicy - 從檔案資訊清單和其他規則建立選項建立新的 AppLocker 原則。
  1. RuleType 必須發佈，這會強制執行程式碼簽署。
  2. 使用者可以是個別的使用者或群組，所有範例都使用 [所有人]。
  3. AllowWindows 表示 AppLocker 原則允許所有本機 Windows 元件。
4. 建立每個檔案的 DLL 規則
  1. TMA 檔案位置取決於安裝類型
    1. 每個使用者安裝
      1. 安裝位置：%localappdata%\Microsoft\TeamsMeetingAddin
    2. 每台電腦安裝
      1. 安裝位置：c：\Program Files (x86) \TeamsMeetingAddin
  2. Get-ChildItem <TMAFileLocation>\Microsoft.Teams.AddinLoader.dll | Get-AppLockerFileInformation | New-AppLockerPolicy -RuleType Publisher, Hash -User Everyone -RuleNamePrefix TeamsMeetingAddin -AllowWindows -Xml | Out-File .\TMA.xml
  3. 設定原則：
    1. Local Machines i.Set-AppLockerPolicy -XmlPolicy .\TMA.xml -Merge
    2. 群組原則 i. Set-AppLockerPolicy -XMLPolicy .\TMA.xm -LDAP "<LDAP Info for Group Policy>"
  4. 必須針對 TMA 的 x64 和 x86 目錄底下的每個 DLL 完成步驟 1 和 2。
5. 一次建立所有 DLL 規則：
  1. Get-AppLockerFileInformation -Directory .\Microsoft\TeamsMeetingAddin\1.0.23089.2 -Recurse |New-AppLockerPolicy -詳細資訊 - RuleType Publisher， Hash -User Everyone -RuleNamePrefix TeamsMeetingAddin -AllowWindows -Xml |Out-File .\TMA.xml'
  2. Set-AppLockerPolicy -XmlPolicy .\TMA.xml -Merge3. 執行群組原則更新需要 LDAP 資訊。

要知道的重要事項：

假設在環境中開啟了 AppLocker，則 IT 部門會熟悉 AppLocker。他們知道它是設計來使用 [允許] 模型，而且不會封鎖任何不允許的專案。
當 Publisher 規則失敗時，會提供雜湊規則做為備援。雜湊規則必須在每次 TMA 更新時更新。
新增 AppLocker 原則的 PowerShell 命令將設定為僅符合要新增 > 的 DLL 確切版本，並進入 Publisher 規則的 [允許屬性]，並將範圍的 [檔案版本] 選項變更為 [和高於列出的版本]。
若要讓 AppLocker 接受更多適用于 Publisher 規則的 DLL 版本，請移至 [允許 Publisher 規則的屬性]，並將 [檔案] 版本的下拉式清單從[完全) ] 變更為 [和]上方 (。
如果 AppLocker 原則封鎖增益集，一旦啟用後，增益集就不會顯示，而檢查 COM 增益集會顯示..

如需詳細資訊

啟用或停用 Microsoft 365 檔案中的宏- Microsoft 支援服務AppLocker (Windows) |Microsoft Learn

共用方式為