Здравствуйте, меня зовут Майтхили Данидж. Я руковожу программами в отделе безопасности Office корпорации Майкрософт. В этой версии Office я работал над различными функциями безопасности и конфиденциальности: проверкой файлов Office, рекомендуемыми параметрами, улучшением инспектора документов и функции "Надежные документы" (Trusted Documents). Все эти компоненты я опишу в блоге в ближайшее время. Сегодня я кратко расскажу о функции Надежные документы, которая улучшает пользовательский интерфейс при взаимодействии с другими функциями безопасности. Если вы хотите узнать о других функциях безопасности, которые разрабатываются у нас в отделе, перейдите по этой ссылке. При работе с документами Office, содержащими макросы, элементы управления ActiveX, подключения к данным и другие типы активного содержимого, блокируемого центром управления безопасностью Office, мне очень мешали постоянно появляющиеся запросы безопасности. Функция "Надежные документы" (Trusted Documents) позволяет уменьшить количество подобных запросов.
Перед тем, как перейти к описанию принципов работы функции "Надежные документы" (Trusted Documents), мне хотелось бы немного рассказать о том, почему мы создали эту функцию. Версии Office до Office 2007 отображали диалоговые окна для макросов и других типов активного содержимого перед открытием документа. Эти диалоговые окна были полезны, но создавали множество проблем: запрос на включение макросов отображался до начала работы с файлом. Многие пользователи, которым не были нужны макросы, также включали их, хотя чаще всего им просто требовалось прочесть документ.
В версии Office 2007 это было исправлено. До открытия документа отображалось не диалоговое окно, а панель сообщений. Это было шагом вперед, так как теперь чтение и изменений документов могло выполняться безопасно, а предупреждения о безопасности отображались потом. К сожалению, постоянно используя документы с макросами или книги с подключениями данных, приходилось каждый раз включать активное содержимое на панели сообщений. Это могло раздражать пользователей, так как для выполнения этой задачи приходилось делать два лишних щелчка мышью, а каких-либо ощутимых преимуществ с точки зрения безопасности работы с документом это не давало. Именно поэтому основное значение для нас имели следующие моменты:
а) Во-первых, насколько часто пользователь меняет свое мнение о доверии к документу? Если содержимое однажды уже было включено, то это, скорее всего, будет сделано еще раз, чтобы документ работал корректно.
б) Во-вторых, если макрос или другое содержимое было создано со злым умыслом, то компьютер уже мог быть скомпрометирован при первом включении макроса, поэтому повторный запрос на включение содержимого для этого же файла не дает никаких преимуществ.
Это подтолкнуло нас к созданию нового компонента - функции Надежные документы (Trusted Documents). Приложение Office 14 запоминает, где было включено активное содержимое, и не выводит повторный запрос для одного и того же документа.
Итак, что же представляют собой надежные документы? Эта функция позволяет всегда разрешать в документе активное содержимое (например, макросы, элементы управления ActiveX и т. д.). Программа запоминает сделанный для файла выбор и не отображает запрос безопасности при следующем открытии того же документа.
Такой подход точнее отражает процесс работы пользователей. Если я создаю документ с макросом, то мне не хочется постоянно разрешать макросы при каждом открытии этого документа. Если же я получаю документы с ежедневными отчетами от моего коллеги, который имеет сводную таблицу, то мне не хочется каждый раз разрешать подключения к данным на доверенном сервере при обновлении чисел. Как пользователь я также могу открывать документы из различных папок (SharePoint, сетевые хранилища, локальный компьютер или вложения из писем). При этом я не хочу каждый раз помещать их в доверенную папку. Функция "Надежные документы" (Trusted Documents) решает все описанные проблемы. Если содержимое в первый раз было включено, а сведения о доверии для данного документа не изменялись, уведомление о безопасности для содержимого отображаться не будет.
Функция "Надежные документы" (Trusted Documents) позволяет сохранять настройки доверия для каждого файла в отдельности. Настройки добавляются в раздел текущего пользователя в локальном реестре и содержат полный путь к файлу, а также другие сведения (например, время создания документа). Обратите внимание, что сведения о доверии сохраняются на конкретном компьютере, поэтому при открытии документа на другом компьютере предупреждение будет выведено повторно. Кроме того, так как сведения содержат не только путь к файлу, они позволяют предотвратить "социотехнические" атаки, например подмену настоящего документа вредоносным с тем же именем.
Режим защищенного просмотра позволяет создать надежный периметр безопасности между доверенными документами на компьютере и новыми недоверенными документами, открытыми из Интернета, приложений и т. д. Например, документ с макросом вначале открывается в защищенном режиме. Если пользователь доверяет этому файлу и выходит из защищенного режима, то макросы не разрешаются автоматически. Вместо этого приложение выводит панель сообщений, которая позволяет разрешить макросы. Запрет на автоматический запуск макросов после выхода из режима защищенного просмотра снижает риск атаки на компьютер в тех случаях, когда пользователь намерен только создать комментарии к документу, не запуская макросы. Если же документ сохраняется вместе с явным разрешением макросов, то файл переходит в разряд доверенных. При его повторном открытии режим защищенного просмотра не отображается, а все активное содержимое документа будет разрешено.
В приложении Office 2010 панель сообщений будет отображаться в том случае, если документ содержит макрос, подключение к данным, элемент управления ActiveX или другое активное содержимое. Ниже показана панель сообщений, которая выводится в том случае, если отключено несколько типов активного содержимого (например, макросы и элементы управления ActiveX).
Существует два способа сделать документ надежным. При выборе команды панели сообщений Включить содержимое (Enable Content) документ будет автоматически добавлен в список надежных документов в реестре. Во-вторых, пользователь может щелкнуть панель сообщений для получения дополнительной информации. При этом откроется представление Backstage, в котором нажатие кнопки "Включить содержимое" (Enable Content) позволяет выбрать один из двух вариантов.
а) Пользователь может разрешить все содержимое и сделать документ надежным. При этом будут разрешены все макросы и элементы управления ActiveX, а документ будет добавлен в список надежных документов в реестре. Этот параметр позволяет одним щелчком мыши разрешить все содержимое и добавить документ к списку надежных. При следующем открытии документа предупреждение о безопасности не будет отображено.
б) Опытные пользователи, которым необходимо выбрать разрешенные или запрещенные типы содержимого, могут нажать кнопку "Дополнительные параметры" (Advanced Options). При этом будет открыто окно "Уведомления о безопасности" (Security Notifications), которое позволяет включить содержимое для однократного использования (как в Office 2007).
Подобно функции "Надежные расположения" (Trusted Locations), ограничения и параметры безопасности существуют также и для доверенных документов. Например, приложение не разрешает пользователям доверять документам из недоверенных расположений (например, файлам из папки Temporary Internet Files или TEMP).
Доверие документам, расположенным в сетевых хранилищах, опаснее доверия документам на локальном жестком диске, так как другие пользователи, имеющие доступ к сетевому расположению, могут изменить содержимое файла. Именно поэтому при попытке добавления сетевого документа в список надежных будет отображено предупреждение. Центр управления безопасностью (Trust Center) позволяет запрещать доверие к документам из доверенного расположения. При этом приложение Office будет выводить уведомление о безопасности при каждом открытии документа из сети. Помимо этого центр безопасности также содержит другие параметры, например возможность полного отключения всех надежных документов или очистки сведений о них. Эти параметры находятся в разделе параметров приложения и могут устанавливаться администратором ИТ-подразделения через групповую политику (например, администратор может запретить создание надежных документов в сетевых хранилищах, ограничивая их расположение локальным жестким диском).
Таким образом, основной целью функции "Надежные документы" и других компонентов безопасности в Office 14 является устранение ненужных предупреждений и запрос только необходимой информации. Снижение "усталости от диалоговых окон" может помочь пользователям в принятии более осознанных решений при появлении предупреждений о безопасности.