Разрабатывая пакет Office 2003, корпорация Microsoft внедряла новые процессы и принципы, следуя концепции защищенности информационных систем (Trustworthy Computing). Создаваемый продукт должен был стать изначально более защищенным, более надежным по конструкции и более безопасным в развертывании, чем предыдущие версии Microsoft Office. В данном документе описывается, какие новшества внедряла команда Office Trustworthy Computing при разработке пакета Office 2003. Здесь обсуждается результат этой работы: доступность более безопасного набора приложений по работе с информацией, описываются ключевые особенности, настройки по умолчанию и возможности развертывания.
Предложенная корпорацией Microsoft® концепция Trustworthy Computing определяет необходимость использования новых процессов разработки, призванных гарантировать улучшение безопасности программных продуктов, поставляемых клиентам. Применение этих новых процессов в разработке пакета Office 2003 позволило создать продукт, изначально более защищенный, более надежный по конструкции и в развертывании, чем предыдущие версии Microsoft Office. Результатом этого стало создание наиболее безопасной в настоящий момент версии Office.
В первом разделе настоящего документа объясняется, какое место в концепции Trustworthy Computing отводится безопасности, а затем описывается, каким образом обеспечивается безопасность по умолчанию, в конструкции и в развертывании. В заключение обсуждается, каким образом пакет Office 2003 (различных выпусков, в которые входят Microsoft Office Word 2003, Microsoft Office Excel 2003 и другие основные программы) обеспечивает большую безопасность, чем предыдущие версии Microsoft Office. Часть рассматриваемого материала посвящена описанию большого позитивного эффекта, который оказала на процесс разработки команда Office Trustworthy Computing, управляя принятием новых спецификаций для процессов написания, тестирования и оценки ПО, и многими другими вещами.
В январе 2002 года Билл Гейтс призвал 50 000 служащих корпорации Microsoft к разработке новой безопасной информационной среды для клиентов – такой же надежной, как электричество, питающее наши дома и офисы. Четыре основных элемента новой концепции защищенности информационных систем (Trustworthy Computing) - это защищенность, конфиденциальность, надежность и бизнес-целостность. Они несут следующий смысл:
Защищенность. Потребители имеют право рассчитывать на то, что системы устойчивы к атакам, и что конфиденциальность, целостность и доступность системы, а также ее данные находятся под защитой.
Конфиденциальность. Потребители имеют право управлять личной информацией, и кто бы ни использовал эти данные, он должен придерживаться при этом принципов добросовестности.
Надежность. Потребители вправе рассчитывать на правильное выполнение продуктом своих функций.
Бизнес-целостность. Поставщик продукта оказывает информационную поддержку и несет ответственность за качество работы продукта.
Корпорация Microsoft создала основу для отслеживания и измерения этого развития в соответствии с целями безопасности и концепции защищенности информационных систем: безопасность по конструкции, безопасность по умолчанию, безопасность в развертывании и взаимодействие с клиентами (secure by design, secure by default, secure in deployment, and communications (SD3+C)).
Безопасность по конструкции
Цель безопасности по конструкции – устранить все уязвимые места в безопасности до выпуска продукта и добавить особенности, позволяющие увеличить его защищенность. Безопасность по конструкции включает в себя:
Построение безопасной архитектуры. Здания банков сконструированы в соответствии с требованиями безопасности, их архитектура есть прямое следствие необходимости иметь банковское хранилище и другие вспомогательные средства безопасности. Программное обеспечение должно разрабатываться аналогичным образом. Корпорация Microsoft приступает к разработке продуктов, изначально заботясь о безопасности системы.
Добавление функций безопасности. Корпорация Microsoft расширяет функциональность своих продуктов, добавляя новые возможности обеспечения безопасности.
Уменьшение числа уязвимостей в новом и существующем коде. Корпорация Microsoft совершенствует процедуры разработки ПО с целью сделать разработчиков более осведомленными в вопросах безопасности на этапах проектирования и разработки ПО.
Изначальная безопасность
Цель изначальной безопасности для корпорации Microsoft – это выпуск продуктов, защита которых усилена отключением служб, не задействованных в большинстве сценариев использования, и уменьшением числа выдаваемых автоматически разрешений. Эти меры снижают возможности для проведения атак. Принятие осознанного решения о внедрении этих процессов увеличивает вероятность того, что они будут управляемы и контролируемы.
Безопасность в развертывании
Безопасность конструкции и изначальная безопасность очень важны, но они применяются на этапе разработки продукта. Безопасность в развертывании важна, поскольку работа компьютеров и сетевых систем не должна прерываться при установке нового ПО. Поэтому корпорация Microsoft улучшает поддержку клиентов, чтобы помочь им справиться с пятью отдельными, но тесно связанными задачами:
Защита систем, которая обеспечивается правильным подбором людей, процессов и технологий, призванных гарантировать доступность данных только доверенным пользователям, правильную настройку систем и их должное обновление, для предотвращения доступа неавторизованных пользователей. Сетевая защита аналогична запиранию дверей Вашего дома от злоумышленников.
Обнаружение попыток вторжения, нарушений безопасности, эксплуатационных проблем, непредвиденного поведения или предшествующих отказу симптомов. Эта задача напоминает включение домашней сигнализации для предупреждения о потенциальной опасности.
Оборона систем путем автоматической корректировки действий при обнаружении нарушений безопасности или подозрении о них. Оборона сродни звонку в полицию при нападении.
Восстановление компьютеров, ставших ненадежными, вызывающих сомнения в надежности либо вышедших из строя, зависит от наличия надлежащих систем и процессов для восстановления компьютеров и необходимых данных к состоянию последней удачной конфигурации, чтобы уменьшить время их простоя. Восстановление сродни вызову страховой компании для возмещения ущерба после вторжения. В случае с информационными технологиями это означает наличие резервных систем, позволяющих быстро вернуть поврежденные системы в рабочее состояние.
Координирование и управление защитой, обнаружением, обороной и восстановлением важных систем означает наличие правильных политик и процедур для согласования этих действий. Управление похоже на установку правил домашней безопасности, покупку страховки и обновление Ваших полисов по мере того, как изменяется состав Вашего имущества. Похожим образом управление ИТ-безопасностью нуждается в обновлении политик безопасности по мере того, как со временем меняются компоненты и угрозы для них. Многие задачи управления безопасностью могут быть автоматизированы, а системы могут быть настроены на уведомление администратора о нарушениях политики или о превышении установленного для пользователя быстродействия или поведенческого порога. Управление безопасностью изначально подразумевает, что администраторы имеют соответствующие знания и опыт и следуют политикам и процедурам безопасности.
Взаимодействие с клиентами
Улучшения безопасности, исправления и базы знаний приносят мало пользы без широкого распространения и непосредственной связи с потребителями. Корпорация Microsoft выстраивает двустороннее общение с клиентами, чтобы создать полезные инструменты и руководства для уменьшения рисков безопасности. Стратегия взаимодействия корпорации Microsoft включает:
Получение точной информации и быстрое создание исправлений при обнаружении уязвимостей.
Обеспечение потребителей инструментами и предписывающими руководствами, помогающими понять, как правильно обслуживать их системы.
Предупреждение о новых атаках и предоставление советов и рекомендаций по их отражению, которые изменяются в ответ на угрозы и развитие технологий.
Чтобы сделать Office 2003 наиболее защищенным набором приложений по работе с информацией из когда-либо созданных корпорацией Microsoft, при его разработке учитывался опыт обеспечения безопасности в предыдущих версиях Office. Например, в Office XP корпорация Microsoft сделала огромный шаг в обеспечении защищенности, включив в этот пакет улучшенную защиту от макросов, возможности подписывания кода и другие возможности (такие как обработка вложений в Outlook), специально разработанные в ответ на новые и появляющиеся угрозы. Разработка Office XP представляла собой грандиозную на тот момент работу по обеспечению безопасности, и полученные уроки помогли разработчикам создать новые защитные механизмы, улучшить существующие, и усовершенствовать модель развертывания для пакета Office 2003.
Office 2003 не просто «более защищен» по сравнению с Office XP. Результатом цикла разработки первой версии пакета Office, основанного на концепции Trustworthy Computing, стало достижение более высокого уровня безопасности, чем когда-либо ранее. Это произошло потому, что корпорация Microsoft улучшила создание процессов и методологий внедрения защиты в процесс разработки. На стадии начальной разработки, еще до создания спецификаций, команда разработчиков осуществила моделирование угроз. Результатом этих плановых мероприятий стало выявление и понимание всевозможных угроз, что позволило создать спецификации с тщательной проработкой вопросов защиты. В основу каждой функции была положена безопасность.
Корпорация Microsoft также создала межгрупповую команду, названную командой Office Trustworthy Computing. Эта команда, состоящая из ключевых разработчиков, отвечала за достижение нескольких важных целей:
Обеспечить принятие новых процессов и методов построения защищенной информационной среды.
Определять общую концепцию безопасности для всех разработчиков Office. Например, выполняя оценку реализации функциональных возможностей на этапах анализа, тестирования и интеграции, эта виртуальная команда должна была представить свое крупномасштабное видение дальнейшего развития и выдать соответствующие рекомендации. Например, были случаи, когда команда Office Trustworthy Computing видела, что две разные группы разработчиков работают над разными функциями, в которых предполагалось использование аналогичных процедур безопасности, и направляла обе команды к общему решению.
Обеспечить обучение и наставничество на всех уровнях групп разработчиков вне зависимости от их специализации.
Установить средства разработки и тестирования и наблюдать за их использованием. Например, команда использовала средство автоматизированного обзора кода Office (Office Automated Code Review, OACR) - систему всестороннего анализа кода, основанную на инструментарии Prefast, разработанную для обеспечения соответствия всего кода стандартам Trustworthy Computing. В соответствии с OACR весь код должен пройти все тесты безопасности, прежде чем он будет допущен к проверке.
Наблюдать за соответствием политики конфиденциальности Office, включая проверку соответствия Office требованиям законодательства о защите частной информации.
В контексте концепции Trustworthy Computing команда Office Trustworthy Computing совершила успешный прорыв в разработке пакета Office 2003. Члены этой команды имели полезный опыт работы над безопасностью в предыдущих версиях Office и знакомство с достижениями команды Windows® Server™ 2003 по внедрению принципов Trustworthy Computing. У них также был опыт участия в соответствующих командах разработчиков, где они были персонально ответственны за продукт, создаваемый командой. Другими словами, это видение и основа разработки, вдохновленные концепцией Trustworthy Computing, позволили корпорации Microsoft создать изначально более защищенную версию Office, более надежную по конструкции и более безопасную в развертывании, чем предыдущие версии Office.
Безопасность по конструкции
Пакет Office 2003 обладает рядом важных особенностей, особое внимание при разработке которых было направлено на обеспечение и улучшение безопасности:
Защита данных и документов
Функциональная возможность ограничения редактирования в Word 2003 позволяет пользователям «запирать» части документов Word, чтобы предотвратить их изменение теми пользователями, которым это не разрешено. Автор документа может выбрать, разрешать другим пользователям производить изменения путем исправлений, или сделать весь документ доступным только для чтения.
Функциональная возможность ограничения форматирования в Word 2003 позволяет пользователям «запирать» документ при помощи панели Защита документа (Protect Document), чтобы его содержание можно было редактировать, не изменяя при этом стили документа, задающие его форматирование.
Используемый в Word 2003 формат XML включает технологические расширения, позволяющие антивирусным сканерам быстро и эффективно сканировать W3C-совместимый родной формат файла Word XML. Корпорация Microsoft, сотрудничая с разработчиками антивирусного ПО, добавила три новых флага в заголовки документов, сохраненных в родном формате файлов Word XML, которые позволят антивирусным программам быстрее определять наличие в документе потенциально опасных встроенных объектов или макросов и удалять их при необходимости.
Цифровые подписи для баз данных Microsoft Office Access 2003. В Access 2003 теперь можно подписывать базы данных цифровой подписью.
Защита от злонамеренных воздействий
Механизм изолирования Microsoft Office InfoPath™ 2003. Изолируются решения InfoPath, установленные из Интернета (загрузка которых может быть тихой, а обновление автоматическим) и сохраненные в локальном кэше. Изолированные решения запускаются по модели безопасности, похожей на запуск веб-страниц в Internet Explorer, и получают доступ только к текущим формам (не имея доступа ни к каким ресурсам на локальном компьютере).
Блокирование вложений. Для защиты частной информации и борьбы с веб-угрозами Microsoft Office Outlook® 2003 по умолчанию блокирует загрузку стороннего содержимого из Интернета. Если сообщение электронной почты пытается негласно соединиться с веб-сервером, Outlook блокирует это соединение до тех пор, пока пользователь не решит просмотреть его содержание.
Защита смарт-документов. Смарт-документы должны быть подписаны доверенным центром сертификации до того, как они могут быть загружены и установлены на компьютер пользователя. После чего пользователь, получив запрос, может принять решение об установке смарт-документа.
Изначальная безопасность
Для обеспечения изначальной защиты пакета Office 2003 количество возможностей для атаки было уменьшено путем создания более строгих начальных настроек, включающих новые функции, разработанные в ответ на развивающиеся угрозы, и улучшения интеграции мер безопасности между приложениями пакета Office 2003 и другими программами, такими как службы Microsoft Windows SharePoint™.
Уменьшение возможностей для атак. Для создания защищенной среды в пакете Office 2003 корпорация Microsoft оптимизировала ряд настроек таким образом, что от пользователя не требуется понимание процессов обеспечения безопасности. Например, в Outlook 2003 по умолчанию блокируются ссылки на внешние ресурсы для защиты от некоторых типов угроз и спама. Другим примером защиты пользователей от коварных злоумышленников является привязка стилей (XSL) в Excel 2003 к уровням защиты от макросов таким образом, что они не запускаются автоматически. При этом уровень защиты от макросов по умолчанию установлен как Высокий (High).
Новые функции, включенные по умолчанию, уменьшают риск ряда растущих угроз безопасности и дают пользователям полномочия поддерживать собственную безопасность на высоком уровне. Например, при загрузке элемента ActiveX®, помеченного как небезопасный, программы пакета Office 2003 будут запрашивать разрешение на его использование. Корпорация Microsoft также проделала некоторую работу над выдачей запроса по опасным сценариям обращения к URL, основная цель которой – предложить защиту в случае сокрытия URL-адреса, например, в панели инструментов или настройках меню.
Интеграция с различными приложениями обеспечивает более широкий подход к безопасности. Например, все программы пакета Office 2003 теперь используют кэш Microsoft Internet Explorer для временного размещения файлов, относя все возможные атаки и действия скриптов к зоне Интернет, что предпочтительнее зоны локального компьютера.
Большее количество ключевых начальных настроек пакета Office 2003 Вы найдете в Приложении А.
Безопасность в развертывании
В дополнение к защищенной архитектуре и расширенным функциям безопасности в пакете Office 2003 корпорация Microsoft предоставила своим потребителям возможность использовать инструменты, предписывающие руководства, обучение и обслуживание.
Инструменты
Корпорация Microsoft предоставляет несколько различных методов для создания и развертывания настроек безопасности:
Мастер выборочной установки (Custom Installation Wizard, CIW). Простейшим способом применения настроек в процессе развертывания пакета Office 2003 является использование мастера выборочной установки. Этот мастер является специальным инструментом в составе набора Office Resource Kit, предназначенным для определения связанных с развертыванием параметров, доступных в пакете Office 2003.
Admin.oft. Используя файл Admin.oft (из набора Office Resource Kit), администраторы могут изменять для клиентов начальные настройки безопасности Outlook 2003.
Системная политика. Администраторы могут использовать системную политику для развертывания настроек Office. Системная политика имеет преимущество в том, что ее настройки применяются постоянно, в отличие от настроек развертывания, заданных мастером выборочной установки, которые могут быть изменены пользователями. Два узла системной политики обеспечивают такой же по эффективности контроль над настройками определенного компьютера и пользователя, как и мастер выборочной установки. Настройки хранятся в реестре, и программы пакета Office 2003 проверяют их значения при каждом запуске. В результате заданные администратором политики соблюдаются точно, поскольку пользователи не могут изменить эти настройки.
Лучшее в системных политиках то, что для изменения настроек не нужно конфигурировать каждый отдельный компьютер – при следующем входе пользователя в систему (или периодически – на клиентах Windows 2000) новые настройки автоматически загружаются и применяются.
Групповые политики. Групповые политики Microsoft Windows 2000 и Microsoft Windows Server 2003 похожи на системные политики, но являются более всеохватывающими. Вы можете создавать объекты групповой политики (Group Policy Objects, GPO) для различных задач и при этом имеете больше возможностей для применения их настроек.
Существуют два основных вида объектов групповой политики, которые администратор может создавать для пакета Office 2003: объекты для развертывания и управления собственно программами пакета Office 2003, и объекты для управления настройками (рассмотрение ранее упомянутых функций распространения и публикации ПО Windows 2000/Windows Server 2003 выходит за рамки данного документа).
Настройками можно управлять индивидуально для каждого пользователя. Политики, определяющие, что пользователи могут делать и чего они не могут, применяются к определенным пользователям или группам независимо от их местонахождения, а не только к конкретным компьютерам. Тем не менее, Office включает также и настройки безопасности для компьютера, которые при необходимости могут быть замещены пользовательскими настройками.
Предписывающие руководства
В качестве дальнейшей помощи по улучшению развертывания безопасности корпорация Microsoft предоставляет потребителям следующие руководства и решения по управлению исправлениями:
Набор Office 2003 Editions Resource Kit (EN) разработан для администраторов, ИТ-специалистов и работников служб поддержки, которые занимаются развертыванием и поддержкой пакета Microsoft Office 2003 в своих организациях. Функционально Office Resource Kit представляет собой набор инструментов, разработанных специально для поддержки Microsoft Office System, а также содержит информацию, касающуюся развертывания, безопасности, обмена сообщениями и всемирной поддержки.
Документ Microsoft Office 2003 Security Whitepaper (EN) предоставляет детальное описание новых функций безопасности, а также советы по необходимым настройкам при развертывании с использованием мастера выборочной установки, файла Admin.oft, системных политик и объектов групповой политики.
Ресурс Patch Management Service Offerings (EN) для помощи организациям в безопасном и эффективном развертывании исправлений и пакетов обновлений с использованием:
Корпорация Microsoft и ее партнеры предоставляют новые и улучшенные продукты для обнаружения вторжений, антивирусной защиты, а также услуги по разработке стратегии, архитектуры, политики и внедрению безопасности. Корпорация Microsoft и ее сертифицированные партнеры по обучающим решениям проводят подготовку ИТ-персонала к распознаванию и снижению угроз безопасности по мере их развития. Для получения помощи Вам необходимо:
В соответствии с основными обязательствами по поддержанию актуального и своевременного взаимодействия с потребителями по вопросам безопасности корпорация Microsoft предприняла определенные шаги, чтобы предоставить пользователям пакета Office 2003 необходимые инструменты и ресурсы:
Microsoft Office Update – онлайн-расширение Office, которое помогает Вам поддерживать актуальность Ваших продуктов Office. Обновления программ Office созданы для пакетов Office 2003, Office XP и Office 2000, чтобы обеспечить Вам высочайший уровень безопасности, стабильности и необходимой функциональности.
Microsoft Office 2003 Security Whitepaper предоставляет подробное описание новых функций безопасности, а также рекомендации по настройкам развертывания путем использования мастера выборочной установки, файла Admin.oft, системных политик и объектов групповых политик.