Сертификаты доверия (certificates of trust), создаваемые и используемые с помощью технологии Microsoft® Authenticode®, помогают обеспечить безопасную и надежную работу приложений сторонних разработчиков. Список Надежные издатели (Trusted Publishers), называвшийся в предыдущих версиях Office Надежные источники (Trusted Sources), предоставляет средства каталогизации, а также средства, позволяющие проследить путь до источника, являющегося автором приложения. Помещение приложения в список надежных издателей означает, что приложение было тщательно проверено на предмет безопасности его использования. С помощью списка надежных издателей пользователи могут разрешать или запрещать запуск приложений, написанных теми разработчиками, которые могут быть идентифицированы.
Установив уровень безопасности для макросов Низкая (Low), администраторы могут отключить использование списка надежных источников. Тем не менее, рекомендуется не делать этого, а напротив, использовать список надежных источников по умолчанию. Когда оценка содержимого списка надежных источников включена, все исполняемые файлы (надстройки, апплеты, макросы, EXE-файлы и т. д.) автоматически запускаются на компьютере пользователя только в том случае, если соответствующий сертификат доверия был принят и хранится в пользовательском разделе системного реестра.
Механизм работы при использовании списка надежных издателей
Для работы со списком надежных источников необходимо использовать специальную цифровую подпись, которой подписываются исполняемые файлы. Цифровая подпись содержит сертификат, с помощью которого можно определить, из какого источника был получен файл.
Поскольку получение цифровой подписи для приложения требует финансовых и временных затрат, такая подпись в некоторой степени гарантирует безопасность использования приложения. Кроме того, цифровая подпись является свидетельством того, что код был получен именно из того источника, который указан в сертификате подписи, и не был подделан после его подписывания владельцами сертификата.
Владельцы цифровой подписи должны предоставить доказательства своей подлинности центру сертификации, который выпускает сертификат доверия для этой подписи. Таким образом, цифровая подпись подтверждает, что данные или код были получены из заявленного источника и предоставляет средства, позволяющие определить разработчика приложения или владельца данных.
Принятие сертификатов доверия в приложениях Office
Если пользователь пытается открыть документ, содержащий исполняемый файл с цифровой подписью, а уровень безопасности для макросов имеет значение Высокая (High) или Средняя (Medium), пользователю будет предложено добавить источник сертификата в список надежных издателей, если ссылка на сертификат еще не содержится в этом списке. Если источник, указанный в сертификате, определен как надежный, то содержащиеся во всех последующих документах исполняемые файлы, подписанные тем же сертификатом, будут запускаться автоматически при установленном уровне безопасности Высокая, Средняя или Низкая. Тем не менее, если уровень безопасности для макросов имеет значение Очень высокая (Very High), будут запускаться только файлы, установленные в надежных расположениях на локальном компьютере пользователя.
Во время установки Microsoft Office существует возможность отметить все установленные надстройки и шаблоны как доверенные, даже если они не имеют цифровой подписи. Это относится как к файлам, устанавливающимся вместе с Office, так и к файлам, которые уже содержатся в папке шаблонов Office.
Для добавления или удаления сертификатов из списка надежных издателей в приложениях Word, Access, Excel, Outlook, PowerPoint и Visio выполните следующие действия:
- Выберите пункт меню Сервис - Макрос - Безопасность (Tools - Macro - Security).
- Для работы со списком надежных издателей прейдите на вкладку Надежные издатели (Trust Publishers).
- Для того чтобы отметить все установленные на компьютере надстройки и шаблоны как доверенные, установите флажок Доверять всем установленным надстройкам и шаблонам (Trust all installed add-ins and templates).
Добавление надежных издателей
Когда пользователи впервые запускают подписанный исполняемый файл (апплет, программу, макрос и т. д.) из приложения Office, они получают запрос на добавление сертификата этого файла в локальное хранилище надежных издателей. Если пользователи принимают сертификат, файл считается надежным. Запрос на добавление сертификата в список надежных издателей выводится при установленном уровне безопасности для макросов Средняя или Высокая.
Администраторы имеют возможность добавлять сертификаты Microsoft или другие цифровые сертификаты в список доверенных издателей, не требуя никаких дополнительных подтверждений со стороны пользователей. Для этого на странице Specify Office Security Settings мастера Custom Installation Wizard или Custom Maintenance Wizard им необходимо добавить требуемые сертификаты в список Add the following digital certificates to the list of Trusted Publishers.
Если на компьютерах всех пользователей организации должен поддерживаться заранее определенный список сертификатов, администраторы с помощью системных политик могут запретить пользователям добавлять сертификаты в список доверенных издателей. Для того чтобы запретить пользователям производить любые действия с хранилищем доверенных издателей, необходимо в шаблоне политики Office (Office11.adm) включить для каждого приложения политику Microsoft Office 2003 | Security Settings (например, Word: Trust all installed add-ins and templates). В отличие от задания параметров безопасности с помощью программ Custom Installation Wizard или Custom Maintenance Wizard, использование политик обеспечивает принудительное применение административных настроек на компьютере пользователя при входе в сеть (в зависимости от способа, использовавшегося для распространения шаблона политик). Таким образом, любые изменения в приложениях, произведенные пользователем во время предыдущего сеанса работы и попадающие под действия системных политик, не будут сохранены.
Если Microsoft Office 2003 установлен на компьютере под управлением ОС Microsoft Windows® 2000, то пользователи могут редактировать список надежных издателей с помощью пользовательского интерфейса приложения при условии, что список надежных издателей хранится в разделе HKCU системного реестра. Если же список надежных издателей хранится в разделе HKLM, пользователи не могут добавлять записи в список надежных издателей, поскольку параметры компьютера имеют более высокий приоритет, чем пользовательские параметры.
Если Microsoft Office 2003 установлен на компьютере под управлением ОС Microsoft Windows XP или более новой ОС, принятые сертификаты располагаются в хранилище надежных издателей Windows. Также, в этих операционных системах диалоговое окно, отображающее источники сертификатов, выглядит иначе, чем в Windows 2000.
Примечание. Метод распространения политики (такой как применение REG-файла, использование Active Directory® или локальный вход в Windows NT) играет значимую роль в эффективности и своевременности ее применения.
Распространение списка надежных издателей, отличных от Microsoft
Вы можете распространять на компьютеры пользователей список надежных издателей, отличных от Microsoft, путем создания и использования файла сертификата (CER-файла). В состав Office включены три CER-файла, которые содержат информацию о трех сертификатах Microsoft, необходимых для приложений Office.
Инструментарий. CER-файлы Microsoft находятся в папке «%ProgramFiles%\OrkTools\Ork11\Lists and Samples\Office Information», которая создается в процессе установки набора инструментов Office 2003 Editions Resource Kit (ork.exe). Вы можете загрузить файл ork.exe в разделе Downloads на веб-странице Office 2003 Resource Kit.
Хотя приложения Office установлены с сертификатами Microsoft, по умолчанию эти сертификаты не являются доверенными. Для того чтобы сделать эти сертификаты доверенными, при развертывании Office администратор должен указать их на странице Specify Office Security Settings мастера Custom Installation Wizard.
Для приложений, не включенных в состав Microsoft Office, CER-файл можно получить двумя способами:
- Путем экспорта содержимого сертификата из подписанного DLL-файла в CER-файл.
Если Вы не располагаете установленной копией Office, в которой сертификат уже принят и считается доверенным, этот способ является единственным способом получения информации о сертификате. Необходимые действия для выполнения этой процедуры описаны ниже.
- Путем экспорта доверенного сертификата из хранилища надежных издателей в CER-файл.
Если Вы располагаете установленной копией Office, в которой сертификат стороннего производителя программного обеспечения уже принят и помещен в хранилище надежных издателей, Вы можете получить информацию о сертификате в диалоговом окне Безопасность (Security) любого из приложений Office. Необходимые действия для выполнения этой процедуры описаны ниже.
Экспорт содержимого сертификата из подписанного DLL-файла в CER-файл
- Откройте проводник Windows.
- Найдите подписанный DLL–файл, содержащий сертификат, который Вы хотите распространить.
- Щелкните правой кнопкой мыши на DLL-файле.
- В контекстном меню выберите пункт Свойства (Properties).
- В открывшемся диалоговом окне перейдите на вкладку Цифровые подписи (Digital Signatures), выберите сертификат из списка Список подписей (Signatures list) и нажмите кнопку Сведения (Details).
- В диалоговом окне Состав цифровой подписи (Digital Signatures Detail) нажмите кнопку Просмотр сертификата (View certificate).
- В диалоговом окне Сертификат (Certificate) перейдите на вкладку Состав (Details).
- Нажмите кнопку Копировать в файл (Copy to File).
- В открывшемся мастере экспорта сертификатов (Certificate Export Wizard) нажмите кнопку Далее (Next), чтобы перейти на страницу Формат экспортируемого файла (Export File Format).
- Выберите формат Файлы в DER-кодировке X.509 (.CER) (DER encoded binary X.509 (.CER)) и нажмите кнопку Далее (Next).
- На странице Имя файла экспорта (File to Export) укажите имя CER-файла и папку, в которой Вы хотите сохранить его, после чего нажмите кнопку Далее (Next).
- На последней странице мастера нажмите кнопку Готово (Finish) для завершения экспорта.
Экспорт доверенного сертификата из хранилища надежных издателей в CER-файл
- Запустите одно из следующих приложений Microsoft Office: Word, Excel, PowerPoint®, Outlook® или Access. В запущенном приложении откройте меню Сервис (Tools).
- Перейдите в подменю Макрос (Macro) и выберите пункт Безопасность (Security).
- Перейдите на вкладку Надежные издатели (Trusted Publishers) и выберите сертификат, который Вы хотите распространить.
- Нажмите кнопку Просмотреть (View).
- В диалоговом окне Сертификат (Certificate) перейдите на вкладку Состав (Details).
- Нажмите кнопку Копировать в файл (Copy to File).
- В открывшемся мастере экспорта сертификатов (Certificate Export Wizard) нажмите кнопку Далее (Next), чтобы перейти на страницу Формат экспортируемого файла (Export File Format).
- Выберите формат Файлы в DER-кодировке X.509 (.CER) (DER encoded binary X.509 (.CER)) и нажмите кнопку Далее (Next).
- На странице Имя файла экспорта (File to Export) укажите имя CER-файла и папку, в которой Вы хотите сохранить его, после чего нажмите кнопку Далее (Next).
- На последней странице мастера нажмите кнопку Готово (Finish) для завершения экспорта.
Распространение CER-файлов
Для распространения созданных CER-файлов Вы можете использовать:
- Службу каталогов Active Directory (можно использовать в любой момент времени)
- Мастер Custom Installation Wizard (только при первоначальном развертывании Office)
- Мастер Custom Maintenance Wizard (только после завершения развертывания Office)
Для распространения CER-файлов среди пользователей службы каталогов Active Directory существуют различные методы, зависящие от способа развертывания Office в среде Active Directory. Для получения дополнительной информации о службе каталогов Active Directory посетите веб-узел Windows 2000 Advanced Server.
Импорт CER-файла в файл преобразования (*.MST) или в файл настройки сопровождения (*.CMW)
- Запустите мастер Custom Installation Wizard или Custom Maintenance Wizard.
- Откройте нужный MSI-файл и введите имя файла преобразования или файла настройки сопровождения.
- На странице Specify Office Security Settings нажмите кнопку Add.
- В диалоговом окне найдите созданный Вами на предыдущем этапе CER-файл, выберите его и нажмите кнопку Add (или просто дважды щелкните на этом файле мышью).
Вышеописанная процедура выполняет импорт CER-файла в файл преобразования или в файл настройки сопровождения, который будет включен в состав новой или обновленной установки Office. Во время следующей установки Office вся необходимая информация будет размещена в системном реестре. Как только пользователь получит CER-файл сертификата, он сможет запускать все исполняемые файлы, подписанные этим сертификатом; при этом приложения не будут блокироваться, а также не потребуется никаких дополнительных подтверждений со стороны пользователей.