Безопасность Office 2010 (часть 3) — контроль информации

Введение

В первой статье этой серии мы описали, как безопасность была повышена в Microsoft Office 2010 двумя основными способами: за счет включения новых технологий для смягчения угроз и за счет добавления новых функций для управления потоком информации. Затем в первой и второй статьях были описаны три новые технологии снижения угроз, которые можно найти в Office 2010. Этими тремя технологиями устранения угроз являются проверка файлов Office (OFV), защищенный просмотр и надежные документы.

В этой третьей и последней статье мы рассмотрим, как несколько функций Office 2010 были улучшены, чтобы предприятия могли лучше контролировать поток конфиденциальной деловой информации. Мы рассмотрим три функции управления информацией:

• Улучшения шифрования и цифровой подписи
• Инспектор документов
• Применение пароля на основе домена

Улучшения криптографии и цифровой подписи

Криптография в Office 2010 усилена и улучшена по сравнению с предыдущими версиями Office. Некоторые из ключевых улучшений в этой области включают следующее:

• Поддержка CryptoAPI Next Generation (CNG), включая поддержку алгоритмов шифрования AES, DES, DESX, 3DES, 3DES_112 и RC2, а также поддержку алгоритмов хеширования MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 и SHA512.
• Поддержка кода проверки подлинности сообщений на основе хэша (HMAC) для защиты целостности файлов Office.
• Использование 128-битного AES в качестве алгоритма шифрования по умолчанию при защите паролем файлов Office OpenXML, таких как файлы.docx и.xlsx.

Примечание:
Чтобы обеспечить обратную совместимость, Office 2010 по-прежнему использует RC4 для шифрования устаревших двоичных файлов Office, таких как файлы.doc и.xls.

Алгоритмы шифрования и хеширования, поддерживаемые Office 2010, также поддерживаются Office 2007 SP2. Это не только обеспечивает совместимость, но и упрощает переход с Office 2007 на Office 2010.

Цифровые подписи также были улучшены в Office 2010 несколькими способами, в том числе:

• Поддержка доверенных отметок времени для обеспечения того, чтобы подписи оставались действительными, даже если срок действия сертификата, использованного для подписи документа, истек.
• Способ цифровой подписи пользователями документов также был упрощен, как описано в следующем разделе ниже.

Примечание:
Документы, подписанные с помощью Office 2010 и Office 2007, нельзя проверить с помощью Office 2003.

Опыт конечного пользователя для улучшения криптографии и цифровой подписи

В то время как криптография работает под капотом, подписание документа является задачей пользователя. Шаги для цифровой подписи документа с помощью Word 2010 в основном такие. Начните с файла.docx, который вы хотите подписать:

Рис. 1. Шаг 1 цифровой подписи документа с помощью Word 2010.

Щелкните элемент управления «Линия подписи» на вкладке «Текст» ленты «Вставка»:

Рис. 2. Шаг 2 цифровой подписи документа с помощью Word 2010.

Введите свое имя и другую информацию в диалоговом окне «Настройка подписи»:

Рис. 3. Шаг 3 цифровой подписи документа с помощью Word 2010.

После того, как вы нажмете OK, ваш документ будет выглядеть так:

Рис. 4. Шаг 4 цифровой подписи документа с помощью Word 2010.

Теперь дважды щелкните строку подписи на рисунке выше. Откроется диалоговое окно «Подписать» и введите свое имя, как указано:

Рис. 5. Шаг 5 цифровой подписи документа с помощью Word 2010.

Наконец, нажмите «Подписать», чтобы подписать документ цифровой подписью. Окончательный результат выглядит примерно так:

Рис. 6. Шаг 6 цифровой подписи документа с помощью Word 2010.

Параметры администратора для настройки криптографических и цифровых подписей

Как администратор вашей организации, вы можете использовать групповую политику для настройки работы шифрования и цифровой подписи для конечных пользователей. Как показано на рис. 7, Word 2010, например, имеет ряд различных параметров политики для шифрования, которые находятся в разделе Конфигурация пользователяАдминистративные шаблоныMicrosoft Word 2010Параметры WordБезопасностьКриптография:

Рисунок 7: Параметры групповой политики для настройки параметров шифрования для Word 2010.

Дополнительные сведения об этих параметрах политики см. по этой ссылке.

Инспектор документов

Инспектор документов был впервые представлен в Office 2007 и был несколько улучшен в Office 2010. Например, Инспектор документов может проверять дополнительные типы скрытого содержимого в документах, чтобы пользователи могли гарантировать отсутствие утечки информации при совместном использовании или публикации деловых документов. онлайн. В эпоху растущей озабоченности по поводу конфиденциальности и ужесточения правил в отношении информации, позволяющей установить личность (PII), эти новые возможности являются долгожданной новостью.

Взаимодействие с конечным пользователем для Document Inspector

Инспектор документов можно использовать, сначала открыв представление Backstage, выбрав «Информация» на ленте «Файл»:

Рис. 8. Представление Backstage показывает, что в этом документе Word есть информация, которую следует удалить.

На приведенном выше рисунке справа от элемента управления «Проверить наличие проблем» указано, что этот файл Word содержит свойства документа, такие как имя автора. Прежде чем опубликовать такой документ, большинство компаний захотят, чтобы пользователь удалил такую личную информацию из документа. Для этого щелкните элемент управления «Проверить наличие проблем»:

Рисунок 9: Шаг 1 использования Инспектора документов для очистки документа Word.

Теперь выберите Inspect Document, чтобы открыть инспектор документов:

Рисунок 10: Шаг 2 использования Инспектора документов для очистки документа Word.

Нажатие кнопки «Проверить» для проверки выбранных типов содержимого в документе указывает на то, что в документе присутствуют несколько типов личной информации:

Рисунок 11: Шаг 3 использования Инспектора документов для очистки документа Word.

Чтобы удалить ненужную информацию, нажмите кнопку «Удалить все». Инспектор документов указывает, что документ был успешно очищен:

Рис. 12. Инспектор документов был использован для успешной очистки документа.

Параметры администратора для настройки инспектора документов

Кажется, существует только один параметр групповой политики для настройки инспектора документов для Word 2010, Excel 2010 и PowerPoint 2010. Редактор групповой политики указывает, что этот параметр политики находится в разделе Конфигурация компьютераMicrosoft Office 2010 (Машина)Разное, как показано на рисунке. ниже:

Рисунок 13: Параметр групповой политики для отключения функции инспектора документов.

Применение пароля на основе домена

Пользователи, которые обмениваются документами и электронными таблицами внутри организаций или между ними, привыкли к необходимости защищать эти файлы паролем, чтобы сохранить конфиденциальность их содержимого. В предыдущих версиях Office 2007 ключ шифрования, используемый для шифрования документа, защищенного паролем, генерировался на основе используемого пароля, поэтому чем длиннее пароль, тем надежнее ключ, и если пользователь хотел указать односимвольный пароль, ничто не мешает им это сделать. Новым в Office 2010 является возможность для администраторов настроить Office таким образом, чтобы пароли, используемые для защищенных документов, соответствовали политикам паролей для домена Active Directory. Другими словами, если пользователь должен использовать 8-значный пароль для входа на свой ПК, ему также потребуется указать 8-значный пароль, когда он попытается защитить паролем свои документы.

Опыт конечного пользователя для принудительного применения паролей на основе домена

В Office 2010 также упрощена работа конечного пользователя с защитой файлов паролем. Например, чтобы защитить паролем документ Word, откройте представление Backstage и выберите элемент управления «Защитить документ», а затем выберите «Зашифровать паролем».

Рисунок 14: Шаг 1 защиты документа паролем с помощью Word 2010.

Введите пароль, который вы хотите использовать, в поле «Зашифровать документ» (необходимо сделать это дважды):

Рисунок 15: Шаг 2 защиты документа паролем с помощью Word 2010.

Изменение цвета в представлении Backstage указывает на то, что теперь для открытия документа требуется пароль:

Рисунок 16: Документ защищен паролем.

Параметры администратора для настройки применения пароля на основе домена

Как администратор вашей организации, вы можете использовать групповую политику, чтобы включить принудительное применение паролей на основе домена для пользователей Office 2010. Ключевой параметр политики для этого называется Set Password Rules Level:

Рисунок 17: Параметр политики для включения принудительного применения пароля на основе домена.

Чтобы включить принудительное применение паролей на основе домена, откройте этот параметр политики, включите его и установите для него значение «Локальная длина, локальная сложность и проверки политик домена», как показано здесь:

Рисунок 18: Параметр политики для включения принудительного применения пароля на основе домена (подробности).

Теперь происходит то, что когда пользователь пытается защитить документ с помощью пароля, Office пытается связаться с контроллером домена, чтобы применить свою политику паролей. Но если контроллер домена недоступен, Office просто возвращается к использованию локальных параметров длины и сложности, указанных с помощью других параметров групповой политики, указанных на предыдущем рисунке.

Вывод

В трех статьях этой серии представлен обзор улучшений безопасности и конфиденциальности Office 2010, способов их использования и администрирования с помощью групповой политики. Дополнительные сведения об улучшениях безопасности и конфиденциальности Office 2010 см. в соответствующих статьях в библиотеке TechNet.