Office 365 ProPlus安全性基准草案(v2103,2021年3月)

Office 365 ProPlus安全性基准草案(v2103,2021年3月)

草案目录列表

├─Documentation
│      MSFT-Office365-ProPlus-2103-DRAFT.PolicyRules
│      Office 365 ProPlus 2103 - DRAFT - March 2021.xlsx
│      Office 365 ProPlus GPO changes - 4909 to 5140.xlsx
│      Security baseline for Office 365 ProPlus (v2103, March 2021) - DRAFT.pdf
│
├─GP Reports
│      MSFT Office 365 ProPlus 2103 - Computer.htm
│      MSFT Office 365 ProPlus 2103 - DDE Block - User.htm
│      MSFT Office 365 ProPlus 2103 - Legacy File Block - User.htm
│      MSFT Office 365 ProPlus 2103 - Legacy JScript Block - Computer.htm
│      MSFT Office 365 ProPlus 2103 - Require Macro Signing - User.htm
│      MSFT Office 365 ProPlus 2103 - User.htm
│
├─GPOs
│  ├─{2E55F1AF-958F-4BC7-AE76-28B14EBF3041}
│  │  │  Backup.xml
│  │  │  gpreport.xml
│  │  │
│  │  └─DomainSysvol
│  │      └─GPO
│  │          ├─Machine
│  │          │      comment.cmtx
│  │          │      registry.pol
│  │          │
│  │          └─User
│  ├─{5F3BCAB1-CEF2-44E6-BA80-63D04AAC7E18}
│  │  │  Backup.xml
│  │  │  gpreport.xml
│  │  │
│  │  └─DomainSysvol
│  │      └─GPO
│  │          ├─Machine
│  │          │  │  comment.cmtx
│  │          │  │  registry.pol
│  │          │  │
│  │          │  ├─Applications
│  │          │  └─microsoft
│  │          │      └─windows nt
│  │          │          ├─Audit
│  │          │          └─SecEdit
│  │          └─User
│  ├─{7651BA51-79E6-4DF2-A981-A72DC67A3EBB}
│  │  │  Backup.xml
│  │  │  gpreport.xml
│  │  │
│  │  └─DomainSysvol
│  │      └─GPO
│  │          ├─Machine
│  │          └─User
│  │                  comment.cmtx
│  │                  registry.pol
│  │
│  ├─{9384A20F-F977-4A27-ABE0-E1C2E12FBC80}
│  │  │  Backup.xml
│  │  │  gpreport.xml
│  │  │
│  │  └─DomainSysvol
│  │      └─GPO
│  │          ├─Machine
│  │          │  ├─Applications
│  │          │  └─microsoft
│  │          │      └─windows nt
│  │          │          ├─Audit
│  │          │          └─SecEdit
│  │          └─User
│  │                  comment.cmtx
│  │                  registry.pol
│  │
│  ├─{A27C7B3D-489B-4CFE-B9A8-9D7820187D8F}
│  │  │  Backup.xml
│  │  │  gpreport.xml
│  │  │
│  │  └─DomainSysvol
│  │      └─GPO
│  │          ├─Machine
│  │          └─User
│  │                  comment.cmtx
│  │                  registry.pol
│  │
│  └─{C71B3A09-9783-475E-9752-7CDD26A26F63}
│      │  Backup.xml
│      │  gpreport.xml
│      │
│      └─DomainSysvol
│          └─GPO
│              ├─Machine
│              └─User
│                      comment.cmtx
│                      registry.pol
│
├─Scripts
│  │  Baseline-ADImport.ps1
│  │  Baseline-LocalInstall.ps1
│  │
│  └─Tools
│          LGPO.txt
│          MapGuidsToGpoNames.ps1
│
└─Templates
        SecGuide.adml
        SecGuide.admx

微软很高兴地宣布, 草案中的Microsoft Office 365 PROPLUS推荐的安全配置基线设置发布,版本2103我们邀请您下载基线草案包(在这则讯息),评价所提出的基线,而向我们提供您的意见和下面的反馈。

该基准基于我们在2019年中期发布的Office先前基准。该基准的重点包括:

  • 限制Office的旧版JScript执行,以帮助保护远程代码执行攻击,同时随着核心服务继续照常运行,从而在保持用户工作效率的同时。
  • 扩展的宏保护要求由受信任的发布者对应用程序加载项进行签名。另外,关闭未签名应用程序的Trust Bar通知加载项,并阻止它们静默禁用而无需通知。
  • 完全阻止动态数据交换(DDE)
  • 为Microsoft Defender Application Guard添加了新策略,可保护用户免受不安全文档的侵害。

另外,请参阅本文结尾处有关安全策略顾问和Office Cloud Policy Services更新的信息。

可下载的基准软件包包括可导入的GPO,将GPO应用于本地策略的脚本,将GPO导入Active Directory组策略的脚本,更新的自定义管理模板(SecGuide.ADMX / L)文件,电子表格形式的所有建议设置和策略分析器规则文件。推荐的设置与2021年2月26日发布的Office 365 ProPlus管理模板版本5140相对应。

基准中包含的GPO

大多数组织可以实施基线的建议设置,而不会出现任何问题。但是,有些设置会导致某些组织的运营问题。我们已将此类设置的相关组细分为他们自己的GPO,以使组织更容易将这些限制作为一组添加或删除。本地策略脚本(Baseline-LocalInstall.ps1)提供命令行选项来控制是否安装了这些GPO。

“ MSFT Office 365 ProPlus 2103” GPO集包括“计算机”和“用户” GPO,这些GPO代表应该无故障的“核心”设置,并且每个潜在的挑战性GPO都将在后面进行描述:

  • “旧版JScript块-计算机”对Internet区域和受限制的站点区域中的网站禁用旧版JScript执行。
  • “旧版文件阻止-用户”是一种用户配置GPO,可防止Office应用程序打开或保存旧文件格式。
  • “需要宏签名-用户”是一个用户配置GPO,它在每个Office应用程序中禁用未签名的宏。
  • “ DDE阻止-用户”是一个用户配置GPO,它阻止使用DDE搜索现有DDE服务器进程或启动新的进程。

限制Office的旧版JScript执行

JScript引擎是Internet Explorer中的遗留组件,已被JScript9取代。某些组织可能依赖于此组件而具有Office应用程序和工作负载,因此,在启用此设置之前,确定是否使用旧版JScript提供关键业务功能很重要。由于核心服务继续照常运行,因此阻止旧版JScript引擎将有助于防止远程执行代码攻击,同时保持用户的工作效率。作为安全性最佳实践,我们建议您禁用Internet区域和“受限制的站点”区域中的网站的旧版JScript执行。我们在基准中启用了一个名为“限制Office的旧版JScript执行”的新自定义设置,并在单独的GPO中提供了该自定义设置“在流程级别限制JScript

注意:使用旧版JScript引擎识别所有应用程序和工作负载可能是一个挑战,通常通过将HTML中的脚本语言属性设置为Jscript.Encode或Jscript.Compact将其用于网页,WebBrowser也可以使用它控件(WebOC)。应用该策略后,Office将不会对Internet区域或受限制的站点区域网站执行旧版JScript。因此,应用此组策略可能会影响需要旧版JScript组件的Office应用程序或加载项中的功能,并且应用程序不会通知用户旧版JScript执行受到限制。现代JScript9将继续对所有区域起作用。

重要说明:如果禁用或不配置此组策略设置,则旧版JScript可以在应用程序级别不受限制地运行。

全面阻止旧文件格式

在我们发布的上一个Office基准中,我们在一个单独的GPO中阻止了旧文件格式,该文件可以用作内聚单元。建议对要阻止的旧文件格式进行任何更改。

完全阻止DDE

Excel已经禁用了动态数据交换(DDE)作为进程间通信方法,现在Word添加了一个新设置“动态数据交换”,我们已将其配置为禁用状态。由于Word中的新增功能,现有的GPO已重命名为“ MSFT Office 365 ProPlus 2103-DDE块-用户”。

宏签名

Access,Excel,PowerPoint,Publisher,Visio和Word的“ VBA宏通知设置”策略已更新,带有一个新选项。为了进一步控制宏,我们现在建议宏也需要由Trusted Publisher签名。使用此新的建议,将阻止运行未由Trusted Publisher数字签名的宏。在将已签名的Office VBA宏项目升级到V3签名中了解更多信息。

注意:启用“阻止宏在Internet上的Office文件中运行”仍然被视为主要基准,并且应由所有注重安全性的组织强制实施。

应用程序防护策略

我们很高兴宣布Office与Microsoft Defender Application Guard集成。为租户启用Application Guard后,集成将有助于防止不受信任的文件访问受信任的资源。向基线添加了针对Application Guard的新策略,以保护用户免受不安全文档的侵害,包括启用“防止用户删除文件上的Application Guard保护”。并禁用“在Application Guard for Office中关闭对不受支持的文件类型的保护”。了解有关Microsoft Defender Application Guard的更多信息。

基线的其他变化

  • 新政策:“控制Office如何处理基于表单的登录提示”我们建议启用和阻止所有提示。这将导致不向用户显示基于表单的登录提示,并且向用户显示一条消息,指示不允许使用登录方法。我们了解此设置可能会遇到一些问题,并且我们很重视您在此基准发布的草稿周期中的反馈。
  • 新政策:我们建议通过禁用“在可能引用本地计算机上不安全位置的VBA库引用上禁用其他安全检查”来强制执行默认设置(注意:此政策描述是双重否定的,我们建议的行为是保留安全检查上)。
  • 新政策:我们建议通过禁用“允许VBA通过来自不受信任的Intranet位置的路径来加载typelib引用”来实施默认设置。有关受2020年4月Office安全更新影响的VBA解决方案的常见问题,请了解更多信息。
  • 新的从属策略:“禁用未签名的应用程序加载项的信任栏通知”策略具有以前的基准中缺少的从属关系。为了更正,我们添加了丢失的策略“要求应用程序加载项由Trusted Publisher签名”。这适用于Excel,PowerPoint,Project,Publisher,Visio和Word。
  • 从基线中删除:“不显示’发布到GAL’按钮”。尽管此设置已经存在很长时间了,但经过进一步研究,我们认为此设置用于确保良好的部署做法,而不是减轻安全方面的顾虑。

从云部署策略,并针对特定的安全策略获得量身定制的建议

通过Office云策略服务将基于用户的策略从云部署到任何Office 365 ProPlus客户端。该 办公室的云策略服务 允许管理员通过Azure的Active Directory安全组定义为Office 365个PROPLUS政策和分配这些政策给用户。定义后,将在用户登录并使用Office 365 ProPlus时自动实施策略。无需加入域或注册MDM,它可以与公司拥有的设备或BYOD一起使用。了解有关Office云策略服务的更多信息。

安全策略顾问 可以帮助您深入了解部署某些安全策略对安全和生产力的影响。安全策略顾问根据您在企业中使用Office的方式为您提供量身定制的建议。例如,在大多数客户环境中,宏通常用于Excel之类的应用程序中,并且仅由特定的用户组使用。安全策略顾问可以帮助您确定可以禁用宏的用户和应用程序组,从而以最小的生产力影响,并可以选择与Office 365高级威胁防护集成  以向您提供有关被攻击者的详细信息。了解有关安全策略顾问的更多信息。

与往常一样,请评论此帖子,让我们知道您的想法。

草案下载地址

①微软官网:Office365-ProPlus-2103-March-DRAFT.zip
②雨苁网盘:https://w.ddosi.workers.dev/

from