Как настроить автоматическую блокировку макросов в документах Microsoft Office

2022-07-12 2316 комментарии
Microsoft временно откатила функцию, которая автоматически блокирует макросы в файлах Microsoft Office, загруженных из Интернета, поэтому пользователям важно научиться настраивать данный параметр безопасности вручную

В данной статье расскажем, почему нужно блокировать макросы при загрузке файлов из Интернета и как это сделать в Microsoft Office.

Один из распространенных методов распространения угроз (например, Emotet, Dridex, Qbot и RedLine Stealer) заключается в отправке фишинговых электронных писем, содержащих вредоносные документы Word и Excel с макросами, которые устанавливают вредоносные программы на устройство жертвы.

Чтобы предотвратить распространение вредоносного ПО этим методом, в феврале 2022 года Microsoft объявила, что, начиная с июня, Microsoft Office будет автоматически блокировать макросы VBA в документах, загруженных из Интернета.

Многие администраторы Windows, специалисты по цифровой безопасности и конечные пользователи поддержали данное решение, которое, по их мнению, оказывает значительное влияние на безопасность Windows.

Однако, вскоре после запуска функции в июне, Microsoft внезапно и без каких-либо публичных объяснений отметила данное изменение, в результате чего пользователи Windows и Microsoft Office снова подвергаются риску угроз из-за офисных документов с вредоносными макросами.

Хотя этот откат функциональности носит временный характер, пользователи могут вручную включить эту меру защиты на своих устройствах с помощью групповых политик.

Как работает технология «Mark-of-the-Web»

В основе функции блокировки вредоносных макросов в файлах Office лежит технология «Mark-of-the-Web».

Mark-of-the-Web — это специальный альтернативный поток данных NTFS, добавляемый к загруженным из Интернета файлам, который сообщает Windows и другим приложениям, таким как Microsoft Office, что файл был загружен из Интернета и его открытие следует считать потенциально опасным событием.

Когда файл имеет метку «Mark-of-the-Web», и вы пытаетесь его открыть, Windows отображает дополнительные предупреждения, спрашивая пользователя, уверен ли он, что нужно запустить файл.

Данную метку также проверяет Microsoft Office и в случае обнаружения открывает документ в режиме защищенного просмотра и выводит предупреждения о возможном вредоносном содержимом.

Однако, большинство пользователей Windows игнорируют данные предупреждения, что может привести к заражению устройства и компрометации сети.

Как заблокировать макросы в документах Office, скачанных из Интернета

Еще в 2016 году Microsoft добавила групповую политику Блокирование запуска макросов в файлах Microsoft Office, полученных из Интернета (Block macros from running Office files from the Internet). Она автоматически предотвращает запуск макросов в документах, содержащих метку «Mark-of-the-Web».

Чтобы включить эту политику, вы можете скачать и установить групповые политики Microsoft Office и настроить политику Block macros from running Office files from the Internet для каждого приложения, которое вы хотите защитить.

Эти политики находятся в разделе Конфигурация пользователя > Административные шаблоны > [Приложение Office] > Параметры [Приложение Office] > Безопасность > Центр управления безопасностью.

Для автоматической блокировки макросов в файлах Office, загруженных из Интернета, нужно установить значение Включено для политики Блокирование запуска макросов в файлах Microsoft Office, полученных из Интернета.

После включения политики в системном реестр по пути

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\[office version]\[office application]\security

будет создан новый ключ с названием blockcontentexecutionfrominternet и значением 1.

Например, при настройке этой политики для Microsoft Word, Windows создаст следующее значение реестра:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office.0\word\security]

"blockcontentexecutionfrominternet"=dword:00000001

С включенной политикой и отключенным защищенным просмотром, открытие документа с макросами, скачанного из Интернета приведет к отображению предупреждения об отключении макросов в целях безопасности.

Если вы доверяете этому документу и уверены в его безопасности, вы можете удалить «Mark-of-the-Web», зайдя в свойства файла, отметьте Разблокировать в разделе Общие > Осторожно, а затем нажмите кнопку Применить, как показано ниже.

После удаления веб-метки макросы снова могут выполняться при открытии этого конкретного документа.

Вы должны удалять метку только из документов, которые на 100% заслуживают доверия.

С помощью этой политики можно достичь того же уровня защиты, который обеспечивает новая функция Microsoft. Кроме того, если в вашей организации есть проблема с блокировкой всех макросов, то можно настроить Надежные расположения — отдельные директории, где пользователи могут сохранять документы и не блокировать макросы.

Microsoft предоставляет документацию по настройке этой политики и созданию надежных расположений, которую рекомендуется изучить всем администраторам Windows.

© . По материалам Bleeping Computer

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?