Стандартные средства защиты офисных приложений. Безопасность Microsoft Office: макросы VBA. Парольная защита листа

Министерство образования и науки РФ

Государственное образовательное учреждение

высшего профессионального образования

«Тульский государственный университет»

Политехнический институт

Кафедра «Технологии полиграфического производства и защиты информации»

МЕТОДИЧЕСКИЕ УКАЗАНИЯ К

ЛАБОРАТОРНОЙ РАБОТЕ № 10

ЗАЩИТА ДОКУМЕНТОВ MICROSOFT OFFICE .

ЗАЩИТА ИНФОРМАЦИИ В АРХИВАХ

по дисциплине

ПРОГРАММНО-АППАРАТНАЯ ЗАЩИТА ИНФОРМАЦИИ

Направление подготовки: 090100 Информационная безопасность

Специальность: 090103 Организация и технология защиты информации

Формы обучения: очная

Тула 2010 г.

Методические указания к лабораторной работе № 10 составлены доцентом В.А.Селищевым и обсуждены на заседании кафедры ТППиЗИ факультета транспортных и технологических систем

Методические указания к лабораторной работе № 10 пересмотрены и утверждены на заседании кафедры ТППиЗИ факультета транспортных и технологических систем

протокол № ____ от «____» _____________ 20____г.

Зав. кафедрой _____________________А.К. Талалаев

1. Цель и задачи работы.

Изучить способы защиты документов в пакете MICROSOFT OFFICE и в архивах. Исследовать стойкость данных защит к взлому.

2. Теоретические сведения.

Защита документов Microsoft Office

Программный пакет Microsoft Office является наиболее популярным и часто используемым пакетом при подготовке электронных документов. При работе с приложениями MS Office возникает проблема обеспечения защиты информации, содержащейся в документе, для чего в пакет Microsoft Office были введены различные типы защит.

Существует 3 основных типа защит документов в Microsoft Word .

1. Защита документа от записи исправлений (Сервис -> Установить защиту).

2. Защита документа от изменений (доступ по чтению).

3. Защита на открытие документа (Сервис->Параметры->Сохранение для OFFICE 2000 или Сервис->Параметры->Безопасность для OFFICE XP)

Первые 2 типа защит обладают нулевой криптостойкостью (стойкостью ко взлому).

Защита от записи (доступ только по чтению)

В случае установки данного типа защиты, при открытии документа от пользователя будет запрошен пароль, разрешающий запись документа. Если пароль не будет введен, то будет дано разрешение только на чтение документа.

Этот метод защиты является самым слабым. Пароль защиты записи хранится в документе в открытом виде. Его можно найти любым редактором кода. Этот пароль даже не хэшируется. Защищать документ этим типом защиты крайне не рекомендуется, его криптостойкость равна нулю. Совет если пользоваться этим методом защиты, то пароль лучше задавать на русском языке, в этом случае его несколько труднее обнаружить.

Защита от изменений

В случае установки данного типа защиты, вплоть до ее снятия, все изменения, вносимые пользователем в документ, будут подчеркиваться и отмечаться красным цветом.

Криптостойкость данной защиты не намного отличается от предыдущего типа. Пароль также хранится в документе, отличие только в том, что он хэшируется. Длина хэша 32 бита. Для снятия защиты можно либо заменить хэш на заранее известный, либо вычислить первый подходящий под хэш пароль. Для такой длины хэша подходящих паролей может быть несколько. Существует возможность заменить хэш на хэш-образ, соответствующий пустому паролю.

Защита на открытие документа

В случае установки данного типа защиты, при открытии документа от пользователя будет запрашиваться пароль, не введя который нельзя будет изучить содержимое документа.

Из всех рассмотренных способов защиты в Word , данный метод является самым стойким. При установке пароля, документ шифруется по симметричному алгоритму RC 4. В документе хранится зашифрованный хэш-образ пароля, используемый при проверке. Хэш имеет длину 128 бит и формируется по алгоритму MD 5. Единственный способ нахождения пароля полный перебор. Если длина пароля большая, и пароль выбран в соответствие с требованиями, то взломать данный тип защиты за приемлемое время довольно сложно.

Защита документов Microsoft Excel

При защите документов Excel , отличие заключается только во введении паролей на ячейки/листы/книги.

Защита листа

Защита листа позволяет защитить его элементы, например, ячейки с формулами, запретив доступ к ним всем пользователям, или предоставить доступ отдельным пользователям к определенным диапазонам ячеек. Можно запретить вставку, удаление и форматирование строк и столбцов, изменение содержимого заблокированных ячеек или перемещение курсора на заблокированные или разблокированные ячейки и т.д.

Защита листа реализуется через функцию Сервис->Защита->Защитить лист.

После открытия данного окна, пользователь может разрешить выполнение над элементами листа необходимые действия. Остальные действия по умолчанию запрещены. Для блокирования и разблокирования определенных ячеек необходимо использовать функцию ФОРМАТ ЯЧЕЕК->ЗАЩИТА.

Используя функцию ЗАЩИТА->РАЗРЕШИТЬ ИЗМЕНЕНИЕ ДИАПАЗОНОВ, можно разрешить определенным группам пользователей выполнять операции над ячейками без ввода пароля. Другие пользователи будут получать запрос на ввод пароля и после его ввода смогут редактировать диапазон.

Для реализации данного типа защиты используется хэширование паролей (16 бит). Существует множество паролей, которые подходят под известный хэш-образ. Можно попытаться, например, защитить лист паролем «test» и попытаться открыть его при помощи пароля « zzyw ».

Защита книги

Защитить книгу можно используя функцию СЕРВИС-> ЗАЩИТА->ЗАЩИТИТЬ КНИГУ.

С помощью данной функции, можно запретить добавление и удаление листов, или отображение скрытых листов. Кроме этого, можно запретить изменение размеров или положения окна, настроенного для отображения книги. Действие такой защиты распространяется на всю книгу.

Защита информации в архивах

Парольная защита архивов является одним из наиболее часто используемых защит при передаче конфиденциальных документов по открытому каналу. Большинство современных архиваторов позволяют защитить свое содержание от несанкционированной распаковки. Однако, используемые в различных архиваторах методы различаются по степени защищенности используемых в них алгоритмов шифрования.

Известны различные методы атаки на архивные пароли. Одни методы атакуют собственно алгоритм шифрования, используемый в архиве, другие человеческий фактор.

1. Атака полным перебором самый трудоемкий метод, но позволяет вскрыть все архивы. Атака осуществляется на основании заданной длины пароля и набора символов, которые перебираются. Скорость атаки зависит от алгоритма проверки пароля, а также от количества символов в наборе и длины.

2. Атака по словарю атака на человеческий фактор. Алгоритм нахождения пароля, основанный на предположении, что пароль представляет собой некоторое осмысленное слово, либо выражение, введенное на каком-либо языке. По сравнению с методом прямого перебора, скорость взлома значительно возрастает, поскольку любой язык мира содержит меньше слов, чем все возможное множество символов. Для применения этой атаки необходим словарь.

3. Атака посредством изменения одного байта в программе самый простейший метод взлома. Может использоваться в случаях отсутствия продуманной защиты архивного шифрования.

4. Атака, основанная на правилах. В данном случае осуществляется полный перебор паролей, но состоящих из заданного набора символов. Эти наборы символов указываются экспертом.

5. Атака по открытому тексту . Данный метод позволяет легко вскрыть пароль архива, если известна часть кода открытого текста архива. Например, если архивируется программа, написанная на языке C ++, то однозначно в ней присутствует такой открытый текст, как # include .

Метод атаки по открытому тексту может применять к следующим архиваторам: ARJ (необходимо знать открытую последовательность символов длиной не менее длины пароля), ZIP (надо знать по крайней мере 13 символов открытого текста), RAR 1.5 (надо знать 3-4 байта открытого текста).

Для защиты от взлома, пользователь должен выбирать архиватор со стойким к взлому алгоритмом шифрования, а также использовать длинные пароли (не менее 6 символов).

Алгоритмы шифрования архиваторов

Архиватор ARJ использует очень слабый алгоритм шифрования - систему Вернама. В архивированном тексте присутствует некоторая неслучайная информация - например, таблица Хаффмана и некоторая другая служебная информация. Поэтому, точно зная или предсказав с некоторой вероятностью значение этих служебных переменных, можно с той же вероятностью определить и соответствующие символы пароля. Использование слабых алгоритмов часто приводит к успеху атаки по открытому тексту. В случае архиватора ARJ, если злоумышленнику известен хотя бы один файл из зашифрованного архива, или известен непрерывный участок открытого текста длиной большей либо равной длине пароля, он с легкостью определит пароль архива и извлечет оттуда все остальные файлы. Дешифрование по методу Вернама позволяет достичь скорости перебора в 300000 паролей/сек. на машине класса Pentium/120.

Система шифрования RAR-архивов (версии 1.5x) хотя и является лучшей, чем у ARJ, все же позволяет вести перебор с достаточно высокой скоростью. Криптостойкость при атаке с использованием открытого текста оценивается в 2^40 итераций, причем из открытого текста необходимо иметь только первые три байта.

Система шифрования RAR-архивов версии выше 2.0 является пока лучшей из всех архиваторов. Криптостойкость при отсутствии открытого текста равняется 255^128, что невообразимо велико. Знание открытого текста никак не поможет злоумышленнику при вскрытии пароля (данные архивы не атакуются по открытому тексту). Скорость перебора паролей архиваторов RAR последних версий чрезвычайно мала. Перечисленные свойства делают архиваторы RAR последних версий наиболее предпочтительными для формирования закрытых архивов.

3. Объекты исследования, оборудование, инструмент.

Программное обеспечение : Advanced Office XP Password Recovery , Advanced Archive Password Recovery, архиватор RAR, архиватор ZIP.

4. Подготовка к работе.

4.1. Изучить теоретические сведения (п. 2).

4.2. Включить ПК. Проверить установлены ли архиваторы RAR и ZIP на данном ПК (при необходимости установить).

5. Программа работы.

ЗАМЕЧАНИЕ. Ответы на вопросы, помеченные значком верхнего регистра n , внести в отчет.

5.1. Защита документов в Microsoft Word.

5.1.1. Исследовать все типы защит в Microsoft Word защиту от записи, от исправлений и защиту на открытие документа. Изучить функции данных защит.

5.1.2 Сформировать в Word произвольный документ и поставить на него защиту от записи. В качестве пароля выбрать легко читаемую последовательность символов на английском языке. Сохраните данный документ на диске и выйдите из Word.

5.1.3. Откройте сохраненный файл в редакторе кода либо в режиме View FAR либо N C . Найдите в исходном коде сохраненного документа введенный Вами пароль. Действительно ли он хранится в документе в прямом виде?

5.1.4 Запустить программу аудита паролей и выяснить введенный пароль. Перебирает ли компьютер пароли в этом случае? Почему? Следует отметить, что ограничения, заложенные в демо-версии программы, не позволяют выводить на экран пароли длиной более 4 символов.

5.1.5. Защитить документ от записи исправлений и попытаться выяснить пароль с помощью программы Advanced Office XP Password Recovery . Осуществляется ли перебор в этом случае? Почему?

5.1.6. Поставить защиту на открытие документа (4 символа) и вскрыть его с помощью Advanced Office XP Password Recovery . Осуществляется ли перебор в этом случае? Какова скорость перебора паролей 1 ? Поэкспериментировать с различными наборами символов. Если Вы не обладаете никакими априорными знаниями о пароле, то какой набор символов необходимо использовать? Сколько времени занял перебор паролей из 4 символов (при переборе всех печатаемых символов пароля) 2 ?

5.1.8. Попытаться ввести в качестве пароля некое словарное английское слово, например, «house», и попытаться осуществить атаку по словарю. Как быстро программа сумела подобрать пароль? Насколько безопасно использовать словарные слова в качестве пароля?

5.2. Защита документов в M icrosoft Excel

5.2.1. Исследовать все типы защит в Microsoft Excel (защиту на открытие и запись документа, защиту на лист, книгу, ячейки). Изучить функции данных защит. Какие из них требуют ввода пароля?

5.2.2. Защитить книгу и лист. Попытаться взломать защиту с помощью Advanced Office XP Password Recovery. Осуществляет ли перебор паролей данная программа? Почему? Сделать вывод о хранении различных паролей в Excel . Как надежны эти защиты? (Незарегистрированная версия Advanced Office XP Password Recovery показывает только 3-символьные пароли).

5.2.3. Поставить защиту на лист с паролем « test » и попытаться снять ее с паролем « zzyw ». Что можно сказать об используемой для сокрытия паролей функции хэширования?

5.2.4. Попытаться поступить аналогичным образом с защитой книги. Является ли функция хэширования в данном случае более мощной, чем при защите на лист?

5.3. Защита архивов RAR.

5.3.1. Заархивировать в архиваторе R AR файл « x 41- pno . txt ». В качестве пароля указать «123» (демо-версия позволяет использовать только 3 символа).

5.3.2. Запустить Advanced Archive Password Recovery

5.3.3. Поставить метку «Все печатаемые символы» и измерить скорость перебора паролей. Какова эта скорость 3 4 ?

5.3.4 Заархивировать « x 41- pno . txt » еще раз. В качестве пароля указать английское слово “ house ”. Сколько времени понадобилось программе, чтобы найти данный пароль из 5 букв? Можно ли рекомендовать пользователю защищать архивы, используя словарные слова?

5.3.5. Попытаться осуществить атаку на тот же самый архив по открытому тексту. Доступна ли она?

5.4. Защита архивов ZIP .

5.4.1 Защитить файл « Project 1. cpp » с помощью архиватора ZIP . В качестве пароля указать “12345”.

5.4.2 Запустить Advanced Archive Password Recovery и попытаться найти пароль любым из доступных способов.

5.4.3. Поставить метку «Все печатаемые символы» и измерить скорость извлечения паролей. Какова эта скорость 5 ? Вычислить, сколько понадобится времени, чтобы найти пароль архива, состоящий из 9 символов 6 ? Во сколько раз это время меньше, чем это для RAR архивов?

5.4.4 Попытаться применить атаку к архиватору ZIP по маске и словарную атаку.

5.5. Атака по открытому тексту на архивы ZIP.

5.5.1 Закрыть все файлы из каталога PROG в архиве ZIP . В качестве пароля задать «123456789».

5.5.2. Закрыть файл « Project 1. cpp » в архиве без задания пароля.

5.5.3. Осуществить атаку по открытому тексту на архив с паролем. В качестве открытого текста задать открытый архив с программой « Project . cpp ».

5.5.4 Взлом будет осуществляться в 2 стадии. Сколько паролей взломщик оставил как «похожие на верный пароль» на первой стадии 7 ? Сколько времени занял весь взлом 8 ?

5.5.5. Сравнить время взлома при атаке по открытому тексту со временем атаки «в лоб» для 9 символов, вычисленным в предыдущем задании. Сделать вывод.

5.5.6. Оформить отчет по лабораторной работе.

6. Контрольные вопросы

6.1. Перечислите типы защиты Microsoft Word и Excel. Какая из этих защит самая стойкая к взлому?

6.2. Охарактеризуйте особенности реализации Microsoft всех типов защиты документов Word и Excel.

6.3. Охарактеризуйте, в чем заключался просчет Microsoft при реализации защиты от записи документа Word и защиты от изменений?

6.4. Какой из архивов ARJ, ZIP, RAR 3.0 является наиболее стойким к взлому.

6.5. Охарактеризуйте, что понимают под атакой по открытому тексту.

6.6. Зная, что собой представляет система Вернама, опишите методику атаки по открытому тексту на архив ARJ.

1. Тема и цель лабораторной работы.

2. Краткое изложение теоретической части.

3. Внести в отчет ответы на вопросы, помеченные значком верхнего регистра n (см. п.5)

4. Ответы на вопросы (п.6).

1. Расторгуев, С. П. Основы информационной безопасности: учеб. пособие для вузов / С. П. Расторгуев. М. : ACADEMIA, 2007 . 192 с. : ил. (Высшее профессиональное образование:Информационная безопасность) . Библиогр. в конце кн. ISBN 978-5-7695-3098-2 (в пер.) : 191.00.

2. Куприянов, А.И. Основы защиты информации: учеб.пособие / А.И.Куприянов,А.В.Сахаров,В.А.Шевцов. 2-е изд.,стер. М. : Академия, 2007 . 256с. : ил. (Высшее профессиональное образование:Радиоэлектроника) . Библиогр.в конце кн. ISBN 978-5-7695-4416-3 /в пер./ : 247.00.

3. Хорев, П.Б. Методы и средства защиты информации в компьютерных системах: учеб.пособие для вузов / П.Б.Хорев. М. : Академия, 2005 . 256с. : ил. (Высш.проф.образование) . Библиогр.в конце кн. ISBN 5-7695-1839-1 /в пер./ : 164.59.

4. Девянин, П.Н. Модели безопасности компьютерных систем: учебное пособие для вузов / П.Н.Девянин. М. : Академия, 2005 . 144с. : ил. (Высш.проф.образование) . Библиогр.в конце кн. ISBN 5-7695-2053-1: 90.34.

Понятие защищенной и незащищенной ОС

Криптографический интерфейс приложений операционной системы Windows представляет собой набор констант, типов данных и функций, предназначенных для выполнения операций шифрования, расшифрования, получения и проверки ЭЦП, генерации, хранения и распределения ключей шифрования. Эти услуги для приложений предоставляют провайдеры криптографического обслуживания (Cryptographic Service Provider, CSP) - динамически компонуемые библиотеки (DLL), экспортирующие единый набор объектов, определяемый интерфейсом CryptoAPI.

Защита документов Microsoft Office от несанкционированного доступа основана на их шифровании с помощью вызова соответствующих функций CryptoAPI. При установке защиты пользователю предлагается ввести пароль доступа к защищаемому документу, из которого будет сгенерирован сеансовый ключ шифрования этого документа. При попытке в дальнейшем открыть защищаемый документ потребуется ввод пароля доступа, на основании которого произойдут генерация сеансового ключа и расшифрование документа.

В текстовом процессоре Microsoft Word (версия Microsoft Office ХР и старше) установка защиты от несанкционированного доступа к редактируемому документу выполняется с помощью команды меню Сервис | Параметры | Безопасность (рис. 5.3).

Кнопка «Дополнительно» позволяет установить параметры шифрования документа (рис. 5.4):

Тип шифрования (на основе выбора одного из установленных в системе криптопровайдеров и алгоритма потокового шифрования RC4);

Стойкость (длину) сеансового ключа шифрования в битах;

Необходимость шифрования свойств документа (возможно только при использовании шифрования с помощью CryptoAPI).

При выборе типа шифрования нецелесообразно выбирать варианты «Слабое шифрование (XOR)» и «Совместимое с Office I 97/2000», поскольку в этом случае для защиты документа будет применено ненадежное шифрование, не использующее возможностей CryptoAPI. Существует немало программных средств, позволяющих расшифровывать защищенные таким образом документы путем простого перебора возможных паролей доступа.

При выборе типа шифрования, основанного на использований одного из установленных в системе криптопровайдеров, необходимо установить максимально возможную длину ключа шифрования (обычно 128 бит).

Стойкость шифрования документа зависит также от длины пароля (фактически ключевой фразы для генерации сеансового ключа). Максимальная длина пароля доступа равна 255 знакам. При выборе пароля доступа к документу необходимо руководствоваться теми же соображениями, что и при выборе пароля пользователя для входа в КС: выбирать пароли достаточной длины и сложности, не использовать один пароль для защиты различных документов, не использовать легко угадываемые пароли, совпадающие с логическим именем пользователя или названием документа, и т. п.

Рис. 5.3 Установка защиты на документ MSWord

Рис. 5.4 Выбор параметров шифрования MSWord

Для защиты от несанкционированного внесения изменений в документ Microsoft Word можно установить пароль разрешения записи в него. В этом случае перед открытием документа также, будет предложено ввести пароль доступа. При вводе неправильного пароля или отказе от ввода пароля документ будет открыт только для чтения. Однако эту защиту нельзя считать достаточно надежной, поскольку измененная версия документа может быть сохранена под другим именем, после чего файл с оригинальным документом может быть удален, а вновь созданный файл соответствующим образом переименован. Кроме того, пароль разрешения записи содержится непосредственно в тексте документа и поэтому может быть просто удален из него с помощью специальных программных средств.

Для защиты документов Word от несанкционированного изменения необходимо применять средства разграничения доступа к папкам и файлам, имеющиеся в защищенных версиях операционной системы Windows и файловой системе NTFS.

Рис. 5.5 Создание ЭЦП для документа MSWord

Документ Microsoft Word (версия Microsoft Office XP и старше) может быть снабжен электронной цифровой подписью для обеспечения его аутентичности и целостности. Добавление ЭЦП к файлу документа возможно с помощью кнопки «Цифровые подписи» в окне настроек параметров безопасности (см. рис. 5.3). Для добавления ЭЦП к документу необходимо в окне «Цифровые подписи» (рис. 5.5) выбрать соответствующий сертификат ключа ЭЦП (см. подразд. 4.8). При получении первой подписи для документа следует с помощью кнопки «Добавить» выбрать сертификат для добавляемой к документу ЭЦП (рис. 5.6).

Сертификат открытого ключа ЭЦП может быть получен одним из следующих способов:

В удостоверяющем центре корпоративной КС, использующей, например, инфраструктуру открытых ключей Microsoft Windows

В коммерческом удостоверяющем центре (например, в удостоверяющем центре компании VeriSign, Inc.);

Самостоятельно с помощью программы Selfcert.exe, входящей в стандартную поставку пакета Microsoft Office.

Создание сертификата с помощью программы Selfcert.exe.

Перед добавлением ЭЦП к защищаемому документу сертификат можно просмотреть с помощью кнопки «Просмотр сертификата» (рис. 5.7). При самостоятельном создании сертификата (вместе с соответствующим ему секретным ключом ЭЦП) программа Selfcert.exe запросит имя владельца сертификата (рис. 5.8), а после успешного завершения процедуры создания выдаст соответствующее сообщение (рис. 5.9). Самостоятельно созданный сертификат предназначен только для персонального использования владельцем защищаемого документа.

При попытке сохранения измененного документа, снабженного ЭЦП, Microsoft Word выдаст предупреждение о том, что все ЭЦП будут удалены из документа (рис. 5.10). Если файл с защищенным ЭЦП документом будет изменен с помощью других программных средств (например, с помощью Блокнота Windows), то при последующей попытке открытия документа Microsoft Word выдаст соответствующее сообщение (рис. 5.11) и файл с документом открыт не будет.

Защита от несанкционированного доступа к электронным таблицам Microsoft Excel и презентациям Microsoft PowerPoint в пакете Microsoft Office XP производится полностью аналогично защите документов Microsoft Word.

Установка защиты от несанкционированного доступа к базам данных Microsoft Access выполняется следующим образом.

1. Файл базы данных (с расширением «.mdb») открывается в монопольном режиме (с помощью раскрывающегося списка справа от кнопки «Открыть»).

2. Выполняется команда Сервис | Защита | Задать пароль базы | данных и дважды вводится пароль доступа (рис. 5.12).

3. При последующем открытии базы данных потребуется ввести пароль доступа.

Пароль доступа к базе данных Microsoft Access сохраняется в файле базы данных в открытом виде.

Вместо использования одного пароля доступа к базе данных Microsoft Access можно организовать разграничение доступа к ее объектам (таблицам, формам, запросам и отчетам) на уровне отдельных пользователей.

Вначале удобно воспользоваться услугами Мастера защиты Microsoft Access (команда меню Сервис | Защита | Мастер).

В диалоге с Мастером после открытия файла базы данных в монопольном режиме потребуется указать:

1) необходимость создания нового или изменения существующего файла рабочей группы для базы данных;

2) имя файла и код рабочей группы, а также имя владельца базы данных и название организации;

3) объекты разграничения доступа в базе данных (по умолчанию все таблицы);

4) предопределенные группы пользователей с заранее определенными правами доступа (например, все права или только чтение);

5) разрешенные права доступа для группы Users, в которую 1 будут входить все зарегистрированные пользователи базы данных;

6) имена и пароли (возможно, первоначально пустые) всех регистрируемых Мастером пользователей базы данных;

7) группы, в которые будут входить регистрируемые Мастером пользователи.

После завершения работы Мастера для получения доступа к базе данных пользователю необходимо будет пройти процедуру входа, указав свои логическое имя и пароль доступа к базе данных (рис. 5.13). Для дальнейшего добавления новых пользователей базы данных и установки им прав доступа к ней необходимо использовать соответственно команды меню Сервис | Защита | Пользователи и группы и Сервис | Защита | Разрешения (рис. 5.14 и 5.15). Изменения в списке пользователей и групп, а также в их правах доступа к объектам базы данных могут быть произведены только владельцем базы данных или пользователем, входящим в группу | Admins, в противном случае при попытке выполнения привилегированной операции Microsoft Access выдаст соответствующее сообщение об отказе в доступе (рис. 5.16).

Наиболее простым средством защиты базы данных Microsoft Access от несанкционированного доступа является ее шифрование, при котором она сжимается и становится недоступной для просмотра и редактирования отличными от Microsoft Access программными средствами. Но если в зашифрованной базе данных не используется разграничение доступа на уровне ее пользователей, то любой из них сможет открыть такую базу данных и получить полный доступ ко всем ее объектам. Поэтому шифрование должно применяться вместе с разграничением доступа на уровне пользователей или с применением пароля доступа к базе данных либо в целях экономии памяти при сохранении базы данных на дискете или компакт-диске.

Шифрование базы данных с разграничением доступа к ее объектам на уровне пользователей возможно только для владельца базы данных или члена группы Admins. Для шифрования базы данных Microsoft Access используется команда меню Сервис | Защита | \ Шифровать/расшифровать.

К достоинствам рассмотренных средств защиты от несанкционированного доступа относится то, что они могут применяться в программах пакета Microsoft Office, работающих под управлением! как открытых, так и защищенных версий операционной системы Windows.

Защита от несанкционированного доступа к документам Microsoft Office основана на их шифровании с помощью вызова соответствующих функций CryptoAPI. При установке защиты пользователю предлагается ввести пароль доступа к защищаемому документу, из которого будет сгенерирован сеансовый ключ шифрования этого документа (см. парагр. 3.2 и 3.3). При попытке в дальнейшем открыть защищаемый документ потребуется ввод пароля доступа, на основании которого произойдет генерация сеансового ключа и расшифрование документа.

В текстовом процессоре Microsoft Word (версии Microsoft Office ХР и Microsoft Office 2003) установка защиты от несанкционированного доступа к редактируемому документу выполняется с помощью команды меню Сервис | Параметры | Безопасность (рис. 3.10). Кнопка «Дополнительно» позволяет установить параметры шифрования документа (рис. 3.11):

тип шифрования (на основе выбора одного из установленных в системе криптопровайдеров и алгоритма потокового шифрования RC4);
стойкость (длину) сеансового ключа шифрования в битах;
необходимость шифрования свойств документа (возможно, только при использовании шифрования с помощью CryptoAPI).

При выборе типа шифрования нецелесообразно выбирать варианты «Слабое шифрование (XOR)» и «Совместимое с Office 97/ 2000», поскольку в этом случае для защиты документа будет применено ненадежное шифрование, не использующее возможностей CryptoAPI. Существует немало программных средств, позволяющих расшифровывать защищенные таким образом документы путем простого перебора возможных паролей доступа.

При выборе типа шифрования, основанного на использовании одного из установленных в системе криптопровайдеров, необходимо установить максимально возможную длину ключа шифрования (обычно 128 бит).

Рис. 3.11.

ствоваться теми же соображениями, что и при выборе пароля пользователя для входа в КС (см. парагр. 1.2): выбирать пароли достаточной длины и сложности, не использовать один пароль для защиты различных документов, не использовать легко угадываемые пароли, совпадающие с именем пользователя или названием документа, и т. п.

В приложения пакета Microsoft Office 2007 шифрование документов доступно с помощью команды Кнопка Microsoft Office | Подготовить | Зашифровать документ, после этого потребуется ввести и подтвердить пароль для генерации ключа шифрования (рис. 3.12).

Рис. 3.12.

В приложениях пакетов Microsoft Office 2010 и Microsoft Office 2013 для шифрования документов используются соответственно команды Файл | Сведения | Защитить документ | Зашифровать паролем и Файл | Сведения | Защита документа | Зашифровать с использованием пароля. Изменение алгоритма шифрования, длины ключа и используемого криптопровайдера в версиях Microsoft Office 2007, 2010 и 2013 невозможно. Применяется шифрование по алгоритму AES ключом длиной 128 бит.

Для защиты от несанкционированного внесения изменений в документ Microsoft Word (версия Microsoft Office ХР и старше) он может быть снабжен электронной цифровой подписью для обеспечения его аутентичности и целостности. Добавление ЭЦП к файлу документа (в версиях Office ХР и 2003) возможно с помощью кнопки «Цифровые подписи» в окне настроек параметров безопасности (см. рис. 3.10). Для добавления ЭЦП к документу необходимо в окне «Цифровые подписи» (рис. 3.13) выбрать соответствующий сертификат ключа ЭЦП. При получении первой подписи для документа следует с помощью кнопки «Добавить» выбрать сертификат для добавляемой к документу ЭЦП (рис. 3.14).

В приложениях Microsoft Office 2007 добавление ЭЦП к документу производится с помощью команды Кнопка Microsoft Office | Подготовить | Добавить цифровую подпись. При этом корпорация Microsoft указывает, что полученная таким образом

Рис. 3.13.

Рис. 3.14.

ЭЦП не будет иметь юридической силы из-за различий в законодательстве разных стран. Для выбора сертификата и связанного с ним закрытого ключа автора подписываемого документа предназначена кнопка «Изменить» в окне подписания документа (рис. 3.15). Окно выбора сертификата в этой версии Office имеет тот же вид, что и в предыдущих версиях (см. рис. 3.14).

В приложениях пакетов Microsoft Office 2010 и Microsoft Office 2013 для добавления к документу электронной подписи используются соответственно команды Файл | Сведения | Защитить документ I Добавить цифровую подпись и Файл | Сведения | Защита документа | Добавить цифровую подпись.

Рис. 3.15.

Сертификат открытого ключа ЭЦП может быть получен одним из следующих способов:

в удостоверяющем центре корпоративной КС, использующей, например, инфраструктуру открытых ключей Microsoft Windows;
в коммерческом удостоверяющем центре;
самостоятельно с помощью программы Selfcert.exe («Цифровой сертификат для проектов VBA» из набора программ «Средства Microsoft Office»), входящей в стандартную поставку пакета Microsoft Office.

При самостоятельном создании сертификата (вместе с соответствующим ему закрытым ключом ЭЦП) программа Selfcert.exe запросит имя владельца сертификата (рис. 3.16), а после успешного завершения процедуры создания выдаст соответствующее сообщение. Самостоятельно созданный сертификат является са- моподписанным и предназначен только для персонального использования владельцем защищаемого документа.

При попытке сохранения измененного документа, снабженного ЭЦП, Microsoft Word выдаст предупреждение о том, что все ЭЦП будут удалены из документа. Если файл с защищенным ЭЦП документом будет изменен с помощью других программных средств (например, с помощью Блокнота Windows), то при последующей попытке открытия документа Microsoft Word выдаст соответствующее сообщение, и файл с документом открыт не будет.

Защита от несанкционированного доступа к электронным таблицам Microsoft Excel и к презентациям Microsoft PowerPoint в пакете Microsoft Office производится полностью аналогично защите документов Microsoft Word.

Рис. 3.16.

В версиях операционной системы Windows, начиная с Windows 2000, для дополнительной защиты от несанкционированного доступа к папкам и файлам пользователей могут применяться средства шифрующей файловой системы (Encrypted File System - EFS), которые базируются на криптографическом интерфейсе приложений Windows CryptoAPI. На рис. 3.17 показана структурная схема взаимодействия компонентов операционной системы при использовании EFS. Как видно из схемы, возможности шифрующей файловой системы доступны только на дисках под управлением файловой системы NTFS.

Рис. 3.17.

Шифрующая файловая система разработана с учетом следующих принципов:

автоматическая генерация криптопровайдером пары асимметричных ключей обмена (см. парагр. 3.2) и сертификата открытого ключа при первом обращении пользователя к услугам EFS (шифровании первой папки или файла);
автоматическая генерация случайного сеансового ключа перед шифрованием файла, указанного пользователем;
автоматическое шифрование и расшифрование в прозрачном режиме на уровне файла или папки (гарантируется, что для зашифрованного файла все созданные на его основе временные файлы также будут зашифрованы);
возможность вызова функций шифрования и расшифрования с помощью контекстного меню Проводника Windows и программы командной строки cipher;
доступ к закрытому ключу обмена пользователя со стороны операционной системы возможен только во время сеанса его работы в системе.

Пользователь сообщает шифрующей файловой системе Windows на необходимость шифрования папки или файла с помощью дополнительных атрибутов этих объектов, доступных по команде контекстного меню Свойства | Другие (рис. 3.18). Состояние выключателя «Шифровать содержимое для защиты данных» определяет необходимость в шифровании информации в данном объекте. При изменении этого состояния EFS запраши-

Рис. 3.18. Шифрование с помощью EFS вает пользователя о подтверждении изменения атрибута шифрования, а также распространении этого изменения только на папку или также на все вложенные в нее файлы и папки.

При изменении атрибута шифрования для отдельного файла шифрующая файловая система также запрашивает пользователя о подтверждении этого изменения и предлагает выбрать один из двух вариантов - зашифровать (расшифровать) только один файл или применить новое значение атрибута шифрования ко всей содержащей файл папке. Если выбранный для шифрования файл находится в незашифрованной папке (и наоборот), то после модификации этого файла значение его атрибута шифрования может автоматически измениться. Поэтому рекомендуется изменять значение атрибута шифрования для всей папки.

Перед шифрованием файла EFS обеспечивает генерацию случайного сеансового ключа FEK (File Encryption Key) (см. па- рагр. 3.2), после этого с его помощью зашифровывает файл, экспортирует из криптопровайдера сеансовый ключ в блобе, зашифрованном с помощью открытого ключа обмена пользователя, и записывает этот блоб вместе с самим зашифрованным файлом в качестве одного из его атрибутов.

Перед расшифрованием зашифрованного файла EFS обеспечивает импорт блоба с сеансовым ключом шифрования файла в криптопровайдер, используя при этом закрытый ключ обмена пользователя. После этого выполняется расшифрование файла.

В ОС Windows не поддерживается передача по сети зашифрованных файлов, а в операционной системе Windows 2000 не обеспечивается возможность совместного доступа к зашифрованному файлу со стороны нескольких пользователей. Поэтому для исключения угрозы потери зашифрованных пользователем данных, например, из-за невозможности его входа в систему, администратор должен применять политику обязательного использования агента восстановления данных (Data Recovery Agent - DRA).

Политика восстановления зашифрованных данных определяется в рамках домена. Пара ключей обмена для агента восстановления создается после включения соответствующего параметра политики безопасности, после чего открытый ключ из этой пары реплицируется на все компьютеры домена, а закрытый ключ сохраняется у администратора или на специально выделенном для этого компьютере. При использовании политики восстановления зашифрованных данных сеансовый ключ, на котором был зашифрован файл, экспортируется из CSP еще один раз - теперь в блобе, зашифрованном на открытом ключе агента восстановления, и это блоб записывается в качестве еще одного атрибута зашифрованного файла. При необходимости восстановления зашифрованного файла сеансовый ключ импортируется в криптопровайдер с использованием закрытого ключа агента восстановления.

В операционной системе Windows ХР Professional и более поздних защищенных версиях этой системы реализована поддержка общего доступа к зашифрованным файлам (но не папкам). С помощью кнопки «Подробно» в окне установки дополнительных атрибутов зашифрованного файла (см. рис. 3.18) открывается окно просмотра списка пользователей, которым разрешен доступ к этому файлу (рис. 3.19). Кнопка «Добавить» в этом окне предназначена для добавления пользователей к этому списку (рис. 3.20). Выбор возможен среди пользователей, уже обращавшихся за услугами шифрующей файловой системы (уже имеющих пары асимметричных ключей обмена) или имеющих сертификаты своих открытых ключей для EFS, выданные используемым в КС удостоверяющим центром.

Разрешение доступа к зашифрованным файлам со стороны других пользователей может избавить от необходимости использовать в КС политику агента восстановления.

Рис. 3.19.

Рис. 3.20.

Закрытый ключ пользователя в EFS шифруется случайным системным ключом, который, в свою очередь, зашифровывается с помощью главного ключа. Главный ключ вычисляется на основе хеш-значения пароля пользователя и его идентификатора безопасности SID (см. парагр. 2.1).

К недостаткам реализованного механизма совместного доступа к зашифрованным файлам в Windows ХР Professional можно отнести следующее:

при выборе пользователей, которым разрешен доступ к зашифрованному файлу, нельзя использовать определенные в системе группы;
нет возможности предоставить совместный доступ к зашифрованной папке;
возможна потеря доступа к зашифрованным данным при переустановке операционной системы или назначении пользователю нового пароля администратором.

В Windows 2000, 2003, ХР система EFS не предупреждает пользователя о важности резервного копирования закрытого ключа EFS на носителе (например, флэш-памяти USB), отличном от жесткого диска, содержащего операционную систему. Это серьезная проблема для владельцев автономных компьютеров Windows 2003 и ХР. В домене с интегрированной инфраструктурой открытого ключа (PKI) закрытые EFS-ключи пользователей могут автоматически архивироваться при каждом обращении пользователя за сертификатом EFS. Это возможно благодаря интегрированной службе архивирования и восстановления ключа, поставляемой вместе с удостоверяющим центром Windows 2003 Certification Authority (СА) в составе серверных ОС Windows. Данная проблема менее актуальна в Windows 2000, где для EFS всегда определена учетная запись восстановления данных (в этой версии Windows EFS вообще не функционирует без учетной записи агента восстановления данных).

В автономных системах Windows Vista операционная система автоматически приглашает пользователя сделать резервную копию своего закрытого ключа EFS. Когда пользователь шифрует данные с применением EFS в первый раз и каждый раз, когда пользователь получает новый закрытый ключ EFS, пользователь видит предупреждение, «всплывающее» на панели задач. По щелчку пользователя на этом сообщении появляется новое окно, и пользователь может сделать резервную копию ключа, получить напоминание при следующем входе в систему или не копировать ключ. Если пользователь захочет создать резервную копию ключа, операционная система запускает мастер экспорта сертификатов, с помощью которого можно копировать закрытый ключ в надежно защищенный паролем файл в формате PKCS #12. Этот файл безопаснее сохранить на сменном носителе, а не на жестком диске системы.

Пользователь может в любое время запустить мастера резервного копирования ключа вручную из утилиты «Учетные записи пользователей» панели управления, используя функцию «Управление сертификатами шифрования ваших файлов» и выбрав режим «Создать резервную копию сертификата и ключа». Мастер, который проводит пользователя по этапам резервного копирования ключа, также связан со справочным файлом, содержащим рекомендации по копированию закрытого EFS-ключа пользователя в надежное хранилище.

Резервную копию закрытого ключа EFS можно получить из оснастки «Сертификаты» Microsoft Management Console (ММС) как в ХР, так и предыдущих версиях операционной системы Windows. Для этого достаточно открыть EFS-сертификат из оснастки и выбрать функцию «Копировать в файл» на вкладке «Состав» программы просмотра сертификатов. При этом запускается мастер экспорта сертификатов. На этот раз необходимо выбрать вариант работы мастера «Да, экспортировать закрытый ключ».

Резервное копирование ключа EFS и связанный с ним механизм восстановления, описанный выше, нельзя путать со встроенной функцией восстановления данных EFS. Восстановление данных EFS всегда включено в Windows 2000 EFS; в Vista, Windows 2003 и ХР EFS - это дополнительная опция. Восстановление данных EFS основано на существовании сертификата восстановления EFS и закрытого ключа, принадлежащего административной учетной записи. Функция восстановления данных EFS как таковая также защищает от потерь зашифрованных данных.

Чтобы создать сертификат восстановления и закрытый ключ для автономного компьютера, пользователь с административными правами должен запустить утилиту командной строки Cipher.exe следующим образом:

cipher /г".имя файла

Эта команда создает сертификат и закрытый ключ агента восстановления; затем необходимо сохранить полученный файл на устройстве флэш-памяти USB или другом сменном носителе. Дополнить ранее зашифрованные файлы новой информацией о восстановлении администраторы могут с помощью команды

Чтобы создать сертификат агента восстановления EFS для компьютеров, которые являются членами домена, обычно получают сертификат восстановления от корпоративного удостоверяющего центра, интегрированного со службой Active Directory, а затем требуется распространить информацию о восстановлении по компьютерам-членам домена с использованием параметров EFS объекта групповой политики (см. парагр. 2.2).

Еще одно усовершенствование EFS в Vista - мастер EFS повторной генерации ключей. Благодаря этому мастеру пользователь Windows может получить новый закрытый ключ, чтобы заново зашифровать свои ключи шифрования файлов (FEK) EFS. EFS не шифрует заново все FEK автоматически, когда пользователь получает новый закрытый ключ EFS; вместо этого копия старого закрытого ключа сохраняется в хранилище закрытого ключа пользователя в профиле пользователя, чтобы обеспечить доступ к ранее зашифрованным данным.

Повторная генерация ключей EFS - ценная возможность при переходе пользователей на новый закрытый ключ EFS, так как при этом устраняется зависимость пользователя от старых ключей. Благодаря повторной генерации ключей устраняется необходимость в резервном копировании старого закрытого ключа EFS и сохранении копии для доступа к ранее зашифрованным данным. Это действительно только для EFS-защищенных данных, сохраненных на логических дисках, подключенных к локальному компьютеру пользователя. Мастер повторной генерации ключей не может применяться для смены ключа защищенных EFS файлов, хранимых на резервном носителе. Другими словами, если в данном сценарии пользователь не хочет сохранять старые ключи EFS, необходимо делать резервные копии защищенных EFS файлов после каждой повторной генерации ключей.

Мастер EFS повторной генерации ключей особенно полезен, когда пользователи переходят от закрытого ключа EFS на базе жесткого диска к закрытому ключу EFS на базе смарт-карты. Мастер позволяет пользователям полностью отказаться от хранения закрытого EFS-ключа на жестком диске: с помощью закрытого EFS-ключа на смарт-карте можно защитить все данные - как старые, так и новые. В организациях, для которых информационная безопасность имеет решающее значение, пользователи EFS могут регулярно менять закрытый ключ EFS с помощью мастера EFS повторной генерации ключей. При частой смене ключей снижается вероятность успешной криптоаналитической атаки. Мастер может пригодиться тем пользователям, которые применяют различные ключи для шифрования информации в разных компьютерах, и тем, кто хочет добиться соответствия ключей EFS в различных компьютерных системах.

Запустить EFS повторной генерации ключей можно из утилиты «Учетные записи пользователей» в панели управления. Следует выбрать параметр «Управление сертификатами шифрования ваших файлов», а затем выбрать «Создать новый сертификат». В окне «Обновить ваши ранее зашифрованные файлы» мастера можно выбрать зашифрованные данные, которые необходимо обновить с новым ключом. Конечно, повторная генерация ключа EFS - не очевидное действие, регулярного выполнения которого нельзя требовать от обычного пользователя. Но в настоящее время компания Microsoft не обеспечивает возможности централизованной или автоматической регенерации ключа через регулярные промежутки времени.

В Windows Vista появился новый набор параметров конфигурации EFS, управляющих новыми функциями EFS, которые отсутствовали в прошлых редакциях шифрующей файловой системы. Основные параметры: возможность шифровать файл подкачки и управлять очисткой кэша ключей шифрования EFS.

В предыдущих редакциях EFS при открытии (т. е. расшифровании) зашифрованного файла и записи его на диск открытое содержимое исходного файла сохранялось в файле подкачки. Кроме того, в прошлых редакциях кэш ключей шифрования EFS очищался только по окончании сеанса работы пользователя; а теперь кэш можно очистить, когда пользователь блокирует свою рабочую станцию или по истечении определенного промежутка времени.

Новые параметры настройки EFS обеспечивают управление EFS, конфигурацией безопасности, параметрами сертификата и закрытого ключа, а также кэшированием. В домене Windows эти параметры можно применить через групповую политику, чтобы управлять поведением EFS на рабочих станциях пользователей. Доступ к параметрам EFS можно получить из свойств Конфигурация компьютераКонфигурация WindowsIIapaMeTpbi безопас- ностиПолитики открытого ключаФайловая система EFS.

Благодаря новым параметрам конфигурации администраторы могут легко активизировать и отменять использование EFS на компьютерах Windows в домене и централизованно настраивать важнейшие параметры EFS. Чтобы отказаться от использования EFS, необходимо просто выбрать вариант «Отключить» в соответствующем объекте групповой политики. Администраторы могут потребовать обязательного применения смарт-карт для EFS, установив флажок «Требовать смарт-карты для EFS», разрешить использование сертификатов EFS с собственной подписью, установив флажок «Разрешать генерацию самоподписанных сертификатов EFS, когда центр сертификации недоступен», и задать длину закрытых ключей EFS для криптосистемы RSA, применяемых для самоподписанных сертификатов, из раскрывающегося списка «Длина ключа для самоподписанных сертификатов». Длина ключа для EFS-сертификатов, генерируемых центром сертификации Windows, задается в соответствующем шаблоне сертификата Active Directory.

В Windows Vista появились два важных изменения, которые сразу не бросаются в глаза в графическом интерфейсе Windows: поддержка смарт-карт и возможность более эффективного использования EFS для файлов, расположенных на удаленных компьютерах. Компания Microsoft, наконец, обеспечила хранение закрытого ключа EFS в смарт-картах. Хранение закрытых ключей в смарт-картах - самый безопасный способ. В предыдущих версиях Windows закрытый ключ EFS можно было хранить только в профиле пользователя на жестком диске. Если каждая система, в которую входит пользователь, оснащена устройством чтения смарт-карт, то смарт-карты - самый простой способ реализации перемещаемых ключей EFS.

Также оптимизированы операции шифрования при сохранении закрытого ключа на смарт-карте. В прошлых версиях EFS использование смарт-карты замедляло бы доступ пользователей к зашифрованным файлам, если бы при каждом обращении к зашифрованному файлу требовалось прибегать к закрытому ключу на смарт-карте. По этой причине специалисты Microsoft разработали режим ускоренной работы с закрытым ключом EFS на смарт-карте. Когда пользователь впервые задействует закрытый ключ на смарт-карте для доступа к зашифрованному файлу, EFS извлекает программный закрытый ключ EFS из закрытого ключа на смарт-карте и кэширует его в контексте безопасности службы Local Security Authority (LSA). В сущности, система сохраняет его в защищенной области памяти. Затем EFS использует программный закрытый ключ для шифрования и расшифрования до конца сеанса пользователя.

Еще одно важное изменение - поддержка локального EFS-шифрования и расшифрования файлов, размещенных на удаленных компьютерах, например файл-серверах. В прошлых версиях EFS, когда пользователи обращались к зашифрованным файлам на файл-сервере, файл расшифровывался на файл-сервере и пересылался на рабочую станцию пользователя в открытом виде. В Vista внесены изменения в протокол Server Message Block (SMB) - стандартный протокол для совместного доступа к файлам в Windows, что позволяет пересылать метаданные EFS между файл-сервером и рабочей станцией пользователя. В результате защищенный EFS файл остается зашифрованным на всем пути движения к клиенту.

Эти изменения SMB являются частью нового протокола SMB 2.0, который входит в основу исходного текста Vista и Server 2008. Аналогичная возможность в Windows 2003 реализована в наборе расширений WWW Distributed Authoring and Versioning (WebDAV). Однако эти расширения полезны лишь в том случае, если файл-сервер связан с общим ресурсом Web-cep- вера Microsoft IIS и если пользователь обращается к общим файлам через протокол HTTP.

В качестве дополнительной услуги, начиняя с Windows ХР Professional, поддерживается выделение имен зашифрованных файлов и папок зеленым цветом, хотя это может рассматриваться и как дополнительное указание на объекты, содержащие конфиденциальную информацию.

Начиная с версии Windows ХР Professional возможно использование средств шифрующей файловой системы при работе с кэшированными на клиентском компьютере автономными файлами из общих для пользователей сети папок. Благодаря кэшированию пользователи могут продолжать просматривать и редактировать файлы из общих папок в ситуации, когда их мобильный компьютер отключен от сети. При последующем подключении к серверу сети операционная система синхронизирует произведенные изменения в файлах с их более ранними версиями, размещенными в общих папках. Возможность автоматического шифрования и расшифрования автономных файлов повышает их защищенность от несанкционированного доступа при работе с ними на мобильных компьютерах (например, во время командировок пользователей).

В состав операционных систем Windows 7 и старше помимо шифрующей файловой системы EFS включена служба Bit Locker, позволяющая осуществлять полное шифрование жесткого диска компьютера и съемных флэш-дисков.

Федеральное агентство по образованию Тверской государственный технический университет В.Б. ГУХМАН, Е.И. ТЮРИНА ОСНОВЫ ЗАЩИТЫ ДАННЫХ В MICROSOFT OFFICE Учебное пособие Издание первое Тверь 2005 2 ББК32.81-018.2*32.979Я7 УДК 681.3.06(075.8) Гухман В.Б., Тюрина Е.И. Основы защиты данных в Microsoft Office: Уч. пособие. 1-е изд. Тверь: ТГТУ, 2005. 100 с. Рассмотрены стратегии безопасности данных в Windows и MS Office, средства защиты данных в Word, Excel и Access от несанкционированного доступа и чтения, несанкционированного редактирования, копирования и удаления, ошибок ввода данных, компьютерных вирусов, а также возмож- ности восстановления утерянных данных. Пособие разработано в соответствии с идеологией и требованиями го- сударственных образовательных стандартов к содержанию и уровню под- готовки дипломированных специалистов инженерно-технического и соци- ально-экономического профилей. Рекомендуется для студентов всех спе- циальностей и для практиков – «конечных пользователей», сталкивающих- ся с необходимостью сбора, обработки и анализа данных на компьютерах. Рецензенты: зав. отделом ЗАО НИИ ЦПС, кандидат технических наук, старший научный сотрудник В. Кравчук; доцент кафедры «Информатика и методы оптимизации» ТвГУ, кандидат технических наук Н.Е. Демидов. Владимир Борисович Гухман Евгения Ивановна Тюрина Основы защиты данных в Microsoft Office Учебное пособие Издание первое Редактор И.В. Шункова Корректор В.А. Румянцева Технический редактор Г.В. Комарова Подписано в печать 8.10.05 Формат 60х84/16 Бумага писчая Физ. печ. л. 6,25 Усл. печ. л 5,81 Уч.-изд. л. 5,44 Тираж 150 экз. Заказ № 172 Цена 62 руб. 60 коп. Издательство Тверского государственного технического университета 170026, г. Тверь, наб. Афанасия Никитина, 22 ISBN 5-7995-0298-1 © Тверской государственный технический университет, 2005 3 ПРЕДИСЛОВИЕ В настоящее время пособий по информационному терроризму (вклю- чая вирусные и прочие атаки на данные) и хакерству («хакингу») очень много, но мало книг, пособий по защите данных от информационных тер- рористов и хакеров. Может, таково веление времени?! Как бы то ни было, но данное пособие направлено на ликвидацию упомянутого изъяна. Цен- ность компьютера не в его железе-«харде» (hardware) и программах- «софте» (software), а в данных (data), созданных пользователями. Порой «добыча» данных сопряжена с преодолением существенных трудностей, достойных боевиков и триллеров. Поэтому данные должны быть в безо- пасности как и самое дорогое, что у нас есть. Во введении даются основные понятия, используемые в пособии, ос- новы защиты данных, а также юридические обоснования необходимости и законности такой защиты. Первая глава пособия рассказывает о том, какие стратегии безопасно- сти данных предусмотрены в Windows и MS Office, какие бывают права и разрешения на доступ к информации, кто и как предоставляет эти права и разрешения различным группам пользователей. Во второй главе говорится о защите данных от несанкционированного доступа и чтения. Это могут быть скрытие файлов и папок, разрешение и отказ в доступе к ним, парольная и криптографическая защита документов, а также скрытие отдельных фрагментов документов. В третьей главе говорится о защите данных от несанкционированного редактирования. Рассматриваются средства защиты в файле Word, книге Excel, базе данных Access, а также управление доступом при работе с об- щим документом или базой данных в локальных сетях. Четвертая глава пособия рассказывает о том, как защититься от оши- бок ввода данных. Для обнаружения ошибок рассматривается способ ус- ловного форматирования данных, для предупреждения ошибок – контроль данных с помощью наложения условий на значение. В пятой главе речь идет о защите данных от несанкционированного копирования и удаления, а также о возможности восстановления утерян- ных данных. Рассматриваются физические и логические причины порчи жесткого диска, а также различные способы восстановления утраченной информации. И, наконец, в шестой главе говорится о защите от бича современного компьютера – компьютерных вирусов. Рассматриваются несколько клас- сификаций компьютерных вирусов, а также средства для диагностики и лечения компьютера от вирусов. В двух приложениях рассмотрены проблемы, имеющие отношение (хотя и косвенное) к защите данных в MS Office, а именно: 4 – защита операционной системы и ее основных настроек; – безопасность в Интернете. Компьютерные технологии описаны применительно к среде MS Office XP (2002), но практически без изменений могут использоваться в среде MS Office 2003 и определенной мере в более ранних версиях пакета. Пособие предназначено в первую очередь для студентов и конечных пользователей – непрофессионалов в программировании (так называемых «чайников»). Поэтому мы не даем средств защиты в подробностях, нано- сящих ущерб компьютерным системам, т.к. конечные пользователи, входя в систему, могут преследовать разные цели. В частности, не рассмотрены аппаратные средства защиты, поддерживаемые в Windows и MS Office, технологии безопасного управления знаниями, обслуживание документов. Впрочем, профессионалам данное пособие тоже не бесполезно. Надеемся, что ознакомление с ним поможет сохранить ваши данные в целости и со- хранности независимо от их предметного содержания – научно- технического, политико-экономического, социологического, медицинско- го, литературно-художественного и т.д. Авторы признательны уважаемым рецензентам за конструктивную критику, обсуждения и советы, способствовавшие улучшению качества настоящего издания. Все замечания и предложения будут с благодарностью приняты авто- рами по адресу: 170026, г. Тверь, наб. Афанасия Никитина, 22, Тверской государственный технический университет (ТГТУ), кафедра информатики и прикладной математики (ИПМ). 5 ВВЕДЕНИЕ Безопасность, сохранность, защита данных Бди! (Козьма Прутков) Одно из законодательно закрепленных прав человека – право на дос- туп к объективной информации, которая должна быть доступна гражда- нам, если ее открытость не угрожает безопасности личности, общества, го- сударства. Но в той же мере, в какой информация доступна всем, она дос- тупна и для угроз со стороны «заинтересованных лиц», в задачу которых входит злонамеренное использование сведений либо их фальсификация, уничтожение, порча. Цели при этом могут быть самые разные, а результат один – нарушение упомянутого права законопослушных граждан. Поэтому проблема безопасности информации всегда актуальна. Под информацией здесь и далее будем подразумевать ее высшую, наиболее ценную форму – знание, заключенное в данных - знаковой форме представления информации. Знание нематериально, оно принадлежит на- шему сознанию (со-знанию) в идеальной форме. В свою очередь, данные вполне материальны, ибо передаются и хранятся в материально- энергетической форме знаков и сигналов, пригодных для обработки авто- матическими средствами при возможном участии человека, его органов чувств. Будучи востребованной через данные, информация обладает поло- жительной ценностью для потребителя, в отличие от дезинформации, не- сущей отрицательную ценность (т.е. вред), и от информационного шума, имеющего нулевую ценность (ни вреда, ни пользы). В компьютер вводятся данные, представляющие интерес не только для сиюминутного, но и для повторного, многократного использования. Сле- довательно, данные должны надежно храниться, и все пользователи, начи- ная с системного администратора и кончая операторами ввода данных, должны обеспечить их сохранность вне зависимости от категории доступа (общедоступная, с ограниченным доступом). Иначе данные могут быть случайно утеряны из-за элементарной халатности или легко уничтожены по злому умыслу. Проблема сохранности данных имеет и этический смысл, связанный с уважением к собственному труду и труду своих кол- лег, которые помогали собирать данные и вводить их в компьютер. Термины «безопасность» и «сохранность» не тождественны. Безо- пасность данных с позиций их защиты часто ассоциируется с защищенно- стью от несанкционированного доступа, а сохранность данных – с их за- щищенностью от искажений и случайного удаления1. Но с позиций атаки на данные такое разграничение представляется весьма условным. Поэтому 1 См., например, [Першиков В.И., Савинков В.М. Толковый словарь по информатике. М.: Финансы и статистика, 1995. С. 37, 384]. 6 далее будем пользоваться общим термином «безопасность данных», под- разумевая, что он включает в себя как меры защиты от несанкционирован- ного доступа, так и меры обеспечения сохранности данных. Данные, добытые с трудом, не менее трудно уберечь от непреднаме- ренных и преднамеренных угроз, ибо абсолютная безопасность данных недостижима, а поэтому не только не обеспечивается, но даже и не полага- ется ни одним информационным процессом. Дело в том, что помехи (угро- зы), создаваемые данным со стороны среды их распространения (в про- странстве – при передаче – или во времени – при хранении), физически не существуют только при абсолютном нуле температур, когда прекращаются все формы теплового движения молекул, вещества и, соответственно, – пользователей, хакеров и кракеров2. Но абсолютный нуль (0°К=-273,16°С), согласно третьему закону термодинамики Вальтера Нернста, недостижим. Следовательно, помехи существуют в любом канале связи (при передаче и хранении). Более того, полагаем, что данная закономерность оправдана с любой точки зрения – научной и практической. Если бы информация не рассеивалась, мир утонул бы в информационном мусоре так, как он тонет сейчас в физическом и химическом мусоре. Кроме того, умеренное рассеи- вание информации полезно для ее созидания, как полезно для организма умеренное разрушение усвоенных органических веществ, освобождающее место для поддержания активного вещественно-энергетического метабо- лизма. Созидание и рассеивание информации как объективно взаимосвя- занные процессы в совокупности являются одним из следствий закона со- хранения информации. Впрочем, данный вопрос, имеющий философское содержание, выходит за рамки нашей приземленной проблемы3. Под «защитой данных» будем подразумевать организационные, про- граммные и технические методы и средства, направленные на обеспечение безопасности данных. Согласно статье 20 закона РФ «Об информации, информатизации и защите информации»4 целями защиты информации являются: – предотвращение утечки, хищения, утраты, искажения, подделки инфор- мации; – предотвращение угроз безопасности личности, общества, государства; – предотвращение несанкционированных действий по уничтожению, мо- дификации, искажению, копированию, блокированию информации; 2 Вопреки расхожему мнению, хакер – не взломщик, а «программист-фанатик, зани- мающийся доскональным изучением вычислительных систем с целью расширения их возможностей» [Першиков В.И., Савинков В.М. Толковый словарь по информатике. М., 1995. С. 443]. Компьютерный взломщик – кракер (крэкер) (от cracker (англ.) – дро- билка, щипцы для колки орехов). 3 См. [Гухман В.Б. Философия информационного подхода. Тверь: ТГТУ, 2000]. 4 Закон РФ №24-Ф3 от 20.02.95 (в редакции Федерального закона от 10.01.2003 №15-3)/ www.medialaw.ru/russian_laws. 7 – предотвращение других форм незаконного вмешательства в информаци- онные ресурсы и информационные системы, обеспечение правового режи- ма документированной информации как объекта собственности; – защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информацион- ных системах; – сохранение государственной тайны, конфиденциальности документиро- ванной информации в соответствии с законодательством; – обеспечение прав субъектов в информационных процессах и при разра- ботке, производстве и применении информационных систем, технологий и средств их обеспечения. Обратим внимание, что упомянутые в законе утрата, искажение и подделка информации (вернее, данных), могут осуществляться не только на этапе их хранения, но и при вводе в компьютер и даже в процессе теку- щей работы, не связанной напрямую именно с этими данными, но исполь- зующей общее с ними дисковое пространство. При этом искажение может быть не только злонамеренным, но и случайным, ошибочным. От ошибок ввода никто не застрахован, и для ошибочного результата обработки дан- ных, в частности, принятия ошибочного решения безразлична причина ошибки – то ли это был некорректный ввод данных, то ли их небрежное хранение, то ли инфицирование компьютерным вирусом. Утрата данных тоже может быть непреднамеренной, случайной, но в случаях информаци- онного террора это будет уже не утрата, а злонамеренное уничтожение. Поэтому важными задачами защиты данных являются защита от оши- бок ввода и от компьютерных вирусов. Даже если информация, заключен- ная в данных, несет благо всему человечеству, будьте уверены, что найдет- ся некто, желающий превратить их в «кучу мусора, как только у него поя- вится такая возможность» [Тайли, 1997. С. 20]. Деятельность анонимных осквернителей информации является «цифровым эквивалентом оскверне- ния могил и разрисовывания общественных зданий» [Там же.] и должна пресекаться с той же непримиримостью и последовательностью, как и дея- тельность злостных нарушителей общественного порядка и морали. Наконец, при утере данных надо дать шанс пользователю восстано- вить их, насколько возможно. Ведь для живого организма потеря сознания, кома, клиническая смерть – еще не физическая смерть. Иными словами, к данным должны применяться защитные процедуры профилактики, лече- ния и «воскрешения». Сейчас только ленивый не обсуждает проблему безопасности инфор- мации в компьютерах и компьютерных сетях. Поэтому нереально охватить все многообразные аспекты данной проблемы. Наша задача – системати- зировать рекомендованные средства защиты данных в Windows и MS Of- fice и, по возможности, в деталях рассмотреть те из них, которые предна- значены для конечного пользователя офисных приложений. 8 1. СТРАТЕГИЯ БЕЗОПАСНОСТИ ДАННЫХ Стратегия безопасности в Windows Современные версии операционной системы (ОС) Windows [-2000 (Millennium), -2002 (XP), -2003] базируются на сетевой ОС Windows NT, в которую были заложены. До сих пор остались в качестве основных сле- дующие средства обеспечения безопасности: учетные записи, группы, пра- ва, разрешения и аудит безопасности. Управление перечисленными средствами обычно осуществляет систем- ный администратор (сисадмин), если компьютеры конечных пользователей являются рабочими станциями локальной сети. При использовании компью- тера в автономном режиме (вне сети) средства обеспечения безопасности на- ходятся в распоряжении владельца, и он вправе воспользоваться ими, если его компьютер доступен нескольким пользователям. Поэтому не исключены угрозы для данных как самого владельца, так и всех пользователей. Естест- венно, установки параметров безопасности согласовываются между всеми зарегистрированными пользователями (группами пользователей), дабы не ущемлять прав и функциональных обязанностей каждого из них. Учетная запись идентифицирует пользователя (группу) по систем- ному имени и паролю, которые должны быть правильно набраны при вхо- де в компьютер, иначе доступ будет невозможен. Windows не требует обя- зательной установки паролей для учетных записей пользователей. Однако по соображениям безопасности настоятельно рекомендуется назначать па- роли для всех учетных записей. При входе в рабочую станцию сети может быть добавлен третий (сетевой) идентификатор – имя сетевого домена. Домен – группа компьютеров с общими администрацией, базой данных ка- талога и политикой безопасности). Пользователи создаются либо операционной системой (по умолча- нию), либо административно – сисадмином или владельцем компьютера. Пользователи по умолчанию – «Система», «Создатель-владелец»5. Группа пользователей удобнее для администрирования, чем индиви- дуальный пользователь. Назначая права группам, а не отдельным пользо- вателям, можно упростить управление учетными записями пользователей. Так, если всем пользователям группы требуются одинаковые права, можно один раз назначить набор прав группе, вместо того чтобы назначать один и тот же набор прав каждому пользователю в отдельности. Пользователю, входящему в систему с учетной записью члена группы, обеспечивается ав- томатическое наследование прав, назначенных этой группе. Права, назна- ченные группе, применяются ко всем членам группы до тех пор, пока они в ней состоят. Права пользователей, являющихся членами нескольких 5 Этих пользователей можно считать и группами, как это делается в Центре справки и поддержки Windows ХР. 9 групп, суммируются. Это означает, что такой пользователь имеет более одного набора прав. Чтобы лишить пользователя прав, администратору достаточно удалить его из группы. При этом пользователь лишается прав, назначенных группе. Группы, как и пользователи, создаются операционной системой (по умолчанию – встроенные группы) либо администратором и другими поль- зователями (при необходимости). Встроенными группами локальной сети могут быть «Администраторы», «Опытные пользователи», «Пользовате- ли», «Операторы архива», «Репликатор», «Гости», «Все» и специальные группы. Встроенных групп автономного компьютера меньше: «Админист- раторы», «Пользователи», «Все». Права определяют круг полномочий (функциональных возможностей и обязанностей), которые операционная система или сисадмин делегиру- ют пользователям и группам. Только системный администратор обладает всей номенклатурой прав. Это же может себе позволить владелец авто- номного компьютера, наделенный правами сисадмина. Остальным пользо- вателям и группам предоставляются ограниченные наборы прав. Права ус- танавливаются автоматически для встроенных групп и пользователей, соз- данных ОС, или административно для остальных групп и пользователей. Список прав каждого пользователя и каждой группы может быть админи- стративно изменен, даже если речь идет о встроенных группах и пользова- телях. Существуют два типа прав пользователей: а) привилегии: право на архивацию файлов и папок, на загрузку и вы- грузку драйверов устройств, управление аудитом и журналом безопасно- сти, изменение параметров среды оборудования и др. – всего около трех десятков привилегий; б) права на вход в систему: право локального входа в систему, входа в качестве службы, на доступ к компьютеру из сети и др. – всего около де- сятка прав. Права применяются к учетным записям пользователей и групп, в от- личие от разрешений, применяемых к компьютерным ресурсам (объектам), которые эксплуатируются пользователями и группами. Разрешения на доступ к ресурсам указывают, что можно, а чего нель- зя делать с ресурсами, такими как диски, папки, файлы, периферийные устройства, службы и др. Так, основными разрешениями для работы с дис- ками, папками и файлами являются: полный доступ, изменение (значит, разрешить изменение атрибутов и редактирование данных), чтение и вы- полнение, чтение, запись (разрешить редактирование данных). Для дисков и папок дополнительное разрешение – список содержимого папки (значит, разрешить просмотр папки), Особые разрешения – удаление, удаление подпапок и файлов, чтение и смена разрешений, смена владельца и др. 10 Всего в файловой системе NTFS (NT File System) предусмотрено пол- тора десятка разрешений6. Для работы с принтером существуют разреше- ния на печать, управление принтером и документами (приостановка и во- зобновление работы принтера, изменение параметров очереди печати, пре- доставление принтера в совместное использование, изменение свойств пе- чати, приостановка, возобновление, перезапуск, отмена и изменение по- рядка печати документов, отправленных другими пользователями). Разрешения устанавливаются обычно администратором и владельцами ресурсов с обязательным указанием, кому из пользователей и групп они выданы. Если ресурс коллективный (общего пользования), то на него уста- навливаются соответствующие разрешения, допускающие всех к пользо- ванию этим ресурсом (например, к печати на сетевом принтере). Ресурсы ограниченного пользования наделяются разрешениями для ограниченного контингента пользователей и групп и запретами для остальных. Так, сис- темный диск большинству пользователей открыт только для просмотра, чтения и копирования имеющихся дисковых ресурсов, но не для их редак- тирования и создания новых папок и файлов. Разрешения на ресурс, выданные группе, могут наследоваться всеми пользователями данной группы (по усмотрению владельца ресурса), если только конкретным пользователям некоторые разрешения не урезаны (за- прещены). Разрешения, выданные на «родительский» ресурс (объект), на- пример диск или папку, по умолчанию наследуются «дочерними» объек- тами (вложенными папками, файлами). Но так же как и для групп, владе- лец того или иного объекта может «оспорить» разрешения на наследование и часть из них запретить (для папок). Поскольку в спецификациях (установках) разрешений на ресурс при- сутствуют имена пользователей и групп, наделенных правами, возможны конфликты между правами и разрешениями, разрешениями и запретами (флажки Разрешить и Запретить в окне Безопасность ресурса). В этих случаях срабатывает системный протокол приоритетов, определяющий, кому отдать предпочтение в конфликте – праву, разрешению или запрету. В общем случае элементы запрета пользуются приоритетом перед элемен- тами разрешения. Аудит (проверка, ревизия) безопасности – отслеживание действий пользователей путем регистрации событий определенных типов в журнале безопасности. Регистрация таких событий необходима для определения злоумышленников и/или попыток поставить под угрозу системные и поль- зовательские данные. Примерами событий, подлежащих аудиту, являются 6 Важно, что механизм разрешений для дисков, папок и файлов действует в пол- ном объеме только при форматировании дисков в файловой системе NTFS. Если формат дисков устаревший (DOS-формат FAT, FAT32), файловая система практически беззащитна против информационных террористов.

В документах устаревшего формата (.doc, .xls, .ppt, ...), представляющих собой CFBF, VBA сохраняется в хранилище второго уровня «Macros», формат которого аналогичен предыдущему.

В этом случае по названию (расширению имени файла) или значку пользователь никак не определит, что документ может содержать макросы.

Microsoft любезно опубликовала спецификацию формата хранения проектов VBA в документах Office: . Как и следовало ожидать, многие интересные поля структур описаны в спецификации приблизительно следующим образом:

MUST be ignored on read. MUST not be present on write.

Тем не менее, при желании можно выяснить, что кроме исходного кода VBA в файл хранилища записывается также скомпилированый так называемый p-code (packed code). Формат этого промежуточного кода для виртуальной машины зависит от версии VBA. Если документ открыт в приложении, использующем ту же версию виртуальной машины, p-code будет загружен и выполнен, а исходный код проигнорирован. Существует также и третий вариант сохраняемого кода: это специфичный для версии приложения двоичный формат, который в спецификации обтекаемо назван Performance Cache и записывается в файл при выполнении программы.

Любопытно заметить, что, если формат p-code частично доступен антивирусным компаниям на условиях Non Disclosure Agreement, то о формате Performance Cache, называемом в ряде источников также Execode, практически неизвестно (основываясь на некоторых прецедентах можно даже предположить, что неизвестно и самой компании Microsoft).

Подобная техника дает определенную свободу действий создателям макровирусов и влечет за собой дополнительные сложности для антивирусных сканеров: в зависимости от версии пакета и виртуальной машины может быть скомпилирован исходный код, использован p-code либо загружен Performance Cache, которые совершенно необязательно могут соответствовать один другому.

При открытии документов, содержащих проекты VBA, приложение создает временный файл-хранилище, в который копирует директории VBA. Копирование осуществляется средствами системного Structured Storage API, непосредственно с содержимым хранилища на этом этапе приложения Office не взаимодействуют. Код VBA, в одном из трех вариантов, будет загружен виртуальной машиной только после того, как пользователь разрешит выполнение (или если выполнение разрешено по умолчанию).

Встроенные механизмы противодействия макровирусам

Можно выделить два основных вопроса безопасности, которые необходимо решить при разработке архитектуры собственного макроязыка:

* К чему могут иметь доступ макросы
* Могут ли макросы распространяться как составная часть документов.

Если рассмотреть архитектуру макросов VBA от Microsoft, описанную выше, становится очевидно, что оба эти вопроса решены неправильно. Это привело к тому, что открытие документа Microsoft Office c макросами равносильно запуску обычного исполняемого файла.

Таким образом, документы Microsoft Office с макросами:

* Обладают свойствами и возможностями обычного исполняемого файла
* Не принадлежат к зарегистрированному в системе типу исполняемых файлов и не воспринимаются пользователями как исполняемые.

Из-за распространенности пакета Microsoft Office и пересылок документов в почтовых вложениях, а также двух свойств документов с макросами, описанных выше, они стали легким и надежным способом проникновения вредоносного ПО на компьютеры пользователей. Настолько легким, что компании Microsoft пришлось решать эту проблему при помощи расширения функции механизма безопасности офисного пакета.

Два механизма безопасности интегрированы непосредственно в приложения Microsoft Office:

* Защищенный режим просмотра
* Политики запрета исполнения макросов VBA.

В Microsoft Office есть защищенный режим, который активируется при просмотре файлов, загруженных из интернета, запрещает запуск любого активного содержимого (в том числе, и макросов) и создает ряд ограничений для процесса, который открывает этот документ. При открытии документа в таком режиме создается дочерний процесс (в котором и происходит просмотр документа) с пониженным уровнем целостности и ограничением Job на создание дочерних процессов (делается ограничением одного активного процесса в Job).

Эти ограничения, в первую очередь, направлены на предотвращение эксплуатации обычных бинарных уязвимостей в самом офисном приложении.

Изоляция процесса, отображающего документ в защищенном режиме, реализована в целом хорошо и заслуживает отдельного упоминания.

На уровне приложения в ОС Microsoft Windows предоставляет следующие возможности изоляции процесса:

* Ограничения токена (маркера доступа) процесса
* Ограничения GUI-подсистемы
* Ограничения объекта Job для процесса.

Изоляция процесса офисного приложения, отображающего документ, реализуется при помощи всех этих трех механизмов.

Примерная схема работы защищенного режима просмотра документов Microsoft Office

Недоверенные документы открываются в изолированном процессе, который создается главным процессом-брокером офисного приложения. Для этого формируется специальный токен, с которым будет создаваться изолированный процесс при помощи функции CreateProcessAsUser. В зависимости от того, поддерживает ли операционная система запуск процессов с токеном AppContainer или нет, токен формируется по-разному.

Для операционных систем, поддерживающих технологию AppContainer (Windows 8 и выше), выполняется создание папки контейнера, настройка разрешений для работы с именованным каналом, по которому изолированный процесс может общаться с процессом-брокером, а также добавляется особая возможность (Capability) с недокументированным SID, свойственная только Microsoft Office. Процессы, работающие на основе технологии AppContainer, ограничены добавленными в них возможностями (Capabilities). Они определяют границы песочницы, в которых исполняется процесс. Изолированный процесс офисного приложения, таким образом, может лишь работать с файлами внутри папки собственного контейнера, и общаться с процессом-брокером через именованный канал. Доступ в сеть полностью закрыт, поскольку у процесса отсутствуют возможности (Capability) для открытия портов и исходящих соединений.

Для более ранних операционных систем, не поддерживающих технологию AppContainer, но активирующих исполнение процесса с низким уровнем целостности, выполняется более сложная настройка токена изолированного процесса. Отключаются следующие SID в группах токена: Domain Users, Administrators, Console Logon, This Organization, NTLM Authentication, Medium Mandatory Level. SID следующих сущностей ограничиваются в маркере доступа изолированного процесса: Restricted Code, Everyone, Users, Logon Session. Настраиваются разрешения для работы с именованными каналом процесса-брокера и понижается уровень целостности до низкого. Также создается папка для работы изолированного процесса и настраиваются разрешения для взаимодействия с ней.

После настройки маркера доступа вне зависимости от поддержки технологии AppContainer создается процесс в состоянии паузы Suspended. Этот процесс добавляется в Job с особыми ограничениями. Ограничения объекта Job обычно следующие:

* Число активных процессов – 1
* Завершение процессов при необработанном исключении
* Завершение дочерних процессов при завершении процесса-родителя.

Опционально в зависимости от настроек офисного приложения формируется изоляция GUI, в частности, может быть создан новый рабочий стол для изолированного процесса. Обычно этого не делается. Рабочий стол определяет, в частности, буфер обмена. После создания, настройки разрешений процесса и добавления его в объект Job, процесс брокер возобновляет выполнение изолированного процесса, выводя его из состояния Suspended.

Описанная выше система изоляции процесса, в котором происходит открытие недоверенного документа, существенно усложняет эксплуатацию обычных бинарных уязвимостей. Как правило, злоумышленникам приходится искать в таком случае дополнительные уязвимости в ядре ОС, чтобы выйти за пределы создаваемой процессором-брокером песочницы изолированного процесса, в котором отображается документ.

Однако при разрешении запуска макросов приложение не будет работать в защищенном режиме (даже если файл был загружен), и таким образом виртуальная машина VBA не получит ограничений. Пользователь может отключить режим защищенного просмотра нажатием кнопки «Разрешить редактирование» / «Enable editing», которая появляется на желтой полосе предупреждения при открытии загруженного документа.

Параметры запуска приложений VBA можно изменить пользовательскими настройками.

Настройка политики запуска макросов в окне «Trust Center»

По умолчанию, стоит настройка, запрещающая исполнение всех макросов с оповещением пользователя. «Тревожный сигнал» выглядит следующим образом:

Нажимая на кнопку «Enable Content», пользователь разрешает исполнение всех макросов документов, в том числе, и автоматических, тем самым ставя под угрозу заражения свой ПК.

В ответ на возросшее количество угроз от распространения документов с макросами, в Microsoft разработали более жесткую политику безопасности, которая может быть настроена администраторами через механизм групповых политик Windows. Администратор может её сконфигурировать таким образом, что будет апрещено исполнение макросов в документах, загруженных по сети.

Также следует заметить, что для всех политик имеются исключения:

* Доверенные расположения в файловой системе
* Доверенные издатели.

Документы из доверенных расположений в файловой системе открываются с минимальными ограничениями. То же самое относится к механизму доверенных издателей. В частности, автоматически могут запускаться VSTO, подписанные сертификатами доверенных издателей.

Обход методов противодействия макровирусам

Большинство методов обхода механизмов безопасности строятся на социальной инженерии. Пользователи не воспринимают файлы Microsoft Office с макросами как исполняемые, поэтому легко вводятся в заблуждение демонстрацией ненормального открытия документа и приглашением пользователя включить макросы, чтобы устранить проблемы. Злоумышленники предоставляют подробные инструкции, на случай, если пользователи сами не могут догадаться как это сделать, и весомо выглядящее обоснование необходимости их включения.

На форумах соответствующей тематики можно встретить объявления о создании «индивидуальных дизайнерских решений» для оформления документов, призванных убедить пользователя включить активное содержимое. Стоимость таких решений может быть значительной, а эффективность, по мнению авторов, доходит до 60%.

Эксплуатируется желание пользователя поскорее получить информацию из документа. Из-за этого многие, даже не думая, разрешают исполнение макросов. Формирование внешнего вида и содержимого таких документов зависит уже исключительно от фантазии злоумышленников и основано на незнании типичными пользователями сложных возможностей макроязыка VBA, приводящих к заражению системы вредоносным ПО. После разрешения пользователем исполнения макросов и заражения компьютера, макрос, как правило, показывает пользователю ту информацию, которую он хотел увидеть, меняя соответствующим образом открытый документ при помощи API автоматизации.

Современные версии Office имеют возможность изменения групповых политик, что позволяет доменному администратору заблокировать выполнение VBA на всех пользовательских компьютерах без возможности изменения этой настройки пользователем. Несомненно, с точки зрения безопасности это шаг вперед. К сожалению, эта возможность зачастую не применяется, поскольку во многих компаниях есть свой активно используемый набор макросов, от которого никто не желает отказываться.

Есть и еще один неочевидный нюанс, который представляет собой значительную брешь в безопасности. В памяти программы Office содержится «свойство» AutomationSecurity - переменная, содержащая настройки безопасности для активного содержимого, в том числе для макросов и элементов ActiveX. Если приложение было запущено пользователем стандартным способом, например, значком на рабочем столе или открытием документа, эта переменная будет соответствовать настройкам, выставленным пользователем в окне «Центра безопасности» или администратором при помощи шаблонов. Если же приложение запущено как клиент Автоматизации, из скрипта или другого приложения (к примеру, приложения для бухучета), переменная AutomationSecurity будет содержать минимальное значение «msoAutomationSecurityLow». В результате при обработке автоматизированным приложением какого-либо документа будут выполнены и содержащиеся в документе VBA-программы, если только программист специально не изменил переменную на msoAutomationSecurityByUI или msoAutomationSecurityForceDisable.

И в заключение...

Что же вирус Melissa и причиненные им убытки? Удивительно эффективный и эффектный результат выглядит еще более впечатляющим, если обратить внимание на одну маленькую деталь: предупреждающее сообщение об опасности макровирусов при открытии документа, содержащего макросы, появилось еще в Microsoft Office 97 (Melissa, напомним, появился в 1999).

Для того, чтобы отключить предупреждение, необходимо было снять «галочку» в настройках.

По-видимому, это мало кого остановило.

Теги: Добавить метки