Office 2010 應用程式安全性

為什麼害怕開啟 office 文件？

對於複雜軟體的任何片段，隨著時間的推移，或許都能找到針對該片段的新的檔案分析漏洞利用情況。舊的 office 二進位制檔案格式很容易受到此類攻擊。在過去幾年中，黑客們找到了操縱 office 二進位制檔案的方法，只要這些檔案一開啟和進行分析，他們就能讓自己的**嵌入到這些檔案中並執行。在 office 2007 中，為解決此類二進位制檔案分析攻擊，曾引入了幾種新的基於 xml 的檔案格式。這些 xml 檔案格式更容易分析，安全性也明顯高於舊的二進位制格式。我們了解到至今仍有幾十億的二進位制檔案在使用，也理解遷移到新的 xml 格式會花不少時間，但有一點是肯定的，那就是您越早遷移過去，就會越早享受到這些新格式在安全方面所帶來的好處。

過去，為解決這些攻擊，office 團隊發布了 moice（microsoft office 隔離轉換器環境）。moice 的工作方式是：提取可能有風險的二進位制檔案型別，在沙箱流程中轉換為新的 xml 格式，然後再轉換回二進位制格式並開啟。進行此項轉換是希望刪除任何隱藏在檔案中的攻擊**。但是 moice 有一些缺點，即需要很長時間進行轉換的檔案可能需要很長時間才能開啟，這讓使用者感到很懊惱。此外，轉換過程不能始終百分之百地保持文件的布局，因此，就使用者的總體感覺而言，此功能還有待改進。

我們在 office 2010 中做了哪些進一步的改進？

在 office 2010 中，如果檔案似乎來自某個可能有風險的位置（如 internet），那麼現在它將在受保護的檢視中開啟。受保護的檢視在外觀上與任何其他唯讀檢視的外觀相似。但在這相似的外觀之下，如果檔案在受保護檢視中開啟，它實際上是在新的 office 2010 沙箱中開啟。office 2010 沙箱是前面所述的 moice 沙箱的「下乙個版本」。與 moice 不同，office 2010 沙箱中不進行檔案轉換。實際發生的情況是，檔案在應用程式（word、excel、powerpoint）的乙個沙箱例項中開啟；如果檔案中存在惡意**，我們的目標將是使該**找不到篡改您的文件的途徑，因此就不能更改您的配置檔案或其他使用者設定。我將在本文的稍後部分詳細介紹這一點。

何時使用受保護的檢視？

因為受保護的檢視是唯讀檢視，我們清楚不能將它用於您所處理的所有檔案。在設計此功能時，我們的目標是只在以下高風險情形下使用它：

在某些情況下，如果從您認為是 intranet 區域一部分的網路共享中開啟檔案，則檔案將在受保護的檢視中開啟，同時在信任欄中指示該檔案源自乙個 internet 位置。這種情況會由於以下原因而發生：您的**的設定方式，或者您沒有在「internet options」的「local intranet」中選中「automatically detect intranet network」設定，如下所示：

·從 outlook 2010 開啟的附件。當從 outlook 2010 開啟附件時，它將在受保護的檢視中開啟。管理員可以配置是在受保護的檢視中開啟所有附件，還是只開啟從其 exchange 環境之外的發件人處傳送的那些附件。

·從非安全位置開啟的檔案。非安全位置的乙個示例就是從您的 internet 臨時資料夾開啟的檔案。作為管理員，您可以擴充套件該列表，以包括您感覺也不安全的目錄。

·檔案阻止策略所阻止的檔案。在 office 2007 中，我們引入了一項稱為檔案阻止的功能。這允許管理員定義不應開啟的檔案型別。當某個型別被阻止時，根本就無法開啟它。從您的反饋中我們了解到，就可用性而言，這種限制有些過頭，因為使用者仍希望「閱讀」那些檔案。在 office 2010 中，現在可以在受保護的檢視中開啟這些被阻止的檔案，並且作為管理員，您可以設定策略來表明是允許使用者（通過編輯檔案）離開受保護的檢視，還是強制他們留在那裡。我們希望這種設計能夠將您遇到的所有問題和困擾一掃而空！

·office 檔案驗證失敗。office 檔案驗證是一項新的功能，該功能在 office 檔案開啟時對檔案進行掃瞄，並根據已知架構進行驗證。當檔案與架構不一致時，檔案就不能通過驗證，因此將在受保護的檢視中開啟。與檔案阻止功能類似，也可以使用策略來決定在驗證失敗時，是允許還是拒絕使用者編輯檔案。

·開啟檔案對話方塊。可以使用「open」按鈕明確地在受保護的檢視中開啟檔案：

受保護的檢視如何為我提供更好的使用者體驗？

最大的受益就是，它在為您提供較以往更強的保護的同時，還允許我們去除「您確定嗎」這樣的安全提示。例如，如果您是像我一樣的 outlook 使用者，您大概已經注意到，每次開啟附件時，系統都會問您乙個問題：

對我來說，不先看看檔案的內容，就很難回答這個問題。在 office 2010 中，我們去除了該對話方塊，改為直接在受保護的檢視中開啟檔案！這樣，您就可以檢視內容，明智地決定是否真的信任該檔案。如果您並不信任它，或者只是想閱讀它，則可以在閱讀完後將其關閉。正是因為如今有眾多的深度防禦檢查在發揮著作用，我們才能放心地直接開啟檔案。

除了開啟提示，我們還去除了 outlook 預覽窗格提示，如下所示：

如今，啟用受保護的檢視後，當您在 outlook 預覽窗格中閱讀 word、excel、powerpoint 和 visio 檔案時，系統再也不會先提示您是否真的信任檔案了。

受保護的檢視設計的外觀如何？

受保護的檢視改變了 word、excel 和 powerpoint 的架構方式。在受保護的檢視中開啟檔案時，將同時執行應用程式的兩個例項。以 word 為例，乙個是在您的登入帳戶上下文中執行的 winword.exe 例項，我們稱之為「主機」程序；另乙個是在嚴格隔離的程序中執行的 winword.exe 例項，我們稱之為「客戶端」程序（也稱為「office 沙箱」，兩個術語可以混用）。

當使用者在主機程序使用者介面的任何部分上單擊時，由於 uipi 的原因，我們可以完全相信操作是來自使用者，不需要用額外的「您確定要這樣做嗎?」對話方塊予以提示。主機程序擁有如上所示的頂層應用程式框架視窗，其中包括視窗標題、功能區、信任欄、狀態列等。主機程序管理受保護的檢視和非受保護的檢視視窗，並充當客戶端程序的「** (broker)」。任意給定時間只能執行乙個客戶端/沙箱例項，所有在受保護的檢視中開啟的檔案都共用應用程式內的同乙個沙箱例項。當所有受保護的檢視視窗都關閉時，客戶端程序將終止。當客戶端需要執行特權任務（如訪問檔案系統、登錄檔或其他系統資源）時，它會向主機程序發出請求，如果主機認為適當，則會進行**並執行操作。

我們曾在前面間接提到，客戶端程序是在使用者帳戶上下文中執行的另乙個 windows 程序，但使用的令牌是受限令牌。通過使用受限令牌，我們可以刪除此程序所具有的多項權利和許可權。為進一步鎖定客戶端程序，我們現在還將其作為低完整性程序來執行。受限令牌和低完整性 (uipi) 共同為我們的 office 2010 沙箱奠定了基礎。

正如我們所討論的，受保護的檢視是 office 2010 中的眾多安全防禦措施之一。乙個惡意軟體若要真能夠在受保護的檢視中執行，它必須首先找到途徑來繞過 dep、aslr、gs 和我們的新增 2010 office 檔案驗證檢查。完成這一系列步驟之後，惡意軟體還需要找到一種方法來破壞沙箱。

希望您現在再收到「嚇人」的 word、excel 或 powerpoint 檔案時，能夠在受保護的檢視中開啟它，放心地閱讀，而不必擔心計算機上會發生什麼不好的事情。

Office 2010 應用程式安全性

office2010啟用方法

Office2010與Office2003共存方法

關於Office 2010無法Change Key

Office 2010 應用程式安全性

office2010啟用方法

Office2010與Office2003共存方法

關於Office 2010無法Change Key

相關推薦