В данной статье расскажем, почему нужно блокировать макросы при загрузке файлов из Интернета и как это сделать в Microsoft Office.
Один из распространенных методов распространения угроз (например, Emotet, Dridex, Qbot и RedLine Stealer) заключается в отправке фишинговых электронных писем, содержащих вредоносные документы Word и Excel с макросами, которые устанавливают вредоносные программы на устройство жертвы.
Чтобы предотвратить распространение вредоносного ПО этим методом, в феврале 2022 года Microsoft объявила, что, начиная с июня, Microsoft Office будет автоматически блокировать макросы VBA в документах, загруженных из Интернета.
Многие администраторы Windows, специалисты по цифровой безопасности и конечные пользователи поддержали данное решение, которое, по их мнению, оказывает значительное влияние на безопасность Windows.
Однако, вскоре после запуска функции в июне, Microsoft внезапно и без каких-либо публичных объяснений отметила данное изменение, в результате чего пользователи Windows и Microsoft Office снова подвергаются риску угроз из-за офисных документов с вредоносными макросами.
Хотя этот откат функциональности носит временный характер, пользователи могут вручную включить эту меру защиты на своих устройствах с помощью групповых политик.
Как работает технология «Mark-of-the-Web»
В основе функции блокировки вредоносных макросов в файлах Office лежит технология «Mark-of-the-Web».
Mark-of-the-Web — это специальный альтернативный поток данных NTFS, добавляемый к загруженным из Интернета файлам, который сообщает Windows и другим приложениям, таким как Microsoft Office, что файл был загружен из Интернета и его открытие следует считать потенциально опасным событием.
Когда файл имеет метку «Mark-of-the-Web», и вы пытаетесь его открыть, Windows отображает дополнительные предупреждения, спрашивая пользователя, уверен ли он, что нужно запустить файл.
Данную метку также проверяет Microsoft Office и в случае обнаружения открывает документ в режиме защищенного просмотра и выводит предупреждения о возможном вредоносном содержимом.
Однако, большинство пользователей Windows игнорируют данные предупреждения, что может привести к заражению устройства и компрометации сети.
Как заблокировать макросы в документах Office, скачанных из Интернета
Еще в 2016 году Microsoft добавила групповую политику Блокирование запуска макросов в файлах Microsoft Office, полученных из Интернета (Block macros from running Office files from the Internet). Она автоматически предотвращает запуск макросов в документах, содержащих метку «Mark-of-the-Web».
Чтобы включить эту политику, вы можете скачать и установить групповые политики Microsoft Office и настроить политику Block macros from running Office files from the Internet для каждого приложения, которое вы хотите защитить.
Эти политики находятся в разделе Конфигурация пользователя > Административные шаблоны > [Приложение Office] > Параметры [Приложение Office] > Безопасность > Центр управления безопасностью.
Для автоматической блокировки макросов в файлах Office, загруженных из Интернета, нужно установить значение Включено для политики Блокирование запуска макросов в файлах Microsoft Office, полученных из Интернета.
После включения политики в системном реестр по пути
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\[office version]\[office application]\security
будет создан новый ключ с названием blockcontentexecutionfrominternet и значением 1.
Например, при настройке этой политики для Microsoft Word, Windows создаст следующее значение реестра:
Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office.0\word\security] "blockcontentexecutionfrominternet"=dword:00000001
С включенной политикой и отключенным защищенным просмотром, открытие документа с макросами, скачанного из Интернета приведет к отображению предупреждения об отключении макросов в целях безопасности.
Если вы доверяете этому документу и уверены в его безопасности, вы можете удалить «Mark-of-the-Web», зайдя в свойства файла, отметьте Разблокировать в разделе Общие > Осторожно, а затем нажмите кнопку Применить, как показано ниже.
После удаления веб-метки макросы снова могут выполняться при открытии этого конкретного документа.
Вы должны удалять метку только из документов, которые на 100% заслуживают доверия.
С помощью этой политики можно достичь того же уровня защиты, который обеспечивает новая функция Microsoft. Кроме того, если в вашей организации есть проблема с блокировкой всех макросов, то можно настроить Надежные расположения — отдельные директории, где пользователи могут сохранять документы и не блокировать макросы.
Microsoft предоставляет документацию по настройке этой политики и созданию надежных расположений, которую рекомендуется изучить всем администраторам Windows.
Последние статьи #Microsoft
• Microsoft PowerToys 0.87.1: исправление проблем стабильности в Windows 10, ошибок .NET 9 и Расширенной вставки
• Microsoft тестирует перевод в режиме реального времени на Copilot+ ПК с процессорами Intel и AMD
• Microsoft рассказала об эксклюзивных функциях Windows 11 для игр. Стоит ли обновляться с Windows 10?
• Microsoft блокирует обновление до Windows 11, версия 24H2 на ПК с включенной функцией Auto HDR из-за проблем с играми
• Microsoft подтвердила проблему с выводом звука в Windows 11, версия 24H2
• GitHub открыл бесплатный доступ к ИИ-инструменту Copilot в VS Code – с поддержкой GPT-4o и Claude 3.5