Режим защищенного просмотра в Office 2010

Здравствуйте, меня зовут Викас и я работаю в команде Office Trustworthy Computing Security. Сегодня я расскажу вам о режиме защищенного просмотра в Office 2010. Режим защищенного просмотра является одной из новых функций системы безопасности, добавленной в Office 2010. Если вы еще не видели статью Брэда об изменениях в системе безопасности Office 2010, то определенно стоит потратить несколько минут, чтобы посмотреть ее.


Чем грозит открытие документа?
Любой фрагмент популярного программного обеспечения с течением времени подвергается различного рода атакам. В течение последних лет хакеры открыли путь для управления двоичными файлами Office и теперь вполне реально, что при открытии на первый взгляд безобидного документа, выполняется произвольный код. Для решения этой проблемы в Office 2007 был внедрен ряд новых форматов на базе XML. Эти форматы гораздо проще, поэтому обеспечить безопасность при работе с ними тоже проще. Мы понимаем, что сегодня существует громадное количество двоичных файлов и переход на новый формат XML займет некоторое время, но чем раньше вы перейдете, тем быстрее вы можете ощутить преимущества этих новых форматов.

Также для решения этой проблемы Office команда выпустила специальный инструмент - MOICE (абб.от Microsoft Office Isolated Converter Environment). MOICE конвертирует потенциально опасный бинарный файл в безопасный XML-формат, а затем обратно в двоичный формат, и открывает его, предотвращая выполнение вложенного кода. Разумеется, у этого инструмента есть и минусы: некоторые документы слишком долго обрабатывались, некоторые отображались не на 100%, поэтому вы вправе были ожидать изменений.


Что было сделано в Office 2010 для решения проблемы?
Когда пользователь открывает файл из потенциально опасного места, например, из Интернет, Office 2010 открывает его в режиме защищенного просмотра - неком аналоге привычного режима только для чтения. На самом деле, файл открывается в изолированной среде (или песочнице). Песочница Office 2010 - это, по сути, новая версия инструмента MOICE, описанного выше. В отличие от MOICE, в Office 2010 файловой конвертации не происходит. На самом деле файл открывается в песочнице соответствующей программы (Word, Excel и PowerPoint) - при наличии вредоносного кода в файле такой подход позволяет не допустить его выполнения и внесения изменений в ОС.


Когда используется режим защищенного просмотра?
Разумеется, режим защищенного просмотра не является режимом просмотра по умолчанию и используется он не для всех файлов. Режим активируется в следующих сценариях:

Открываются файлы из Интернета: когда файл загружен из Интернета, Windows-служба Attachment Execution Service помечает его специальным маркером. Когда Word, Excel или PowerPoint открывают файл, маркер укажет, чтобы файл был открыт в защищенном режиме, пока пользователь не решит, можно ли доверять файлу и нужно ли редактировать его. Это делается путем нажатия на кнопку "Разрешить редактирование" :

В некоторых случаях, когда файл открывается с сетевого ресурса, который, по вашему мнению, является частью безопасной сети, он будет открыт в защищенном просмотре и сообщит на панели, что файл из Интернета. Такое может иметь место, если вы неверно настроили прокси-сервер, или потому, что вы не указали в опциях Internet Explorer параметр "Автоматически определять принадлежность к интрасети ", как показано ниже:

Открываются вложения из Outlook 2010. Когда пользователь открывает вложение из Outlook 2010, оно будет открыто в режиме защищенного просмотра. Администраторы смогут при желании настроить, чтобы в защищенном режиме открывались все вложения или только те, которые отправленны извне Exchange.

Файл открывается из небезопасных мест. Примером такого небезопасного расположения файлов является папка Temporary Internet Files. Как администратор вы имеете возможность расширить этот перечень, включив другие небезопасные по вашему мнению папки.

Файлы, заблокированные политикой File Block. В Office 2007 мы ввели политику File Block. Это позволило администраторам однозначно блокировать типы файлов, которые не должны быть открыты. Когда тип заблокирован, он просто не может быть открыт. Из ваших отзывов мы узнали, что это чрезмерно ограничивает удобство. В Office 2010 заблокированные файлы могут быть открыты в защищенном режиме.

Файлы, не прошедшие проверку Office File Validation. Эта проверка является новой функцией, которая сканирует файлы при их открытии и проверяет его по известной схеме. Когда есть несоответсвия между файлом и схемой, файл не удастся проверить и он откроется в защищенном режиме. Администратор сможет настроить политику таким образом, чтобы все файлы открывались лишь в режиме защищенного просмотра.

Файлы, открытые через диалог открытия файла. Вы можете открыть файл в защищенном режиме прямо через меню Открыть:

Каким образом защищенный режим упростит мне работу?
Обеспечив заведомо большую защиту, нам удалось избавиться от различного рода подтверждающих диалогов. Например, если вы являетесь пользователем Outlook ранних версий, вы, возможно, заметили, что каждый раз при открытии вложения появляется вопрос:

Лично мне очень трудно ответить на этот вопрос, не увидев содержимого этого файла. В Office 2010 мы убрали этот диалог, поэтому файл открывается непосредственно в защищенном режиме. Это позволит вам просмотреть содержание и принять обоснованное решение: действительно ли вы доверяете файлу или нет. Если у вас нет доверия или если вы хотите лишь прочитать его содержание, вы можете спокойно прочесть его, а затем закрыть. В дополнение к вышесказанному мы также удалили Outlook панель:

Теперь, когда вы читаете файлы Word, Excel, PowerPoint и Visio в панели предварительного просмотра Outlook, вопрос о том, уверены ли вы, что хотите открыть файл, возникать не будет, когда защищенный просмотр включен.


Как выглядит оформление режима?
Дизайн режима изменился во всех приложениях. Когда файл открыт в защищенном режиме, работают два экземпляра приложения. В качестве примера я буду использовать Word. У нас есть один экземпляр Winword.exe, который выполняется от имени пользователя, под которым вы вошли в систему (хост-процесс). Еще один экземпляр Winword.exe работает в изолированном процессе (клиент-процесс) или песочнице.

Что такое хост-процесс?
Лучший способ описать процесс - это нижеприведенное изображение. Клиент-процесс является частью пользовательского интерфейса и выделен черным, а все остальное - хост-процесс:

Когда пользователь нажимает на какую-либо часть интерфейса хост-процесса, благодаря UIPI мы с уверенностью можем сказать, что действие было произведено пользователем и не нуждается в дополнительном диалоговом окне 'Вы уверены, что сделали это?. Хост-процесс владеет верхним уровнем окна приложений, как показано выше, который включает в себя заголовок окна, ленту, панель доверия, панель статуса и т.д. Хост-процесс управляет режимами защищенного и незащищенного просмотра для клиент-процесса. Если клиенту необходимо выполнить привилегированные задачи (такие, как доступ к файловой системе, реестру и другим системным ресурсам), он обращается с запросом к хост-процессу и становится своеобразным посредником.

Что такое клиент-процесс?
Как упоминалось ранее, клиент-процесс - это еще один процесс Windows, который хоть и выполняется от имени учетной записи пользователя, однако при этом используется ограниченный токен. Для дополнительной блокировки клиента-процесса он выполняется в качестве процесса низкой целостности. Таким образом, ограниченные права и низкая целостность (UIPI) стали основой для песочницы Office 2010.

Как говорилось выше, режим защищенного просмотра является одной из многих мер безопасности Office 2010. Чтобы вредоносный код смог выполниться, ему придется обойти DEP, ASLR, GS и новую файловую проверку Office 2010. После этого вредоносная программа должна будет найти способ вырваться из песочницы.

Надеюсь, что теперь, когда вы получили потенциально опасный файл Word, Excel или PowerPoint, вы сможете спокойно открыть его в защищенном режиме, не беспокоясь, что с вашим компьютером сможет случиться что-то плохое.

Викас Малхотра (Vikas Malhotra),
программный менеджер по безопасности в Office Trustworthy Computing


Источник: http://blogs.technet.com/office2010_ru
Перевод: houseboy