Nasjonal sikkerhetsmyndighet

Transkript

1 Nasjonal sikkerhetsmyndighet IT-veiledning for ugradert nr 7 (U-07) Oppdatert: Windows Grunnsikring av Office 2013 Ved bruk av Security Compliance Manager (SCM) sikkerhetsbaseliner Dette dokumentet gir uformell og uforpliktende veiledning i tiltak for sikring av Office Målgruppen er personell som administrerer og utvikler ugraderte systemer i offentlig forvaltning, primært departementer og andre store sentrale etater. Dokumentet utgjør også første byggestein i herding av graderte systemer som anvender Office 2013.

2 Nasjonal sikkerhetsmyndighet Nasjonal sikkerhetsmyndighet er tverrsektoriell fag- og tilsynsmyndighet innenfor forebyggende sikkerhetstjeneste i Norge og forvalter lov om forebyggende sikkerhet av 20. mars Hensikten med forebyggende sikkerhet er å motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser, primært spionasje, sabotasje og terrorhandlinger. Forebyggende sikkerhetstiltak skal ikke være mer inngripende enn strengt nødvendig, og skal bidra til et robust og sikkert samfunn. Hensikt med veiledning NSM sin veiledningsvirksomhet skal bygge kompetanse og øke sikkerhetsnivået i virksomhetene, gjennom økt motivasjon, evne og vilje til å gjennomføre sikkerhetstiltak. NSM gir jevnlig ut veiledninger til hjelp for implementering av de krav sikkerhetsloven stiller. NSM publiserer også veiledninger innen andre fagområder relatert til forebyggende sikkerhetsarbeid. Postadresse Sivil telefon/telefaks Militær telefon/telefaks Internettadresse Postboks / / Sandvika E-postadresse post@nsm.stat.no Grunnsikring av Office 2013 Side 2 av 14

3 Innhold 1 Innledning Oversikt Anbefalte tiltak Bruk kodebeskyttelse Kontroller mobil kode og tilleggsfunksjonalitet Unngå gamle dokumentformater Kontroller dokument-opprinnelse Benytt sentral styring Beskyttelse mot skadelig epost... 9 Vedlegg A Oppsummering Vedlegg B Implementasjon av tiltak Vedlegg C Dokumentasjon av tiltak Vedlegg D Testing av tiltak Vedlegg E Håndtering av avvik Vedlegg F Vedlagte filer Vedlegg G Referanser Vedlegg H Dokumenthistorie Grunnsikring av Office 2013 Side 3 av 14

4 Grunnsikring av Office 2013 Side 4 av 14

5 1 Innledning Dette dokumentet gir uformell og uforpliktende veiledning i tiltak for sikring av Office 2013 (Office). Office er en samling av kontorstøtteapplikasjoner som benyttes av svært mange virksomheter. Målgruppen for dette dokumentet er personell som administrerer og utvikler ugraderte systemer i offentlig forvaltning, primært departementer og andre store sentrale etater. Dokumentet utgjør også første byggestein i herding av graderte systemer som anvender Office. Dokumentet anbefaler tiltak for sikring av Office-applikasjoner i et Microsoft Windows domene. De beskrevne tiltakene er ment å reflektere commercial best practice og beskytter mot konvensjonell ondsinnet kode (mass malware). Dokumentet gir også en innføring i hvordan de anbefalte tiltakene kan implementeres, testes og dokumenteres, samt hvordan avvik fra NSMs anbefalte tiltak bør håndteres. I tillegg til tiltakene beskrevet i dette dokumentet, anbefaler NSM at også de grunnleggende tiltakene beskrevet i U-01 [1] blir implementert. Kontaktpunkt for denne veiledningen er si@nsm.stat.no. Vennligst bruk veiledningens navn som emne. Kommentarer og innspill mottas med takk. Grunnsikring av Office 2013 Side 5 av 14

6 2 Oversikt Sikkerheten til Office styres gjennom en rekke innstillinger. Vi referer til en samling sikkerhetsinnstillinger og deres anbefalte verdier som en sikkerhetsbaseline (SB). Gjennom verktøyet Security Compliance Manager (SCM) [2], anbefaler Microsoft tiltak i form av SCM SB er for sikring av Office. SB ene er et resultat av Microsofts egne erfaringer og commercial best practice innenfor området. Ved å ta utgangspunkt i Microsofts SCM SB er kan man lage egne SB er som er tilpasset ulike sikkerhetsnivåer og bruksområder. Dette gjøres ved å justere de anbefalte verdiene i Microsofts SB og eventuelt ved å legge til eller fjerne innstillinger som inngår i SB en. Nye SB er som lages på denne måten kalles da delta sikkerhetsbaseliner til Microsofts SB er. NSM har i denne veiledningen laget to delta SB er til Microsofts SCM SB er for Office: NSM Office 2013 User Baseline er delta til Microsofts Office2013 User Security 1.0 NSM Office 2013 Computer Baseline er delta til Microsofts Office2013 Computer Security 1.0 Dette dokument er ikke ment som en innføring i sikkerhetsfunksjonene i Office. Se [3,4] for detaljert teknisk informasjon om de ulike sikkerhetsinnstillingene og hvordan man sikrer Office. SCM sin egen hjelpetekst inneholder i stor grad også informasjon om de ulike sikkerhetsinnstillingene. Resten av dokumentet er organisert som følger: Kapittel 3 beskriver de viktigste tiltakene som NSM anbefaler for Office. For de viktigste tiltakene gjør vi en sammenligning mellom innstillingene i NSMs delta SB er og Microsofts SB er. I tillegg beskrives innstillinger i NSMs delta SB er som kan være problematiske i enkelte bruker- og driftsmiljøer. Vedlegg A oppsummerer dokumentet. Vedlegg B beskriver hvordan NSMs delta SB er kan implementeres både på maskiner i et AD-domene og på frittstående maskiner. I tillegg gir vedlegget en kort innføring i installasjon og bruk av verktøyet SCM. Vedlegg C beskriver hvordan tiltak som er spesifisert i SCM og implementert i systemet bør dokumenteres. Vedlegg D beskriver prosedyren for testing av implementerte tiltak ift spesifiserte tiltak. Vedlegg E beskriver hvordan avvik mellom NSMs anbefalte tiltak og virksomhetens tiltak bør håndteres. Vedlegg F gir en kort beskrivelse av konfigurasjonsfilene (SCM, GPO, osv) som følger med dokumentet. Vedlegg G og Vedlegg H inneholder henholdsvis referanseliste og dokumenthistorie. Merk at Vedlegg B E viser til kapiteler i «U-08 Sikkerhetsbaseliner» [5]. Grunnsikring av Office 2013 Side 6 av 14

7 3 Anbefalte tiltak NSMs anbefalte tiltak kommer i form av SCM SB er, som er delta SB er til Microsofts SCM SB er for Office. Se følgende regneark for detaljerte beskrivelser av NSMs SB er for Office: NSM Office 2013 User Baseline XLSM.xlsm NSM Office 2013 Computer Baseline XLSM.xlsm Se følgende regneark for detaljerte beskrivelser av forskjellene mellom NSMs SB er og Microsofts SB er: NSM Office 2013 User Baseline vs Microsoft Baseline XLSM.xlsm NSM Office 2013 Computer Baseline vs Microsoft Baseline XLSM.xlsm De aller fleste sikkerhetsrelevante innstillingene for Office settes på bruker-nivå (ca 720 stykker), mens kun et fåtall settes på maskin-nivå (ca 27 stykker). Dokumentet legger spesielt vekt på følgende temaer: Kodebeskyttelse. Ondsinnet kode («exploits») skal stoppes/minimaliseres. Mobil kode og tilleggsfunksjonalitet. Kun kjent programkode skal kunne kjøres. Gamle dokumentformater. Dokumentformater fra før Office 2007 skal kontrolleres/sperres. Dokument-opprinnelse. Lokale dokumenter skal behandles like strengt som de fra internett. Sentral styring. Brukerne skal ikke kunne svekke sikkerhetskonfigurasjonen til Office. Beskyttelse mot skadelig epost. Potensielt skadelig innhold i eposter skal deaktiveres. Se [6,7] for eksempler på aktuelle dataangrep som involverer både eldre Office dokumentformater og mobil kode (makroer). I underkapitlene drøftes temaene over. For hvert tema gjør vi en sammenligning mellom innstillingene i NSMs delta SB er og Microsofts SB er. I tillegg beskrives innstillinger i NSMs delta SB er som kan være problematiske i enkelte bruker- og driftsmiljøer. 3.1 Bruk kodebeskyttelse Hovedmekanismene for kodebeskyttelse i Office er Protected View og Office File Validation. Det er liten forskjell mellom NSMs og Microsofts SB. Forskjellen er primært i bruken av Protected View i Microsofts SB ifm håndtering av eldre filformater fra før Disse forskjellene er beskrevet nærmere i Kapittel Kontroller mobil kode og tilleggsfunksjonalitet Office har flere mekanismer for mobil kode og tilleggsfunksjonalitet, som f eks Active X, Office Add-ins, VBA Makroer og Apps for Office. I NSMs SB blir alle former for mobil kode blokkert med unntak av Active X i tiltrodde filmapper. Brukere kan ikke overstyre denne blokkeringen av mobil kode. Grunnsikring av Office 2013 Side 7 av 14

8 I Microsofts SB blir Active-X og VBA makroer blokkert, men brukerne kan overstyre denne blokkeringen, med unntak av usignerte VBA makroer. Dessuten tillates Add-ins og Apps for Office å kjøre, med unntak av de Apps for Office som ikke har HTTPS-adresse og som ikke er i «internett-sonen». En del virksomheter er avhengig av å bruke Office Add-ins ifm integrasjon av Office til f eks arbeidsflytsystemer eller arkivsystemer. Da bør NSMs SB justeres ved at man åpner opp for den nødvendige (fortrinnsvis signerte) Office Add-in. Det er viktig at man ikke åpner opp for flere Office Add-ins enn man trenger. 3.3 Unngå gamle dokumentformater Office 2013 kan åpne alle Office dokumentformater tilbake til begynnelsen av 90-tallet. Få benytter seg av de eldste formatene. De bør ikke kunne åpnes av brukerne, siden angripere ofte benytter seg av de eldste formatene. NSMs SB er mer restriktiv enn Microsofts SB mht åpning av dokumenter som har filformater til og med Office Forskjellene mellom NSMs og Microsofts innstillinger varierer med Office-applikasjonen og versjonen til filformatet. Hovedforskjellene er: Excel. I hovedsak blokkerer både NSMs og Microsofts SB er dokumentformater før Når det gjelder dokumentformatene fom 1997 tom 2003, så tillater NSMs SB at disse kun åpnes i Protected View, mens Microsofts SB tillater at disse åpnes i normal visning. PowerPoint. I hovedsak så tillater NSMs SB åpning av formatene fom 1997 og tom 2003 i Protected View, mens Microsoft SB tillater at disse åpnes i normal visning. Word. I hovedsak blokkerer både NSMs og Microsofts SB er dokumentformatene før Formatene fom 1997 og tom 2003 tillates åpnet av NSMs SB i Protected View, mens Microsoft SB tillater at disse åpnes i normal visning. For de detaljerte forskjellene mellom Microsofts og NSMs SB er henvises det til regnearket NSM Office 2013 User Baseline vs Microsoft Baseline XLSM.xlsm og GPO-nodene User Configuration > Administrative Templates > Microsoft [Applikasjon] 2013 > [Applikasjon] Options > Security > Trust Center > File Block Settings, hvor [Applikasjon] er en av Office-applikasjonene. Både NSMs og Microsofts SB er tillater åpning i normal visning av alle dokumenter med dokumentformater fom Office Enkelte brukere, som for eksempel arkivansvarlige, kan ha behov for å åpne flere av de eldre Office dokumentformatene. Man kan da tillate at utvalgte brukere kan åpne disse dokumentformatene, og da fortrinnsvis kun i Protected View. 3.4 Kontroller dokument-opprinnelse Office har en del innstillinger for å angi tiltrodde filområder. NSMs SB anser kun fire mapper som tiltrodde. Dette er mapper som kun IT-avdelingen, og ikke vanlige brukere, skal kunne skrive til. Microsofts SB angir ingen spesielle mapper som tiltrodde, dvs alle mappene ansees som tiltrodde. Grunnsikring av Office 2013 Side 8 av 14

9 Søk på «trusted location» og «trusted document» i regnearket NSM Office 2013 User Baseline vs Microsoft Baseline XLSM.xlsm, for å se de detaljerte forskjellene mellom Microsofts og NSMs SB. Virksomheter som benytter dokumentmaler ifm Office må påse at disse malene plasseres i en tiltrodd mappe. Slike mapper spesifiseres under GPO-nodene Microsoft Office 2013 > Security Settings > Trust Center > Trusted Location [1-4]. Alternativt plasseres malene i en av mappene som allerede er spesifisert som tiltrodde av NSM. Brukerne av malene må ha lesetilgang til disse mappene, mens kun administratorer skal ha skrivetilgang. 3.5 Benytt sentral styring Kun IT-avdelingen bør normalt kunne endre Office sine sikkerhetsinnstillinger. Brukerne bør ikke kunne svekke disse, enten som følge av en bevisst handling eller et uhell. NSMs SB, i motsetning til Microsofts SB, fjerner en del valg i «Trust Center» for de ulike Office-applikasjonene og reduserer antall «Trust bar notifications» som vises til brukerne. Disse to tiltakene reduserer brukernes mulighet til å gjøre potensielt farlig valg. Noen brukere vil reagere på at de ikke kan endre på sikkerhetsinnstillingene, slik at de bl a kan åpne hva som helst av Office-innhold, f eks mobil kode og eldre dokumentformater. Slike brukere vil ikke være vant til at ansvaret for slike valg flyttes til IT-avdelingen. IT-avdelingen bør være åpne for konkrete behov brukerne har, men være varsomme med å tillate mer enn hva brukerne faktisk trenger. Hvis enkelte brukere f eks har et reelt behov for å kjøre en spesiell add-in, så la den ønskede add-in få kjøre, men ikke la alle mulige add-ins få kjøre. I tillegg bør kun de ansatte som trenger add-in en, som f eks en enkelt avdeling, få kjøre den. Ved å ha en slik restriktiv rutine vil angrepsflaten til systemet reduseres. 3.6 Beskyttelse mot skadelig epost Mange angrep mot virksomheter starter med en epost som har skadelig innhold eller som lenker til slikt. Angrepene mot Kaspersky [8,9] og den tyske Riksdagen [10] er eksempler på dette. Ulike tiltak kan benyttes for å beskytte seg mot skadelig eposter. Man kan f eks fjerne klikkbare lenker, la være å laste ned bilder, deaktivere muligheten for å åpne vedlegg ved mistanke om skadelig epost, og bestemme formatet som epostene skal vises i (ASCII, HTML, RTF). Både NSMs og Microsofts SB er har flere restriksjoner på bruk av bilder, vedlegg og klikkbare lenker i eposter. I tillegg krever begge at visningsformatet epost skal være ASCII (uformatert), dvs at brukerne ikke får eposter formatert i HTML eller RTF. Virksomheter kan endre disse restriksjonene slik at de passer deres bruksmønster og risikobilde, fortrinnsvis etter en risikovurdering. Restriksjonene bør kun endres for de brukerne som har behov for det. Grunnsikring av Office 2013 Side 9 av 14

10 Vedlegg A Oppsummering Sikkerheten til Office 2013 styres gjennom en rekke innstillinger. Vi referer til en samling sikkerhetsinnstillinger og deres anbefalte verdier som en sikkerhetsbaseline (SB). Ved å ta utgangspunkt i Microsofts SCM SB for Office 2013 i et AD-domene har NSM laget en delta til denne SB en, dvs en SB hvor noen av Microsofts anbefalte verdier har blitt justert og hvor nye sikkerhetsinnstillinger har blitt lagt til. Dokumentet legger spesielt vekt på: Kodebeskyttelse. Ondsinnet kode («exploits») skal stoppes/minimaliseres. Mobil kode og tilleggsfunksjonalitet. Kun kjent programkode skal kunne kjøres. Gamle dokumentformater. Dokumentformater fra før Office 2007 skal kontrolleres/sperres. Dokument-opprinnelse. Lokale dokumenter skal behandles like strengt som de fra internett. Sentral styring. Brukerne skal ikke kunne svekke sikkerhetskonfigurasjonen til Office. Beskyttelse mot skadelig epost. Potensielt skadelig innhold i eposter skal deaktiveres. Delta SB en har blitt laget for å sikre ugraderte Office 2013 systemer i offentlig forvaltning, og da primært i departementer og andre store sentrale etater. Delta SB en utgjør også første byggestein i herding av graderte systemer som anvender Office Grunnsikring av Office 2013 Side 10 av 14

11 Vedlegg B Implementasjon av tiltak Se Kapittel 3 i [5]. Merk at Group Policy Administrative Templates (ADMX, ADML) og Office Customization Tool (OCT) for Office 2013 kan være nyttige ved implementering av tiltak. Se [11,12] for mer informasjon. Vedlegg C Dokumentasjon av tiltak Se Kapittel 4 i [5]. Vedlegg D Testing av tiltak Se Kapittel 5 i [5]. Vedlegg E Håndtering av avvik Se Kapittel 6 i [5]. Grunnsikring av Office 2013 Side 11 av 14

12 Vedlegg F Vedlagte filer Arkivfilen NSM Office 2013 SCM Baselines.zip [13] følger med dokumentet. Denne filen inneholder følgende arkivfiler: NSM Office 2013 SCM User Baseline.zip NSM Office 2013 SCM Computer Baseline.zip De to arkivfilene inneholder henholdsvis «User Policies»- og «Computer Policies»-filer for Office Hver av de to arkivfilene inneholder følgende filer: NSM Office 2013 [ User Computer ] Baseline SCM.cab NSM Office 2013 [ User Computer ] Baseline GPO REPORT.htm NSM Office 2013 [ User Computer ] Baseline GPO REPORT.xml NSM Office 2013 [ User Computer ] Baseline GPO.zip NSM Office 2013 [ User Computer ] Baseline XLSM.xlsm NSM Office 2013 [ User Computer ] Baseline vs Microsoft Baseline XLSM.xlsm Se Kapittel 4.3 i [5] for en beskrivelse av de ulike filene. Grunnsikring av Office 2013 Side 12 av 14

13 Vedlegg G Referanser [1]... NSM. U-01 Grunnleggende tiltak for sikring av Windows 7, [2]... Microsoft. Security Compliance Manager (SCM). [3]... Microsoft. Microsoft Office 2013 Security Guide, Version 1.0, Dokumentet er tilgjengelig fra SCM verktøyet under Microsoft Baselines > Microsoft Office 2013 > Attachments \ Guides > Microsoft Office 2013 Security Guide.docx [4]... Microsoft. Secure Office 2013, [5]... NSM. U-08 Sikkerhetsbaseliner, [6]... Microsoft. Social engineering tricks open the door to macro-malware attacks - how can we close it?, [7]... Threatpost. Macro-Enabled Malware Making a Comeback, [8]... CERT-UK. Duqu 2.0, [9]... Kaspersky. Duqu is back: Kaspersky Lab reveals cyberattack on its corporate network that also hit high profile victims in Western countries, the Middle East and Asia, [10]... Deutsche Welle. s blamed for Bundestag cyberattack, [11]... Microsoft. Office 2013 Administrative Template files (ADMX/ADML) and Office Customization Tool, [12]... Microsoft. Group Policy Administrative Template files (ADMX, ADML) and Office Customization Tool (OCT) files for Office 2013, [13]... NSM. NSM Office 2013 SCM Baselines, Grunnsikring av Office 2013 Side 13 av 14

14 Vedlegg H Dokumenthistorie Første interne versjon ferdig Begrenset sirkulasjon utenfor NSM Sendt ut på høring i Teknologiavdelingen i NSM Publisering på nett. Grunnsikring av Office 2013 Side 14 av 14