Здравствуйте! Меня зовут Викас, и я работаю в группе безопасности Office Trustworthy Computing. Сегодня я подробнее расскажу вам о функции, над которой я работаю, под названием "Protected View" (Защищенный просмотр"). Режим защищенного просмотра является одной из новых функций, добавленных в систему безопасности Office 2010.

Потенциальные опасности при открытии документа Office

Любое сложное программное обеспечение со временем может подвергаться новым видам атак. Двоичные форматы файлов, характерные для предыдущих версий Office, были подвержены подобного рода атакам. В последние годы злоумышленники нашли способ управления двоичными файлами Office таким образом, что при их открытии или разборе их собственный код добавляется к коду открываемых файлов. Чтобы справиться с этими атаками двоичных файлов, в Office 2007 было включено несколько новых форматов файлов на основе XML. Файлы форматов XML значительно проще разбирать; обеспечить безопасность с их помощью тоже проще по сравнению с предыдущими двоичными форматами. Мы понимаем, что сегодня используются миллиарды двоичных файлов и переход на XML-форматы займет некоторое время, но чем раньше будет выполнен переход, тем быстрее вы сможете воспользоваться преимуществами безопасности от использования новых форматов.

Для решения проблемы атак группа разработки Office ранее специально создала среду MOICE (изолированная среда преобразования Microsoft Office). Среда MOICE выполняла "обезвреживание" файла с помощью преобразования потенциально опасного двоичного файла в безопасный XML-формат, а затем обратно в двоичный и только после этого открывала файл. Целью такого преобразования являлось удаление вредоносного кода, скрытого внутри файла. Среди недостатков среды MOICE можно отметить следующее: файлы, преобразование которых занимало много времени, долго открывались, что разочаровывало пользователей. Кроме того, после преобразования некоторые файлы могли отображаться не полностью, поэтому очевидно, что с точки зрения удобства использования, данная функция нуждалась в доработке.

Улучшения в Office 2010

В Office 2010, файлы из потенциально опасных источников (например, из сети Интернет) открываются в режиме защищенного просмотра. Данный режим выглядит аналогично любому другому представлению только для чтения. Однако на самом деле при открытии файла в режиме защищенного просмотра, он открывается в новой "песочнице" Office 2010. Песочница Office 2010 является "новой версией" изолированной среды MOICE, описанной ранее. Но в отличие от MOICE преобразование файла не выполняется. Вместо этого файл открывается в песочнице соответствующего приложения (Word, Excel или PowerPoint) и при наличии в файле вредоносного кода данный подход не позволит ему изменить документ, профиль или параметры пользователя. Далее я опишу этот процесс подробнее.

Использование режима защищенного просмотра

Поскольку защищенный просмотр является режимом "только для чтения", мы понимаем, что это не тот режим, который должен быть использован для всех открываемых файлов. При разработке данной функции предполагалось его использование в следующих потенциально опасных случаях:

· Открытие файлов из сети Интернет. Когда файл загружается из Интернета, служба Attachment Execution Service Windows помещает специальную метку в альтернативный поток данных файла, чтобы обозначить, что файл получен из зоны Интернета. Если открывается файл Word, Excel или PowerPoint, содержащий данную метку, он будет открываться в режиме защищенного просмотра до тех пор, пока пользователь не решит, можно ли доверять файлу и редактировать его. Для этого пользователю нужно нажать кнопку "Enable Editing" (Разрешить редактирование), показанную ниже.

В некоторых случаях файл с сетевого ресурса, который, по мнению пользователя, является частью интрасети, открывается в режиме защищенного просмотра, а на панели безопасности появляется сообщение, что данный файл получен из Интернета. Это может происходить из-за неправильных настроек прокси-сервера или из-за невыбранного параметра "Automatically detect intranet network" (Автоматически определять принадлежность к интрасети) элемента "Local intranet" (Местная интрасеть) диалогового окна "Internet Options" (Свойства обозревателя), как показано на рисунке ниже:

· Открытие вложений из Outlook 2010. Вложения из Outlook 2010 открываются в режиме защищенного просмотра. Администраторы могут настроить политику таким образом, что в режиме защищенного просмотра будут открываться все вложения или только вложения, отправленные не из среды Exchange.

· Открытие файлов, полученных из небезопасных мест. Примером небезопасного расположения файлов является папка "Временные файлы Интернета". Администраторы могут расширить перечень небезопасных расположений, включив в него другие потенциально опасные папки.

· Файлы, заблокированные политикой блокировки файлов. В Office 2007 мы включили функцию под названием Блокировка файлов. Она позволяет администраторам определять типы файлов, которые не следует открывать. Если один из типов блокируется, становится невозможно открыть файл данного типа. Из отзывов пользователей мы узнали, что это снижает удобство использования, поскольку пользователи по-прежнему хотели "прочитать" заблокированные файлы. В Office 2010 заблокированные файлы можно открыть в режиме защищенного просмотра, а администраторы могут определить, смогут ли пользователи выйти из режима защищенного просмотра и отредактировать файл или нет. Надеемся, данная функция поможет вам забыть обо всех страхах и опасениях!

· Файлы, не прошедшие проверку файлов Office. Проверка файлов Office — это новая функция, которая сканирует файл Office при открытии и проверяет его по известной схеме. При наличии несоответствий между файлом и схемой, файл не пройдет проверку и откроется в режиме защищенного просмотра. Аналогично функции "File Block" (Блокировка файлов), можно настроить политику для определения, сможет ли пользователь перейти в режим редактирования.

· Файлы, открытые с помощью диалогового окна "File Open" (Открытие файла). Можно открыть файл в режиме защищенного просмотра с помощью команды "Open" (Открыть).

Режим защищенного просмотра упрощает работу пользователям

Наибольшим преимуществом использования режима защищенного просмотра является устранение запросов безопасности "are you sure" (Продолжить?) и одновременное предоставление более высокого уровня защиты. Если вы являетесь пользователе Outlook, вы могли заметить, что каждый раз при открытии вложения появляется вопрос:

Лично мне сложно ответить на этот вопрос, предварительно не просмотрев содержимого файла. В Office 2010 данное диалоговое окно не появляется, а файл сразу открывается в режиме защищенного просмотра. Это позволяет просмотреть содержимое и принять обоснованное решение, стоит ли доверять файлу. Если файл не заслуживает доверия или его необходимо только прочитать, то можно выполнить данное действие и закрыть файл. Такое большое количество проверок безопасности позволяет нам больше не беспокоиться, открывая файл.

Кроме всплывающего диалогового окна при открытии файла, мы также удалили приглашение панели просмотра Outlook, показанное ниже.

Теперь, когда файлы Word, Excel, PowerPoint и Visio можно просмотреть в панели просмотра Outlook и включен режим защищенного просмотра, больше не будут появляться приглашения с вопросом о доверии к открываемому файлу.

Оформление режима защищенного просмотра

Режим защищенного просмотра изменил оформление приложений Word, Excel и PowerPoint. Когда файл открывается в защищенном режиме, выполняются два экземпляра приложения. Рассмотрим открытие файла на примере Word. У нас есть один экземпляр файла Winword.exe, выполняющийся в контексте учетной записи, под которой пользователь вошел в систему (мы называем этот процесс "хост-процессом"), и второй экземпляр Winword.exe, выполняющийся как изолированный процесс (мы называем этот процесс "клиентским процессом"). Этот изолированный процесс мы также называем песочницей Office, поэтому данные понятия могут быть использованы как взаимозаменяемые.

Лучше всего описать данные понятия можно с помощью рисунка. К клиентскому процессу относится часть пользовательского интерфейса, выделенная черным цветом, а все остальное является частью хост-процесса, как показано на рисунке ниже.

Когда пользователь щелкает какой-либо элемент интерфейса хост-процесса, ограничение привилегий пользовательского интерфейса (UIPI) позволяет быть уверенными, что данное действие было выполнено пользователем, поэтому необходимость в дополнительных диалоговых окнах "Вы действительно выполнили это действие?" отпадает. Хост-процесс владеет верхней частью фрейма приложения, как показано на рисунке выше, и включает заголовок окна, ленту, панель безопасности, строку состояния и т. д. Хост-процесс управляет окнами режима защищенного и незащищенного просмотра и выполняет роль "посредника" для клиентского процесса. Одновременно может выполняться только один экземпляр клиентского (изолированного) процесса, и все файлы, открытые в режиме защищенного просмотра, используют одну и ту же песочницу приложения. Когда все окна режима защищенного просмотра закрываются, клиентский процесс останавливается. Если клиенту необходимо выполнить привилегированную задачу, такую как обращение к файловой системе, реестру или другим системным ресурсам, выполняется запрос к хост-процессу и хост будет выполнять роль посредника и выполнит задачу при наличии достаточных привилегий.

Как упоминалось ранее, клиентский процесс — это еще один процесс Windows, который выполняется в контексте учетной записи пользователя, однако при этом используется маркер ограниченного доступа. С помощью маркера ограниченного доступа этот процесс был лишен нескольких прав и привилегий. Для еще большего ограничения функциональности клиентского процесса, он выполняется как процесс с низкой степенью целостности. Маркер ограниченного доступа и низкая целостность (ограничение привилегий пользовательского интерфейса) составляют основу для песочницы Office 2010.

Как говорилось ранее, режим защищенного просмотра является одним из многих инструментов безопасности в Office 2010. Чтобы вредоносная программа могла быть выполнена в режиме защищенного просмотра, ей придется обойти такие средства, как DEP (Предотвращение выполнения данных), ASLR, GS и другие способы проверки файлов. А после этого вредоносной программе придется найти способ выбраться из песочницы.

Надеюсь, что теперь при получении "небезопасного" файла Word, Excel или PowerPoint, вы не будете опасаться, что что-либо плохое может случиться с вашим компьютером, а сможете открыть данный файл в режиме защищенного просмотра.

Викас Малхотра
программный менеджер по безопасности
Office Trustworthy Computing