Grunnsikring av Office 2013

Publisert: 09.11.2015

NSM har publisert en ny veileder innenfor systemteknisk sikkerhet. Den nye veilederen ser på sikkerheten i Microsoft-produktet Office 2013.

Sikkerheten til et Microsoft produkt styres gjennom en rekke innstillinger. Vi referer til en samling sikkerhetsinnstillinger og deres anbefalte verdier som en sikkerhetsbaseline.

Microsoft har sikkerhetsbaseliner for mange av sine produkter. Disse er basert på Microsofts egne erfaringer og commercial best practice innenfor området.

NSM har tatt utgangspunkt i Microsofts sikkerhetsbaseliner for Office 2013 og laget egne sikkerhetsbaseliner basert på disse, der NSM har justert noen av Microsofts anbefalte verdier.

Den nye NSM-veiledningen U-07 Grunnsikring av Office 2013 beskriver grunnsikring av Office 2013.

Tiltakene i NSMs sikkerhetsbaseliner er ment å reflektere commercial best practice og beskytter mot konvensjonell ondsinnet kode (mass malware).

NSM har lagt vekt på å finne en god balanse mellom sikkerhet og brukervennlighet. Ved bruk av sikkerhetsbaselinene får man et godt sikkerhetsnivå for Office 2013, uten at dette vesentlig reduserer brukervennligheten.

Følgende sikkerhetsbaseliner (laster ned .zip-fil) har blitt utviklet:

  • User Baseline med innstillinger som settes på bruker-nivå
  • Computer Baseline med innstillinger som settes på maskin-nivå

De viktigste tiltakene i de to sikkerhetsbaselinene kan oppsummeres som følger:

  • Kodebeskyttelse. Ondsinnet kode («exploits») skal stoppes/minimaliseres.
  • Mobil kode og tilleggsfunksjonalitet. Kun kjent programkode skal kunne kjøres.
  • Gamle dokumentformater. Dokumentformater fra før Office 2007 skal kontrolleres/sperres.
  • Dokument-opprinnelse. Lokale dokumenter skal behandles like strengt som de fra Internett.
  • Sentral styring. Brukerne skal ikke kunne svekke sikkerhetskonfigurasjonen til Office.
  • Beskyttelse mot skadelig epost. Potensielt skadelig innhold i eposter skal deaktiveres.

Målgruppen for veiledningen er personell som administrerer ugraderte Windows systemer i offentlig forvaltning. Veiledningene utgjør også første byggestein i graderte systemer som anvender Office 2013.

NSM anbefaler at sikkerhetsbaselinene for Office 2013 bør prøves ut i test- og referanseanlegg før de implementeres i produksjonsmiljøer.

I den nye veiledningen U-08 Sikkerhetsbaseliner gir NSM anbefalinger for hvordan man kan implementere, teste og dokumentere tiltak fra sikkerhetsbaseliner i IT-systemer som anvender Microsoft produkter, samt hvordan man kan håndtere avvik fra NSMs anbefalte tiltak. Med U-08 følger en sjekkliste for testing av tiltak fra sikkerhetsbaseliner og Windows PowerShell scripts (laster ned .zip-fil).

comments powered by Disqus