Diario Informe

La línea de base de seguridad de Office 365 agrega firma de macros y protección JScript

La línea de base de seguridad de Office 365 agrega firma de macros y protección JScript

Microsoft ha actualizado la línea de base de seguridad para Microsoft 365 Apps para empresas (anteriormente Office 365 Professional Plus) para incluir protección contra ataques de ejecución de código JScript y macros sin firmar.

Línea de base de seguridad Permita que los administradores de seguridad utilicen líneas de base de objetos de política de grupo (GPO) recomendadas por Microsoft para reducir la superficie de ataque de las aplicaciones de Microsoft 365 y aumentar el nivel de seguridad de los puntos finales corporativos en los que se ejecutan.

"Una base de seguridad es un grupo de opciones de configuración recomendadas por Microsoft que explica su impacto en la seguridad", como Microsoft explica.

"Esta configuración se basa en los comentarios de los equipos de ingeniería de seguridad de Microsoft, grupos de productos, socios y clientes".

Índice de contenidos
  1. Cambios en la línea de base de seguridad
  2. Disponible a través del kit de herramientas de cumplimiento de seguridad de Microsoft

Cambios en la línea de base de seguridad

Los aspectos más destacados de la nueva configuración de seguridad principal recomendada para Microsoft 365 Apps para empresas, versión 2104, incluyen la protección contra ataques de ejecución remota de código al limitar la ejecución de JScript heredado para Office.

JScript es un componente heredado de Internet Explorer que, aunque reemplazado por JScript9, todavía lo utilizan las aplicaciones críticas para el negocio en entornos empresariales.

Además, se recomienda a los administradores que amplíen la seguridad de las macros permitiendo que un GPO requiera que los complementos de la aplicación estén firmados por editores de confianza y que los desactiven silenciosamente bloqueándolos y desactivando las notificaciones de la barra de confianza.

Los GPO que deben habilitarse para implementar estas configuraciones de seguridad básicas recomendadas son:

  • "Bloquear JScript heredado - Computadora" deshabilita la ejecución de JScript heredado para sitios web en la zona de Internet y en la zona de sitios restringidos.
  • "Requerir firma de macros: usuario" es un GPO de configuración de usuario que deshabilita las macros sin firmar en cada una de las aplicaciones de Office.

Otras políticas nuevas agregadas a la línea de base desde el lanzamiento del año pasado incluyen:

  • "DDE Lock - User" es un GPO de configuración de usuario que bloquea el uso de DDE para buscar procesos de servidor DDE existentes o para iniciar otros nuevos.
  • "Legacy File Block - User" es un GPO de configuración de usuario que evita que las aplicaciones de Office abran o guarden formatos de archivo heredados.
  • Nueva política: "Controlar cómo Office maneja las solicitudes de inicio de sesión basadas en formularios", recomendamos habilitar y bloquear todas las solicitudes. Esto no da como resultado que se muestren al usuario mensajes de inicio de sesión basados ​​en formularios, y al usuario se le muestra un mensaje que indica que el método de inicio de sesión no está permitido.
  • Nueva política: se recomienda aplicar la configuración predeterminada deshabilitando "Deshabilitar verificaciones de seguridad adicionales en referencias a bibliotecas VBA que pueden hacer referencia a ubicaciones inseguras en la computadora local" (Nota: esta descripción de política es un doble negativo, el comportamiento que recomendamos es que los controles de seguridad permanecen ENCENDIDOS).
  • Nueva política: se recomienda aplicar la configuración predeterminada desactivando "Permitir que VBA cargue referencias de bibliotecas de tipos por ruta desde ubicaciones de intranet que no sean de confianza". Aprender más sobre Preguntas frecuentes sobre las soluciones VBA afectadas por las actualizaciones de seguridad de Office de abril de 2020.
  • Nueva política dependiente: la política "Deshabilitar la notificación de la barra de confianza para complementos de aplicaciones sin firmar" tenía una dependencia que faltaba en la línea de base anterior. Para solucionarlo, agregamos la política faltante "Requerir que los complementos de la aplicación estén firmados por un editor de confianza". Esto se aplica a Excel, PowerPoint, Project, Publisher, Visio y Word.

Disponible a través del kit de herramientas de cumplimiento de seguridad de Microsoft

"La mayoría de las organizaciones pueden implementar la configuración de referencia recomendada sin problemas. Sin embargo, algunas configuraciones pueden causar problemas operativos para algunas organizaciones", Microsoft Ella dijo.

"Hemos dividido los grupos relacionados de estas configuraciones en sus GPO para que sea más fácil para las organizaciones agregar o eliminar estas restricciones en su conjunto.

"El script de política local (Baseline-LocalInstall.ps1) ofrece opciones de línea de comandos para comprobar si estos GPO están instalados".

La versión final de la línea de base de seguridad para Microsoft 365 Apps para empresas está disponible para descargar a través de Kit de herramientas de cumplimiento de seguridad de Microsoft.

Incluye "GPO importables, un script para aplicar GPO a políticas locales, un script para importar GPO a la directiva de grupo de Active Directory".

Microsoft también proporciona todas las configuraciones recomendadas en forma de hoja de cálculo, junto con un archivo de plantilla administrativa personalizado actualizado (SecGuide.ADMX / L) y un archivo de reglas de Policy Analyzer.

Las líneas base de seguridad futuras se alinearán con las versiones de canal semestrales de Microsoft 365 Apps para empresas cada junio y diciembre.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings