Борьба с Protected View в MS Office и настройка зон безопасности

Вообще-то, идея Protected View – это защита компьютера (MS Office) от документов, потенциально содержащих вредоносный код. Таковыми, автоматически считаются любые документы, полученные из недоверенных источников (в первую очередь с сайтов, не принадлежащих корпоративной сети). Открытый таким образом файл, будь то конечный документ или шаблон, блокируется от редактирования, точнее, его нужно явно переводить в режим редактирования. О чем сообщает соответствующее предупреждение:

В принципе, это достаточно логично и удобно – просмотреть документ можно, а чтобы получить доступ к полной функциональности, требуется явное разрешение пользователя. Однако, если мы открываем документ с наших корпоративных ресурсов, такое поведение будет сначала пугать, а затем раздражать (нужно делать дополнительные действия для начала работы!) пользователей, особенно, если вы настроили отдачу шаблонов по WebDAV.

Мы, конечно, можем просто отключить Protected View, но во-первых, это снижения уровня безопасности (пользователи открывают самые разные документы из самых разных источников – какие-то могут быть действительно зараженными), а во-вторых, есть еще одна проблема, не связанная с Protected View, но связанная с доверием/недоверием к источникам документов…

Собственно, вторая проблема связана с тем, как работает по WebDAV Microsoft Office: даже если вы используете Windows WebDAV клиент, т.е. открываете документ по ссылке \\romanovmihail.cloudapp.net@80\Templates\NewDoc.docx, Office все равно будет обращаться к документу собственными средствами (отчасти это оправдано, так как это позволяет использовать протокол WebDAV более полно: управлять блокировками, сохранять на сервере документы в процессе их редактирования, управлять версиями, …). Но Windows WebDAV-клиент и MS Office по-разному хранят список доверенных сайтов. В результате если вы настроили на сервере Windows-аутентификацию, и указали этот сервер в качестве доверенного в настройках WebDAV-клиента, при попытке открыть его в Office вы все равно получите запрос пароля:

Поэтому самым лучшим решением будет внести наш сервер в список доверенных узлов Internet. Этот список (его еще называют зонами безопасности Internet) мы хорошо знаем. Его можно получить, открыв настройки Internet Explorer на закладке Security:

Если добавить наш сайт в список Local intranet, обе описанные выше проблемы решатся сами собой

Вопрос, как обычно, в том, как произвести данную настройку централизованно. И как обычно, ответ будет, “используя GPO”. Однако, здесь есть несколько вариантов, каждый со своими плюсами и минусами (и главное, своей областью применения).

Вариант #1. Принудительная настройка зон безопасности.

Этот способ подойдет тем компаниям, которые имеют очень жесткие внутренние правила безопасности и не позволяют пользователям менять настройки системы. Итак, что делаем:

• открываем редактор GPO, переходим на узел User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page (аналогично можно сделать для Computer Configuration) и выбираем настройку Site to Zone Assignment List:

• В открывшемся диалоге разрешаем настройку и нажимаем кнопку Show…

• В открывшемся списке заполняем колонки следующим образом:
  • Value name – URL сайта (можно использовать подстановочный символ *)
  • Value – целое число от 1 до 4:
    • 1 – Intranet zone
    • 2 – Trusted Sites zone
    • 3 – Internet zone
    • 4 – Restricted Sites zone

Нам подойдет 1 или 2.

После применения этой политики окно настроек списка сайтов для любой из зон будет выглядеть вот так:

(на рисунке не очень видно, поэтому поясню – все поля и кнопки не активны и поменять список для любой из зон нельзя).

Вариант #2. “Рекомендательная” настройка для IE 9 и младше.

Собственно по шагам:

• В редакторе GPO выбираем узел User Configuration\Windows Settings\Internet Explorer Maintenance\Security, затем настройку Security Zone and Content Rating и в открывшемся окне переключаем на Import the current security zones and Privacy settings.

• В появившемся окне предупреждения выбираем Continue (но прежде обратите внимание, что импорт настроек на данной машине происходить для отключенной усиленной безопасности. Обычно же на серверах усиленная безопасность включается. Боле подробно где будут читаться настройки можно узнать в статье)

• Теперь нажимаем разблокированную кнопку Modify Settings и … видим знакомое окно настроек IE, в котором и указываем настройки нужных зон:

Да, вы все поняли правильно, импорт настроек будет происходить из текущих настроек компьютера, на котором вы работаете. Причем будут импортированы:

• списки сайтов для каждой зоны
• настройки каждой зоны

Что именно будет применяться в данной групповой политике легко увидеть в оснастке Group Policy Management, выбрав нужный GPO и открыв закладку Settings (если промотать чуть ниже, то можно будет увидеть и сам список URL):

Если теперь применить эту политику, то все настройки обновятся, но их можно будет поменять.

Вариант #3. Настройка для IE 10 и (видимо) старше

Увы, но раздел Internet Explorer Maintenance, не доступен для систем с IE 10. Причем, если на ваших серверах стоит IE 9 или более ранний вы даже не заподозрите подвоха. Почему так – не знаю, официальных комментариев от Microsoft я не видел.

Впрочем, это еще не повод для отчаянья. Коллеги с ресурса http://www.grouppolicy.biz (кстати, очень рекомендую всем, кто занимается промышленным администрированием Windows based сетей, а значит работает с групповыми политиками) нашли простой и эффективный способ решить проблему. Суть в следующем – смотрим как хранятся в реестре настройки зон безопасности и делаем соответствующую настройку в GPO.

Итак, настройки зон хранятся в реестре, в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains, правда, в довольно хитрой форме. Например, 3 адреса:

• http://romanovmihail.cloudapp.net/
• https://romanovmihail.cloudapp.net/
• https://www.romanovmihail.cloudapp.net/

Будут храниться вот так:

Т.е. имя узла разбивается на 2 части, а протоколы задаются в виде значений (см. в правой части редактора реестра)

Интерпретация числовых значений для каждого протокола такая же как у принудительного задания зон (см. начало статьи):

• 1 – Local Intranet
• 2 – Trusted Site
• 3 – Internet
• 4 – Restricted

Собственно последовательность действий теперь вполне очевидна:

• в GPO редакторе открываем узел User Configuration\Preferences\Windows Settings\Registry, создаем новую запись (контекстное меню в правой части New\Registry Item)
• В диалоге настройки задаем следующие параметры:
  • Action: Replace
  • Hive: HKEY_CURRENT_USER
  • Key Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\cloudapp.net\romanovmihail
  • Value Name: http (или https – смотря какой протокол мы используем)
  • Value Type: REG_DWORD
  • Value Type: <нужное нам значение>

На этом все.

Методики, описанные в этой статье можно использовать не только для настройки MS Office, а любых приложений, использующих списки зон Internet.