Борьба с Protected View в MS Office и настройка зон безопасности

Вообще-то, идея Protected View – это защита компьютера (MS Office) от документов, потенциально содержащих вредоносный код. Таковыми, автоматически считаются любые документы, полученные из недоверенных источников (в первую очередь с сайтов, не принадлежащих корпоративной сети). Открытый таким образом файл, будь то конечный документ или шаблон, блокируется от редактирования, точнее, его нужно явно переводить в режим редактирования. О чем сообщает соответствующее предупреждение:

image

В принципе, это достаточно логично и удобно – просмотреть документ можно, а чтобы получить доступ к полной функциональности, требуется явное разрешение пользователя. Однако, если мы открываем документ с наших корпоративных ресурсов, такое поведение будет сначала пугать, а затем раздражать (нужно делать дополнительные действия для начала работы!) пользователей, особенно, если вы настроили отдачу шаблонов по WebDAV.

Мы, конечно, можем просто отключить Protected View, но во-первых, это снижения уровня безопасности (пользователи открывают самые разные документы из самых разных источников – какие-то могут быть действительно зараженными), а во-вторых, есть еще одна проблема, не связанная с Protected View, но связанная с доверием/недоверием к источникам документов…

Собственно, вторая проблема связана с тем, как работает по WebDAV Microsoft Office: даже если вы используете Windows WebDAV клиент, т.е. открываете документ по ссылке \\romanovmihail.cloudapp.net@80\Templates\NewDoc.docx, Office все равно будет обращаться к документу собственными средствами (отчасти это оправдано, так как это позволяет использовать протокол WebDAV более полно: управлять блокировками, сохранять на сервере документы в процессе их редактирования, управлять версиями, …). Но Windows WebDAV-клиент и MS Office по-разному хранят список доверенных сайтов. В результате если вы настроили на сервере Windows-аутентификацию, и указали этот сервер в качестве доверенного в настройках WebDAV-клиента, при попытке открыть его в Office вы все равно получите запрос пароля:

image

Поэтому самым лучшим решением будет внести наш сервер в список доверенных узлов Internet. Этот список (его еще называют зонами безопасности Internet) мы хорошо знаем. Его можно получить, открыв настройки Internet Explorer на закладке Security:

image

Если добавить наш сайт в список Local intranet, обе описанные выше проблемы решатся сами собой

image

Вопрос, как обычно, в том, как произвести данную настройку централизованно. И как обычно, ответ будет, “используя GPO”. Однако, здесь есть несколько вариантов, каждый со своими плюсами и минусами (и главное, своей областью применения).

Вариант #1. Принудительная настройка зон безопасности.

Этот способ подойдет тем компаниям, которые имеют очень жесткие внутренние правила безопасности и не позволяют пользователям менять настройки системы. Итак, что делаем:

  • открываем редактор GPO, переходим на узел User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page (аналогично можно сделать для Computer Configuration) и выбираем настройку Site to Zone Assignment List:

image

  • В открывшемся диалоге разрешаем настройку и нажимаем кнопку Show…

image

  • В открывшемся списке заполняем колонки следующим образом:
    • Value name – URL сайта (можно использовать подстановочный символ *)
    • Value – целое число от 1 до 4:
      • 1 – Intranet zone
      • 2 – Trusted Sites zone
      • 3 – Internet zone
      • 4 – Restricted Sites zone

image

Нам подойдет 1 или 2.

После применения этой политики окно настроек списка сайтов для любой из зон будет выглядеть вот так:

image

(на рисунке не очень видно, поэтому поясню – все поля и кнопки не активны и поменять список для любой из зон нельзя).

Вариант #2. “Рекомендательная” настройка для IE 9 и младше.

Собственно по шагам:

  • В редакторе GPO выбираем узел User Configuration\Windows Settings\Internet Explorer Maintenance\Security, затем настройку Security Zone and Content Rating и в открывшемся окне переключаем на Import the current security zones and Privacy settings.

image

  • В появившемся окне предупреждения выбираем Continue (но прежде обратите внимание, что импорт настроек на данной машине происходить для отключенной усиленной безопасности. Обычно же на серверах усиленная безопасность включается. Боле подробно где будут читаться настройки можно узнать в статье)

image

  • Теперь нажимаем разблокированную кнопку Modify Settings и … видим знакомое окно настроек IE, в котором и указываем настройки нужных зон:

image

Да, вы все поняли правильно, импорт настроек будет происходить из текущих настроек компьютера, на котором вы работаете. Причем будут импортированы:

  • списки сайтов для каждой зоны
  • настройки каждой зоны

Что именно будет применяться в данной групповой политике легко увидеть в оснастке Group Policy Management, выбрав нужный GPO и открыв закладку Settings (если промотать чуть ниже, то можно будет увидеть и сам список URL):

image

Если теперь применить эту политику, то все настройки обновятся, но их можно будет поменять.

Вариант #3. Настройка для IE 10 и (видимо) старше

Увы, но раздел Internet Explorer Maintenance, не доступен для систем с IE 10. Причем, если на ваших серверах стоит IE 9 или более ранний вы даже не заподозрите подвоха. Почему так – не знаю, официальных комментариев от Microsoft я не видел.

Впрочем, это еще не повод для отчаянья. Коллеги с ресурса http://www.grouppolicy.biz (кстати, очень рекомендую всем, кто занимается промышленным администрированием Windows based сетей, а значит работает с групповыми политиками) нашли простой и эффективный способ решить проблему. Суть в следующем – смотрим как хранятся в реестре настройки зон безопасности и делаем соответствующую настройку в GPO.

Итак, настройки зон хранятся в реестре, в ключе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains, правда, в довольно хитрой форме. Например, 3 адреса:

Будут храниться вот так:

image

Т.е. имя узла разбивается на 2 части, а протоколы задаются в виде значений (см. в правой части редактора реестра)

Интерпретация числовых значений для каждого протокола такая же как у принудительного задания зон (см. начало статьи):

  • 1 – Local Intranet
  • 2 – Trusted Site
  • 3 – Internet
  • 4 – Restricted

Собственно последовательность действий теперь вполне очевидна:

  • в GPO редакторе открываем узел User Configuration\Preferences\Windows Settings\Registry, создаем новую запись (контекстное меню в правой части New\Registry Item)
  • В диалоге настройки задаем следующие параметры:
    • Action: Replace
    • Hive: HKEY_CURRENT_USER
    • Key Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\cloudapp.net\romanovmihail
    • Value Name: http (или https – смотря какой протокол мы используем)
    • Value Type: REG_DWORD
    • Value Type: <нужное нам значение>

image

На этом все.

Методики, описанные в этой статье можно использовать не только для настройки MS Office, а любых приложений, использующих списки зон Internet.

This entry was posted in MS Office and tagged , , , . Bookmark the permalink.

5 Responses to Борьба с Protected View в MS Office и настройка зон безопасности

  1. Rustam says:

    Приветствую, Михаил!
    У нас добавлены всем пользователям адрес SP в зону Интранет, но защищенный просмотр все равно включается, работаем по WebDAV при помощи GPO пробрасываем диски до пользователей

  2. Rustam says:

    собственно, что посовуетуете?

    • Рустам, добрый день.

      Первое, что приходит на ум – посмотреть как прописаны доверенные сайты у пользователей, и по каким реально адресам идет обращение. Например, значение имеет указание схемы протокола (http/https).

      Следующий шаг: проверить настройки Trust Center. Если честно, в его поведении для меня есть много загадок – а именно на какие именно ситуации распространяются его настройки. Попробуйте добавить ваш путь (не адрес сайта, а именно UNC путь) в список Trusted Location.
      Собственно как это сделать написано в статье Create, remove, or change a trusted location for your files. Если получится, то эти настройки можно распространять через GPO.

  3. Рустам says:

    Приветствую, Михаил!!
    у нас в компании 70% рабочих станций ноутбуки, люди часто работают извне, поэтому используем HTTPS для WebDAV, с 2013 офисом все ок, он воспринимает как надо, а вот 2010 пишет что файл открыт например из : T:\ (буква сетевого диска), будем пробовать добавлять в траст в таком виде: \\sitename.ru@ssl\

    Михаил, столкнулся еще с двумя аспектами использования SP по протоколу WebDAV,
    Первый:
    Предположим, что существует библиотека, к ней имеют полный доступ два пользователя – админ фермы и суперюзер1, в библиотеке есть по одному файлу 5 видов: docx,xlsx,pptx,txt,pdf
    Если оба пользователя удалят эти файлы из браузера, то они попадут в корзину сайта в обоих случаях.
    А если ту же самую операцию они проделают через WebDAV то в корзину сайта файлы попадут только после удаления админом фермы.
    Давно бьюсь с этой проблемой, облазил весь TechNET, не могли бы Вы меня натолкнуть на мысль в чем же дело?

    Аспект второй: в WebDAV отображении вместо даты изменения почему то дата создания файла, в веб-версии все ок. происходит это неопределенно, у некоторых файлов как надо, у некоторых нет.
    Ситуация с решением такая же, не можем решить с полгода, вроде бы можно без этого жить, но не удобно всё же

    Заранее, большое спасибо!

    • Рустам, добрый день.

      Пока с ходу ничего посоветовать не могу – надо думать.

      На всякий случай давайте попробуем перейти на более быстрый способ коммуникации, нежели блог.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s