Základy ochrany dat v Microsoft Office: Výukový program. Syst. rozpoznávání textu

Ochrana systému pro aplikace MS Office

Laboratoř č. 2

Ochrana informací v Microsoft Office (Word, Excel, Access, Power Point) a Win OS.

Ochrana systému pro aplikace MS Office

Ve fázi ukládání souborů Word, Excel a Access je možné organizovat ochranu systému pro složky obsahující tyto soubory, tzn. Pro ochranu složek pomocí technologie (viz obrázek) není vůbec nutné pracovat se zástupci složek. Tato technologie je implementována přímo v oknech ukládání souborů, pokud, opakujeme, má uživatel příslušná práva.

Takže ve Wordu (obr.) a Excelu v okně Ukládání souboru přes Nástroje/Vlastnosti/Přístup nebo Služba/Vlastnosti/Zabezpečení přejdeme do stejných oken přístupu a zabezpečení systému jako na Obr.

Protože v Accessu je umístění nového databázového souboru, který má být uložen, určeno již v první fázi jeho vytváření, je popsaná technologie implementována v okně vytváření databázového souboru (obr.).

Kromě popsaných ochranných opatření, společných pro všechny aplikace MS Office, implementuje Access DBMS specifická ochranná opatření proti neoprávněnému přístupu ke konkrétním databázovým objektům (tabulkám, formulářům, dotazům, sestavám, makrům, databázi jako celku) s rozlišením uživatelských práv. a oprávnění k objektu. To je pochopitelné – vždyť databáze v DBMS musí být chráněny obzvlášť pečlivě.

Ochranné operace pro existující databázi Accessu se provádějí z nabídky Nástroje/Ochrana (obr.). Operace na ochranu před neoprávněným přístupem jsou specifikovány ve všech příkazech místní nabídky.

Příkaz Wizard spustí výkonného průvodce ochranou databáze (obrázek ukazuje vstup do průvodce – první krok). V 8 krocích průvodce ochranou, který předtím vytvořil zálohu databáze, chrání databázi rozdílně pro každého z povolených uživatelů a skupin uživatelů a pro databázové objekty.

a) Přístup k bezpečnostní službě

Rýže. Bezpečnostní operace v Accessu

b) první krok Průvodce ochranou přístupu

Rýže. Pokračování

Chcete-li spustit průvodce ochranou, musíte odstranit heslo databáze (pokud existuje) a přepnout z režimu výhradního přístupu (bez kterého není ochrana databáze heslem možná) do obecného režimu. Poté se v dialogu s průvodcem nastaví (nebo ve výchozím nastavení akceptují) četné bezpečnostní parametry, po kterých můžete obnovit ochranu heslem.

Podrobný popis operací zabezpečení systému databáze Access není naším úkolem, protože zabere příliš mnoho místa objemově srovnatelného s tímto návodem. Rozhraní bezpečnostních operací je dostatečně jednoduché, aby mu porozuměl i neprofesionální koncový uživatel.

Federální agentura pro vzdělávání Státní technická univerzita Tver V.B. GUKHMAN, E.I. TYURINA ZÁKLADY OCHRANY DAT V MICROSOFT OFFICE Studijní příručka První vydání Tver 2005 2 BBK32.81-018.2*32.979YA7 UDC 681.3.06(075.8) Gukhman V.B., Tyurina E.I. Základy ochrany dat v Microsoft Office: Učebnice. příspěvek. 1. vyd. Tver: TSTU, 2005. 100 s. V úvodu jsou uvedeny základní pojmy používané v příručce, základy ochrany údajů a také právní zdůvodnění potřeby a zákonnosti takové ochrany. Ani tento návod však není pro profesionály zbytečný. Doufáme, že seznámení se s ním pomůže udržet vaše data v bezpečí a v pořádku, bez ohledu na jejich obsah – vědecký, technický, politický, ekonomický, sociologický, lékařský, literární a umělecký atd. V opačném případě mohou být data náhodně ztracena v důsledku elementární nedbalosti nebo snadno zničena v důsledku nekalých úmyslů. Problém bezpečnosti dat má také etický význam spojený s respektem k vlastní práci a práci kolegů, kteří pomáhali sbírat data a vkládat je do počítače. Podle článku 20 zákona Ruské federace „O informacích, informatizaci a ochraně informací“4 jsou cíle ochrany informací: – zabránění úniku, krádeži, ztrátě, zkreslení, falšování informací; – prevence ohrožení bezpečnosti jednotlivce, společnosti a státu; – předcházení neoprávněným akcím směřujícím ke zničení, úpravě, zkreslení, kopírování, blokování informací; 2 Na rozdíl od všeobecného přesvědčení, hacker není cracker, ale „fanatický programátor zabývající se důkladným studiem počítačových systémů za účelem rozšíření jejich schopností“ [Pershikov V.I., Savinkov V.M. Výkladový slovník informatiky. M., 1995, str. 443]. Počítačový hacker - cracker (z cracker (anglicky) - drtič, louskáček). 3 Viz [Gukhman V.B. Filosofie informačního přístupu. Tver: TSTU, 2000]. 4 Zákon Ruské federace č. 24-F3 ze dne 20. února 1995 (ve znění federálního zákona č. 15-3 ze dne 10. ledna 2003) / www.medialaw.ru/russian_laws. I když jsou informace obsažené v datech přínosem pro celé lidstvo, buďte si jisti, že se najde někdo, kdo je bude chtít proměnit v „hromadu odpadků, jakmile dostane příležitost“ [Tiley, 1997. S. 20] . Činnosti anonymních znesvětitelů informací jsou „digitálním ekvivalentem znesvěcování hrobů a malování veřejných budov“ [Tamtéž] a musí být potlačovány se stejnou neústupností a důsledností jako činnost zlomyslných narušitelů veřejného pořádku a morálky. Z bezpečnostních důvodů však důrazně doporučujeme přiřadit hesla všem účtům. Při přihlašování k síťové pracovní stanici lze přidat třetí (síťový) identifikátor – název síťové domény. Doména – skupina počítačů se společnou administrací, databází adresářů a bezpečnostní politikou). Seznam práv každého uživatele a každé skupiny lze administrativně měnit, a to i pro vestavěné skupiny a uživatele. Existují dva typy uživatelských práv: a) oprávnění: právo archivovat soubory a složky, stahovat a uvolňovat ovladače zařízení, spravovat audity a bezpečnostní protokol, měnit parametry prostředí zařízení atd. – celkem asi tři desítky oprávnění; Oprávnění ke zdroji udělená skupině mohou zdědit všichni uživatelé této skupiny (podle uvážení vlastníka zdroje), pokud nejsou určitá oprávnění omezena (zamítnuta) pro konkrétní uživatele. Oprávnění udělená „nadřazenému“ prostředku (objektu), například disku nebo složce, jsou ve výchozím nastavení zděděna „podřízenými“ objekty (podsložky, soubory). Ale stejně jako u skupin může vlastník objektu „zpochybnit“ dědičná oprávnění a některá z nich odepřít (pro složky).

V dokumentech staršího formátu (.doc, .xls, .ppt, ...), které jsou CFBF, je VBA uloženo v úložišti druhé úrovně „Makra“, jehož formát je podobný předchozímu.

V tomto případě uživatel nebude schopen podle názvu (přípony názvu souboru) nebo ikony určit, že dokument může obsahovat makra.

Společnost Microsoft laskavě zveřejnila specifikaci formátu úložiště pro projekty VBA v dokumentech Office: . Jak byste mohli očekávat, mnoho zajímavých strukturních polí je popsáno ve specifikaci zhruba takto:

MUSÍ být při čtení ignorován. NESMÍ být přítomen při zápisu.

Pokud si však přejete, můžete zjistit, že kromě zdrojového kódu VBA se do souboru úložiště zapisuje také zkompilovaný tzv. p-kód (packed code). Formát tohoto přechodného kódu pro virtuální počítač závisí na verzi VBA. Pokud je dokument otevřen v aplikaci používající stejnou verzi virtuálního stroje, bude p-kód načten a spuštěn a zdrojový kód bude ignorován. Pro uložený kód existuje také třetí možnost: jedná se o binární formát specifický pro verzi aplikace, který se ve specifikaci zjednodušeně nazývá Performance Cache a zapisuje se do souboru při spuštění programu.

Je zajímavé poznamenat, že zatímco formát p-code je částečně dostupný antivirovým společnostem na základě podmínek smlouvy o nezveřejnění, pak formát Performance Cache, v řadě zdrojů nazývaný také Execode, je prakticky neznámý (na základě některých precedentů lze dokonce předpokládat, že samotný Microsoft je neznámý).

Tato technika poskytuje tvůrcům makrovirů určitou svobodu jednání a přináší další potíže pro antivirové skenery: v závislosti na verzi balíčku a virtuálního počítače lze zkompilovat zdrojový kód, použít p-kód nebo mezipaměť výkonu. nabité, které spolu nemusí nutně odpovídat.

Při otevírání dokumentů obsahujících projekty VBA aplikace vytvoří dočasný úložný soubor, do kterého zkopíruje adresáře VBA. Kopírování se provádí pomocí systémového rozhraní Structured Storage API aplikace Office v této fázi nereagují přímo s obsahem úložiště. Kód VBA, jedním ze tří způsobů, bude načten virtuálním počítačem až poté, co uživatel povolí spuštění (nebo pokud je spuštění povoleno ve výchozím nastavení).

Vestavěné mechanismy pro boj s makroviry

Existují dva hlavní bezpečnostní problémy, které je třeba řešit při vývoji architektury vašeho vlastního jazyka maker:

*Jaká makra mohou přistupovat
* Zda lze makra distribuovat jako součást dokumentů.

Pokud se podíváte na výše popsanou architekturu maker VBA společnosti Microsoft, je jasné, že oba tyto problémy jsou řešeny nesprávně. To vedlo k tomu, že otevření dokumentu Microsoft Office pomocí maker je ekvivalentní spuštění běžného spustitelného souboru.

Dokumenty Microsoft Office s makry:

* Má vlastnosti a schopnosti běžného spustitelného souboru
* Nepatří do typu spustitelného souboru registrovaného v systému a nejsou uživateli vnímány jako spustitelné.

Vzhledem k rozšířenosti Microsoft Office a odesílání dokumentů v e-mailových přílohách a také dvěma výše popsaným vlastnostem dokumentů s makry se staly snadným a spolehlivým způsobem, jak se malware dostat do počítačů uživatelů. Tak snadné, že Microsoft musel tento problém vyřešit rozšířením bezpečnostního mechanismu kancelářského balíku.

Přímo do aplikací Microsoft Office jsou integrovány dva bezpečnostní mechanismy:

* Chráněný režim prohlížení
* Zásady zakazující spouštění maker jazyka VBA.

Microsoft Office má chráněný režim, který se aktivuje při prohlížení souborů stažených z internetu, zakazuje spouštění jakéhokoli aktivního obsahu (včetně maker) a vytváří řadu omezení pro proces otevírání tohoto dokumentu. Při otevírání dokumentu v tomto režimu je vytvořen podřízený proces (ve kterém je dokument prohlížen) se sníženou úrovní integrity a omezením Job na vytváření podřízených procesů (v Jobu vytvořeno omezení na jeden aktivní proces).

Tato omezení jsou primárně zaměřena na zabránění zneužití běžných binárních zranitelností v samotné kancelářské aplikaci.

Izolace procesu, který zobrazuje dokument v chráněném režimu, je obecně dobře implementována a zaslouží si zvláštní zmínku.

Na aplikační úrovni poskytuje Microsoft Windows následující možnosti izolace procesů:

* Omezení procesního tokenu (přístupového tokenu).
* Omezení GUI subsystému
* Omezení objektů úlohy pro proces.

Izolace procesu kancelářské aplikace, který dokument zobrazuje, je dosaženo pomocí všech tří těchto mechanismů.

Přibližný diagram toho, jak funguje chráněný režim pro prohlížení dokumentů Microsoft Office

Nedůvěryhodné dokumenty se otevírají v izolovaném procesu, který vytváří hlavní broker proces kancelářské aplikace. K tomu se vygeneruje speciální token, pomocí kterého se pomocí funkce CreateProcessAsUser vytvoří izolovaný proces. V závislosti na tom, zda operační systém podporuje spouštění procesů s tokenem AppContainer či nikoli, se token generuje odlišně.

U operačních systémů, které podporují technologii AppContainer (Windows 8 a vyšší), se vytvoří složka kontejneru, nakonfigurují se oprávnění pro práci s pojmenovaným kanálem, přes který může izolovaný proces komunikovat s procesem zprostředkovatele, a speciální funkce (Capability) s je přidáno nezdokumentované SID, charakteristické pouze pro Microsoft Office. Procesy běžící na technologii AppContainer jsou omezeny přidanými schopnostmi. Definují hranice karantény, ve které proces běží. Izolovaný proces kancelářské aplikace proto může pracovat pouze se soubory ve své vlastní složce kontejneru a komunikovat s procesem brokera prostřednictvím pojmenovaného kanálu. Přístup k síti je zcela odepřen, protože proces nemá schopnost otevřít porty a odchozí připojení.

U dřívějších operačních systémů, které nepodporují technologii AppContainer, ale umožňují provádění procesu s nízkou integritou, je vyžadováno složitější nastavení tokenu izolovaného procesu. Následující SID ve skupinách tokenů jsou zakázány: Domain Users, Administrators, Console Logon, This Organization, NTLM Authentication, Medium Mandatory Level. V tokenu přístupu k izolovanému procesu jsou omezena SID následujících entit: Omezený kód, Všichni, Uživatelé, Přihlašovací relace. Oprávnění jsou nakonfigurována pro práci s pojmenovanými kanály procesu zprostředkovatele a úroveň integrity je snížena na nízkou. Vytvoří se také složka pro spuštění izolovaného procesu a nakonfigurují se oprávnění pro interakci s ním.

Jakmile je přístupový token nakonfigurován, bez ohledu na podporu technologie AppContainer je proces vytvořen ve stavu Pozastaveno. Tento proces je přidán do úlohy se zvláštními omezeními. Omezení objektu Job jsou obvykle následující:

* Počet aktivních procesů – 1
* Ukončit procesy s neošetřenou výjimkou
* Ukončit podřízené procesy, když se ukončí nadřazený proces.

Volitelně se v závislosti na nastavení kancelářské aplikace vytvoří zejména izolace GUI, lze vytvořit novou pracovní plochu pro izolovaný proces. Obvykle se to nedělá. Plocha definuje zejména schránku. Poté, co je proces vytvořen, nakonfigurován s oprávněními a přidán do objektu Job, zprostředkovatel procesu obnoví provádění izolovaného procesu a uvede jej ze stavu Pozastaveno.

Výše popsaný systém pro izolaci procesu, ve kterém se otevírá nedůvěryhodný dokument, výrazně komplikuje využití konvenčních binárních zranitelností. Útočníci musí v tomto případě zpravidla hledat další zranitelnosti v jádře OS, aby překročili sandbox vytvořený procesorem brokera izolovaného procesu, ve kterém je dokument zobrazen.

Povolením spouštění maker však aplikace nepoběží v chráněném režimu (i když byl soubor stažen), a virtuální stroj VBA tak nebude omezen. Uživatel může zakázat chráněné zobrazení kliknutím na tlačítko „Povolit úpravy“, které se zobrazí na žlutém varovném pruhu při otevření staženého dokumentu.

Možnosti spouštění aplikací VBA lze změnit uživatelským nastavením.

Konfigurace zásad spouštění maker v okně Centra důvěryhodnosti

Ve výchozím nastavení je zde nastavení, které zakazuje spouštění všech maker s upozorněním pro uživatele. „Poplachový signál“ vypadá takto:

Kliknutím na tlačítko „Povolit obsah“ uživatel povolí spouštění všech maker dokumentu, včetně automatických, čímž vystavuje svůj počítač riziku infekce.

V reakci na zvýšený počet hrozeb z distribuce dokumentů s makry vyvinul Microsoft přísnější bezpečnostní politiku, kterou mohou konfigurovat správci prostřednictvím mechanismu Windows Group Policy. Správce jej může nakonfigurovat tak, že bude zakázáno provádění maker v dokumentech stahovaných přes síť.

Je třeba také poznamenat, že všechny zásady mají výjimky:

* Důvěryhodná umístění v systému souborů
*Důvěryhodní vydavatelé.

Dokumenty z důvěryhodných umístění v systému souborů se otevírají s minimálními omezeními. Totéž platí pro mechanismus důvěryhodného vydavatele. Automaticky lze spouštět zejména VSTO podepsané certifikáty od důvěryhodných vydavatelů.

Obcházení anti-makrovirových metod

Většina metod, jak obejít bezpečnostní mechanismy, spoléhá na sociální inženýrství. Uživatelé nevnímají soubory Microsoft Office s makry jako spustitelné, takže mohou být snadno uvedeni v omyl tím, že se jim dokument otevírá abnormálně a vyzve uživatele, aby povolil makra k vyřešení problémů. Útočníci poskytují podrobné pokyny pro případ, že by uživatelé sami nedokázali přijít na to, jak to udělat, a přesvědčivě vypadající zdůvodnění potřeby je povolit.

Na souvisejících fórech můžete najít oznámení o vytváření „řešení návrhu na míru“ pro návrh dokumentů, která mají uživatele přesvědčit, aby zahrnul aktivní obsah. Náklady na taková řešení mohou být značné a účinnost podle autorů dosahuje až 60 %.

Využije se přání uživatele rychle získat informace z dokumentu. Z tohoto důvodu mnoho lidí bez přemýšlení povoluje provádění maker. Utváření vzhledu a obsahu takových dokumentů závisí výhradně na představivosti útočníků a je založeno na neznalosti typických uživatelů o komplexních možnostech makrojazyka VBA, což vede k infekci systému malwarem. Jakmile uživatel povolí spouštění maker a infikuje počítač, makro obvykle zobrazí uživateli informace, které chtěl vidět, a odpovídajícím způsobem změní otevřený dokument pomocí rozhraní Automation API.

Moderní verze Office mají možnost měnit zásady skupiny, což umožňuje správci domény zablokovat spuštění VBA na všech počítačích uživatelů, aniž by uživatel mohl toto nastavení změnit. Z bezpečnostního hlediska je to nepochybně krok vpřed. Bohužel tato funkce není často využívána, jelikož mnoho společností má vlastní aktivně využívanou sadu maker, kterých se nikdo nechce vzdát.

Existuje další nezřejmá nuance, která představuje významnou bezpečnostní mezeru. Paměť programu Office obsahuje "vlastnost" nazvanou AutomationSecurity, proměnná, která obsahuje nastavení zabezpečení pro aktivní obsah, včetně maker a ovládacích prvků ActiveX. Pokud byla aplikace spuštěna uživatelem standardním způsobem, například pomocí ikony na ploše nebo otevřením dokumentu, bude tato proměnná odpovídat nastavení nastavenému uživatelem v okně Centra zabezpečení nebo administrátorem pomocí šablon. Pokud je aplikace spuštěna jako klient Automation, ze skriptu nebo jiné aplikace (například účetní aplikace), bude proměnná AutomationSecurity obsahovat minimální hodnotu „msoAutomationSecurityLow“. V důsledku toho, když automatizovaná aplikace zpracovává dokument, budou spuštěny i programy VBA obsažené v dokumentu, pokud programátor konkrétně nezměnil proměnnou na msoAutomationSecurityByUI nebo msoAutomationSecurityForceDisable.

A závěrem...

A co virus Melissa a škody, které způsobuje? Úžasně efektivní a působivý výsledek vypadá ještě působivěji, pokud si dáte pozor na jeden malý detail: v Microsoft Office 97 se objevila varovná zpráva o nebezpečí makrovirů při otevírání dokumentu obsahujícího makra (Melissa, jak si vzpomínáme, se objevila v roce 1999).

Aby bylo možné varování vypnout, bylo nutné zrušit zaškrtnutí políčka v nastavení.

Zřejmě to zarazilo málokoho.

Štítky: Přidat štítky

Základní principy ochrany heslem lze rozdělit do tří typů:

• uložení hesla v dokumentu v prostém textu;
• uložení do dokumentu kontrolní hodnoty získané tím či oním způsobem z hesla (například pomocí hashovací funkce);
• zašifrování dokumentu pomocí klíče získaného z hesla.

První způsob ochrany heslem je nejjednodušší, a tedy i nejnespolehlivější. Pro obnovení hesla stačí vypočítat adresu, kde se v dokumentu nachází, a jednoduše přečíst znaky hesla. Mnoho renomovaných výrobců softwaru, včetně Microsoftu, jej však v některých případech používá.

Metoda, která zahrnuje uložení kontrolní hodnoty do dokumentu, je složitější, ale lze ji stejně snadno nabourat jako první. Pokud se pro výpočet řídicí hodnoty použije invertibilní funkce nebo funkce, pro kterou je snadné vybrat jednu z původních hodnot, pak se heslo jednoduše vypočítá. Pokud je funkce nevratná (například kryptografický hash), pak lze kontrolní hodnotu vždy nahradit dříve vypočítanou hodnotou ze známého hesla. Jediné, co tedy musíme udělat, je nahradit kontrolní hodnotu v dokumentu – a ochrana dokumentu je odstraněna. Tuto metodu používá také společnost Microsoft k ochraně určitých typů dokumentů heslem.

Třetí způsob ochrany je nejobtížnější. Jeho kryptografická síla je určena pouze sadou parametrů použitých k šifrování textu. Pokud je šifrovací klíč dostatečně dlouhý, zaručené hacknutí zabezpečení se stane jednoduše nemožným, i když použijete veškerý výpočetní výkon, který existuje na zeměkouli. Nejzranitelnějším bodem této ochrany je však samotné heslo. Uživatel potřebuje nejen chránit dokument, ale také přijít s heslem, které si může kdykoli zapamatovat. Bohužel mnoho uživatelů používá jako hesla krátké sekvence znaků, slova ze slovníku nebo sady čísel. V tomto případě již nezáleží na síle samotné ochrany – heslo lze velmi rychle najít přímým vyhledáváním nebo slovníkovým útokem.

Verze Microsoft Office

Na základě metod ochrany heslem lze rozlišit následující skupiny verzí Microsoft Office:

• rané verze jednotlivých aplikací: Word 2.0, 6.0; Excel 4.0, 5.0; Přístup 2.0.
• Microsoft Office 95;
• Microsoft Office 97/2000;
• Microsoft Office XP/2003;
• Microsoft Office 2007.

Podívejme se blíže na ochranu heslem každé z těchto skupin verzí.

Úplně první verze Microsoft Office

První verze Wordu a Excelu

V těchto programech je možné nastavit pouze jeden typ hesla – heslo pro otevření souboru. Word 2.0 a 6.0, stejně jako Excel 4.0 a 5.0, používají šifrování dokumentů logickým XOR s gama 16 bajtů. Nejprve se z hesla vypočítají dvě dvoubajtové hodnoty, z nichž jedna se používá ke generování gama a druhá se používá ke kontrole správnosti zadaného hesla. Protože operace XOR je vratná a dokumenty vždy obsahují známý text, je postup pro nalezení platného hesla velmi jednoduchý. Nejprve se na základě známého textu a zašifrovaného dokumentu zjistí gama. Znaky hesla jsou pak jednoznačně vypočítány, protože známe funkci generování gama.

Přístup 2.0

Microsoft Access používá zabezpečení databáze založené na řízení přístupu. Je možné vytvářet uživatelské účty, kterým lze přiřadit různá práva k databázi. V Accessu 2.0 jsou účty uloženy v souborech s příponou MDA. Pokud tento soubor chybí, není možné databázi vůbec otevřít. Pro každého uživatele je nastaveno heslo, které je také uloženo v databázi účtů. Způsob, jakým jsou hesla uložena, umožňuje jejich snadné obnovení – stačí porozumět formátu souboru. Hesla jsou uložena zašifrovaná, ale šifrovací klíč je znám. A co víc, můžeme otevřít jakoukoli databázi, i když je databáze účtů nepřístupná nebo ztracená. Databáze Access ukládá pro každého uživatele jedinečný identifikátor. Díky znalosti tohoto identifikátoru si můžeme vytvořit vlastní databázi účtů, přidat tam uživatele a přiřadit mu požadovanou hodnotu identifikátoru. Zabezpečení přístupové databáze na uživatelské úrovni je proto křehké. Můžete nejen najít uživatelská hesla, ale také otevřít libovolnou databázi bez ohledu na nainstalovanou ochranu.

Microsoft Office 95

Hlavním rozdílem mezi dokumenty Microsoft Office 95 a dokumenty prvních verzí je změněný formát souboru. Soubory Word a Excel jsou nyní strukturované úložiště ve formátu Microsoft OLE. Heslo pro otevření dokumentu se používá stejně jako v prvních verzích Wordu a Excelu. K ochraně dokumentů však bylo přidáno několik dalších typů hesel.

Heslo pouze pro čtení

Do aplikací Word a Excel bylo přidáno heslo pro otevření dokumentu v režimu čtení a zápisu. Pokud toto heslo nezadáte, dokument se otevře v režimu pouze pro čtení. Heslo je uloženo pomocí prvního schématu – jako prostý text v dokumentu.

Heslo pouze pro čtení je v dokumentu uloženo jako prostý text

Hesla k ochraně dokumentů, knih a listů

Do Wordu bylo přidáno heslo pro ochranu dokumentů, které umožňuje chránit jednotlivé textové fragmenty před změnami, Excel přidal hesla pro přístup k sešitům a listům. Všechna tato hesla mají jedno společné – druhé schéma ochrany. Z každého hesla se vypočítá 16bitový hash a uloží se do dokumentu. Těžko říct, co způsobuje tak malou délku hashe. V tomto případě pro každou z možných hodnot hash můžete najít mnoho hesel a není možné určit, které z nich uživatel původně zadal. Funkce, která převede hash na první odpovídající heslo, je velmi jednoduchá – heslo je nalezeno okamžitě.

Zabezpečení databáze Access 95

Access 95 představil další způsob ochrany vaší databáze. Nyní můžete nastavit heslo, které je požadováno při otevření databáze, bez ohledu na uživatelské účty a přístupová práva. Toto heslo je uloženo v hlavičce databáze. Na všechny znaky hesla se použije logická operace XOR se známým gama. Je zřejmé, že nalezení tohoto hesla není obtížné, stačí extrahovat sadu bajtů ze souboru a použít na ně operaci XOR.

Microsoft Office 97/2000

Word a Excel 97/2000

V Microsoft Office 97 se výrazně změnilo schéma použití hesla k otevření dokumentu ve Wordu a Excelu. Bylo použito třetí schéma ochrany heslem. Kvůli exportním omezením USA však tato ochrana nebyla trvalá. Z hesla se několika transformacemi MD5 vytvoří šifrovací klíč o délce 40 bitů. Dále je celý text dokumentu zašifrován tímto klíčem pomocí algoritmu RC4. Pro kontrolu platnosti hesla se používá MD5 hash, převzatý z náhodné hodnoty (jedinečné pro každý dokument) a jeho kopie, zašifrovaná pomocí algoritmu RC4. K nalezení hesla k dokumentu můžete použít hrubou sílu a slovníkové útoky. Průměrná rychlost vyhledávání hesel na procesoru Pentium 4 3 GHz je 500 tisíc hesel za sekundu. Heslo lze také zjistit pomocí slovníkového útoku. Exportní omezení USA nám však umožňují zaručit dešifrování dokumentu. Při délce klíče 40 bitů je celkový počet klíčů 1 099 511 627 776, rychlost vyhledávání klíčů je vyšší než rychlost vyhledávání hesel na stejném procesoru, který již dosahuje milionu hesel za sekundu. Projít všechny možné klíčové možnosti nám tedy zabere 305 hodin, což je zhruba 12 dní. A v distribuovaném útoku, kdy se využívá výpočetní výkon velkého množství počítačů, lze klíč najít za pár hodin. Microsoft tedy v Office 97 ochranu výrazně posílil, ale v jejím plném využití zabránila exportní omezení.

Zbytek hesel Wordu a Excelu je podobný heslům Office 95. Je tu však jeden zajímavý bod. Z nějakého důvodu se Microsoft rozhodl zašifrovat dokument aplikace Excel, pokud je na něj použito heslo pro přístup k sešitu. Šifrování probíhá pomocí hesla VelvetSweatshop. Můžete zkusit chránit dokument Excelu tímto heslem (nastavením tohoto řádku jako hesla pro otevření dokumentu) a podívat se na chování programu při otevírání souboru. Dokument se jednoduše otevře a dialog pro zadání hesla se ani nezobrazí! Pravděpodobně jde o formu protestu programátorů Microsoftu proti tvrdým pracovním podmínkám.

Francouzské verze Wordu a Excelu 97/2000

V době, kdy byly tyto verze Microsoft Office vydány ve Francii a některých dalších zemích, existovala velmi přísná omezení na používání kryptografických algoritmů. Zejména použití RC4, byť se 40bitovým šifrovacím klíčem, bylo zákonem zakázáno. Proto aplikace Word a Excel dodávané na francouzský trh používaly stejné schéma šifrování jako dokumenty Office 95.

Jednou z novinek v Office 97 je podpora vestavěného programovacího jazyka – Visual Basic for Applications (VBA). Zdrojové kódy maker lze vložit do libovolného dokumentu, který lze chránit heslem. V tomto případě je použito druhé schéma ochrany heslem - dokument ukládá hash hesla, vypočítaný pomocí velmi jednoduchého algoritmu (na základě logické operace XOR). Heslo lze snadno najít provedením zpětné konverze. Dalším způsobem, jak chránit makra VBA, jsou doplňky aplikace Excel. Pokud je doplněk vytvořen z makra, zdrojové texty nejsou k dispozici pro prohlížení. Pouhou změnou několika bajtů v servisní oblasti dokumentu se však doplněk změní na běžný dokument Excel, který nám umožňuje zobrazit zdrojové kódy maker. V důsledku toho není ochrana maker VBA v Office 97/2000 bezpečná, pokud jejich zdrojové texty ukládáme do dokumentu.

Microsoft Access 97/2000

Zdá se, že Microsoft je zcela spokojen se slabou ochranou databází Accessu. V Accessu 97/2000 se způsob uložení hesla pro otevření databáze nezměnil, je stále dostupné každému, kdo jej pomocí programu obnoví. Beze změny zůstala i ochrana databáze na uživatelské úrovni.

Microsoft Outlook 97/2000

Od verze 97 obsahuje Microsoft Office aplikaci Outlook jako součást balíčku. V této aplikaci můžete chránit soubory s osobními údaji heslem (mají příponu *.pst). Používá se druhý způsob ochrany heslem – uložení hashe hesla v dokumentu. Hash je kontrolní součet všech znaků v hesle, vypočítaný pomocí algoritmu CRC32. Tento algoritmus lze obrátit a lze nalézt vhodné heslo. Ochrana souborů PST není silná - heslo je nalezeno okamžitě.

Kromě ochrany osobních údajů heslem umožňuje Outlook ukládat hesla k e-mailovým účtům. Ve verzi Office 97 jsou tato hesla uložena v systémovém registru, v nastavení MAPI, zašifrována jednoduchým algoritmem se známým šifrovacím klíčem. V Office 2000 jsou tato hesla uložena v Protected Storage, tajném úložišti vyvinutém společností Microsoft. Protože však program dokáže získat heslo z úložiště a přenést ho na server, nic nám nebrání v tom, abychom algoritmus uložení hesla obrátili a udělali to samé. Oba způsoby ukládání hesel, MAPI a Protected Storage, jsou slabé.

Microsoft Office XP/2003

Microsoft Word, Excel, PowerPoint XP/2003

V sadě Microsoft Office XP bylo zcela přepracováno schéma použití hesla k otevření dokumentu. Navíc je nyní možné nastavit toto heslo pro dokumenty PowerPoint. Microsoft CryptoAPI se nyní používá k šifrování dokumentů. Tento systém umožňuje používat kryptografické poskytovatele - speciální dynamické knihovny, ve kterých jsou implementovány kryptografické algoritmy. Microsoft tímto způsobem řeší problém omezení exportu. Pro země, kde taková omezení existují, jsou k dispozici oříznuté verze poskytovatelů kryptoměn, které umožňují šifrovat dokumenty pomocí krátkého klíče (obvykle ne více než 40 bitů). Všichni ostatní mají možnost šifrovat dokumenty klíčem o délce až 128 bitů. Není možné vyčíslit všechny možné hodnoty 128bitového klíče v přijatelném čase – a to ani při použití velmi velkého množství výpočetních zdrojů. Šifrovací algoritmus zůstává stejný - RC4. Algoritmus hašování hesel se změnil: nyní je to SHA-1, který je bezpečnější než MD5. Jediný způsob, jak najít heslo, je hrubá síla nebo slovníkový útok. Pokud uživatel zadal silné heslo, není možné ho v rozumném čase najít. Rychlost vyhledávání hesel na procesoru Pentium 4 3 GHz je asi 300 tisíc hesel za sekundu. I při takovémto schématu ochrany však hraje velmi důležitou roli lidský faktor. Microsoft kvůli kompatibilitě s předchozími verzemi ponechal možnost použít schéma ochrany z Office 97 a to se na dokument aplikuje standardně. Uživatel, který se špatně orientuje v bezpečnostních schématech, samozřejmě použije staré schéma, ve kterém lze zaručit, že dokument bude dešifrován za pár hodin.

Je nainstalována ochrana kompatibilní s Office 97/2000
ve výchozím nastavení v Office XP

Visual Basic for Applications

V sadě Microsoft Office XP byl změněn algoritmus pro generování hodnoty hash hesla pro ochranu maker jazyka VBA. Nyní se místo křehké operace XOR používá algoritmus SHA-1, který znemožňuje zvrátit heslo. Tento hash však můžeme vypočítat pro jakékoli jiné heslo a jednoduše jej v dokumentu nahradit. Dostáváme tak možnost toto heslo buď změnit, nebo zcela resetovat. Proto ochrana maker VBA heslem prostě nedává smysl.

Outlook XP/2003

Schéma ochrany soukromí v aplikaci Outlook XP/2003 se nezměnilo. Kontrolní součet CRC32 hesla je stále uložen v dokumentu. Výrazných změn však doznalo ukládání hesel k emailovým účtům. Tato hesla byla opět přesunuta do úložiště nastavení MAPI. Nyní jsou však šifrovány systémovou funkcí CryptProtectData(). Tato funkce umožňuje šifrovat data konkrétního uživatele systému na základě jeho přihlašovacího hesla. Pokud je tedy uživatel již přihlášen, může jistě obnovit hesla k e-mailovému účtu. Pokud se však jiný uživatel nebo dokonce správce systému pokusí tato hesla obnovit, musí znát přihlašovací heslo uživatele. Pokud se toto heslo externě změní, data se jednoduše ztratí, protože dojde ke ztrátě šifrovacího klíče. Přihlašovací heslo je tématem na samostatný článek. Podotýkáme pouze, že jej lze nalézt přímým vyhledáváním a za určitých podmínek je nalezen velmi rychle.

PowerPoint 2003, heslo pouze pro čtení

PowerPoint 2003 zavedl možnost nastavit heslo pro ochranu dokumentu před změnami. Toto heslo je v dokumentu uloženo podle prvního schématu, tedy jako prostý text. Dokument je však zašifrován známým heslem sestávajícím ze dvou jmen, pravděpodobně vývojářů.

Microsoft Office 2007

Microsoft Office 2007 výrazně zlepšil zabezpečení dokumentů. Formát souboru byl výrazně změněn: nyní se místo kontejnerů OLE používá snadno čitelný formát XML. Pokud je však soubor chráněn heslem „pro otevření“, dokument je kontejner OLE, který obsahuje informace o šifrování a samotný zašifrovaný dokument. Pro šifrování je použit známý a velmi bezpečný AES algoritmus. Délka klíče je vždy 128 bitů, což eliminuje možnost přímého vyhledávání klíčů. Při vytváření klíče proběhne 50 tisíc transformací pomocí algoritmu SHA-1, jehož výchozím údajem je heslo a číslo jedinečné pro každý dokument. Zároveň je výrazně snížena rychlost přímého vyhledávání hesel a podle předběžných odhadů bude na moderních procesorech Intel Core 2 Duo asi 500 hesel za sekundu. Proto je téměř nemožné obnovit silné heslo pro dokument Office 2007. Jedinou překážkou použití této ochrany je nový formát souborů, který zatím není příliš rozšířen. Pokud budete dokumenty ukládat ve starých formátech, bude ochrana slabší.

Chraňte dokumenty a kód

Jak je uvedeno výše, jedinou silnou ochranou v Microsoft Office je heslo pro otevření dokumentu Word, Excel a PowerPoint. Verze Office musí být XP nebo novější. Nevybírejte výchozí algoritmus zabezpečení. Mezi poskytovateli kryptoměn se doporučuje zvolit Microsoft Strong Cryptographic Provider a délku klíče 128 bitů. Heslo musí mít alespoň 8 znaků a heslo musí obsahovat velká a malá písmena, číslice a speciální znaky. Příklad silného hesla: „qU8&lg$H“. Jako heslo nepoužívejte slova ze slovníku, SPZ auta ani rok narození.

Při vývoji aplikací ve VBA neuvádějte zdrojový kód maker do dokumentů – lze jej odtud snadno extrahovat i přes přítomnost hesla. Zkompilujte makra a uložte pouze zkompilovaný kód.

Při vývoji databází v aplikaci Microsoft Access zkompilujte kód pro práci s databází a vytvořte soubory MDE. V tomto případě není přístup ke zdrojovým textům.

V aplikaci Microsoft Outlook se nedoporučuje ukládat hesla k e-mailovým účtům, pokud mají k počítači přístup další lidé kromě vás. Vaše heslo lze získat z trezoru a umožnit tak třetím stranám získat přístup k vašim poštovním schránkám. Nemá smysl nastavovat hesla pro soubory PST, protože je lze snadno najít. Pro ukládání osobních údajů se doporučuje použít server Microsoft Exchange nebo umístit soubory s osobními údaji na média chráněná před přístupem programů jiných společností, například PGP Disk.

Nepoužívejte starší verze Microsoft Office, protože to bude vyžadovat oslabení zabezpečení dokumentů z důvodu kompatibility.

Kontrola síly hesla

Organizace velmi často čelí problému kontroly síly hesel. Každý zaměstnanec si nastavuje hesla podle svých osobních preferencí. Hesla vytvořená uživateli však nemusí být silná. Ke kontrole síly hesla můžete použít program Advanced Office Password Recovery (http://www.passwords.ru), který podporuje dokumenty ze všech verzí Microsoft Office. Když otevřete dokument, program automaticky zjistí jeho verzi a hesla nastavená v dokumentu. Slabá hesla jsou okamžitě nalezena a zobrazena, u silných hesel je nejprve aplikován předběžný útok, který kontroluje hesla proti slovníku a také provádí přímé vyhledávání krátkých hesel. Pokud je heslo nalezeno v důsledku tohoto útoku, není silné. Dále musíte analyzovat metodu ochrany použitou na dokument. Pokud je ochrana kompatibilní s Office 97/2000, lze dokument dešifrovat během několika hodin.

Obnovení zapomenutých hesel

Velmi často dochází ke ztrátě nebo zapomenutí hesel k dokumentům. Někdy po sobě odcházející zaměstnanec zanechá soubor dokumentů chráněných heslem. Chcete-li obnovit zapomenutá hesla Microsoft Office, můžete použít Advanced Office Password Recovery a Elcomsoft Distributed Password Recovery, které vám umožní najít silná hesla pomocí výpočetního výkonu počítačů v síti. Pomocí těchto programů také můžete zaručit, že dešifrujete dokument, na který byla aplikována ochrana kompatibilní s Office 97/2000; Rychlost obnovy hesla navíc přímo závisí na počtu zapojených počítačů. Další programy pro obnovu hesla si můžete prohlédnout na výše uvedené webové stránce

Zavedení

Kontrola pravosti souborů a kódů na základě technologie digitálního podpisu

Ochrana dokumentů

2 Obnova dat pomocí automatického obnovení

3 Technologie Information Rights Management (IRM).

Funkce zabezpečení v aplikaci Outlook 2003

2 Bezpečná investice

3 Zabezpečení adresáře

4 Zprávy IRM pro aplikaci Outlook 2003

5 Ochrana proti spamu

Nastavení zabezpečení v MS Word

1 Ochrana heslem pro otevření souboru

2 Ochrana heslem pro zápis do souboru

4 Ochrana heslem pro změnu dokumentu s výjimkou oprav záznamu

5 Ochrana heslem pro změnu dokumentu, kromě vkládání poznámek

6 Ochrana heslem pro změnu dokumentu, kromě zadávání dat do polí formuláře

Nastavení zabezpečení v MS Excel

1 Ochrana listu heslem

2 Ochrana knihy heslem

3 Ochrana sdílené účetní knihy heslem

Závěr

Zavedení

K zajištění důvěrnosti informací v elektronické podobě uživatelé zpravidla používají takové prostředky, jako je zabalení do archivů heslem, přidělování přístupových oprávnění k určitým složkám a souborům pro uživatele počítače, šifrování pomocí nástrojů souborového systému, šifrování pomocí různých specializovaných programů a atd. Zároveň k ochraně málo hodnotných informací někdy používají takové „těžké dělostřelectvo“ jako PGP apod. A naopak uživatel nechá cenný dokument nechráněný, protože neví o možnostech jeho ochrany . Mezitím některé programy mají vestavěné prostředky na ochranu dat před zvědavýma očima.

Mezi programy pro zabezpečení informací patří například součásti známého softwarového balíku Microsoft Office. Pomocí nástrojů v nich zabudovaných je možné zakázat nejen otevření souboru, ale i změnu informací v něm, a také je možné povolit změny pouze jednotlivých prvků dokumentu. Tyto aspekty bych rád zvážil na příkladu Microsoft Office 2003.

Bezpečnostní systém v Microsoft Office 2003 je zastoupen v několika hlavních oblastech:

· kontrola pravosti souborů a kódů na základě digitálního podpisu;

· řízení přístupu k souborům;

· odstranění osobních údajů z dokumentů před jejich distribucí;

· obnova dat v případě selhání (Autorecovery);

· ochrana dat na úrovni jednotlivých souborů, která umožňuje nastavit okruh osob, které mají právo přístupu k dokumentům (Information Rights Management, IRM).

Kromě výše uvedených oblastí, které jsou společné všem aplikacím, existují i ​​specifické funkce, které jsou charakteristické pro jednotlivé programy obsažené v balíku MS Office. Většina těchto funkcí je dostupná v Outlooku 2003, proto se u této aplikace zastavím trochu podrobněji.

1. Kontrola pravosti souborů a kódů na základě technologie digitálního podpisu

Když je do vašeho počítače stažena aplikace, která má provádět určité akce, můžete si být jisti, že tyto akce nebudou škodlivé, pokud aplikace pocházela ze spolehlivého (důvěryhodného) zdroje. Technologie digitálních certifikátů se používá k vytvoření důvěry v aplikace. Certifikační autorita ověřuje informace vývojářů softwaru a vydává jim digitální certifikáty obsahující informace o osobě, které jsou vydány, a certifikační autoritě, která tyto certifikáty vydala. Digitální podpis pomocí informací obsažených v digitálním certifikátu chrání přenášená data před neoprávněným přístupem a slouží jako identifikace odesílatele.

Office 2003 používá technologii digitálního podpisu k podepisování souborů, dokumentů a maker. Pokud je podepsán celý soubor, digitální podpis zajistí, že soubor nebyl od doby podpisu změněn. Podepisování kódu je podobné digitálnímu podpisu, ale obvykle pojem „digitální podpis“ označuje proces podepisování dokumentu a „podepisování kódu“ označuje podepisování spustitelného kódu. Podepsáním kódu zajistíte, že nebyl změněn od doby, kdy byl původně podepsán. Když se uživatel pokusí načíst neregistrovaný ovládací prvek ActiveX, aplikace Office 2003 zkontroluje, zda je ovládací prvek podepsán. Odezva aplikace závisí na nastavené úrovni zabezpečení.

Office 2003 také poskytuje možnost povolit nebo zakázat provádění nepodepsaných maker, což je řada aplikačních příkazů a příkazů seskupených do jediného příkazu pro automatizaci provádění úlohy. Makra mohou zlepšit efektivitu, ale zároveň představují hrozbu jako prostředek šíření virů. Podepisování maker vám umožňuje povolit spuštění pouze předem specifikovaných maker a povoluje nebo zabraňuje spuštění nepodepsaných maker.

Použití maker můžete ovládat nastavením úrovně ochrany maker. Karta Úroveň zabezpečení nastavuje úroveň zabezpečení pro použití maker v aplikacích Office. Uživatelé Office 2003 si mohou vybrat čtyři úrovně zabezpečení podle úrovně kontroly, kterou mají.

Seznam Důvěryhodné zdroje sady Office Suite umožňuje správci povolit spouštění na počítačích uživatelů pouze podepsaným spustitelným souborům od dodavatelů uvedených v seznamu. To vyžaduje, aby byl každý spustitelný modul digitálně podepsán. Digitální podpis identifikuje zdroj a zajišťuje bezpečné provedení kódu.

2. Ochrana dokumentů

Aplikace sady Office 2003 nabízejí řadu metod ochrany dokumentů.

Řízení přístupu k souborům ve Wordu 2003, Excelu 2003 a PowerPointu 2003 nabízí tři typy ochrany, které řídí, kdo může otevírat nebo upravovat soubory:

· ochrana při otevírání souboru - uživatel je povinen před otevřením souboru zadat heslo. Dokument je zašifrován pomocí uživatelem specifikovaného šifrovacího standardu a může jej číst pouze osoba, která vlastní heslo;

· ochrana proti změnám souborů - dokument můžete otevřít bez hesla, ale nemůžete jej upravit;

· ochrana s doporučením otevřít soubor pouze pro čtení - uživatel je vyzván k otevření souboru pouze pro čtení, ale má možnost otevřít soubor v režimu čtení/zápis bez zadání hesla.

Heslo se zadává na záložce Zabezpečení. Na této kartě má uživatel možnost buď digitálně podepisovat, šifrovat nebo současně podepisovat a šifrovat soubory v aplikacích Word, PowerPoint a Excel.

Kliknutím na tlačítko Upřesnit, které se nachází za polem pro zadání hesla, uživatelé získají přístup k panelu Typ šifrování, kde si mohou vybrat šifrovací algoritmus a délku klíče.

Poté, co jste soubor ochránili heslem, při pokusu o jeho otevření se zobrazí zpráva s panelem pro zadání hesla

Možnost otevřít soubor v jiné aplikaci neznamená, že budete moci číst jeho obsah. Pokud například otevřete tento soubor v programu Poznámkový blok, uvidíte zašifrovaný text.

Je třeba poznamenat, že odolnost vůči hackování přímo závisí na dodržování pravidel pro vytváření hesla. Existuje mnoho programů na hádání hesel, které používají tři hlavní metody: přímou hrubou sílu, hrubou sílu masky a slovníkovou hrubou sílu.

Dokumenty Office 2003 lze chránit pro jednotlivé uživatele nebo pro celé skupiny a každému uživateli nebo skupině lze přiřadit sadu oprávnění na základě jejich role definované vlastníky dokumentu. Tyto schopnosti budou podrobněji diskutovány níže při diskuzi o technologii Information Rights Management.

1 Smazání osobních údajů

zámek ochrany kódu souboru

V dokumentech Office 2003 se generují tzv. metadata, která zaznamenávají informace o autorovi a editorech dokumentu. Tyto informace jsou velmi užitečné při vyhledávání a klasifikaci dokumentů; Můžete také najít autora dokumentu a zjistit, kdo provedl jaké změny v dokumentu. Metadata umožňují zobrazit úpravy a odstranit je, pokud chcete vrátit dokumentu jeho původní vzhled.

Někdy mohou být informace o autorství a úpravách dokumentu důvěrné. Problémy mohou nastat v situacích, kdy autoři dokumentu, zapomenou nebo vůbec nevědí o přítomnosti metadat v dokumentu, tyto informace šíří proti svému přání. Proto byste před distribucí dokumentu neměli zapomínat na přítomnost metadat a odstranit všechny citlivé informace. Aplikace Word, PowerPoint a Excel umožňují odstranit všechny takové informace ze souboru. Tato operace se provádí samostatně pro každý soubor.

Word umožňuje nastavit upozornění, které se zobrazí, když soubor obsahuje metadata (včetně oprav a komentářů), než soubor uložíte, vytisknete nebo pošlete e-mailem. Když se pokusíte uložit dokument, který obsahuje opravy nebo komentáře, zobrazí se odpovídající připomenutí. Toto upozornění je zamýšleno jako rada a pokud je třeba metadata odstranit, musí tak učinit uživatel sám.

2 Obnova dat pomocí automatického obnovení

Tuto funkci lze klasifikovat jako funkci zabezpečení, protože pomáhá předcházet ztrátě dat. Pokud aplikace Office selže a přestane reagovat, můžete neúspěšný program ukončit uživatelsky řízeným způsobem pomocí nástroje Microsoft Office Application Recovery, který se nachází ve skupině programů Microsoft Office Tools. V důsledku toho bude vyvolán panel Microsoft Office Application Recovery, který poskytuje přístup k položkám Restart Application Recovery a End Application Recovery.

Soubory, se kterými aplikace pracovala, jsou zkontrolovány na chyby a poté, pokud je to možné, jsou informace v nich obnoveny.

Své soubory můžete navíc chránit pravidelným ukládáním dočasné kopie souboru, se kterým pracujete. Abyste mohli obnovit svou práci po výpadku napájení nebo jiné poruše, musíte povolit funkci automatického obnovení dříve, než dojde k poruše. Ve výchozím nastavení dochází k ukládání každých 10 minut. Tento interval lze ale změnit.

2.3 Technologie Information Rights Management (IRM).

Uživatelé Microsoft Office 2003 mají flexibilnější možnosti řízení přístupu k dokumentům, které vytvářejí. Únik důvěrných dat mimo organizaci do značné míry závisí na neopatrnosti uživatelů. Technologie IRM vám umožňuje omezit přeposílání, vkládání, tisk a další neoprávněné akce s daty tím, že je zakážete v dokumentech a e-mailových zprávách chráněných IRM. IRM umožňuje určit okruh osob, které mají právo prohlížet a měnit dokument, blokovat kopírování a tisk souborů, nastavit omezení doby platnosti dokumentů a také chránit autorská práva k digitálním datům, zabránit jejich neoprávněnému tisku, přeposílání a kopírování – toto rozšíření Základní technologie správy práv RM, která se používá v systému Microsoft Windows, je technologie zásad používaná aplikacemi k ochraně citlivých podnikových dat bez ohledu na to, jak nebo kým je používají.

Tento krok Microsoftu, zaměřený na popularizaci Windows Rights Management Services, jistě zvýší prodej serverového softwaru. IRM do jisté míry narušuje tradiční univerzálnost formátů MS Office – pokud dříve mohli uživatelé upravovat jakékoli dokumenty uložené ve formátech Word nebo Excel v libovolném kompatibilním programu, nyní bude možné s dokumenty chráněnými IRM pracovat pouze v Office 2003. Alternativní kancelářské programy, Ani s podporou formátů Microsoftu se k tomu nehodí.

Podle Matta Rosoffa, analytika společnosti Directions on Microsoft, mohou zákazníci očekávat rychlé přijetí technologie IRM, protože řeší naléhavý problém pro podniky a je relativně levná a snadno použitelná. Pan Rosoff uvádí: „V případě správy digitálních práv je velmi jasné, co to je a co dělá. Nejedná se o masový produkt, ale myslím si, že se rozšíří v těch odděleních, kde pracují s důvěrnými dokumenty.“

Ochrana IRM je poskytována na úrovni souborů, takže omezení jejího použití platí vždy.

Proces ochrany dat pomocí IRM zahrnuje následující kroky:

· Vytvořit – Autor vytvoří obsah v aplikaci Office 2003 a zadá jména uživatelů, kteří budou mít práva k přístupu k obsahu, a zda lze soubor kopírovat a tisknout nebo pouze prohlížet. Samotná aplikace přístupových práv k souborům je uživateli skryta a je zajištěna interakcí aplikace se službami RMS na serveru;

· distribuce - autor distribuuje soubor tak, že jej připojí k e-mailovým zprávám, zveřejní ve veřejné složce nebo zkopíruje na disk;

· spotřeba - příjemce otevře dokument nebo spis běžným způsobem. V tomto případě aplikace tiše komunikuje se službami RMS na serveru a kontroluje, zda má uživatel oprávnění k přístupu k dokumentu. Služba RMS zkontroluje práva uživatele a vydá licenci k použití dokumentu. Aplikace zobrazí dokument na obrazovce a vynucuje přístupová práva.

3. Funkce zabezpečení v aplikaci Outlook 2003

Každý uživatel aplikace Outlook 2003 má možnost konfigurovat osobní nastavení zabezpečení. V těchto nastaveních můžete nastavit režim, ve kterém budou odesílané zprávy šifrovány nebo digitálně podepisovány. Můžete také nastavit zóny zabezpečení a blokovat stahování materiálů z externích odkazů ve zprávách HTML.

Než budete moci digitálně podepisovat své e-mailové zprávy, musíte získat osobní digitální ID – digitální certifikát, který pro konkrétní e-mailovou adresu vydávají nezávislé certifikační autority. Pokud má uživatel více e-mailových adres, musí mít odpovídající počet certifikátů. Na základě digitálního certifikátu má uživatel přístup k individuálnímu elektronickému podpisu a dvojici klíčů (veřejný a soukromý). Tlačítko Get a Digital ID přesměruje uživatele na webovou stránku organizací, které poskytují certifikáty, jako je www.verisign.com nebo<#"justify">3.1 Blokování obsahu na externích odkazech

E-maily HTML mohou obsahovat obrázky, které jsou staženy z webového serveru při otevření e-mailu. Skutečnost stahování ze serveru je potvrzením, že poštu někdo čte. Tuto funkci mohou využít spameři ke kontrole relevance adres v seznamech spamu. Aplikace Outlook 2003 má funkci blokování externího obsahu, která zabraňuje všem pokusům o připojení k webovému serveru na Internetu, dokud se uživatel nerozhodne tento obsah zobrazit.

Pokud potřebujete pouze přečíst text dopisu, nemusíte nahrávat obrázky. Blokování obrázků tedy kromě boje proti spamu umožňuje omezit objem provozu, což je důležité pro uživatele využívající nízkorychlostní připojení.

Kliknutím pravým tlačítkem na text se zobrazí panel, kde můžete změnit způsob načítání obrázků v e-mailech HTML.

Pokud jsou obrázky přijaty se zprávou a nejsou uloženy na webovém serveru, zobrazí se ve výchozím nastavení v aplikaci Outlook. Obrázky nejsou blokovány ani v e-mailových zprávách, které obsahují odkazy na weby, které jsou určeny jako zóny zabezpečení aplikace Internet Explorer pro důvěryhodné weby. Navíc nejsou blokovány obrázky v e-mailových zprávách odeslaných někým ze seznamu důvěryhodných odesílatelů.

2 Bezpečná investice

Jedním z největších problémů jsou viry v přílohách e-mailů. Aby se zabránilo šíření virů, Outlook 2003 kontroluje typ souboru každé zprávy.

Podle typu rozšíření patří zprávy do různých úrovní. První úroveň (úroveň 1) zahrnuje typy souborů .bat, .exe, .vbs a .js. V aplikaci Outlook 2003 jsou blokovány a uživatel je nemůže zobrazit ani získat přístup k blokované příloze.

Druhá úroveň (úroveň 2) zahrnuje všechny ostatní typy souborů. Přílohy druhé úrovně si můžete uložit na pevný disk a poté se rozhodnout je použít.

Pokud se pokusíte odeslat přílohu se zakázaným typem souboru, zobrazí se varování.

Správci mají možnost vytvářet zásady, které nastavují riziko otevření souboru s různými příponami na různé úrovně zabezpečení.

3 Zabezpečení adresáře

Na rozdíl od předchozích verzí Outlook 2003 neumožňuje programům automaticky přistupovat ke kontaktním informacím uloženým ve vašem adresáři nebo odesílat zprávy vaším jménem. To se provádí, aby se zabránilo malwaru v odesílání e-mailů vaším jménem.

Pokud se nějaký kód pokusí získat přístup k vašemu adresáři, zobrazí se zvláštní varování. V takovém případě můžete přístup odepřít nebo jej povolit na určitou dobu.

4 Zprávy IRM pro aplikaci Outlook 2003

Pro uživatele je k dispozici Outlook 2003 – IRM. Zabezpečené zprávy jsou před odesláním zašifrovány a automaticky se dešifrují, když je příjemce obdrží. Pokud odesílatel uloží omezení, aplikace Outlook 2003 zablokuje odpovídající příkazy. Dokumenty Office 2003 připojené k chráněným zprávám jsou také automaticky chráněny.

5 Ochrana proti spamu

Filtr zabudovaný do aplikace Microsoft Outlook 2003 je schopen analyzovat text dopisu. K tomuto účelu slouží speciální databáze lexikálních signatur - šablony poštovních zpráv. Samotné šablony jsou uloženy ve speciální databázi, která je velmi podobná antivirové databázi, jejíž součástí jsou signatury škodlivých kódů. Odborníci vyvinuli podobnou technologii pro boj se spamem a nyní při analýze textu zprávy jej filtr porovnává se vzorky uloženými v databázi.

Proces přidání e-mailu na blacklist, v důsledku čehož všechny e-maily od daného příjemce automaticky skončí ve složce Nevyžádaná pošta, kde si jej uživatel může později prohlédnout. Pokud je dopis omylem rozpoznán systémem jako spam a odeslán do složky nevyžádané pošty, uživatel jej musí přidat na bílou listinu. Jak systém funguje, postupně se přizpůsobuje a přesněji filtruje spam.

V nastavení antispamového filtru lze nastavit různé úrovně závažnosti filtrování – až po režim, kdy vám budou do schránky zasílány pouze dopisy z autorizovaných adres a domén.

4. Nastavení zabezpečení v MS Word

MS Word umožňuje nastavit pro dokumenty následující omezení:

· zákaz otevírání souboru;

· zákaz zápisu do souboru;

·

· zákaz změny dokumentu, s výjimkou zápisu oprav;

· zákaz změny dokumentu s výjimkou vkládání poznámek;

· zákaz změny dokladu, kromě zadávání údajů do polí formuláře.

Zvažme tyto možnosti.

1 Ochrana heslem pro otevření souboru

Toto je nejúplnější a nejspolehlivější ochrana z uvedených. Při instalaci jste požádáni o heslo pro přístup k dokumentu a při uložení souboru je dokument zašifrován, aby jej nebylo možné číst bez hesla jiným programem než MS Word. Během šifrování se původní text zcela změní. Pokud si prohlédnete obsah takového souboru, uvidíte pouze nesouvislý řetězec znaků. Při otevření takového dokumentu se MS Word zeptá na heslo, a pokud je správné, je dokument dešifrován.

Je však třeba poznamenat, že ne všechny typy šifrování jsou „stejně užitečné“. Zde, stejně jako v reálném životě, může být zámek, který se majiteli jeví jako spolehlivá ochrana a nepřekonatelná překážka, někdy snadno a rychle otevřen útočníkem - pomocí speciálních dovedností a nástrojů.

Ve verzi MS Word 95 byla tedy použita extrémně nespolehlivá metoda šifrování, takže heslo pro otevření dokumentu lze vypočítat přímým dekódováním pomocí speciálních programů.

Verze MS Word 97/2000 používají stabilnější šifrovací algoritmus RC4. Šifra RC4 je široce používána v různých systémech zabezpečení informací, například pro šifrování hesel v rodině Windows NT. Nalezení hesla pro zašifrovaný dokument lze provést pouze prohledáváním možností, což může trvat měsíce nepřetržité práce. Ve verzi MS Word XP si uživatel může při nastavování hesla vybrat jeden z dostupných typů šifrování a určit sílu klíče.

Při zadávání hesla se znaky nezobrazují – místo toho se na obrazovce zobrazují hvězdičky. Děje se tak proto, aby zvědavý soused nemohl zjistit heslo pohledem přes rameno. Před zadáním hesla je tedy potřeba přepnout na požadované rozložení klávesnice a ujistit se, že není povolený Caps Lock. Při zadávání hesla se rozlišují malá a velká písmena. Je třeba si uvědomit, že pravděpodobnost hacknutí hesla do značné míry závisí na samotném heslu. Níže jsou uvedena doporučení pro vytváření hesel odolných proti hackerům.

Po kliknutí na OK se zobrazí okno Confirm Password s výzvou k opětovnému zadání stejného hesla. To je nezbytné, aby uživatel nemohl nechtěně „uzamknout“ dokument zadáním náhodné sekvence znaků. Po úspěšném potvrzení hesla musíte uložit dokument, který bude zašifrován.

Když otevřete takto chráněný dokument, objeví se dialogové okno, do kterého musíte zadat heslo. Pokud se zadané znaky shodují s heslem, dokument se otevře, v opačném případě se zobrazí zpráva, že heslo je nesprávné.

Pokud již není potřeba dokument chránit, můžete jej snadno odstranit otevřením dokumentu, odstraněním hvězdiček v poli pro heslo a uložením souboru.

4.2 Ochrana heslem pro zápis do souboru

Účelem této ochrany není skrýt obsah dokumentu, ale chránit jej před nežádoucími změnami. Po jeho instalaci se při otevření dokumentu zobrazí dialogové okno s výzvou k zadání hesla. Pokud uživatel nezná heslo nebo ho z nějakého důvodu nechce zadávat, může kliknout na tlačítko „Pouze pro čtení“ a dokument se otevře. Pokud se však pokusíte uložit změny provedené v tomto dokumentu, zobrazí se dialogové okno Uložit dokument, jako byste jej ukládali poprvé, což vyžaduje, aby uživatel zadal buď nový název souboru, nový adresář nebo obojí. Tato ochrana tedy neumožňuje uživatelům, kteří neznají heslo, dokument poškodit. Zakázáno však není například vzít jej za základ a uložit pod jiným názvem.

Tato ochrana se instaluje stejným způsobem, pouze heslo je třeba zadat do pole „Heslo oprávnění k zápisu“. Do obou polí můžete zadat heslo. Některým uživatelům tak může být přístup k souboru zcela zablokován, jiným lze pouze zakázat jeho přepisování.

Algoritmus této ochrany je bohužel velmi zranitelný vůči hackerům, takže byste mu neměli důvěřovat jedinou kopií důležitého dokumentu.

4 Ochrana heslem pro změnu dokumentu s výjimkou oprav záznamu

Opravy v MS Word znamenají změny v dokumentu, tedy mazání fragmentů textu, přidávání, formátování atd. Při běžné úpravě dokumentu budou provedené změny nevratné, takže později bude velmi obtížné určit, co přesně bylo změněno. Pokud je povolen režim oprav záznamů, pak se všechny změny zaznamenají, smazaný text se ve skutečnosti nesmaže, ale pouze se označí jako smazaný a autor dokumentu pak snadno zjistí, jaké změny recenzent provedl zapnutím displeje oprav v režimu obrazovky. Zda je režim korekčního záznamu povolen nebo ne, zjistíte podle indikátoru „ISPR“ ve stavovém řádku: černá písmena - režim je zapnutý, šedá písmena - vypnuto. Dvojitým kliknutím na tento indikátor přepnete tento režim. Při změně dokumentu si tedy váš recenzent nemusí být vědom toho, že „všechny pohyby jsou zaznamenány“. Pokud dokument prochází více recenzenty za sebou, MS Word automaticky označí opravy každého z nich různými barvami a zaznamená jejich jméno a příjmení a také datum a čas opravy vám Word umožní vašim recenzentům zabránit provádění jakýchkoli změn v dokumentu kromě zaznamenávání oprav. Bez znalosti hesla nebude moci recenzent vypnout režim záznamu oprav a provést změny, kterých si později možná nevšimnete. Na vaši žádost může mít zákaz poradní charakter, protože zadání hesla pro tuto ochranu není povinné.

Chcete-li takovou ochranu nainstalovat, musíte spustit příkaz nabídky Nástroje => Nastavit ochranu a v zobrazeném dialogovém okně vybrat položku „Zakázat jakékoli změny kromě zápisu oprav“ a v případě potřeby také zadat heslo.

Chcete-li ochranu odstranit, musíte provést příkaz nabídky Nástroje => Odebrat ochranu. Pokud bylo při instalaci ochrany zadáno heslo, MS Word bude vyžadovat jeho opětovné zadání, aby bylo možné jej odstranit.

5 Ochrana heslem pro změnu dokumentu, kromě vkládání poznámek

Poznámky v MS Word jsou elektronickým ekvivalentem poznámek na okrajích papírového dokumentu. Dávají recenzentovi možnost vyjádřit své postřehy, úvahy a připomínky k textu, aniž by měnil text samotný. Pokud recenzent není schopen vyjádřit své myšlenky slovy, může stisknutím tlačítka vložit zvukovou poznámku, přidat zvukový objekt a říci do mikrofonu vše, co potřebuje. Po zadání poznámky musíte kliknout na tlačítko „Zavřít“. Aby bylo možné určit, kterému recenzentovi tato poznámka patří, MS Word před každou z nich automaticky vloží iniciály recenzenta a sériové číslo. Pokud je navíc povolena položka „Zobrazit popisky“, pak se fragmenty komentovaného textu zvýrazní na žlutém pozadí (v MS Word XP - s barevnými závorkami) a když na ně najedete ukazatelem myši, zobrazí se popisky obsahující příjmení autora a text této poznámky.

Zákaz změn dokumentu, kromě vkládání poznámek, se provádí obdobně jako předchozí zákaz, pouze v dialogovém okně „Ochrana dokumentu“ je třeba vybrat volbu „Zakázat jakékoli změny kromě vkládání poznámek“.

4.6 Ochrana heslem pro změnu dokumentu, kromě zadávání údajů do polí formuláře

Word umožňuje vytvářet elektronické formuláře, tedy formuláře, ve kterých se vyplňují určitá pole. K tomu se vytvoří dokument s požadovaným obsahem a do míst, kam se budou následně zapisovat údaje, se vloží formulářová pole. Pole formuláře jsou k dispozici ve třech typech: textové pole, zaškrtávací pole a pole se seznamem. Typ textového pole může být různý: prostý text, číslo, datum, čas a výpočet. V druhém případě lze v takovém poli provádět výpočty na základě údajů zadaných do jiných polí formuláře, protože každé pole je označeno záložkou a má jedinečný název. Pole „Zaškrtávací políčko“ slouží k označení jednotlivých položek formuláře křížkem kliknutím na něj. „Combo box“ se používá k tomu, aby uživatel mohl snadno vybrat jednu z navrhovaných možností odpovědi.

Vytvořený formulář je uzamčen a uživatel, který jej vyplňuje, může zadávat údaje pouze do těchto polí. Tím je zajištěno, že uživatel nezkazí formulář tím, že zadá údaje na špatném místě.

Zákaz změn dokumentu, kromě zadávání údajů do polí formuláře, se provádí obdobně jako v předchozích dvou, pouze v dialogovém okně „Ochrana dokumentu“ je potřeba vybrat volbu „Zakázat jakékoli změny kromě zadávání údajů do polí formuláře“. Pokud se dokument skládá ze dvou nebo více oddílů, lze tento zákaz aplikovat na jednotlivé oddíly kliknutím na tlačítko „Sekce“ v dialogovém okně „Ochrana dokumentu“.

5. Nastavení zabezpečení v MS Excel

MS Excel umožňuje nastavit následující omezení:

· zákaz otevírání souboru;

· zákaz zápisu do souboru;

· doporučení otevřít soubor v režimu pouze pro čtení;

· ochrana plechu;

· ochrana knih;

· ochrana hlavní knihy.

Účel prvních tří omezení je stejný jako v MS Word. Když nastavíte heslo pro otevření knihy, kniha je zašifrována, ale šifrovací algoritmus je méně odolný vůči hackování v MS Excel ve srovnání s algoritmem v MS Word.

Tato omezení se v MS Excel nenastavují v dialogovém okně „Možnosti“ jako v MS Word, ale při ukládání souboru v dialogovém okně „Uložit dokument“ výběrem příkazu nabídky Nástroje => Obecné možnosti (v MS Excel XP - Možnosti zabezpečení).

1 Ochrana listu heslem

Excel umožňuje chránit jednotlivé listy v sešitu před změnami. V tomto případě se ochrana může rozšířit na obsah buněk, na grafické objekty a diagramy a také na skripty. MS Excel XP na chráněném listu také umožňuje povolit nebo zakázat formátování, vkládání a mazání řádků a sloupců atd. Na vaši žádost může mít zákaz poradní charakter, protože zadání hesla pro ochranu listu není povinné.

Ochrana obsahu znamená zákaz jakýchkoli změn chráněných buněk (změna hodnot, přesouvání a mazání), stejně jako zákaz zobrazování vzorců obsažených v buňkách v řádku vzorců.

Ochrana grafických objektů a diagramů znamená zákaz jejich úpravy, pohybu a mazání. Přestavba grafů při změně zdrojových dat není blokována.

Ochrana skriptů znamená zákaz jejich úprav a mazání. Skript v MS Excel je sada hodnot pro několik buněk. Pomocí skriptů můžete rychle změnit hodnoty několika buněk najednou a analyzovat výsledky.

Chcete-li nastavit ochranu pro aktivní list, musíte provést příkaz nabídky Nástroje => Ochrana => Ochrana listu. V zobrazeném dialogovém okně „Chránit list“ musíte vybrat chráněné prvky listu a v případě potřeby zadat heslo. Ochrana listů se týká pouze těch buněk a objektů, jejichž vlastnosti mají povolenou ochranu.

Když se pokusíte upravit chráněné buňky, když je povolena ochrana listu, zobrazí se zpráva, že je buňka chráněna před změnami. Ochranu listu je vhodné použít například tehdy, když list obsahuje velké množství vzorců, které se mohou ztratit, pokud uživatel omylem zadá hodnoty do těchto buněk. V tomto případě jsou buňky obsahující vzorce chráněny, ale buňky obsahující uživatelsky upravitelná data zůstávají přístupné.

2 Ochrana knihy heslem

Excel umožňuje chránit sešit před změnami v jeho struktuře (přidávání, mazání, přejmenování, přesouvání, kopírování listů) a také před změnami v okně sešitu uvnitř okna MS Excel (přesouvání, změna velikosti, sbalení/rozbalení atd.). ). Na vaši žádost může mít zákaz informativní charakter, protože zadání hesla k ochraně knihy není povinné.

5.3 Ochrana sdílené účetní knihy heslem

Excel umožňuje chránit sdílený sešit před vypnutím režimu záznamu úprav. Sdílený sešit v MS Excel znamená sešit, který může současně upravovat více uživatelů v síti. Navíc, aby bylo jasné, který uživatel jaké změny provedl, jsou všechny změny označeny různými barvami jako opravy. V případě konfliktu, tj. pokud data zadali do stejné buňky různí uživatelé, se objeví dialogové okno s dotazem, čí data nechat.

6. Ochrana proti makrovirům

Důležitým aspektem bezpečnosti při práci s MS Office je ochrana před makroviry.

Makroviry jsou programy v jazycích zabudované do některých systémů pro zpracování dat (textové editory, tabulkové procesory atd.). K reprodukci takové viry využívají schopnosti makro jazyků a s jejich pomocí se přenášejí z jednoho infikovaného souboru (dokumentu nebo tabulky) do jiných. Nejrozšířenější jsou makroviry pro MS Word a MS Excel.

Od verze MS Office 97 mají jeho součásti zabudovanou ochranu proti makrovirům. Tato ochrana spočívá v tom, že při otevírání dokumentu obsahujícího makra, v závislosti na nastavení programu, jsou makra buď zcela zakázána, nebo je uživatel vyzván s možnostmi odpovědi: zda otevřít dokument s zakázanými makry, se zapnutými makry, popř. vůbec neotevírat. Pokud makra v dokumentu, který otevíráte, mají digitální podpis, jehož pravost byla ověřena, a pokud uživatel tomuto vývojáři maker důvěřuje, může jej přidat do seznamu důvěryhodných zdrojů, aby v budoucnu makra v přijatých dokumentech od něj budou automaticky zahrnuty. Pokud je uživatel přesvědčen o bezpečnosti všech dokumentů, které otevírá, může zakázat vestavěnou ochranu proti virům maker.

Navzdory přítomnosti vestavěné ochrany proti makrovirům byste se neměli spoléhat pouze na ni, protože existují informace, že kvůli jejich zranitelnosti je v některých případech možné spustit makrovirus, který obchází zákaz.

V pozici „Vysoká“ rozhoduje o zařazení makra při otevírání dokumentu samotný program na základě toho, zda je makro podepsáno, zda je podpis potvrzen a zda je jeho autor důvěryhodným zdrojem. Pokud autor daného makra není v seznamu důvěryhodných zdrojů, je uživatel vyzván, aby mu důvěřoval. Pokud je odpověď kladná, je do tohoto seznamu přidán autor makra. Pokud uživatel již nedůvěřuje žádnému autorovi makra, může být ze seznamu důvěryhodných odebrán tak, že jej vyberete na kartě „Důvěryhodné zdroje“ a kliknete na tlačítko „Odstranit“. Pokud makro není podepsáno nebo digitální podpis není ověřen, makra se automaticky zakážou.

V pozici Střední jsou makra automaticky povolena, pokud jsou podepsána, podpis je ověřen a autor je důvěryhodný. Makra jsou automaticky zakázána, pokud existuje digitální podpis, ale jeho pravost není potvrzena, protože to může být způsobeno virovou infekcí. V ostatních případech je uživatel vyzván k jejich povolení.

V poloze Nízká nejsou makra zakázána a neprovádějí se žádné kontroly.

Kromě této ochrany, počínaje verzí MS Office 2000, mají jeho součásti možnost interakce s některými antivirovými programy pomocí speciálního programovacího rozhraní antivirového API. Patří mezi ně například takové známé programy jako Norton AntiVirus a Kaspersky Anti-Virus. Pokud je na vašem počítači nainstalován jeden z těchto programů, pak se v dialogovém okně „Zabezpečení“ zobrazí zpráva „Antivirové programy jsou nainstalovány“. V tomto případě se při otevírání dokumentů MS Office automaticky zavolá antivirový modul odpovídajícího programu a otevřený soubor je zkontrolován na přítomnost virů, což dokazuje zpráva „Požadavek na antivirovou kontrolu“ ve stavovém řádku. Pokud je detekován virus, jsou provedeny další akce podle nastavení odpovídajícího antivirového programu. Pokud nejsou nalezeny žádné antivirové programy kompatibilní s MS Office, v dialogovém okně „Zabezpečení“ se zobrazí zpráva „Antivirový program není nainstalován“.

K vytvoření hesla pro seriózní dokument je třeba přistupovat vážně, protože na tom závisí jeho odolnost proti hackování. Faktem je, že útočník může snadno uhodnout negramotné heslo a získat přístup k dokumentu, který je jím chráněn. Zároveň existuje velké množství specializovaných programů pro rychlé vyhledávání hesel k dokumentům v různých softwarových balíčcích. Teoreticky můžete uhodnout jakékoli heslo, ale čas strávený na tom se může lišit od zlomků sekundy až po několik tisíc let. Čas potřebný k výběru hesla závisí na jeho délce, použitých znacích, algoritmu hrubé síly a výkonu počítače.

Existují tři hlavní metody hesel hrubou silou: přímá hrubá síla, hrubá síla masky a slovníková hrubá síla.

Přímá hrubá síla zahrnuje vyzkoušení všech možných kombinací postav. Při délce hesla šest znaků trvá vyzkoušení všech možných kombinací na moderním osobním počítači méně než měsíc. Čím delší je tedy vaše heslo, tím větší je šance, že zůstane neodhaleno.

Hrubá síla pomocí masky se používá, pokud je známa jakákoli část hesla. Je například známo, že uživatel vkládá své jméno na začátek všech hesel. V tomto případě se výrazně zkrátí doba vyhledávání. Zkuste si proto podobná hesla nevytvářet.

Slovník hrubé síly je založen na neochotě uživatelů pamatovat si hesla skládající se z náhodných znaků. Pro snadnější zapamatování uživatelé často jako heslo používají různá slova, vlastní jméno, jméno oblíbené kočky, datum narození atd. V klinických případech na dotaz programu „Zadejte heslo“ uživatel zadá „heslo“. Zároveň se katastrofálně snižuje počet možných kombinací a někdy lze najít heslo i bez použití speciálních prostředků, které se řídí psychologickými vlastnostmi člověka. Při vytváření hesla se proto snažte nepoužívat slova ze slovníku. Pokud si nejste schopni zapamatovat hesla skládající se z náhodně odpojených znaků, například „hJ6$bL_&gF“, použijte alespoň následující trik: nastavte jako heslo ruské slovo dostatečné délky, přepněte na anglické rozložení, ale při zadávání použijte klávesnici s ruskými písmeny. V tomto případě je například snadno zapamatovatelná kombinace „Sidorov_A.P.“ se změní v mnohem nesoudržnější "Cbljhjd_F/G/".

Délka hesla pro důležitý dokument tedy musí být alespoň deset znaků, heslo musí obsahovat speciální znaky (!@#$%^&* atd.), čísla, velká a malá písmena; heslo by se nemělo skládat ze slovníkových slov napsaných v dopředném nebo obráceném pořadí, nemělo by obsahovat žádné informace o uživateli (jméno, rok narození atd.) a nemělo by být vůbec logické. Nemělo by se zapisovat na monitor nebo na papír vedle počítače. Pamatujte, že v nejpokročilejším obranném systému je často nejslabším článkem člověk.

Závěr

Spolehlivost ochrany informací pomocí vestavěných nástrojů MS Office je samozřejmě mnohem nižší než u specializovaných programů, ale v mnoha případech se použití vestavěných nástrojů ukazuje jako opodstatněnější z důvodu jejich větší flexibility a vestavěnosti. v přírodě.

Čím je dokument hodnotnější, tím výkonnější by měly být prostředky k zajištění jeho bezpečnosti. Proto je důležité rozhodnout, jakými prostředky zajistit bezpečnost informací.

Seznam použité literatury

1) Voronin N. „Nastavení zabezpečení v MS Office.“ ComputerPress 3" 2003

) Gukhman V.B., Tyurina E.I. Základy ochrany dat v Microsoft Office: Učebnice. příspěvek. 1. vyd. Tver: TSTU, 2005. 100 s.

) Prochorov A. „Zabezpečení v Microsoft Office 2003.“ ComputerPress 4"2005

4) http://technet.microsoft.com