Microsoft on avastanud haavatavuse Office Visual Basic for Applicationsi (VBA) makroprojekti allkirjastamisel. See haavatavus võib lubada pahatahtlikel kasutajal allkirjastatud VBA-projekti muuta ilma digitaalallkirja kehtetuks tunnistamata. Seetõttu soovitame kasutajatel rakendada turbevärskendusi, mis on loetletud Microsofti levinud nõrkustes ja riskides CVE-2020-0760.

Office'i VBA makroprojekti allkirjastamise turvalisuse suurendamiseks pakub Microsoft vba projekti allkirjaskeemi turvalisema versiooni: V3-signatuuri. V3-signatuur on saadaval järgmistes toodetes. 

Soovitame ettevõtetel rakendada V3-signatuuri kõigile makrodele, et kõrvaldada rikkumise oht. 

Tagasiühilduvuse tagamiseks jätkatakse olemasolevate signatuuridega VBA-failide tööd ning V3-allkirja abil allkirjastatud faile saab avada ja käitada Office'i varasemates versioonides või värskendamata Office'i klientversioonides. Siiski soovitame administraatoritel uuendada olemasolevad VBA-signatuurid V3-signatuuriks niipea kui võimalik, kui nad on Office'i üle võtnud loetletud versioonideks. Kui administraatorid on kontrollinud, et ettevõttel puudub ühilduvuskadu, saavad nad vanad VBA-signatuurid keelata, lubades poliitikasätte Ainult usaldusväärsed VBA-makrod, mis kasutavad V3 signatuuri. Lisateavet selle poliitikasätte kohta leiate jaotisest "Poliitikasätte lubamine: usaldaainult V3 signatuure kasutavad VBA makrod".

Allkirjastatud VBA-failide täiendamine V3 signatuuriks

Administraatorid saavad olemasolevate VBA-signatuuride failide V3 signatuuriks uuendamiseks kasutada järgmisi teemasid.

Allkirjastatud VBA-failide loendi loomine

Kui teil on juba kõigi olemasolevate allkirjastatud VBA-failide inventuur, võite selle jaotise vahele jätta. Kui ei, kasutage Office'i lisandmoodulite ja VBA valmiduse tööriistakomplekti olemasolevate allkirjastatud VBA-failide loendi loomiseks, mida tuleb täiendada. Tööriist loob aruande, kus on loetletud failid, mida tuleb koos failiasukohtadega täiendada. Lisateavet valmidustööriistakomplekti kohta leiate teemast Valmidustööriistakomplekti kasutamine Microsoft 365rakenduste rakenduste ühilduvuse hindamiseks.

  1. Laadige alla Office'i lisandmoodulite ja VBA valmiduse tööriistakomplektid.

  2. Käivitage PowerShell või avage administraatorina käsuviiba aken ja liikuge seejärel valmidustööriistakomplekti installikausta.

    C:\Program Files (x86)\Microsoft Readiness Toolkit for Office

  3. Vba-failide asukoha (nt C:\Test_ToolKit) skannimiseks käivitage järgmine käsk:

    ReadinessReportCreator.exe -sigscan -p C:\Test_ToolKit -r -output C:\output C:\output

    Käsurea käivitamine kausta skannimiseks

    Pärast skannimist luuakse kaustas C:\output JSON tulemifail.

  4. Käivitage valmistööriistakomplekti installikaustas ReadinessReportCreator.exe tulemifaili avamiseks fail.

    Kuvatõmmis ReadinessReportCreator.exe

    Otsige tulemifailist üles kõik ebaturvalised makrofailid, mille peate ülema V3 signatuuriks.

    Tulemifaili kuvatõmmis

    Ebaturvaliste makrosignatuuride kuvatõmmis

VBA-failide uuesti allkirjastamiseks kasutage VBA-redaktorit 

Kui teil on erasertid, kasutage VBA-failide uuesti allkirjastamiseks Office'i rakenduses pakutavat Visual Basic for Applicationsi (VBA) redaktorit.

  1. VBA-faili uuesti allkirjastamiseks vajutage VBA-redaktori avamiseks failis klahvikombinatsiooni Alt +F11.

  2. Olemasoleva signatuuri asendamiseks V3-signatuuriga valige >Digitaalallkiri. Avaneb dialoogiboks Digitaalallkiri.

    Märkus.: VBA-projekti allkirjastamiseks peab privaatvõti olema õigesti installitud. Lisateavet leiate teemast Makroprojekti digitaalne allkirjastamine.

    Kuvatõmmis digitaalallkirja valimisest

  3. VBA-projekti allkirjastamiseks soovitud serdi privaatvõtme valimiseks valige Vali ja seejärel valige OK.

    Serdi valimine

  4. Uute signatuuride loomiseks salvestage fail uuesti. Uued digitaalallkirjad asendavad varasemad signatuurid.

SignTooli abil VBA-failide uuesti allkirjastamine

SignTool windows 10 SDK-s aitab teil VBA-faile käsurea kaudu uuesti allkirjastada. Jaotises "AllkirjastatudVBA-failideloendi loomine" tuvastatud varude loendiga uuesti allkirjastamiseks saate SignTooli integreerida oma administraatoritööriistadega.

Märkus.: SignTool ei toeta praegu Microsoft Accessi.

VBA-failide uuesti allkirjastamiseks SignTooli abil tehke järgmist.

  1. Laadige alla ja installige Windows 10 SDK.

  2. Laadige Officesips.exe alla Microsoft Office'i teemaliidese pakettidest VBA-projektide digitaalseks allkirjastamiseks.

  3. Failide allkirjastamiseks ja failides signatuuride kontrollimiseks registreerige Msosip.dll ja Msosipx.dll ning käivitage Offsign.bat. Üksikasjalikud juhised on Readme.txt installikaustas Officesips.exe.

Märkus.: Kasutage SignTooli x86-versiooni kaustas "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" Offsign.bat.

Poliitikasätte lubamine: "Usalda ainult V3-signatuure kasutavad VBA makrod"

Pärast V3 signatuuride versioonitäienduse lõpule viimist soovitame lubada poliitikasätte V3 signatuurid kasutav ainult usaldusväärsed VBA makrod, et veenduda, et usaldusväärsed on ainult V3 signatuuriga failid.

See poliitikasäte on saadaval rühmapoliitikas või Office'i pilvepoliitika teenuses. See asub kasutaja konfiguratsioonis\poliitikad\haldusmallid\Microsoft Office 2016\Security Settings\Trust Center. Kui see säte on lubatud, loetakse kehtivaks ainult V3-signatuur, kui Office kontrollib digitaalallkirja failides. VBA-failides eiratakse varasema vorminguga signatuure.

Poliitikasätte rakendamise mõju analüüsimine turbepoliitika nõustaja abil

Turbepoliitika nõustaja on saadaval Microsoft 365 versiooni 2103 (järk 16.0.13824.10000) rakenduste halduskeskuses ja praeguse kanali uuemates versioonides. See annab teavet poliitikasätte V3 signatuurid kasutava ainult usaldusväärse VBA makrode turbe- ja tööviljakuse mõju kohta.

Tööviljakuse efekti analüüsimiseks saavad administraatorid uurida paani Soovitus üksikasju, et näha, millised kasutajad on selle poliitikasätte rakendades kaitstud. Need ülevaated aitavad administraatoritel teha andmetega seotud otsuseid, mõõtes poliitikasätte rakendamise eeliseid ja kulusid.

Kuva poliitikasätete rakendamise mõju SPA-ga

Lisaks saavad administraatorid selle poliitikasätte jaoks kasutada ühe hiireklõpsuga juurutust. Turbepoliitika nõustaja kasutab Office'i pilvepoliitika teenust, et jõustada Office'i poliitikasätted otse pilvepõhiselt ettevõtte jaoks ette teenusekomplekti Microsoft 365 rakenduste jaoks. See toimib nii hallatavate kui ka mittehallatud seadmete korral. Pärast Office'i pilvepoliitika teenuse abil poliitikasätte juurutamist saavad administraatorid vaadata uuesti paani Soovitus üksikasjad, et jälgida, kuidas poliitikasäte kasutajaid mõjutab.

Lisateavet turbepoliitika nõustaja lubamise kohta oma keskkonnas leiate teemast Microsoft 365ettevõtterakenduste turbepoliitika nõustaja ülevaade.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te tõlkekvaliteediga olete?
Mis mõjutas teie hinnangut?

Täname tagasiside eest!

×