Увага!: Засіб захисту програм для Microsoft Defender для Office вилучається та більше не оновлюється. Це вилучення також включає API-інтерфейси Windows.Security.Isolation, які використовуються для Засіб захисту програм для Microsoft Defender для Office. Радимо перейти до правил зменшення поверхні Microsoft Defender для кінцевих точок вкладення, а також безпечного подання та Захисник Windows керування програмами.
Файли з Інтернету та інших потенційно небезпечних розташувань можуть містити віруси, хробаки або інші види зловмисних програм, які можуть пошкодити комп'ютер і дані. Щоб захистити вас, Microsoft 365 відкриває файли з потенційно небезпечних розташувань у Засіб захисту програм – безпечному контейнері, ізольованому від решти даних за допомогою апаратної віртуалізації. На відміну від безпечного подання, коли Microsoft 365 відкриває файли в Засіб захисту програм, ви можете безпечно читати, редагувати, друкувати та зберігати ці файли, не відкриваючи файли за межами контейнера.
Якщо ви впевнені, що файл надійний і вам потрібно виконати дії, заблоковані Засіб захисту програм, можна зняти захист із цього файлу.
Примітка.: Якщо адміністратор увімкнув функцію "Безпечні документи", файл буде перевірено на Microsoft Defender для служби Endpoint, щоб визначити, чи зловмисний файл, перш ніж його буде відкрито за межами Засіб захисту програм.
Безпечне подання – це режим лише для читання, у якому більшість функцій редагування вимкнуто. Файли з потенційно небезпечних розташувань відкриваються лише для читання або в безпечному поданні. У безпечному поданні ви можете читати файл, переглядати його вміст, а також увімкнути редагування, знижуючи потенційні ризики.
Засіб захисту програм – це обмежений режим, який дає змогу виконувати обмежене редагування та друк ненадійних документів, мінімізуючи ризик для комп'ютера. Office відкриває файли з потенційно небезпечних розташувань у Засіб захисту програм – безпечному контейнері, ізольованому від пристрою за допомогою апаратної віртуалізації. Коли Office відкриває файли в Засіб захисту програм, ви можете безпечно читати, редагувати, друкувати та зберігати їх, не відкриваючи файли за межами контейнера.
Порівняно з захищеним поданням, Засіб захисту програм забезпечує як підвищену безпеку, так і підвищену продуктивність для користувачів.
Безпека
Засіб захисту програм – це ізольоване ізольоване програмне середовище на основі віртуалізації. Вона забезпечує таку саму технологію, що й Azure на настільному комп'ютері.
Ненадійні документи відкриваються в ізольованому контейнері з підтримкою Hyper-V, який відокремлено від операційної системи хоста. Ця ізоляція контейнера означає, що якщо документ зловмисний, головний ПК захищено, а зловмисник не зможе отримати доступ до корпоративних даних. Наприклад, такий підхід робить ізольований контейнер анонімним, тому зловмисник не може отримати доступ до корпоративних облікових даних вашого працівника.
Продуктивність
На додачу до читання документів у захищеному контейнері, тепер можна використовувати такі функції, як друк, коментування та рецензування, спрощене редагування та збереження, зберігаючи при цьому ненадійний документ у контейнері Засіб захисту програм.
Якщо ви стикаєтеся з документами з ненадійних джерел, які не є зловмисними, ви можете продовжувати працювати продуктивніше, не ризикувавши поставити свій пристрій під загрозу.
Якщо ви зіткнулися з зловмисним документом, він безпечно ізолюється в Засіб захисту програм, зберігаючи решту системи в безпеці.
Засіб захисту програм доступна для організацій, які мають ліцензії на Microsoft 365 E5 або Microsoft 365 E5 Mobility + Security. Користувачі в цих організаціях мають використовувати програми Microsoft 365 для підприємств на каналі Current Channel або Monthly Enterprise Channel.
Дізнайтеся більше про настроювання Засіб захисту програм для Office.
Коли файл відкриється в Засіб захисту програм?
Файли, які зараз відкриваються в безпечному поданні, відкриватимуться в Засіб захисту програм, якщо Засіб захисту програм увімкнуто. Деякі з цих можливостей наведено нижче.
-
Файли, отримані з Інтернету: Це стосується файлів, завантажених із доменів, які не входять до локальної інтрамережі або домену надійних сайтів на вашому пристрої, файлів, отриманих як вкладення електронної пошти від відправників за межами організації, файлів, отриманих від інших типів служб обміну повідомленнями в Інтернеті або спільного доступу, файлів, відкритих із oneDrive або розташування SharePoint за межами організації.
-
Файли, розташовані в потенційно небезпечних розташуваннях: Цей параметр стосується папок на комп’ютері або в мережі, які вважаються небезпечними, наприклад папки тимчасових файлів Інтернету або інші папки, визначені вашим адміністратором.
Примітка.: Файли, відкриті з мережевого розташування, включно з OneDrive вашої організації, відкривають Read-Only в Засіб захисту програм. Ви можете зберегти копію таких файлів, щоб продовжити роботу з ними, або якщо ви довіряєте джерелу файлу, ви можете відмовитися від захисту, як описано нижче.
-
Файли, заблоковані блоком файлів. Блокування файлів запобігає відкриванню застарілих типів файлів і призводить до відкриття файлу в безпечному поданні та вимикає функції "Зберегти" та "Відкрити". Дізнайтеся більше про блокування файлів.
Як видалити або відновити захист із файлу?
Увага!: Це можна зробити, лише якщо ви впевнені, що файл і його джерело надійні.
Якщо потрібно виконати дії, заборонені Засіб захисту програм можна зняти захист Засіб захисту програм з файлу. Після зняття захисту файл стане надійним документом.
Щоб зняти захист Засіб захисту програм, перейдіть до розділу Відомості про > файлів і виберіть пункт Зняти захист.
Якщо це не вдається, імовірно, у вашій організації розгорнуто політики, які перешкоджають видаленню Засіб захисту програм захисту з файлу.
Відновлення захисту
Перейдіть до розділу Параметри > файлів > Центрі безпеки та конфіденційності > настройки Центру безпеки та конфіденційності > надійних документів і виберіть пункт Очистити всі надійні документи, щоб вони більше не були надійними.
Зверніть увагу, що це відновить захист для всіх документів, з яких ви видалили його на цьому пристрої.
Увага!: Цей параметр доступний лише за межами середовища Засіб захисту програм. Відкрийте новий екземпляр програми Office, щоб внести цю зміну.
Як змінити настройки Засіб захисту програм
Увага!:
-
Цей параметр доступний лише за межами середовища Засіб захисту програм. Відкрийте новий екземпляр програми Office, щоб внести цю зміну.
-
Перш ніж змінювати настройки Засіб захисту програм, радимо звернутися до ІТ-адміністратора.
-
Перейти до параметрів> файлів
-
Виберіть центр безпеки та конфіденційності > настройки Центру безпеки та конфіденційності > Засіб захисту програм.
-
Зробіть вибір, а потім натисніть кнопку OK , щоб зберегти зміни та вийти з настройок Центру безпеки та конфіденційності.
настройки Засіб захисту програм
-
Увімкніть Засіб захисту програм для файлів, які походять з Інтернету . Інтернет вважається небезпечним розташуванням, оскільки це найпоширеніше джерело для зловмисних файлів.
-
Увімкніть Засіб захисту програм для файлів, які перебувають у потенційно небезпечних розташуваннях. Це стосується папок на комп'ютері або в мережі, які вважаються небезпечними, наприклад папки тимчасового Інтернету або інші папки, вибрані ІТ-адміністратором.
-
Увімкнення Засіб захисту програм вкладень Outlook – вкладення в електронній пошті – це ще одне поширене джерело зловмисних файлів.
Excel має дві додаткові настройки:
-
Завжди відкривати ненадійні файли Text-Based (.csv, DIF і SYLK) у Засіб захисту програм -Якщо ввімкнуто, текстові файли, відкриті з ненадійного розташування, завжди відкриваються в Засіб захисту програм. Якщо вимкнути або не настроїти цей параметр політики, текстові файли, відкриті з ненадійного розташування, відкриваються у звичайному режимі.
-
Завжди відкривати ненадійні файли бази даних (DBF) у Засіб захисту програм – якщо ввімкнуто, файли бази даних, відкриті з ненадійного розташування, завжди відкриваються в Засіб захисту програм. Якщо вимкнути або не настроїти цей параметр, файли бази даних, відкриті з ненадійного розташування, відкриваються у звичайному режимі.
Усі ці параметри може настроїти адміністратор за допомогою Групова політика або служби хмарної політики Office.
Які дії я не можу зробити в Засобі захисту програм?
Для вашої безпеки певні можливості недоступні для програм Office під час роботи в Засіб захисту програм. Деякі з цих можливостей наведено нижче.
-
Доступ до ідентичності користувача.
-
Доступ до довільних розташувань у файловій системі.
-
Доступ до мережевих розташувань, віднесених до межі корпоративної безпеки (наприклад, інтрамережа компанії або домени, класифіковані як корпоративні) відповідно до політик ізоляції мережі.
-
Файли CSV, HTML і файли, захищені за допомогою засобу керування правами доступу до інформації (IRM), не можна відкрити в Засіб захисту програм. Якщо адміністратор налаштує для вашої організації параметр політики непідтримуваних типів файлів , ви зможете відкривати ці файли в безпечному поданні.
Дізнайтеся більше про настроювання Засіб захисту програм для політик Office. -
Вставлення вмісту або зображень формату RTF у документи Office, відкриті за допомогою Засіб захисту програм, наразі не підтримується.
Функції Office, які можуть мати залежність від цих можливостей, недоступні. До деяких прикладів належать надання спільного доступу до файлу, зйомка знімка екрана, вставлення зображення з розташування у файловій системі, додавання підключення до джерела даних тощо.
А як щодо Add-Ins і макросів?
На додачу до вимкнутих вбудованих функцій, у Засіб захисту програм вимикаються всі можливості Office, зокрема COM, VSTO, Веб-надбудови та макроси.
Чи можна використовувати Засіб захисту програм із невізуальним екраном?
Файли, відкриті в Засіб захисту програм, доступні за допомогою засобів спеціальних можливостей, які використовують microsoft UI Automation (UIA), наприклад Екранний диктор Microsoft.
