Включение правил паролей в Office 2010

Привет, меня зовут Алан Мирвольд (Alan Myrvold), и я являюсь тестером безопасности в команде разработчиков Office Trustworthy Computing Team (TWC). В этой статье рассматриваются новые возможности правил паролей в Office 2010.

В Word, Excel и PowerPoint уже несколько версий назад появилась возможность защитить документ паролем, установив пароль для открытия. Как нам казалось, улучшить эту функцию можно было возможностью установки надежности пароля, схожей с той, которая может требоваться при подключении вашего компьютера к рабочей сети.

В Office 2010 пароль шифрования может быть установлен через Office Backstage View:

Этот пароль также может быть установлен в диалоговом окне General Options (Общие параметры), доступном из окна Save As (Сохранить как), через опцию "Password to open" (Пароль для открытия), так же, как это было в предыдущих версиях Office.

Пароль шифрования - это один из способов защитить важную информацию. В зависимости от нужд и рисков вашего бизнеса использование IRM или BitLocker может быть лучшим выбором.


Почему важна сложность пароля?
Хотя исторически Word и Excel используют 40-битное RC4-шифрование, развитие мощностей компьютеров означает, что 40-битные ключи сегодня становятся слабыми. Формат Office Open XML (*.docx, *.xlsx, *.pptx), появившийся в Office 2007, дал нам возможность улучшить механизм и алгоритм, используемый для шифрования документов паролем. Формат Office Open XML использует 128-битное AES-шифрование. Мы также использовали более медленный алгоритм получения ключа, чтобы замедлить взлом методом перебора. RC4 продолжает использоваться при сохранении в двоичных форматах Office 97-2003. Для зашифрованных документов Office Open XML, пароль - слабейшее звено. Короткий или часто используемый пароль снижает защищенность документа, поскольку злоумышленнику проще его подобрать.

Если злоумышленнику требуется перебрать все возможные пароли, состоящие из 5 строчных букв a-z, то имеется всего 26^5 или 11 миллионов паролей, которые необходимо попробовать при переборе. Поиск по словарю может помочь куда быстрее подобрать пароль. Пароль из 8 символов, включающий строчные и прописные буквы a-z и цифры 0-9 представляет куда более широкий диапазон паролей для перебора, 62^8 или 200 триллионов, а также его куда сложнее подобрать при помощи словарей. Всё сделано с расчетом на худший исход, и NIST ожидает меньшую энтропию в выборе пользовательских паролей. Наличие меньшей энтропии означает, что злоумышленники смогут использовать эвристику для поиска пароля более изощренными методами, чем метод перебора. Злоумышленники также могут использовать для атак вычислительные мощности параллельной обработки графических адаптеров.

Но, для атаки, перебирающей 10000 возможных паролей в секунду, длина и набор символов паролей может сыграть большую роль.

Ограничение наименьшей длины пароля и сложности набора символов может намного усложнить получение пароля злоумышленником.


Как мне включить требование сложности пароля?
По-умолчанию настройки сложности пароля отключены, а для управления ими используются настройки реестра. Хотя ниже я описываю ключи реестра, самым простым механизмом развертывания этих политик в организациях в будущем станет Office Customization Tool (OCT), но пока что эти функции в OCT не представлены.

Для контролирования этих возможностей существует два ключа реестра, PolicyLevel и MinLength.

HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Common\Security\PasswordComplexity
HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\14.0\Common\Security\PasswordComplexity

• Название параметра: PolicyLevel
• Тип параметра: DWORD
• Допустимые значения: [ 0 | 1 | 2 | 3 ]
• Используйте 0 для отключения требования сложности (по умолчанию), 1 для наименьшей сложности, 2 для наименьшей сложности плюс требования 3 из 4 групп символов и 3 для всех этих проверок плюс включения правил паролей домена Windows.

• Название параметра: MinLength
• Тип параметра: DWORD
• Указывает минимальную требуемую длину пароля.

Если уровень политики установлен на 2 или 3, то пароль должен содержать символы из, по крайней мере, трех или четырех наборов символов: строчных a-z, прописных A-Z, цифр 0-9 и неалфавитных символы. При включении этого требования сложности, минимальная длина пароля должна составить 6 символов или больше, в зависимости от MinLength.


Почему просто не воспользоваться политикой паролей домена Windows?
Когда уровень политики установлен на 3, Office также будет использовать политику домена Windows наравне со всеми опциями уровня 2. Это позволит использовать настраиваемый фильтр, установленный для паролей Windows. Если вы не подключены к сети или невозможно соединиться с контроллером домена, то настройки паролей Windows использоватьcя не будут, будут использованы только настройки уровня 2. Если у вас нет настраиваемого фильтра паролей, то лучшим решением, чтобы предотвратить лишнее обращение к сети, станет использование уровня 2.


Что если мой пароль не удовлетворяет требованиям сложности?
В зависимости от того, слишком ли короток ваш пароль или недостаточно сложен, появится сообщение с одной из ошибок,

и вы сможете повторно ввести пароль.


Что если я забуду свой пароль или пользователь уйдет из компании?
О, боже! Мы спроектировали шифрование пароля в Office Open XML таким образом, чтобы он был наименее подвержен взлому, что делает восстановление пароля очень медленным. Мы не оставили никакой лазейки, а 128-битное AES-шифрование делает перебор паролей единственным решением.

К сожалению, Microsoft ничем не может помочь вам, как об этом говорится в статье KB189126.

Инженеры поддержки Microsoft не могут помочь вам в получении паролей от файлов и данных в продуктах Microsoft, которые утеряны или забыты.

Поскольку потеря пароля может обратиться потерей важной корпоративной информации, можно отключить возможность установки пароля в Word, Excel и PowerPoint, используя параметр DisablePasswordUI.

HKEY_CURRENT_USER \Software\Microsoft\Office\14.0\Common\Security
HKEY_CURRENT_USER \Software\Policies\Microsoft\Office\14.0\Common\Security

• Название параметра: DisablePasswordUI
• Тип параметра: Dword
• Допустимые значения: [ 0 | 1 ]
• Используйте 0 для включения пользовательского интерфейса установки пароля или 1 для отключения пользовательского интерфейса установки пароля.

Эта настройка лишь предотвращает установку новых паролей. Существующие документы, защищенные паролем, по-прежнему могут быть открыты. Настройка DisablePasswordUI, наравне с настройкой сложности пароля, спроектированы, чтобы сбалансировать защиту информации и риск ее потери.

Правила паролей - всего лишь одно из расширений безопасности в Office 2010. В последующих статьях мы рассмотрим другие произведенные нами улучшения.

Алан Мирвольд,
тестер безопасности в команде Office Trustworthy Computing


Источник: http://blogs.technet.com/office2010_ru
Перевод: Sibiryak