29/03/2024

La línea de base de seguridad de Office 365 agrega firma de macros, protección JScript

Microsoft ha actualizado la línea de base de seguridad para Microsoft 365 Apps para empresas (anteriormente Office 365 Professional Plus) para incluir protección contra ataques de ejecución de código JScript y macros sin firmar.

Las líneas de base de seguridad permiten a los administradores de seguridad utilizar líneas de base de Objeto de política de grupo (GPO) recomendadas por Microsoft para reducir la superficie de ataque de las aplicaciones de Microsoft 365 y mejorar la postura de seguridad de los puntos finales empresariales en los que se ejecutan.

«Una línea de base de seguridad es un grupo de opciones de configuración recomendadas por Microsoft que explica su impacto en la seguridad», como Microsoft explica .

«Esta configuración se basa en los comentarios de los equipos de ingeniería de seguridad de Microsoft, grupos de productos, socios y clientes».

Cambios en la línea de base de seguridad
Los aspectos más destacados de la nueva configuración de referencia de configuración de seguridad recomendada para Microsoft 365 Apps para empresas, versión 2104, incluyen protección contra ataques de ejecución remota de código al restringir la ejecución de JScript heredado para Office.

JScript es un componente heredado de Internet Explorer que, aunque reemplazado por JScript9, todavía lo utilizan las aplicaciones críticas para el negocio en entornos empresariales.

Además, también se recomienda a los administradores que extiendan la protección de macros habilitando un GPO para requerir que los complementos de la aplicación estén firmados por editores de confianza y deshabilitarlos silenciosamente bloqueándolos y desactivando las notificaciones de la barra de confianza.

Los GPO que deben habilitarse para implementar estas configuraciones de seguridad recomendadas de referencia son:

«Legacy JScript Block – Computer» deshabilita la ejecución de JScript heredado para sitios web en la Zona de Internet y la Zona de sitios restringidos.
«Requerir firma de macros: usuario» es un GPO de configuración de usuario que deshabilita las macros sin firmar en cada una de las aplicaciones de Office.
Otras políticas nuevas agregadas a la línea de base desde el lanzamiento del año pasado incluyen:

Otras políticas nuevas agregadas a la línea de base desde el lanzamiento del año pasado incluyen:

«Bloque DDE – Usuario» es un GPO de configuración de usuario que bloquea el uso de DDE para buscar procesos del servidor DDE existentes o para iniciar otros nuevos.

«Legacy File Block – User» es un GPO de configuración de usuario que evita que las aplicaciones de Office abran o guarden formatos de archivo heredados.

Nueva política: «Controlar cómo Office maneja las solicitudes de inicio de sesión basadas en formularios», recomendamos habilitar y bloquear todas las solicitudes. Esto da como resultado que no se muestren al usuario solicitudes de inicio de sesión basadas en formularios y al usuario se le muestra un mensaje de que el método de inicio de sesión no está permitido.

Nueva política: recomendamos hacer cumplir el valor predeterminado al deshabilitar «Deshabilitar verificaciones de seguridad adicionales en las referencias de la biblioteca de VBA que pueden referirse a ubicaciones inseguras en la máquina local» (Nota: esta descripción de la política es un doble negativo, el comportamiento que recomendamos es que las verificaciones de seguridad permanezcan EN).

Nueva política: recomendamos hacer cumplir la configuración predeterminada desactivando «Permitir que VBA cargue referencias de biblioteca de tipos por ruta desde ubicaciones de intranet que no sean de confianza». Obtenga más información en Preguntas frecuentes sobre las soluciones VBA afectadas por las actualizaciones de seguridad de Office de abril de 2020 .

Nueva política dependiente: la política «Deshabilitar la notificación de la barra de confianza para complementos de aplicaciones sin firmar» tenía una dependencia que se omitió en la línea de base anterior. Para corregir, hemos agregado la política que falta, «Requerir que los complementos de la aplicación estén firmados por Trusted Publisher». Esto se aplica a Excel, PowerPoint, Project, Publisher, Visio y Word.

Disponible a través del kit de herramientas de cumplimiento de seguridad de Microsoft

«La mayoría de las organizaciones pueden implementar la configuración recomendada de la línea de base sin ningún problema. Sin embargo, hay algunas configuraciones que causarán problemas operativos para algunas organizaciones», dijo Microsoft .

«Hemos dividido grupos relacionados de tales configuraciones en sus propios GPO para que sea más fácil para las organizaciones agregar o eliminar estas restricciones como un conjunto.

«El script de política local (Baseline-LocalInstall.ps1) ofrece opciones de línea de comandos para controlar si estos GPO están instalados».

La versión final de la línea de base de seguridad para las aplicaciones de Microsoft 365 para empresas está disponible para su descarga a través del kit de herramientas de cumplimiento de seguridad de Microsoft .

Incluye «GPO importables, un script para aplicar los GPO a la política local, un script para importar los GPO a la política de grupo de Active Directory».

Microsoft también proporciona todas las configuraciones recomendadas en forma de hoja de cálculo, junto con un archivo de plantilla administrativa personalizada actualizada (SecGuide.ADMX / L) y un archivo de reglas de Policy Analyzer.

Las líneas de base de seguridad futuras se alinearán con las versiones de canal semestrales de Microsoft 365 Apps para empresas cada junio y diciembre.

Fuente

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.