Comment durcir Microsoft Office ?

office word excel powerpoint outlook

Durcissement Microsoft Office

 

Plan

  1. Désactiver l’exécution des macros
  2. Désactiver l’exécution des objets OLE Microsoft Office
  3. Désactiver les contrôles ActiveX
  4. ActiveX – Interdire l’installation de composants ActiveX
  5. ActiveX – Forcer l’installation des composants ActiveX via le service d’installation ActiveX
  6. ActiveX – Activer l’option de filtrage ActiveX
  7. ActiveX – Activer l’invite d’exécution d’ActiveX

 

Désactiver l’exécution des macros

 

Restreindre l’utilisation des macros Office au strict minimum nécessaire :

  • A minima, désactiver l’exécution automatique des macros
  • Désactiver toutes les macros sans notification si elles ne sont pas utilisées
  • Désactiver toutes les macros non signées
  • Bloquer les macros si elles ne sont pas de confiance (issues d’un répertoire de confiance par exemple)

Désactiver l’exécution des objets OLE Microsoft Office

L’exécution des objets OLE Microsoft Office peut permettre l’exécution de code malveillant. Si les objets OLE Microsoft Office ne sont pas utilisés, désactiver la possibilité de les exécuter.

Notes : Il n’existe pas de mécanisme natif à Microsoft Office pour les désactiver depuis l’interface.

 

Notes informatives sur la mise en place

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Outlook\Security\ShowOLEPackageObj : 0

EMET : packager.dll

Désactiver les contrôles ActiveX

Les contrôles ActiveX et leurs utilisations dans Microsoft Office doivent être désactivées.

[paycontent]

 

ActiveX – Interdire l’installation de composants ActiveX

Interdire la possibilité d’installer des composants ActiveX sur le poste de travail. Seul l’administrateur doit être en mesure de pouvoir installer des composants ActiveX. Si des contrôles ActiveX doivent être installés, privilégier leur déploiement à travers le service d’installation ActiveX ou tout autre solution de déploiement centralisé.

 

Notes informatives sur la mise en place

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Security\ActiveX\BlockNonAdmin ActiveXInstall

Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Prevent per-user installation of ActiveX controls

ActiveX – Forcer l’installation des composants ActiveX via le service d’installation ActiveX

Les composants ActiveX ne doivent pouvoir être installés qu’à travers le service d’installation ActiveX (ou tout autre solution de déploiement centralisé). Ceci permet d’assurer l’intégrité des composants installés.

 

Notes informatives sur la mise en place

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AxInstaller\OnlyUseAXISForActiveXInstall

Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Specify use of ActiveX Installer Service for installation of ActiveX controls

ActiveX – Activer l’option de filtrage ActiveX

L’option de filtrage ActiveX doit être activée par défaut, si des composants ActiveX sont utilisés, mettre en place une politique de liste blanche de façon à n’activer les contrôles que pour les sites qui en ont la nécessité.

 

Notes informatives sur la mise en place

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Safety\ActiveXFiltering\IsEnabled

Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Turn on ActiveX Filtering

ActiveX – Activer l’invite d’exécution d’ActiveX

L’invite d’exécution ActiveX doit être activée de façon à prévenir l’utilisateur lorsqu’un objet COM doit être chargé lors de l’affichage d’une page. Ceci permet de limiter les risques d’exécution de contrôles ActiveX sans le consentement de l’utilisateur.

 

Notes informatives sur la mise en place

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Ext\NoFirsttimeprompt

Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Turn off ActiveX – Interdire la désactivation du mode Enhanced Protected Mode

Lorsqu’un contrôle ActiveX non compatible avec le mode Enhanced Protected Mode est lancé, interdire la possibilité de downgrader la protection en mode Protected Mode.

 

Notes informatives sur la mise en place

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Main\DisableEPMCompat

Computer Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Advanced Page\Do not allow ActiveX controls to run in Protected Mode when Enhanced Protected Mode is enabled

Zone Intranet :

  • Configurer les permissions Java : Haute sécurité
  • Désactiver l’inclusion automatique de tous les chemins réseau (UNC)

 

Zone sites approuvés :

  • Configurer les permissions Java : Haute sécurité
  • Désactiver l’initialisation et le chargement des contrôles ActiveX dont la source n’est pas sûre
  • Activer la fonctionnalité Anti-malware sur les contrôles ActiveX

[/paycontent]

 

Autres articles sur le durcissement

Durcissement Red Hat (RHEL 7.2)

Hardening : la tracabilité fait partie du durcissement à prévoir

Durcissement poste de travail Windows 10

Comment durcissement Windows Server 2012R2 ?

Bientôt Durcissement Windows Server 2016 dans l'espace membre

 

Best practice WMI : durcissement du ‘rang’ de port

Add ADMX file for Windows Server 2016 hardening

Mesures d’audit post hardening pour poste de travail Windows 10 (aussi bien 8 que 7)

 

sécurité password

2 thoughts on “Comment durcir Microsoft Office ?”

  1. Can I just say what a relief to find someone who actually knows what theyre talking about on the internet. You definitely know the right way to bring an issue to gentle and make it important. Extra individuals have to learn this and perceive this aspect of the story. I cant believe youre no more standard because you definitely have the gift.

Laisser un commentaire