Поделиться через


Базовые показатели безопасности для приложений Microsoft 365 для предприятий

Базовые показатели безопасности для приложений Microsoft 365 для предприятий публикуются два раза в год, как правило, в июне и декабре. Последняя версия — версия 2306, выпущенная 29 июня 2023 г.

Чтобы получить базовые показатели безопасности для приложений Microsoft 365 для предприятий, скачайте набор средств для обеспечения соответствия требованиям безопасности.

Примечание.

Этот базовый план безопасности предназначен для приложений Microsoft 365 для предприятий. Некоторые политики могут быть применимы к другим версиям Office, например Office LTSC 2021, Office 2019 или Office 2016. Но необходимо определить, какие политики применимы к этим версиям.

Обзор базовых показателей безопасности

Базовый план безопасности — это рекомендуемый корпорацией Майкрософт параметр конфигурации для корпоративных клиентов, который будет развертываться в своей организации. Они призваны выступать в качестве отправной точки для ИТ-администраторов, чтобы оценить и сбалансировать преимущества безопасности с потребностями их пользователей в производительности и соответствующим образом корректировать. Эти параметры основаны на отзывах групп разработчиков безопасности Майкрософт, групп продуктов, партнеров и клиентов.

Базовые показатели безопасности доступны для следующих продуктов Майкрософт:

  • Windows 11, Windows 10 и Windows Server 2022
  • Приложения Microsoft 365 для предприятий
  • Microsoft Edge

Список наиболее актуальных базовых показателей безопасности см. в этой матрице версий.

Обзор набора средств для обеспечения соответствия требованиям безопасности

Набор средств для обеспечения соответствия требованиям безопасности — это набор средств, позволяющих администраторам безопасности предприятия скачивать, анализировать, тестировать, редактировать и хранить базовые показатели конфигурации безопасности для продуктов Майкрософт.

С помощью набора средств администраторы могут сравнивать свои текущие объекты групповой политики с рекомендуемыми корпорацией Майкрософт базовыми показателями объектов групповой политики или другими базовыми планами, изменять их, хранить в формате файла резервной копии объектов групповой политики и применять их широко с помощью Active Directory или по отдельности с помощью локальной политики.

Дополнительные сведения см. в статье Microsoft Security Compliance Toolkit 1.0.

Содержимое базовых показателей безопасности для приложений Microsoft 365 для предприятий

Скачивание базовых показателей безопасности для приложений Microsoft 365 для предприятий включает документацию, отчеты по групповой политики, объекты групповой политики, сценарии и административный шаблон "Руководство по безопасности MS". В следующих разделах содержатся дополнительные сведения о некоторых из этих областей.

Объекты групповой политики (GPO)

Скачивание базовых показателей безопасности для приложений Microsoft 365 для предприятий включает несколько предварительно настроенных объектов групповой политики (GPO).

Большинство организаций могут без каких-либо проблем реализовать рекомендуемые параметры, включенные в объекты групповой политики компьютеров и пользователей .

Однако существует несколько параметров, которые могут вызвать проблемы с эксплуатацией в некоторых организациях. Мы разбили связанные группы таких параметров в собственные объекты групповой политики, чтобы организациям было проще добавлять или удалять эти ограничения в виде набора. Эти параметры включены в следующие четыре отдельных объектов групповой политики:

  • Блок DDE — пользователь, который представляет собой объект групповой политики конфигурации пользователя, который блокирует использование DDE для поиска существующих процессов сервера DDE или запуска новых.

  • Устаревший блок файлов — user, который представляет собой объект групповой политики конфигурации пользователя, который не позволяет приложениям Office открывать или сохранять устаревшие форматы файлов.

  • Устаревший блок JScript — компьютер, представляющий собой объект групповой политики конфигурации компьютера, который отключает устаревшее выполнение JScript для веб-сайтов в зоне Интернета и зоне ограниченных сайтов.

  • Требовать подписывание макросов — пользователь, представляющий собой объект групповой политики конфигурации пользователя, который отключает неподписанные макросы в каждом из приложений Office.

Сценарий локальной политики с именем Baseline-LocalInstall.ps1 предлагает параметры командной строки для управления установкой этих объектов групповой политики.

Административный шаблон "Руководство по безопасности MS"

Скачивание базовых показателей безопасности для приложений Microsoft 365 для предприятий включает административный шаблон "Руководство по безопасности MS". Файлы ADMX/ADML SecGuide включают два параметра, интересующие администраторов Office:

  • Блокировка активации Flash в документах Office
  • Ограничение устаревшего выполнения JScript для Office

Параметр "Блокировать активацию flash в документах Office" доступен только в административном шаблоне "Руководство по безопасности MS". Параметр "Ограничить устаревшее выполнение JScript для Office" также доступен в качестве объекта групповой политики при скачивании базовых показателей безопасности, как отмечалось в предыдущем разделе.

Эти параметры отображаются в разделе Конфигурация компьютера\Политики\Административные шаблоны\Руководство по безопасности MS в консоли управления групповыми политиками.

Документация, в которой перечислены доступные политики и рекомендации по базовым показателям безопасности

Скачивание базовых показателей безопасности для приложений Microsoft 365 для предприятий включает файл Excel, в котором перечислены доступные политики конфигурации компьютера и конфигурации пользователей. Файл также содержит параметры, доступные в административном шаблоне "Руководство по безопасности MS".

Вы можете отфильтровать столбец Область в разделе Базовые показатели безопасности , чтобы просмотреть политики, которые являются частью базовых показателей безопасности. Вы также можете увидеть, как настроен параметр в базовых планах безопасности для каждой из этих политик.

Вы также можете отфильтровать столбец Категория области , чтобы найти группы связанных политик. Например, можно выполнить фильтрацию по FileBlock или по макросам.

Кроме того, в столбце Базовые показатели MSFT Office 365 есть цветовая кодировка, указывающая, какие политики охватываются четырьмя отдельными объекты групповой политики, упомянутыми ранее. Условные обозначения, объясняющие цвета, см . на информационной странице в файле Excel.

Файл Excel содержит следующие столбцы.

Столбец Описание содержимого
Путь к политике Расположение политики в консоли управления групповыми политиками.
Имя параметра политики Имя политики.
Базовые показатели MSFT Office 365 Рекомендуемое состояние или значение базовых показателей безопасности, которое должно быть задано для политики.
Область Область политики.

Рекомендуется использовать политики с "Базовым уровнем безопасности".

Заметка: Политики с разделом "Безопасность" не включены в рекомендации по базовым показателям безопасности. Это более строгие политики безопасности.
Категория области Категория технологий, контролируемая политикой.
Сведения реестра Расположение в реестре, где хранится состояние политики.
Текст справки Описание политики.

Дополнительные сведения об этих политиках можно найти в файле Excel, который входит в состав скачивания файлов административных шаблонов групповой политики (ADMX/ADML) для Office.