Тарифы Услуги Сим-карты
Развернуть
Главная

Безопасное использование прикладных программ MS Office. Защита документов Microsoft Office от несанкционированного доступа

Защита от несанкционированного доступа к документам Microsoft Office основана на их шифровании с помощью вызова соответствующих функций CryptoAPI. При установке защиты пользователю предлагается ввести пароль доступа к защищаемому документу, из которого будет сгенерирован сеансовый ключ шифрования этого документа (см. парагр. 3.2 и 3.3). При попытке в дальнейшем открыть защищаемый документ потребуется ввод пароля доступа, на основании которого произойдет генерация сеансового ключа и расшифрование документа.

В текстовом процессоре Microsoft Word (версии Microsoft Office ХР и Microsoft Office 2003) установка защиты от несанкционированного доступа к редактируемому документу выполняется с помощью команды меню Сервис | Параметры | Безопасность (рис. 3.10). Кнопка «Дополнительно» позволяет установить параметры шифрования документа (рис. 3.11):

  • тип шифрования (на основе выбора одного из установленных в системе криптопровайдеров и алгоритма потокового шифрования RC4);
  • стойкость (длину) сеансового ключа шифрования в битах;
  • необходимость шифрования свойств документа (возможно, только при использовании шифрования с помощью CryptoAPI).

При выборе типа шифрования нецелесообразно выбирать варианты «Слабое шифрование (XOR)» и «Совместимое с Office 97/ 2000», поскольку в этом случае для защиты документа будет применено ненадежное шифрование, не использующее возможностей CryptoAPI. Существует немало программных средств, позволяющих расшифровывать защищенные таким образом документы путем простого перебора возможных паролей доступа.

При выборе типа шифрования, основанного на использовании одного из установленных в системе криптопровайдеров, необходимо установить максимально возможную длину ключа шифрования (обычно 128 бит).

Стойкость шифрования документа зависит также от длины пароля (фактически ключевой фразы для генерации сеансового ключа). Максимальная длина пароля доступа равна 255 знакам. При выборе пароля доступа к документу необходимо руковод-

Рис. 3.11.

ствоваться теми же соображениями, что и при выборе пароля пользователя для входа в КС (см. парагр. 1.2): выбирать пароли достаточной длины и сложности, не использовать один пароль для защиты различных документов, не использовать легко угадываемые пароли, совпадающие с именем пользователя или названием документа, и т. п.

В приложения пакета Microsoft Office 2007 шифрование документов доступно с помощью команды Кнопка Microsoft Office | Подготовить | Зашифровать документ, после этого потребуется ввести и подтвердить пароль для генерации ключа шифрования (рис. 3.12).

Рис. 3.12.

В приложениях пакетов Microsoft Office 2010 и Microsoft Office 2013 для шифрования документов используются соответственно команды Файл | Сведения | Защитить документ | Зашифровать паролем и Файл | Сведения | Защита документа | Зашифровать с использованием пароля. Изменение алгоритма шифрования, длины ключа и используемого криптопровайдера в версиях Microsoft Office 2007, 2010 и 2013 невозможно. Применяется шифрование по алгоритму AES ключом длиной 128 бит.

Для защиты от несанкционированного внесения изменений в документ Microsoft Word (версия Microsoft Office ХР и старше) он может быть снабжен электронной цифровой подписью для обеспечения его аутентичности и целостности. Добавление ЭЦП к файлу документа (в версиях Office ХР и 2003) возможно с помощью кнопки «Цифровые подписи» в окне настроек параметров безопасности (см. рис. 3.10). Для добавления ЭЦП к документу необходимо в окне «Цифровые подписи» (рис. 3.13) выбрать соответствующий сертификат ключа ЭЦП. При получении первой подписи для документа следует с помощью кнопки «Добавить» выбрать сертификат для добавляемой к документу ЭЦП (рис. 3.14).

В приложениях Microsoft Office 2007 добавление ЭЦП к документу производится с помощью команды Кнопка Microsoft Office | Подготовить | Добавить цифровую подпись. При этом корпорация Microsoft указывает, что полученная таким образом


Рис. 3.13.


Рис. 3.14.

ЭЦП не будет иметь юридической силы из-за различий в законодательстве разных стран. Для выбора сертификата и связанного с ним закрытого ключа автора подписываемого документа предназначена кнопка «Изменить» в окне подписания документа (рис. 3.15). Окно выбора сертификата в этой версии Office имеет тот же вид, что и в предыдущих версиях (см. рис. 3.14).

В приложениях пакетов Microsoft Office 2010 и Microsoft Office 2013 для добавления к документу электронной подписи используются соответственно команды Файл | Сведения | Защитить документ I Добавить цифровую подпись и Файл | Сведения | Защита документа | Добавить цифровую подпись.


Рис. 3.15.

Сертификат открытого ключа ЭЦП может быть получен одним из следующих способов:

  • в удостоверяющем центре корпоративной КС, использующей, например, инфраструктуру открытых ключей Microsoft Windows;
  • в коммерческом удостоверяющем центре;
  • самостоятельно с помощью программы Selfcert.exe («Цифровой сертификат для проектов VBA» из набора программ «Средства Microsoft Office»), входящей в стандартную поставку пакета Microsoft Office.

При самостоятельном создании сертификата (вместе с соответствующим ему закрытым ключом ЭЦП) программа Selfcert.exe запросит имя владельца сертификата (рис. 3.16), а после успешного завершения процедуры создания выдаст соответствующее сообщение. Самостоятельно созданный сертификат является са- моподписанным и предназначен только для персонального использования владельцем защищаемого документа.

При попытке сохранения измененного документа, снабженного ЭЦП, Microsoft Word выдаст предупреждение о том, что все ЭЦП будут удалены из документа. Если файл с защищенным ЭЦП документом будет изменен с помощью других программных средств (например, с помощью Блокнота Windows), то при последующей попытке открытия документа Microsoft Word выдаст соответствующее сообщение, и файл с документом открыт не будет.

Защита от несанкционированного доступа к электронным таблицам Microsoft Excel и к презентациям Microsoft PowerPoint в пакете Microsoft Office производится полностью аналогично защите документов Microsoft Word.


Рис. 3.16.

В версиях операционной системы Windows, начиная с Windows 2000, для дополнительной защиты от несанкционированного доступа к папкам и файлам пользователей могут применяться средства шифрующей файловой системы (Encrypted File System - EFS), которые базируются на криптографическом интерфейсе приложений Windows CryptoAPI. На рис. 3.17 показана структурная схема взаимодействия компонентов операционной системы при использовании EFS. Как видно из схемы, возможности шифрующей файловой системы доступны только на дисках под управлением файловой системы NTFS.


Рис. 3.17.

Шифрующая файловая система разработана с учетом следующих принципов:

  • автоматическая генерация криптопровайдером пары асимметричных ключей обмена (см. парагр. 3.2) и сертификата открытого ключа при первом обращении пользователя к услугам EFS (шифровании первой папки или файла);
  • автоматическая генерация случайного сеансового ключа перед шифрованием файла, указанного пользователем;
  • автоматическое шифрование и расшифрование в прозрачном режиме на уровне файла или папки (гарантируется, что для зашифрованного файла все созданные на его основе временные файлы также будут зашифрованы);
  • возможность вызова функций шифрования и расшифрования с помощью контекстного меню Проводника Windows и программы командной строки cipher;
  • доступ к закрытому ключу обмена пользователя со стороны операционной системы возможен только во время сеанса его работы в системе.

Пользователь сообщает шифрующей файловой системе Windows на необходимость шифрования папки или файла с помощью дополнительных атрибутов этих объектов, доступных по команде контекстного меню Свойства | Другие (рис. 3.18). Состояние выключателя «Шифровать содержимое для защиты данных» определяет необходимость в шифровании информации в данном объекте. При изменении этого состояния EFS запраши-


Рис. 3.18. Шифрование с помощью EFS вает пользователя о подтверждении изменения атрибута шифрования, а также распространении этого изменения только на папку или также на все вложенные в нее файлы и папки.

При изменении атрибута шифрования для отдельного файла шифрующая файловая система также запрашивает пользователя о подтверждении этого изменения и предлагает выбрать один из двух вариантов - зашифровать (расшифровать) только один файл или применить новое значение атрибута шифрования ко всей содержащей файл папке. Если выбранный для шифрования файл находится в незашифрованной папке (и наоборот), то после модификации этого файла значение его атрибута шифрования может автоматически измениться. Поэтому рекомендуется изменять значение атрибута шифрования для всей папки.

Перед шифрованием файла EFS обеспечивает генерацию случайного сеансового ключа FEK (File Encryption Key) (см. па- рагр. 3.2), после этого с его помощью зашифровывает файл, экспортирует из криптопровайдера сеансовый ключ в блобе, зашифрованном с помощью открытого ключа обмена пользователя, и записывает этот блоб вместе с самим зашифрованным файлом в качестве одного из его атрибутов.

Перед расшифрованием зашифрованного файла EFS обеспечивает импорт блоба с сеансовым ключом шифрования файла в криптопровайдер, используя при этом закрытый ключ обмена пользователя. После этого выполняется расшифрование файла.

В ОС Windows не поддерживается передача по сети зашифрованных файлов, а в операционной системе Windows 2000 не обеспечивается возможность совместного доступа к зашифрованному файлу со стороны нескольких пользователей. Поэтому для исключения угрозы потери зашифрованных пользователем данных, например, из-за невозможности его входа в систему, администратор должен применять политику обязательного использования агента восстановления данных (Data Recovery Agent - DRA).

Политика восстановления зашифрованных данных определяется в рамках домена. Пара ключей обмена для агента восстановления создается после включения соответствующего параметра политики безопасности, после чего открытый ключ из этой пары реплицируется на все компьютеры домена, а закрытый ключ сохраняется у администратора или на специально выделенном для этого компьютере. При использовании политики восстановления зашифрованных данных сеансовый ключ, на котором был зашифрован файл, экспортируется из CSP еще один раз - теперь в блобе, зашифрованном на открытом ключе агента восстановления, и это блоб записывается в качестве еще одного атрибута зашифрованного файла. При необходимости восстановления зашифрованного файла сеансовый ключ импортируется в криптопровайдер с использованием закрытого ключа агента восстановления.

В операционной системе Windows ХР Professional и более поздних защищенных версиях этой системы реализована поддержка общего доступа к зашифрованным файлам (но не папкам). С помощью кнопки «Подробно» в окне установки дополнительных атрибутов зашифрованного файла (см. рис. 3.18) открывается окно просмотра списка пользователей, которым разрешен доступ к этому файлу (рис. 3.19). Кнопка «Добавить» в этом окне предназначена для добавления пользователей к этому списку (рис. 3.20). Выбор возможен среди пользователей, уже обращавшихся за услугами шифрующей файловой системы (уже имеющих пары асимметричных ключей обмена) или имеющих сертификаты своих открытых ключей для EFS, выданные используемым в КС удостоверяющим центром.

Разрешение доступа к зашифрованным файлам со стороны других пользователей может избавить от необходимости использовать в КС политику агента восстановления.


Рис. 3.19.


Рис. 3.20.

Закрытый ключ пользователя в EFS шифруется случайным системным ключом, который, в свою очередь, зашифровывается с помощью главного ключа. Главный ключ вычисляется на основе хеш-значения пароля пользователя и его идентификатора безопасности SID (см. парагр. 2.1).

К недостаткам реализованного механизма совместного доступа к зашифрованным файлам в Windows ХР Professional можно отнести следующее:

  • при выборе пользователей, которым разрешен доступ к зашифрованному файлу, нельзя использовать определенные в системе группы;
  • нет возможности предоставить совместный доступ к зашифрованной папке;
  • возможна потеря доступа к зашифрованным данным при переустановке операционной системы или назначении пользователю нового пароля администратором.

В Windows 2000, 2003, ХР система EFS не предупреждает пользователя о важности резервного копирования закрытого ключа EFS на носителе (например, флэш-памяти USB), отличном от жесткого диска, содержащего операционную систему. Это серьезная проблема для владельцев автономных компьютеров Windows 2003 и ХР. В домене с интегрированной инфраструктурой открытого ключа (PKI) закрытые EFS-ключи пользователей могут автоматически архивироваться при каждом обращении пользователя за сертификатом EFS. Это возможно благодаря интегрированной службе архивирования и восстановления ключа, поставляемой вместе с удостоверяющим центром Windows 2003 Certification Authority (СА) в составе серверных ОС Windows. Данная проблема менее актуальна в Windows 2000, где для EFS всегда определена учетная запись восстановления данных (в этой версии Windows EFS вообще не функционирует без учетной записи агента восстановления данных).

В автономных системах Windows Vista операционная система автоматически приглашает пользователя сделать резервную копию своего закрытого ключа EFS. Когда пользователь шифрует данные с применением EFS в первый раз и каждый раз, когда пользователь получает новый закрытый ключ EFS, пользователь видит предупреждение, «всплывающее» на панели задач. По щелчку пользователя на этом сообщении появляется новое окно, и пользователь может сделать резервную копию ключа, получить напоминание при следующем входе в систему или не копировать ключ. Если пользователь захочет создать резервную копию ключа, операционная система запускает мастер экспорта сертификатов, с помощью которого можно копировать закрытый ключ в надежно защищенный паролем файл в формате PKCS #12. Этот файл безопаснее сохранить на сменном носителе, а не на жестком диске системы.

Пользователь может в любое время запустить мастера резервного копирования ключа вручную из утилиты «Учетные записи пользователей» панели управления, используя функцию «Управление сертификатами шифрования ваших файлов» и выбрав режим «Создать резервную копию сертификата и ключа». Мастер, который проводит пользователя по этапам резервного копирования ключа, также связан со справочным файлом, содержащим рекомендации по копированию закрытого EFS-ключа пользователя в надежное хранилище.

Резервную копию закрытого ключа EFS можно получить из оснастки «Сертификаты» Microsoft Management Console (ММС) как в ХР, так и предыдущих версиях операционной системы Windows. Для этого достаточно открыть EFS-сертификат из оснастки и выбрать функцию «Копировать в файл» на вкладке «Состав» программы просмотра сертификатов. При этом запускается мастер экспорта сертификатов. На этот раз необходимо выбрать вариант работы мастера «Да, экспортировать закрытый ключ».

Резервное копирование ключа EFS и связанный с ним механизм восстановления, описанный выше, нельзя путать со встроенной функцией восстановления данных EFS. Восстановление данных EFS всегда включено в Windows 2000 EFS; в Vista, Windows 2003 и ХР EFS - это дополнительная опция. Восстановление данных EFS основано на существовании сертификата восстановления EFS и закрытого ключа, принадлежащего административной учетной записи. Функция восстановления данных EFS как таковая также защищает от потерь зашифрованных данных.

Чтобы создать сертификат восстановления и закрытый ключ для автономного компьютера, пользователь с административными правами должен запустить утилиту командной строки Cipher.exe следующим образом:

cipher /г".имя файла

Эта команда создает сертификат и закрытый ключ агента восстановления; затем необходимо сохранить полученный файл на устройстве флэш-памяти USB или другом сменном носителе. Дополнить ранее зашифрованные файлы новой информацией о восстановлении администраторы могут с помощью команды

Чтобы создать сертификат агента восстановления EFS для компьютеров, которые являются членами домена, обычно получают сертификат восстановления от корпоративного удостоверяющего центра, интегрированного со службой Active Directory, а затем требуется распространить информацию о восстановлении по компьютерам-членам домена с использованием параметров EFS объекта групповой политики (см. парагр. 2.2).

Еще одно усовершенствование EFS в Vista - мастер EFS повторной генерации ключей. Благодаря этому мастеру пользователь Windows может получить новый закрытый ключ, чтобы заново зашифровать свои ключи шифрования файлов (FEK) EFS. EFS не шифрует заново все FEK автоматически, когда пользователь получает новый закрытый ключ EFS; вместо этого копия старого закрытого ключа сохраняется в хранилище закрытого ключа пользователя в профиле пользователя, чтобы обеспечить доступ к ранее зашифрованным данным.

Повторная генерация ключей EFS - ценная возможность при переходе пользователей на новый закрытый ключ EFS, так как при этом устраняется зависимость пользователя от старых ключей. Благодаря повторной генерации ключей устраняется необходимость в резервном копировании старого закрытого ключа EFS и сохранении копии для доступа к ранее зашифрованным данным. Это действительно только для EFS-защищенных данных, сохраненных на логических дисках, подключенных к локальному компьютеру пользователя. Мастер повторной генерации ключей не может применяться для смены ключа защищенных EFS файлов, хранимых на резервном носителе. Другими словами, если в данном сценарии пользователь не хочет сохранять старые ключи EFS, необходимо делать резервные копии защищенных EFS файлов после каждой повторной генерации ключей.

Мастер EFS повторной генерации ключей особенно полезен, когда пользователи переходят от закрытого ключа EFS на базе жесткого диска к закрытому ключу EFS на базе смарт-карты. Мастер позволяет пользователям полностью отказаться от хранения закрытого EFS-ключа на жестком диске: с помощью закрытого EFS-ключа на смарт-карте можно защитить все данные - как старые, так и новые. В организациях, для которых информационная безопасность имеет решающее значение, пользователи EFS могут регулярно менять закрытый ключ EFS с помощью мастера EFS повторной генерации ключей. При частой смене ключей снижается вероятность успешной криптоаналитической атаки. Мастер может пригодиться тем пользователям, которые применяют различные ключи для шифрования информации в разных компьютерах, и тем, кто хочет добиться соответствия ключей EFS в различных компьютерных системах.

Запустить EFS повторной генерации ключей можно из утилиты «Учетные записи пользователей» в панели управления. Следует выбрать параметр «Управление сертификатами шифрования ваших файлов», а затем выбрать «Создать новый сертификат». В окне «Обновить ваши ранее зашифрованные файлы» мастера можно выбрать зашифрованные данные, которые необходимо обновить с новым ключом. Конечно, повторная генерация ключа EFS - не очевидное действие, регулярного выполнения которого нельзя требовать от обычного пользователя. Но в настоящее время компания Microsoft не обеспечивает возможности централизованной или автоматической регенерации ключа через регулярные промежутки времени.

В Windows Vista появился новый набор параметров конфигурации EFS, управляющих новыми функциями EFS, которые отсутствовали в прошлых редакциях шифрующей файловой системы. Основные параметры: возможность шифровать файл подкачки и управлять очисткой кэша ключей шифрования EFS.

В предыдущих редакциях EFS при открытии (т. е. расшифровании) зашифрованного файла и записи его на диск открытое содержимое исходного файла сохранялось в файле подкачки. Кроме того, в прошлых редакциях кэш ключей шифрования EFS очищался только по окончании сеанса работы пользователя; а теперь кэш можно очистить, когда пользователь блокирует свою рабочую станцию или по истечении определенного промежутка времени.

Новые параметры настройки EFS обеспечивают управление EFS, конфигурацией безопасности, параметрами сертификата и закрытого ключа, а также кэшированием. В домене Windows эти параметры можно применить через групповую политику, чтобы управлять поведением EFS на рабочих станциях пользователей. Доступ к параметрам EFS можно получить из свойств Конфигурация компьютераКонфигурация WindowsIIapaMeTpbi безопас- ностиПолитики открытого ключаФайловая система EFS.

Благодаря новым параметрам конфигурации администраторы могут легко активизировать и отменять использование EFS на компьютерах Windows в домене и централизованно настраивать важнейшие параметры EFS. Чтобы отказаться от использования EFS, необходимо просто выбрать вариант «Отключить» в соответствующем объекте групповой политики. Администраторы могут потребовать обязательного применения смарт-карт для EFS, установив флажок «Требовать смарт-карты для EFS», разрешить использование сертификатов EFS с собственной подписью, установив флажок «Разрешать генерацию самоподписанных сертификатов EFS, когда центр сертификации недоступен», и задать длину закрытых ключей EFS для криптосистемы RSA, применяемых для самоподписанных сертификатов, из раскрывающегося списка «Длина ключа для самоподписанных сертификатов». Длина ключа для EFS-сертификатов, генерируемых центром сертификации Windows, задается в соответствующем шаблоне сертификата Active Directory.

В Windows Vista появились два важных изменения, которые сразу не бросаются в глаза в графическом интерфейсе Windows: поддержка смарт-карт и возможность более эффективного использования EFS для файлов, расположенных на удаленных компьютерах. Компания Microsoft, наконец, обеспечила хранение закрытого ключа EFS в смарт-картах. Хранение закрытых ключей в смарт-картах - самый безопасный способ. В предыдущих версиях Windows закрытый ключ EFS можно было хранить только в профиле пользователя на жестком диске. Если каждая система, в которую входит пользователь, оснащена устройством чтения смарт-карт, то смарт-карты - самый простой способ реализации перемещаемых ключей EFS.

Также оптимизированы операции шифрования при сохранении закрытого ключа на смарт-карте. В прошлых версиях EFS использование смарт-карты замедляло бы доступ пользователей к зашифрованным файлам, если бы при каждом обращении к зашифрованному файлу требовалось прибегать к закрытому ключу на смарт-карте. По этой причине специалисты Microsoft разработали режим ускоренной работы с закрытым ключом EFS на смарт-карте. Когда пользователь впервые задействует закрытый ключ на смарт-карте для доступа к зашифрованному файлу, EFS извлекает программный закрытый ключ EFS из закрытого ключа на смарт-карте и кэширует его в контексте безопасности службы Local Security Authority (LSA). В сущности, система сохраняет его в защищенной области памяти. Затем EFS использует программный закрытый ключ для шифрования и расшифрования до конца сеанса пользователя.

Еще одно важное изменение - поддержка локального EFS-шифрования и расшифрования файлов, размещенных на удаленных компьютерах, например файл-серверах. В прошлых версиях EFS, когда пользователи обращались к зашифрованным файлам на файл-сервере, файл расшифровывался на файл-сервере и пересылался на рабочую станцию пользователя в открытом виде. В Vista внесены изменения в протокол Server Message Block (SMB) - стандартный протокол для совместного доступа к файлам в Windows, что позволяет пересылать метаданные EFS между файл-сервером и рабочей станцией пользователя. В результате защищенный EFS файл остается зашифрованным на всем пути движения к клиенту.

Эти изменения SMB являются частью нового протокола SMB 2.0, который входит в основу исходного текста Vista и Server 2008. Аналогичная возможность в Windows 2003 реализована в наборе расширений WWW Distributed Authoring and Versioning (WebDAV). Однако эти расширения полезны лишь в том случае, если файл-сервер связан с общим ресурсом Web-cep- вера Microsoft IIS и если пользователь обращается к общим файлам через протокол HTTP.

В качестве дополнительной услуги, начиняя с Windows ХР Professional, поддерживается выделение имен зашифрованных файлов и папок зеленым цветом, хотя это может рассматриваться и как дополнительное указание на объекты, содержащие конфиденциальную информацию.

Начиная с версии Windows ХР Professional возможно использование средств шифрующей файловой системы при работе с кэшированными на клиентском компьютере автономными файлами из общих для пользователей сети папок. Благодаря кэшированию пользователи могут продолжать просматривать и редактировать файлы из общих папок в ситуации, когда их мобильный компьютер отключен от сети. При последующем подключении к серверу сети операционная система синхронизирует произведенные изменения в файлах с их более ранними версиями, размещенными в общих папках. Возможность автоматического шифрования и расшифрования автономных файлов повышает их защищенность от несанкционированного доступа при работе с ними на мобильных компьютерах (например, во время командировок пользователей).

В состав операционных систем Windows 7 и старше помимо шифрующей файловой системы EFS включена служба Bit Locker, позволяющая осуществлять полное шифрование жесткого диска компьютера и съемных флэш-дисков.

В дополнение к механизмам защиты папок и файлов, реализованных на уровне ОС, в приложениях MS Office имеются дополнительные механизмы защиты. Разработчиками MS Office заложены возможности защиты файлов, полученных в результате работы прикладных программ пакета. Главные функции защиты для основных приложений MS Office 2013 (MS Word, MS Excel, MS PowerPoint) совпадают. Поэтому далее документ, книгу или презентацию будем называть файл MS Office. При наличии особенностей защиты, например в MS Excel, о них будет упомянуто особо.

В приложениях MS Office 2013 реализованы следующие механизмы защиты данных:

  • - шифрование файлов;
  • - ограничение перечня допустимых операций при редактирования файлов;
  • - использование электронной подписи.

Файлы приложений Microsoft Office 2013 защищаются от несанкционированного ознакомления с помощью шифрования. Такая процедура называется «Зашифровать паролем». В случае, если злоумышленник смог получить доступ к компьютеру, он не сможет работать с зашифрованными файлами. По умолчанию для шифрования файлов используется криптосистема AES с 128 битовым ключом.

Для шифрования открытого файла выполняется следующая последовательность действий: ФАЙЛ / Сведения / Защита документа (книги, презентации) / Зашифровать с использованием пароля, ввод пароля. При открытии зашифрованного файла система требует ввести пароль, после чего файл расшифровывается и открывается в окне приложения.

В MS Office пользователь имеет возможность ограничения перечня допустимых операций , которые могут быть выполнены по отношению к защищаемому файлу. Например, разрешено только чтение, а запись запрещена.

В MS Word возможно разрешить только следующие действия с документом:

  • - только чтение;
  • - запись исправлений;
  • - примечания;
  • - ввод данных в поля форм.

Для установления ограничения на изменение основного текста документа необходимо выполнить следующие настройки. Открыть файл, затем в Области задач : РЕЦЕНЗИРОВАНИЕ / Защитить / Ограничить редактирование / Ограничения на редактирование / Флаг Разрешить только указанный способ редактирования документа / Пункт Только чтение / Включение защиты / Да, включить защиту. Пользователю предоставляется возможность использования пароля. Если пароль вводится, то он будет затребован при попытке изменить режим ограничения редактирования документа.

При открытии файла с включенным режимом Только чтение он доступен только для просмотра. Для получения доступа к редактированию файла следует перейти на вкладку ВИД, выполнить пункт Изменить документ. В открывшейся Области задач отключается защита (Отключить Защиту). При необходимости - ввести пароль.

Если вместо режима ограничения редактирования Только чтение выбрать режимы Запись исправлений, Примечания, Ввод данных в поля форм, то сохраняется возможность чтения документа и разрешается работа соответственно с исправлениями, примечаниями и вводом данных в поля форм. Включение и отключение этих режимов требует выполнения действий, аналогичных рассмотренным при работе с режимом Только чтение.

В приложении MS Excel могут также устанавливаться ограничения на действия пользователей с файлами, которые могут быть сгруппированы следующим образом:

  • - защитить структуру книги;
  • - защитить текущий лист.

Защита структуры книги предполагает запрет на добавление, изменение названия и удаления листов книги. Режим защиты открытой книги устанавливается двумя способами:

  • - Файл / Сведения / Защита книги / Защитить структуру книги;
  • - Рецензирование / Защитить книгу.

Для завершения процесса установки режима защиты книги следует в открывшемся окне ввести пароль (необязательно), который потребуется для отмены режима. Отказ от использования пароля позволяет защитить книгу только от неумышленного изменения книги. Режим защиты структуры книги в этом случае снимается нажатием кнопки Защитить книгу на вкладке РЕЦЕНЗИРОВАНИЕ Режим не сохраняется и при копировании файла. Если пароль был введен, то режим может быть отменен после нажатия кнопки Защитить книгу на вкладке РЕЦЕНЗИРОВАНИЕ и последующего ввода пароля.

Установка режима Защитить текущий лист позволяет исключить возможность изменения содержимого ячеек и выборочно разрешить выделение и форматирование блоков ячеек, вставку или удаление столбцов или строк и некоторые другие действия.

Пользователь может выбирать один из двух доступных путей установки режима защиты текущего листа:

  • - ФАЙЛ / Сведения / Защита книги / Защитить текущий лист;
  • - РЕЦЕНЗИРОВАНИЕ / Защитить лист.

Как и в случае с защитой структуры книги, пользователь может отказаться от ввода пароля. Для снятия защиты достаточно нажать кнопку РЕЦЕНЗИРОВАНИЕ / Снять защиту листа. Если пароль использовался, то потребуется его ввести после нажатия этой кнопки.

В приложении MS Excel для отдельных блоков ячеек или отдельных ячеек могут создаваться особые условия доступа. Для того чтобы разрешить редактирование отдельных блоков ячеек на защищенном листе, необходимо открыть окно РЕЦЕНЗИРОВАНИЕ / Разрешить изменение диапазонов. В этом окне нажать кнопку Создать. В окне Новый диапазон необходимо ввести имя выделенного диапазона (оставить предложенное имя) и выделить требуемый диапазон.

Если планируется организовать доступ к выделенному блоку с использованием пароля, то его следует ввести. Если пароль не используется, то устанавливается свободный доступ к выделенному блоку для его редактирования. Затем устанавливается защита листа. Для этого в окне Разрешить изменение диапазонов следует нажать кнопку Защитить лист. В окне Защита листа предлагается также ввести пароль. Пароли защиты листа и защиты блока должны быть разными. Иначе утрачивается смысл ограничения доступа к блоку ячеек - достаточно защитить лист. Если предполагается делегирование прав на редактирование только отдельной части листа (блоков ячеек с особыми правилами доступа может быть несколько) определенному исполнителю, то ему сообщается только пароль доступа к определенным блокам листа.

Для снятия разрешения с диапазонов или изменения настроек разрешения диапазонов предварительно снимается защита листа (РЕЦЕНЗИРОВАНИЕ / Снять защиту листа), а затем удаляются/изменяются сведения о диапазонах в окне Разрешить изменение диапазонов. Пароль для снятия разрешения на редактирование диапазонов не требуется, даже если он применялся при вводе разрешения. Причем для снятия защиты листа, созданной с использованием пароля, требуется обязательный ввод пароля.

В приложении MS Excel для разных пользователей компьютера владельцем файла может быть разрешено редактирование отдельных блоков защищенного листа без паролей (даже если пароли для блоков были созданы). Для этого в окне Разрешить изменение диапазонов следует выделить требуемый диапазон и нажать кнопку Разрешения. В окне Разрешения для группы Название диапазона нажать клавишу Добавить. В следующих последовательно открывающихся окнах нажать Дополнительно, Поиск, выделить необходимых пользователей компьютера и вернуться назад с помощью кнопки ОК. Из окна Разрешения для группы Название диапазона вернуться в окно Разрешить изменение диапазонов и установить Защиту листа.

Пользователи, для которых был создан доступ к отдельным диапазонам, получают право редактирования этих диапазонов без пароля. К остальным диапазонам доступ возможен только с использованием пароля.

Использование цифровой подписи применяется для контроля целостности и подтверждения авторства файлов Word, Excel и PowerPoint (в документации MS Office используется термин «цифровая подпись»). При открытии документа, книги или презентации электронная подпись не отображается.

Общий алгоритм работы с электронной подписью предполагает использование сертификата и секретного ключа. Секретный ключ применяется при создании подписи, а сертификат необходим для проверки подлинности и целостности документа, заверенного подписью. Непосредственно в алгоритме проверки используется открытый ключ, который содержится в сертификате. Остальная информация сертификата используется в основном для подтверждения принадлежности открытого ключа лицу, подписавшему документ.

Подтверждение подлинности сертификата осуществляется с помощью центров сертификации. В Российской Федерации создана система удостоверяющих центров для организации государственного юридически значимого электронного документооборота. В сети Интернет существуют десятки корневых доверенных центров сертификации, позволяющих осуществлять обмен подписанными сообщениями.

Если на компьютере пользователя отсутствует сертификат, то его можно получить от одного из партнеров Microsoft. Ссылки на сайты таких удостоверяющих центров могут быть получены при попытке создания цифровой подписи: ФАЙЛ / Сведения / Защита документа / Добавить цифровую подпись.

Если сертификат из центра сертификации получить не удалось, то возможно создание собственного сертификата. Такой сертификат не заверен доверенным центром сертификации, и он не может использоваться для подтверждения авторства документа (сообщения). Личный сертификат позволяет только проверять целостность файлов. Он может использоваться также для получения навыков работы с электронной подписью.

Для создания личного сертификата следует найти и выполнить программу Selfcert.exe: ПУСК / Ввод в окно Найти программы и файлы имени программы Selfcert.exe / Активизировать программу Selfcert.exe.

Процесс создания электронной подписи (невидимой цифровой подписи) включает следующие действия.

1. ФАЙЛ / Сведения / Защитить документ (Защитить книгу или Защитить презентацию) / Добавить цифровую подпись. В окне Подписание указываются сведения о типе подписи, цели подписания файла, а также сведения о лице, подписавшем документ, книг}" или презентацию. Подпись записывается в файл после нажатия кнопки Подписать.

О наличии невидимой подписи файла свидетельствует кнопка Этот документ содержит подписи в строке состояния, а также желтая строка, предупреждающая о том, что файл помечен как Окончательный. Цифровая подпись не может предотвратить изменение файла и служит средством контроля целостности файла. Если в предупреждающей строке нажать кнопку Все равно редактировать, то цифровая подпись удаляется, что свидетельствует об изменениях подписанного файла.

Информация о наличии подписи файла может быть получена после перехода ФАЙЛ / Сведения. В открывшемся окне появляется ссылка на просмотр подписей. Если перейти по ссылке, то в открывшейся Области задач Подписи предоставляется возможность просмотра параметров подписи и ее удаления. Для этого следует использовать ниспадающее меню цифровой подписи.

Наряду с электронной подписью, которую в документации MS Microsoft называют цифровой или невидимой, используется видимая строка подписи. Строка подписи напоминает обычное место для подписи в печатном документе, но работает иначе. Добавляя строку подписи в документ Word или книгу Excel, автор может указать сведения о предполагаемом подписывающем лице и предоставить для него инструкции. Когда электронная копия файла отправляется предполагаемому подписывающему, он видит строку подписи и уведомление о том, что необходима его подпись. Он может:

  • - ввести подпись;
  • - выбрать изображение цифровой подписи;
  • - ввести подпись с помощью функции рукописного ввода на планшетном ПК.

Одновременно с видимой подписью в документ автоматически добавляется и электронная (невидимая) подпись для подтверждения личности подписавшего.

Процесс создания строки подписи сводится к выполнению четырех шагов.

  • 1. Поместите указатель мыши в то место в документе или на листе, где необходимо создать строку подписи.
  • 2. На вкладке ВСТАВКА в группе Текст раскройте список Строка подписи и выберите пункт Строка подписи Microsoft Office.
  • 3. В диалоговом окне Настройка подписи введите сведения, которые будут отображены иод строкой подписи:
    • - предложенный подписывающий - полное имя подписывающего лица;
    • - должность предложенного подписывающего - должность подписывающего лица (если таковая имеется);
    • - адрес электронной почты предложенного подписывающего - адрес электронной почты подписывающего лица (при необходимости);
    • - инструкции для подписывающего - инструкции для подписывающего лица;
    • - разрешить подписывающему добавлять примечания в окне подписи - разрешение подписывающему указать цель добавления подписи;
    • - показывать дату подписи в строке подписи - отображение даты подписи вместе с подписью.
  • 4. Нажмите кнопку ОК.

В результате будет создана строка подписи (рис. 5.3) в виде неполностью заполненного бланка (отсутствует подпись).

Рис. 53.

Для подписания в строке подписи документа Word или Excel щелкните строку подписи в файле правой кнопкой мыши. Выберите в меню команду Подписать. Открывается окно Подписание.

Рядом со значком х может быть введена информация в следующем виде:

  • - печатный текст фамилии подписавшего (с клавиатуры);
  • - рукописная подпись, заранее отсканированная (переход но ссылке Выбрать рисунок);
  • - рукописная подпись, если возможен непосредственный ввод графической информации с экрана компьютера (планшетный компьютер).

При подписании строки подписи добавляется как видимая подпись, так и электронная.

Удаление цифровых подписей из документа Word или Excel осуществляется следующим образом.

  • 1. Откройте документ или лист с видимой подписью, которую необходимо удалить.
  • 2. Щелкните строку подписи правой кнопкой мыши.
  • 3. Выберите в меню команду Удалить подпись.
  • 4. Нажмите кнопку Да.

Кроме средств защиты в приложениях Office 2013 могут использоваться механизмы, которые не могут быть отнесены к полноценным средствам защиты, но которые ограничивают некоторые операции в отношении файлов. Они не оказывает влияние на защиту файла от утраты конфиденциальности, целостности и доступности. К этим механизмам относятся присвоение файлу статуса Окончательный для всех файлов MS Office и запрет на использование определенных стилей форматирования в MS Word. Первый из них не может запретить изменение файла, а выполняет лишь функцию предупреждения о нежелательности изменения файла. Второй касается только ограничений форматирования.

Пользователь MS Office имеет возможность присвоения файлу статуса Окончательный. Окончательным обычно помечается файл после завершения коллективной работы над ним. Приложения запрещают ввод в такой файл, его редактирование и проверку правописания. Однако данный режим использования файла может отменить любой пользователь. Механизм следует рассматривать как средство оповещения о статусе файла и его защиты от случайных изменений после завершения согласованной работы с файлом.

Для придания файлу статуса Окончательный необходимо открыть файл и выполнить следующие шаги: ФАЙЛ / Сведения / Защита документа / Пометить как окончательный. Признаком статуса Окончательный служит предупреждение на желтом фоне в верхней части окна и значок Помечен как окончательный в строке состояния.

Статус Окончательный отменяется после нажатия клавиши Все равно редактировать на желтой предупредительной панели в верхней части окна приложения.

К механизмам ограничительного характера относится также возможность установления запрета на использование отдельных стилей форматирования файлов в MS Word. Настройки ограничения форматирования доступны при выполнении следующих действий: РЕЦЕНЗИРОВАНИЕ / Защитить / Ограничить редактирование / Ограничения на форматирование. Уста- новка/удаление флажка Ограничить набор разрешенных стилей позволяет управлять доступом к определенным стилям форматирования документов.

Таким образом, в современные версии ОС Windows и приложения MS Office встроены развитые механизмы обеспечения безопасности информации. Пользователь имеет возможность настраивать их в соответствии с выбранной политикой безопасности.

МОСКОВСКИЙ УНИВЕРСИТЕТ МВД РОССИИ

Кафедра информатики и математики

Задание

Для практических занятий

По теме «Защита информационных процессов в компьютерных системах»

«Стандартные средства защиты Windows и MS Office»

Учебного курса «Основы информационной безопасности»

Москва – 2008


Тема 4-1. Защита компьютерной информации

Практическое занятие – 2 часа аудиторных занятий

Учебные вопросы:

1. Использование средств операционной системы и MS Office для защиты компьютерной информации.

1.1 . Изменение атрибутов файлов и папок.

1.2 Защита документа Word от изменений и несанкционированного доступа.

1.3 Защита листа Excel от несанкционированных изменений

Использование методов криптографии и стеганографии для защиты информации.

2.1 Защита информации программой S-Tools

Место проведения – компьютерный класс кафедры.

Методы проведения занятия:

самостоятельное изучение курсантами в часы самоподготовки конспектов лекций, рекомендованной литературы, основного задания, исходных материалов и методических рекомендаций по теме;

– групповое обсуждение учебных вопросов;

– практическая работа на персональном компьютере.

Отчетные документы курсантов – записи в рабочих тетрадях и созданные сетевые подключения.


Использование средств операционной системы и MS Office для защиты компьютерной информации.

Работая с файлами и папками пользователь по своему усмотрению может устанавливать для них различные атрибуты:

Только чтение;

Архивный;

Скрытый.

Изменение свойств файла или папки производится в следующей последовательности:

1. В окне Мой компьютер или окне проводника выберите файл или папку, свойства которой требуется изменить.

2. В меню Файл выберите команду Свойства .

3. Выполните необходимые действия в диалоговом окне Свойства(вид диалогового окна представлен на Рис.12.1).




Рис.12.2 Диалоговое меню Файл - Создать

3. В программе Блокнот наберите следующий текст: Первая строка документа и закройте файл.

4. Открыв диалоговое окно Свойства, просмотрите атрибуты файла (включенным должен быть только атрибут Архивный ).

5. Вновь загрузите сохраненный файл в Блокнот, наберитетекст Вторая строка документа и закройте файл (все внесенные изменения сохраняются в файле).

6. Открыв диалоговое окно Свойства включите дляфайла следующие атрибуты: Архивный, Только чтение.

7. Снова загрузите сохраненный файл в Блокнот, наберите текст Третья строка документа и попробуйте закрыть файл. Программа выдаст предупреждающее сообщение о том, что текст был изменен и по Вашему выбору закроет файл без внесенных изменений, либо откроет диалоговое окно Сохранение , в котором Вы можете указать новое имя файла.

Изменение атрибутов папок:

1. Создайте в папке Мои документы папку с произвольным именем.

2. Используя диалоговое окно Свойства установите для папки различные атрибуты.

Стандартные средства MS Office, имеющиеся в программах Word и Excel позволяют пользователю защитить свои данные от несанкционированного изменения и прочтения. Последовательно рассмотрим возможности этих программ.

Работая с текстовым редактором MS Word, пользователь может применить для защиты документа следующие возможности:

Запретить изменение документа;

Установить пароль на открытие документа;

Установить пароль на изменение документа.

Для защиты документа от изменений пользователь проводит следующие действия:

1. Открывает документ Word, подлежащий защите.

2. Используя главное меню программы, последовательно выбирает меню Сервис – Установить защиту , открывая диалоговое окно Защита документа (представлено на Рис.12.3).

3. Настраивая опции диалогового окна Защита документа , пользователь определяет, что он хочет защитить в документе и при необходимости устанавливает пароль на отключение защиты.


Рис.12.4 Диалоговое окно Сохранение

3. Настраивая Параметры доступа к файлу диалогового окна Параметры , пользователь устанавливает по своему усмотрению пароль для открытия файла и разрешения записи в файл.

Упражнение № 1.2 Защита документа Word от изменений и несанкционированного доступа

Изучите возможности редактора Word по защите документов от изменений и несанкционированного доступа. Выполните следующие действия:

Защита документа от изменений:

1. Запустите текстовый редактор Word и наберите документ произвольного содержания.

2. Используя диалоговое окно Защита документа, установите следующие параметры защиты:

Запретить любые изменения кроме ввода данных в поля форм;

Пароль длиной четыре символа (установленный пароль вводится дважды для подтверждения правильности ввода).

3. Убедитесь, что в текст документа нельзя внести изменения - пользователю доступен только режим просмотра.

4. Снимите защиту с документа при помощи диалогового окна Сервис – Снять защиту (вводом установленного пароля).

Защита документа от несанкционированного доступа:

5. Сохраните созданный Вами документ в папке Мои документы с произвольным именем.

6. Используя вкладку Сохранение диалогового окна Параметры, установите пароль для открытия файла (установленный пароль вводится дважды для подтверждения правильности ввода).

7. Закройте подготовленный Вами документ.

8. Убедитесь, что повторное открытие документа можно произвести только после правильного ввода пароля в специальном диалоговом окне.

9. Используя вкладку Сохранение диалогового окна Параметры. отмените пароль на открытие файла.

10. Закройте документ и откройте вновь, убедившись, что ввод пароля для открытия файла больше не требуется.

11. Удалите созданный Вами документ.

Работая с электронными таблицами MS Excel, пользователь может применить для защиты книги следующие возможности:

Защитить лист;

Защитить книгу;

Защитить книгу и дать общий доступ.

Рассмотрим наиболее часто используемый режим защиты листа , который позволяет разделить ячейки листа на разрешенные для ввода данных и ячейки с формулами, в которые нельзя вносить изменения. Применение данного режима осуществляется следующим способом:

1. Пользователь создает необходимую структуру Листа , определяя какие ячейки будут содержать исходные данные, а какие формулы для расчетов.

2. Выделяя группы не защищенных ячеек, используя главное меню программы, последовательно выбирает Формат – Ячейки , запуская диалоговое окно Формат ячеек .

3. На вкладке Защита (показана на Рис.15.5) параметр Защищаемая ячейка должен быть не отмечен.


Рис.12.6 Диалоговое окно Защитить лист

Упражнение №.1.3 Защита листа Excel от несанкционированных изменений

Изучите технологию работы при защите листов книги MS Excel от несанкционированных изменений.

Выполните следующие действия:

1. Запустите программу MS Excel.

2. Для десяти строк столбца D задайте формулу для расчета среднего арифметического значения чисел, которые будут заноситься в столбцы A, B, C (введя произвольные значения в указанные столбцы, проверьте правильность формулы).

3. Выделите диапазон ячеек А1:С10 и, используя вкладку, Защита диалогового окна Формат ячеек снимите с них флажок Защищаемая ячейка .

4. Выделите диапазон ячеек D1:D10 и используя вкладку, Защита диалогового окна Формат ячеек установите для них флажок Скрыть формулы .

5. Используя диалоговое окно Защитить лист примените к листу защиту введя пароль из четырех символов (ввод пароля производится дважды для подтвеождения).

6. Убедитесь что пользователю доступен для ввода диапазон ячеек А1:С10 и не доступны для изменения любые другие ячейки листа. При выборе любой ячейки с формулой в Строке формул формула не отображается.

7. Снимите защиту Листа выбирая следующие пункты главного меню Сервис – Защита – Снять защиту листа. Закройте программу Excel.



Не нашли ответ на свой вопрос? Посмотрите здесь
Почему возникает ошибка Почему возникает ошибка "Использование модальных окон в данном режиме запрещено"?
Состав и назначение основных элементов персонального компьютера, их характеристики Наиболее полный перечень основных устройств персонального компьютераСостав и назначение основных элементов персонального компьютера, их характеристики Наиболее полный перечень основных устройств персонального компьютера
Прибыл в страну назначения - что значит?Прибыл в страну назначения - что значит?