Защита от эксплойтов в Office-документах: отключение макросов и настройка Protected View

Автор На чтение 12 мин Просмотров 1 Опубликовано

Большинство атак через Word, Excel и PowerPoint держится не на «суперсложном взломе», а на привычке пользователя нажать «Включить содержимое». Один документ из почты или мессенджера выглядит как счёт, акт, спецификация или договор, а внутри — макрос, который запускает вредоносный код. Поэтому защита строится просто: не давать макросам запускаться без необходимости и заставить сомнительные файлы открываться в изолированном режиме просмотра.

Ниже — практичная схема: что отключать, что оставлять, где настраивать Protected View и как не сломать рабочую почту, бухгалтерию или отчётность.

Содержание
  1. Что именно нужно закрыть
  2. Как устроена защита от макросов в Office
  3. Какой режим макросов выбрать
  4. Обязательная настройка: блокировка макросов из интернета
  5. Что делать с доверенными документами
  6. Настройка Protected View: что включить
  7. Как это выглядит для пользователя
  8. Что выбрать в зависимости от ситуации
  9. Как лучше сделать: рабочая схема настройки
  10. Частые ошибки при настройке
  11. На что смотреть при проверке файла
  12. Если макрос нужен, но файл пришёл извне
  13. Как объяснить пользователям, чтобы они не отключали защиту
  14. Практические рекомендации
  15. Итог

Что именно нужно закрыть

В Office-документах опасность обычно идёт из двух мест:

  • макросы — код, который может выполниться при открытии файла или по нажатию кнопки;
  • незащищённый режим открытия — когда файл из интернета, почты или временной папки сразу получает доступ к функциям Office почти как обычный документ.

Макрос сам по себе не всегда вреден. На нём держатся старые формы, автоматические расчёты, шаблоны договоров, выгрузки из 1С и CRM. Но для защиты правило такое: если макрос не нужен прямо сейчас — он должен быть отключён. Если файл пришёл извне — он должен открываться через Protected View.

Protected View — это не полноценная песочница и не замена антивирусу. Это режим, в котором Office ограничивает редактирование, запуск макросов и часть активных функций. Он нужен для ситуации: «файл подозрительный, но его надо посмотреть».

Как устроена защита от макросов в Office

В Office есть несколько уровней работы с макросами. Их важно понимать, потому что одно дело — поставить «отключить всё», а другое — оставить нормальный рабочий процесс для доверенных файлов.

Обычно путь такой:

  1. Откройте Word, Excel или PowerPoint.
  2. Перейдите в Файл → Параметры → Центр управления безопасностью → Параметры центра управления безопасностью.
  3. Откройте раздел Параметры макросов.
  4. Выберите режим, который соответствует вашей задаче.

Названия пунктов могут немного отличаться в разных версиях Office, но логика одинаковая: чем меньше автоматического запуска кода, тем безопаснее.

Какой режим макросов выбрать

Режим Что делает Когда использовать Риск
Отключить все макросы с уведомлением Макросы не запускаются автоматически, но пользователь видит предупреждение и может включить их вручную. Для обычных пользователей, если в компании есть редкие легитимные макросы. Средний: пользователь может ошибиться и нажать «Включить содержимое».
Отключить все макросы без уведомления Макросы блокируются полностью, без кнопки включения. Для рабочих мест, где макросы не нужны: бухгалтерские просмотры, менеджеры, HR, руководители. Низкий по безопасности, но может сломать рабочие формы.
Отключить все макросы, кроме макросов с цифровой подписью Запускаются только подписанные макросы от доверенных издателей. Если в компании есть свои подписанные шаблоны и контролируется сертификат. Зависит от качества управления сертификатами.
Включить все макросы Любой макрос в любом документе может запускаться. Практически не рекомендую даже для «понимающих пользователей». Очень высокий: это почти приглашение к запуску вредоносного кода.

Для большинства организаций я бы начинал не с жёсткого запрета, а с режима «Отключить все макросы с уведомлением» плюс отдельная блокировка макросов из интернета. Так вы видите, где макросы реально нужны, и не останавливаете бизнес-процессы в первый же день.

Обязательная настройка: блокировка макросов из интернета

В современных версиях Microsoft 365 и Office есть полезная настройка: блокировать макросы в файлах, скачанных из интернета. Это закрывает частый сценарий: злоумышленник отправляет файл вложением, пользователь скачивает его, а Office дополнительно помечает такой файл как пришедший из ненадёжного источника.

Искать её обычно нужно здесь:

  1. Файл → Параметры → Центр управления безопасностью.
  2. Параметры центра управления безопасностью → Центр управления безопасностью.
  3. Раздел, связанный с блокировкой макросов из интернета или файлами из ненадёжных источников.
  4. Включить блокировку макросов для файлов, полученных из интернета.

Практический смысл простой: если файл пришёл из почты, браузера, облака или мессенджера, он не должен получать право запускать макрос просто потому, что пользователь случайно нажал кнопку.

Если в вашей версии Office такого пункта нет, это не значит, что защищаться нечем. Тогда используйте групповые политики Microsoft, настройки Microsoft 365 Apps или централизованное управление через Intune/Group Policy. Для одного компьютера можно применять политики безопасности Windows, но в компании лучше не настраивать каждую машину вручную.

Что делать с доверенными документами

Самая частая ошибка — полностью запретить макросы, а потом в авральном режиме включать их каждому пользователю. Так защита быстро превращается в фикцию.

Если у вас есть реальные рабочие макросы, лучше сделать для них нормальную схему:

  • хранить шаблоны в контролируемой сетевой папке или SharePoint;
  • дать доступ только нужным сотрудникам;
  • использовать цифровую подпись макросов;
  • добавить папку с шаблонами в доверенные расположения;
  • регулярно проверять, кто и какие макросы использует.

Доверенное расположение — это папка, из которой Office считает документы более безопасными. Например: \\fileserver\finance\templates или локальная папка C:\OfficeTrustedTemplates.

Но с доверенными папками нужно быть осторожным. Если туда попадёт заражённый файл, Office будет относиться к нему мягче. Поэтому доверенная папка не должна быть общей свалкой вроде «Загрузки» или публичной сетевой директории.

Настройка Protected View: что включить

Protected View настраивается в том же Центре управления безопасностью. Обычно путь такой:

  1. Откройте Excel, Word или PowerPoint.
  2. Перейдите в Файл → Параметры → Центр управления безопасностью.
  3. Откройте Параметры центра управления безопасностью.
  4. Перейдите в раздел Представление защищённого режима.
  5. Включите основные пункты Protected View.

Для защиты от эксплойтов я бы включал три основных пункта:

  • Включить защищённый режим для файлов, полученных из Интернета — обязательно для документов из почты, браузера, мессенджеров и облачных сервисов.
  • Включить защищённый режим для файлов из потенциально небезопасных расположений — полезно для временных папок, кэша и скачанных архивов.
  • Включить защищённый режим для вложений Outlook — особенно важно, потому что почта остаётся одним из главных каналов доставки вредоносных документов.

Есть ещё настройка «Разрешить доверенные документы». Она запоминает файлы, которым пользователь однажды разрешил редактирование. Удобно, но опасно, если пользователь привык нажимать «Включить редактирование» на всём подряд. На рабочих местах с высоким риском эту настройку лучше ограничивать через политики.

Как это выглядит для пользователя

Нормально настроенный Protected View выглядит так: пользователь открывает документ, а сверху видит жёлтую или красную полосу с сообщением, что файл открыт в защищённом режиме. Кнопки редактирования и макросы неактивны.

Это правильно. Если файл пришёл извне, он не должен сразу становиться полноценным документом.

Дальше возможны два сценария:

  • Нужно только посмотреть — читаете в Protected View, ничего не включаете.
  • Нужно редактировать — сначала проверьте отправителя, файл, расширение, смысл письма и только потом нажимайте «Включить редактирование».

С макросами ещё строже. Даже если документ уже разрешён для редактирования, это не значит, что макрос можно запускать. Кнопка «Включить содержимое» — это уже отдельное решение, а не продолжение открытия файла.

Что выбрать в зависимости от ситуации

Ситуация Что сделать с макросами Что сделать с Protected View Комментарий
Обычный офисный сотрудник Отключить макросы с уведомлением или полностью, если макросы не нужны. Включить все основные пункты Protected View. Пользователь должен уметь открыть документ, но не должен запускать неизвестный код.
Бухгалтерия, договоры, отчёты с рабочими макросами Использовать доверенные расположения или подписанные макросы. Включить для внешних файлов, но не для доверенных шаблонов. Не запрещайте всё вслепую: сначала найдите легитимные макросы.
Руководители и сотрудники, которые часто получают вложения Лучше отключать макросы без уведомления или через политики с исключением для доверенных источников. Включить максимально жёстко. У таких пользователей высокий риск фишинговых вложений.
Компьютер для просмотра документов без редактирования Полностью отключить макросы. Включить Protected View для почты, интернета и небезопасных папок. Самый безопасный сценарий: читать можно, запускать код нельзя.
Разработчик шаблонов или специалист, который поддерживает макросы Разрешить только в выделенной рабочей среде. Можно смягчить только для тестовых папок, но не для почты и загрузок. Удобство разработки не должно становиться постоянной настройкой для всех файлов.

Как лучше сделать: рабочая схема настройки

Если нужно привести Office к безопасному состоянию без лишней паники, я бы шёл так:

  1. Сначала включите Protected View для файлов из интернета, вложений Outlook и небезопасных расположений.
  2. Поставьте макросы в режим отключения с уведомлением, если не знаете, какие макросы реально используются.
  3. Включите блокировку макросов из интернета в Office/Microsoft 365.
  4. Соберите список рабочих макросов: какие файлы, кто использует, зачем они нужны.
  5. Перенесите легитимные макросы в доверенные расположения или подпишите их сертификатом.
  6. Для пользователей без необходимости работы с макросами поставьте полное отключение.
  7. Проверьте результат на тестовой группе, прежде чем применять настройки ко всей компании.

Такой подход лучше, чем сразу «всё запретить». Он позволяет закрыть основной риск и одновременно понять, где у вас действительно есть бизнес-зависимость от макросов.

Частые ошибки при настройке

Ошибки здесь обычно не технические, а человеческие. Настройки вроде бы включили, но оставили лазейку, через которую защита снова становится бесполезной.

  • Включили Protected View, но оставили макросы свободными. Файл открывается в защищённом режиме, но пользователь всё равно может включить содержимое без проверки.
  • Полностью запретили макросы без анализа рабочих процессов. Через неделю сотрудники начинают просить исключения, а администратор включает всё подряд.
  • Добавили в доверенные расположения папку «Загрузки». Это плохая идея: туда постоянно попадают файлы из почты и браузера.
  • Разрешили макросы «для всех файлов» на одном компьютере. Такая настройка быстро копируется как привычка: «у меня же работало».
  • Не отключили макросы из интернета. Это одна из самых полезных современных защитных настроек.
  • Пользователи не понимают разницу между «Включить редактирование» и «Включить содержимое». Редактирование — это изменение документа. Содержимое — это запуск макросов.
  • Не проверяют расширения файлов. Файл может называться invoice.pdf, но реально быть invoice.pdf.xlsm или другим исполняемым форматом.
  • Не обновляют Office. Protected View и блокировки макросов не заменяют обновления безопасности.

На что смотреть при проверке файла

Даже с правильными настройками полезно понимать, когда файл лучше не открывать вообще.

Плохие признаки:

  • письмо требует срочно открыть вложение;
  • отправитель незнакомый или адрес похож на настоящий, но с лишними символами;
  • вложение имеет расширение .xlsm, .docm, .pptm или старый формат с макросами;
  • в документе просят включить макросы, чтобы «посмотреть содержимое»;
  • файл пришёл архивом с паролем;
  • тема письма не совпадает с обычной перепиской;
  • файл скачан из неизвестного облака или файлообменника.

Хороший признак — не то, что документ «выглядит нормально». Макросы и эксплойты как раз делают документ визуально обычным. Хороший признак — понятный источник, ожидаемое вложение и отсутствие необходимости запускать код.

Если макрос нужен, но файл пришёл извне

Бывает ситуация: контрагент прислал Excel с макросом, и без него файл «не работает». Это не значит, что нужно сразу включать содержимое.

Лучше действовать так:

  1. Уточните у отправителя, действительно ли файл должен содержать макрос.
  2. Проверьте расширение файла и имя отправителя.
  3. Откройте файл в Protected View.
  4. Если макрос нужен, сохраните копию файла в отдельную папку для проверки.
  5. Не используйте для этого «Загрузки».
  6. Если макросы в компании разрешены, включайте их только после проверки источника.
  7. Если файл критичный, передайте его специалисту по безопасности или ИТ-поддержке.

Если вам регулярно присылают такие файлы, лучше договориться о безопасной схеме: подписанные макросы, отдельный канал передачи, шаблон без макросов или выгрузка в CSV/XLSX вместо исполняемого формата.

Как объяснить пользователям, чтобы они не отключали защиту

Если просто сказать сотрудникам «не включайте макросы», через месяц появится десяток исключений. Люди включают макросы не из вредности, а потому что им надо работать.

Лучше объяснять коротко и по делу:

  • «Включить редактирование» — разрешить менять документ.
  • «Включить содержимое» — разрешить запуск кода внутри документа.
  • Если файл из почты и просит включить макросы — это красный флаг.
  • Если макрос нужен для работы, его нужно добавить в доверенный шаблон, а не включать в каждом случайном файле.

Для многих пользователей этого достаточно. Они начинают внимательнее относиться не к кнопкам, а к смыслу действия.

Практические рекомендации

Если нужно коротко, я бы сделал так:

  • Включить Protected View для файлов из интернета, Outlook и небезопасных папок.
  • Включить блокировку макросов из интернета, если версия Office это поддерживает.
  • Не использовать режим «Включить все макросы» ни на рабочих компьютерах, ни в корпоративных политиках.
  • Для обычных пользователей поставить отключение макросов с уведомлением или полное отключение.
  • Для рабочих макросов использовать доверенные расположения и цифровые подписи.
  • Не добавлять в доверенные папки «Загрузки», временные директории и общие сетевые папки без контроля доступа.
  • Обновлять Office и Windows, потому что защита от эксплойтов зависит не только от настроек, но и от исправлений безопасности.
  • Проверять исключения раз в несколько месяцев: кто добавил доверенную папку, почему разрешены макросы, кто использует старые шаблоны.

Итог

Защита Office-документов от эксплойтов начинается с двух вещей: не запускать макросы без необходимости и не открывать внешние файлы как полностью доверенные. Protected View даёт первый барьер, а отключение макросов убирает главный способ выполнить вредоносный код.

Оптимальная схема для большинства рабочих мест: Protected View включён для почты, интернета и сомнительных папок; макросы из интернета заблокированы; обычные пользователи не могут свободно включать содержимое; легитимные макросы вынесены в доверенные расположения или подписаны.

Не нужно превращать настройку в игру «запретить всё». Нужно понять, какие макросы действительно нужны, закрыть остальные и сделать так, чтобы безопасный способ работы был удобнее, чем ручное включение подозрительного содержимого.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком