Работа с системой безопасности Microsoft Office или Самое безопасное место на Земле

Опубликовано:
6 февраля 2015 в 17:52

Начиная с версии 2007 в пакете офисных программ компании Microsoft появилась такая полезная штука как Центр управления безопасностью. Он оберегает нас от потенциально вредоносного содержимого, внедренного в документы, сводя на нет попытки злоумышленников причинить вред нашим данным. К сожалению, этот же механизм порой вставляет палки в колеса и нам, когда мы пытаемся формировать отчеты в системе DIRECTUM.

Алгоритм работы при формировании отчета, например, в Excel обычно такой:

1. Вычисляем любым доступным способом ID документа с макетом отчета. Если у документа несколько версий, решаем, какая из них нам нужна.
2. Экспортируем текст версии во временный файл во временном каталоге.
3. Создаем объект «Excel.Application».
4. Открываем макет.
5. Загружаем в него данные отчета.
6. Показываем отчет пользователю / сохраняем как документ в системе / что-то еще.

И вот на четвертом шаге в нас летит кирпич:

На этом формирование отчета закончится, а в качестве бонуса — застрявший в памяти процесс excel.exe, доступ к которому будет только через диспетчер задач. А все потому что Excel не доверяет нашему файлу, который еще и открыт из каталога временных файлов Windows. Казалось бы, всего-то делов — использовать вместо временного каталога Windows другой каталог. Но какой? И как быть уверенным, что с этим каталогом все будет в порядке?

Ключ к решению состоит в том, что Центр управления безопасностью , как известно, позволяет вести список так называемых надежных расположений, файлам из которых следует всенепременно доверять. В этом списке по умолчанию уже есть пути к папкам шаблонов, надстроек и автозапуска.

Мы можем добавить туда путь к почти любому каталогу, и он будет считаться надежным, файлы из него будут нормально открываться. Почти — потому что некоторые расположения, как ни старайся, надежными объявить нельзя. Например, MS Office прекрасно знает о местонахождении каталога временных файлов системы Windows, на который указывает переменная окружения TEMP, и ни за что не даст добавить его в список надежных.

Итак, мы знаем, как убедить офис в безопасности каталога с макетом отчета. Но где должен находиться этот каталог? Поскольку каталог будет использоваться для размещения временных файлов отчетов, было бы не очень хорошо создавать его где-то на виду — например, в корне диска (какого, кстати?) или в папке «Мои документы». Но это вопрос вкуса, конечно, и конкретной задачи. Другой вопрос — как добавить выбранный каталог в список надежных до формирования отчета? Хорошо, если удастся договориться с администраторами и распространить настройку надежных расположений через политики. А если нет? Сейчас разберемся.

Настройку надежных расположений все приложения MS Office хранят в реестре. Например, для Excel путь к нужному разделу выглядит так:

где %Version% — номер версии MS Office. Замена Excel на Word, PowerPoint и так далее приведет нас в аналогичный раздел соответствующего приложения. В редакторе реестра для искомого раздела мы увидим примерно такую картину:

Шесть подразделов с номерами от 0 до 5 соответствуют шести строчкам в списке надежных расположений в настройке Центра управления безопасностью на предыдущем скриншоте. В каждом из подразделов могут быть следующие параметры:

• Description — описание расположения на человеческом языке,
• Path — полный путь к каталогу,
• Date — дата последнего изменения настройки (необязательно),
• AllowSubFolders — признак того, является ли надежным только сам каталог или также все его подкаталоги (если параметр есть и равен 1 — подкаталоги надежны, иначе — нет).

Нам нужно создать новый раздел для нашего каталога. Опыты показали, что имя раздела не обязательно должно иметь вид Location%Number%, Excel учитывает все разделы внутри раздела Trusted Locations. Я не проверял, насколько Excel безразличен к имени раздела, нам достаточно того, что мы можем создать раздел с именем Reports (или IS-Builder, или My coolest location — главное, чтобы мы его помнили). В разделе Reports создадим параметры Path и Description, в которые запишем путь к каталогу и комментарий, соответственно. Если все сделали правильно, то в Центре управления безопасностью увидим наше надежное расположение:

Как видно на скриншоте, надежное расположение я решил создать в профиле пользователя. Во-первых, это позволяет не сваливать в одну кучу временные файлы разных пользователей. Помимо конфиденциальности так мы сможем избежать и случайных коллизий при совпадающих именах файлов. А во-вторых, местоположение профиля текущего пользователя очень легко найти — его адрес хранится в переменной окружения USERPROFILE. Вы при решении ваших задач, вероятно, предпочтете другое расположение. Кстати, совершенно бесполезно пытаться с помощью редактора реестра сделать надежным каталог временных файлов Windows. В списке он появится, но будет неактивным, и эффекта такая настройка не возымеет.

Теперь, чтобы все то же самое умел проделать наш отчет, достаточно добавить небольшое вычисление в расчет отчета:

После этого можно использовать переменную ReportFolder в качестве пути к временному каталогу: выгружать в него макет отчета и работать с ним. Протестовать Excel уже не будет. Это вычисление можно оформить в виде функции и использовать централизованно во всех отчетах, и тогда отчеты будут самостоятельно заботиться о том, чтобы каталог надежного расположения существовал и был известен офисному приложению как надежное расположение.

Служба определения местоположения и конфиденциальность в Windows 10

Некоторым приложениям для правильной работы необходимо знать, когда вы находитесь в определенном месте. Например, чтобы приложение могло напомнить вам купить хлеб в продуктовом магазине, ему необходимо знать, когда вы там будете. Чтобы отобразить карту и проложить маршрут или показать список магазинов и ресторанов рядом с вами, многие приложения и службы запрашивают сведения о местоположении с устройства. Служба определения местоположения Windows 10 сообщает приложениям ваше текущее или прошлое местоположение, чтобы вы получали наиболее интересующую вас информацию.

При сборе данных мы стремимся обеспечить для вас правильный выбор. Именно поэтому мы предоставляем информацию о службе определения местоположения и параметрах, описанных ниже. Чтобы узнать больше о местоположении и конфиденциальности, ознакомьтесь с разделом расположение в заявлении о конфиденциальности Microsoft.

Принцип работы параметров определения местоположения

Параметр определения местоположения устройства позволяет правильно настроить работу некоторых функций Windows, например автоматическое определение часового пояса или функцию «Поиск устройства». Когда параметр определения местоположения устройства включен, служба определения местоположения Майкрософт использует данные службы глобального позиционирования (GPS), ближайших беспроводных точек доступа, вышек сотовой связи и IP-адрес для определения местоположения вашего устройства. В зависимости от возможностей вашего устройства его местоположение определяется с разной степенью точности и в некоторых случаях может быть определено абсолютно точно.

При включении параметра определения местоположения устройства оно отправляет сведения о местоположении, не позволяющие идентифицировать личность (в том числе данные беспроводных точек доступа, вышек сотовой связи и точную информацию о местоположении GPS, если она доступна), в корпорацию Майкрософт после удаления на устройстве всех сведений, позволяющих определить вашу личность. Это неидентифицированная копия сведений о расположении используется для усовершенствования служб расположения Майкрософт и, в некоторых случаях, для предоставления услуг по расположению, предоставленных поставщиком услуг по расположению, в настоящее время.

Кроме того, вы можете разрешить приложениям использовать местоположение вашего устройства и журнал сведений о местоположении для получения информации от служб на основе вашего местоположения, точность которой будет зависеть от характеристик вашего устройства. Если предоставить определенному приложению доступ к местоположению вашего устройства на странице параметров, оно получит доступ к точным сведениям о вашем местоположении. В противном случае точность сведений о местоположении будет ниже. При использовании данных о вашем местоположении приложениями либо службами или функциями Windows, учитывающими данные о местоположении, эти данные вместе с журналом последних данных о местоположении сохраняются на вашем устройстве.

При входе в систему с помощью учетной записи Майкрософт и включении журнала данных о местоположениях сведения о вашем последнем известном местоположении отправляются на хранение в облако и становятся доступным для других приложений или служб, использующих вашу учетную запись Майкрософт. Если вы выполнили вход в систему с помощью учетной записи Майкрософт и устройству не удается получить правильные данные о вашем текущем местоположении самостоятельно (например, когда вы находитесь в здании или подвале), приложения или службы могут использовать последнее известное местоположение из вашего журнала сведений о местоположениях, хранящегося в облаке, если оно доступно.

Существуют некоторые исключения механизма определения местоположения вашего устройства, которые не управляются напрямую параметрами определения местоположения.

Классические приложения — это особый тип приложений, которые не запрашивают отдельное разрешение на использование сведений о местоположении устройства и не отображаются в списке для выбора приложений, которым разрешается использовать данные о вашем местоположении. Что представляют собой классические приложения? Обычно они скачиваются из Интернета или устанавливаются с какого-либо носителя (например, компакт-диска, DVD-диска или запоминающего USB-устройства). Их запуск выполняется с помощью файла EXE или DLL и, как правило, они выполняются на устройстве (в отличие от веб-приложений, которые выполняются в облаке).

Даже если вы выключили параметр определения местоположения устройства, некоторые сторонние приложения и службы могут использовать другие технологии (такие как Bluetooth, Wi-Fi, модем сотовой связи и т. д.) для определения местоположения вашего устройства с различной степенью точности. Корпорация Майкрософт требует от сторонних разработчиков программного обеспечения, разрабатывающих приложения для Microsoft Store или разрабатывающих приложения с помощью инструментов Майкрософт, использовать параметры определения местоположения Windows, если только вы не предоставили стороннему разработчику требуемого по закону согласия на определение вашего местоположения. Чтобы еще больше снизить риск определения вашего местоположения приложением или службой при выключенном параметре определения местоположения устройства с Windows, следует устанавливать приложения и службы только из надежных источников. Чтобы обеспечить более полную защиту данных о вашем местоположении, можно отключить радиокомпоненты вашего устройства, например Wi-Fi, Bluetooth, модем сотовой связи и GPS-компоненты, которые могут использоваться приложениями для определения вашего точного местоположения. Однако эти действия также влияют на работу других функций, таких как звонки (в том числе экстренные вызовы), отправку сообщений, подключение к Интернету и связь с периферийными устройствами, например наушниками. Ознакомьтесь с политиками конфиденциальности установленных вами приложений и служб, чтобы получить дополнительные сведения о том, как они используют местоположение вашего устройства.

Чтобы упростить получение помощи в чрезвычайных обстоятельствах при выполнении экстренного вызова, Windows попытается определить и передать данные о вашем местоположении независимо от настройки ваших параметров определения местоположения. Кроме того, ваш мобильный оператор будет иметь доступ к местоположению устройства, если у вашего устройства есть SIM-карта или оно использует сотовую связь.

«Журнал сведений о местоположении»

Некоторые приложения и службы для Windows, которые используют сведения о местоположении, также используют журнал сведений о местоположении. Когда определение местоположения включено, все ответы на запросы сведений о местоположении, полученные приложениями и службами, хранятся на устройстве в течение ограниченного времени (24 часа в Windows 10), а затем удаляются. Приложения, имеющие доступ к этой информации, имеют метку Используется журнал сведений о расположении на странице параметров расположения.

Стандартное расположение

Вы можете установить для вашего устройства стандартное расположение, которое Windows, приложения и службы смогут использовать, когда не удается определить более точное местоположение с помощью GPS или других методов.

Создание геозон

Некоторые приложения используют геозоны, с помощью которых происходит включение или отключение определенных служб или отображение сведений, которые могут быть полезными, когда вы находитесь в определенной области, «огражденной» приложением. Приложение может использовать функции геозон, только если для него включено определение местоположения. Если какое-либо приложение для Windows использует геозоны, то на странице параметров определения местоположения будет отображаться заголовок Одно или несколько ваших приложений в настоящий момент используют геозоны.

Кортана

Кортана работает лучше всего, когда у нее есть доступ к местоположению устройства и журналу сведений о местоположении, которые Кортана использует, чтобы помочь вам, сообщая о ситуации на дорогах перед тем, как вы отправитесь в путь, или отправляя вам напоминания в зависимости от местоположения, например: «Вы находитесь рядом с продуктовым магазином, где хотели купить молоко». Кортана периодически собирает сведения о вашем местоположении, даже если вы не взаимодействуете с ней, например при подключении к сети Wi-Fi или отключении Bluetooth. Если Кортана включена, приложение «Поиск» также имеет доступ к сведениям о местоположении устройства и автоматически отправляет их в Bing, когда Кортана предлагает поисковые запросы и результаты поиска из Интернета, как описано в заявлении о конфиденциальности. Чтобы запретить Кортане доступ к сведениям о местоположении устройства, выполните следующие действия.

Перейдите в раздел запуск > Параметры > кортаны.

Выберите Разрешения или Разрешения и журнал.

Выберите Управление информацией, к которой Кортана может получать доступ с этого устройства.

Задайте параметру Местоположение значение Выкл.

Microsoft Edge

Если для Microsoft Edge включено определение местоположения, вы все равно можете выбирать, какие веб-сайты могут получить доступ к сведениям о местоположении устройства. Microsoft Edge запросит разрешение при первом посещении веб-сайта, который запрашивает сведения о местоположении. Вы можете отменить разрешение для веб-сайта в параметрах Microsoft Edge.

Существует две версии Microsoft EDGE, которые можно установить в Windows 10. Новый браузер Microsoft Edge можно скачать, и он считается классическим приложением. Чтобы включить расположение для новой Microsoft EDGE, выполните указанные ниже действия.

Перейдите в раздел Пуск > Параметры > Расположение> конфиденциальности .

Включите параметр Разрешить доступ к местоположению на этом устройстве.

Включите параметр Разрешить приложениям доступ к вашему местоположению.

Включите параметр Разрешить классическим приложениям доступ к вашему местоположению (при наличии).

Устаревшая версия Microsoft Edge — это браузер на основе HTML, выпущенный в Windows 10 за июль 2015. Чтобы включить расположение для старой версии Microsoft EDGE, выполните указанные ниже действия.

Перейдите в раздел Пуск > Параметры > Расположение> конфиденциальности .

Включите параметр Разрешить доступ к местоположению на этом устройстве.

Включите параметр Разрешить приложениям доступ к вашему местоположению.

В разделе Выберите приложения, которые могут получать доступ к вашему точному местоположению переместите переключатель Microsoft Edge в положение Вкл.

Как мы выполняем построение базы данных служб определения расположения

Чтобы упростить предоставление служб определения расположения, Майкрософт записывает расположение вышек сотовой связи и точек доступа Wi-Fi. Наша база данных может включать MAC-адрес вашего беспроводного маршрутизатора и других сетевых устройств Wi-Fi. Мы не сопоставляем MAC-адреса с вами лично и с подключенными к вашей сети устройствами.

Чтобы не допустить использование MAC-адресов Wi-Fi точек доступа в нашей базе данных служб расположения, перейдите на вкладку отказ от служб расположения.

Как мы вас информируем — значок местоположения

Если одно или несколько приложений в данный момент используют ваше местоположение через службу определения местоположения Windows, вы увидите значок местоположения в области уведомлений на панели задач (на компьютерах с Windows 10) или в строке состояния в верхней части экрана (на мобильных устройствах с Windows 10 Mobile). Значок не отображается при использовании геозон.

Отображение и скрытие значка расположения.

На компьютере с Windows 10:

Перейдите к разделу запуск > параметры > Персонализация > панели задач.

В разделе Область уведомлений щелкните Выберите значки, которые должны быть на панели задач.

Выберите для параметра Уведомление о расположении значение Вкл. или Выкл.

В Windows 10 Mobile:

Перейдите в раздел Параметры .

Выберите пункты Конфиденциальность > Расположение.

Включите или отключите параметр Показать значок местоположения.

Если вы используете устройство, выданное вам на работе, или если вы используете собственное устройство на работе, возможность управления параметрами определения местоположения может быть недоступна. В этом случае в верхней части страницы параметров определения местоположения появится заголовок Некоторые параметры управляются организацией.

Управления параметрами определения местоположения

Вы можете указать, могут ли компоненты Windows получать доступ к сведениям о расположении вашего устройства, и выбрать, какие приложения для Windows могут использовать сведения о расположении устройства и журнал сведений о расположении. Чтобы проверить параметры расположения, перейдите на странице пуск > Параметры > Расположение> конфиденциальности .

Чтобы очистить журнал местоположений, перезапустите устройство или перейдите к разделу запуск > Параметры > Конфиденциальность > Расположениеи в разделе История местоположенийнажмите кнопку очистить. При очистке журнала сведений о расположении очищается только журнал на устройстве. Приложения, которые ранее получили доступ к этим сведениям, могли сохранить их в другом месте. См. политики конфиденциальности ваших приложений для получения дополнительных сведений.

Чтобы очистить историю местоположений, которая хранится в облаке и связана с вашей учетной записью Майкрософт, перейдите на Account.Microsoft.comи убедитесь в том, что вы вошли в свою учетную запись. Выберите Очистить действия расположения, а затем — Очистить.

Включение и отключение параметров определения расположения Windows

Перейдите в раздел пуск > Параметры > Расположение> конфиденциальности .

Выполните одно из следующих действий:

Для управления расположением всего устройства, если вы являетесь его администратором, выберите Изменить, а затем в окне сообщения Определение местоположения для этого устройства установите переключатель в положение Вкл. или Выкл.

Для управления местоположением только для вашей учетной записи пользователя выберите для параметра Разрешить приложениям доступ к вашему местоположению значение Вкл. или Выкл. Если сообщение Определение местоположения для этого устройства выключено отображается на странице «Параметры», вы не сможете включить параметр Разрешить приложениям доступ к вашему местоположению для отдельной учетной записи пользователя. (Обратите внимание, что в предыдущих версиях Windows, этот параметр назывался Служба определения местоположения.)

На компьютерах с Windows 10 вы можете добавить или удалить плитку «Расположение» из области уведомлений в правой части панели задач. Для этого выполните следующие действия.

Перейдите к разделу запуск > Параметры > System > уведомления системы & действия.

В разделе Быстрые действия выберите Редактировать быстрые действия.

Добавление, удаление или перемещение плитки «Расположение».

На мобильном устройстве:

Перейдите в раздел параметры > Расположение> конфиденциальности .

Включите или отключите параметр Расположение.

Изменение доступа отдельного приложения к точным сведения о расположении

Перейдите в раздел пуск > Параметры > Расположение> конфиденциальности .

Включите или отключите каждое приложение в разделе Выберите приложения, которые могут получать доступ к вашему точному местоположению. На устройстве каждый пользователь может выполнить это действие для собственной учетной записи. Если параметр Разрешить приложениям доступ к вашему местоположению для вашей учетной записи пользователя отключен, переключатели для приложений будут неактивны до тех пор, пока параметру Разрешить приложениям доступ к вашему местоположению не будет задано значение Вкл.

Изменение расположения по умолчанию для компьютера, которое Windows, приложения и службы могут использовать, если не удается определить более точное расположение.

Перейдите в раздел пуск > Параметры > Расположение> конфиденциальности .

В разделе Расположение по умолчанию выберите Задать по умолчанию.

Откроется приложение «Карты Windows». Следуйте инструкциям для изменения расположения по умолчанию.