روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ معرفی تهاجمی هوش مصنوعی در محصولات مایکروسافت، تنش‌های ژئوپولیتیکی و مجموعه رخدادهای امنیت سایبری شامل غول ردموند همگی باعث شدند سازمان‌ها در سراسر جهان به جایگزین‌های منبع بازی برای ویندوز و آفیس روی بیاورند. برای جایگزین کردنِ ویندوز و آفیس، می‌توان  OpenOffice و ابزار فرعی آن به نام LibreOffice گزینه‌های محبوبی هستند. آن‌ها را می‌شود روی هر پلت‌فرم اصلی‌ای پیدا کرد از جمله لینوکس که در مقایسه با مایکروسافت آفیس قابلیتی ارائه داده و لایسنسی مناسب برای شرکت‌های بزرگ دارد. به دلیل شباهتش به مایروسافت آفیس، ریسک‌های مربوط به استفاده از این بسته‌ها هم بهم شبیه هستند: آسیب‌پذیری‌های نرم‌افزاری یا تنظیمات ناامن می‌تواند به اجرای کد آلوده روی کامپیوتر یا ریدایرکت مخفیانه کاربر به لینک‌های فیشینگ منجر شود. و این تهدیدها تئوری نیستند- در محیط بیرون داکیومنت‌های مخرب در فایل‌های .odt و سایر فرمت‌های داک «باز» به کرّات برخورد مشاهده شدند. برای کاهش این ریسک‌ها، اداره فدرال امنیت اطلاعات آلمانتوصیه‌های عمومی برای تنظیمات ایمن LibreOffice صادر کرده است. بیایید با هم به مهمترین آنها در هنگام استفاده از LibreOffice در سازمان‌ها نگاه کنیم.

توصیه‌های پیکربندی

توصیه‌های زیر به کار راه‌اندازی امن LibreOffice روی لینوکس، مک‌اواس یا ویندوز در محیط سازمانی مدیریت‌شده می‌آید (از طریق خط‌مشی‌های گروهی و سایر ابزارهای کنترل متمرکز). . نکات مربوط به مؤلفه‌های Writer، Calc، Impress، Base، Math و Draw نسخه 7.2.x است. تنظیمات توصیه شده بر اساس ملاحظات زیر است:

•         کاربر نهایی باید کمترین تصمیمات ممکن را که بر امنیت تأثیر می‌گذارد اتخاذ کند.
•         عملکرد برنامه نباید به میزان قابل توجهی کاهش یابد.
•         ویژگی‌های غیر ضروری باید غیرفعال شوند تا سطح حمله کاهش یابد.
•         در صورت امکان، انتقال داده از محصول به سازنده باید غیرفعال شود.
•         از خدمات کلودخارجی باید اجتناب شود مگر اینکه برای فرآیندهای تجاری سازمان ضروری باشند.

ذخیره‌گاه پیکربندی

تنظیمات LibreOffice را می‌توان توسط مدیر یا کاربر تغییر داد. تنظیمات اولیه اداری در پوشه LibreOffice ذخیره می‌شود. در همه پلت‌فرم‌ها، تنظیمات به‌عنوان فایل‌های XML (settings.xml) اعمال می‌شوند، اما می‌توانند در قالب‌های مخصوص پلت‌فرم (رجیستری در ویندوز، dconf در لینوکس) نیز ذخیره شوند. برای سازمان‌های متوسط ​​و بزرگ XML توصیه می‌گردد.

اگر تنظیماتی نباید توسط کاربران اصلاح شود، می‌توان آن را به‌عنوان نهایی‌شده در تنظیمات سرپرست علامت‌گذاری کرد. به عنوان مثال، در زیر یک قطعه تنظیمات وجود دارد که ذخیره اطلاعات نویسنده سند را غیرفعال می‌کند (تنظیم RemovePersonalInfoOnSaving در گروه org.openoffice.Office.Common/Security/Scripting) و تغییر این تنظیم را ممنوع می‌کند:

<item oor:path="/org.openoffice.Office.Common/Security/Scripting">
<prop about:name="RemovePersonalInfoOnSaving" about:finalized="false" about:op="fuse" oor:type="xs:boolean">
<value>true</value>

پوشه‌های‌ تنظیمات اداری (در نسخه 7.2) در زیر فهرست شده‌اند:

لینوکس: /opt/libreoffice7.2/share/registry/res

MacOS: /Applications/LibreOffice.app/Contents/Resources/registry/res

ویندوز: C:\Program Files\LibreOffice\share\registry\res </prop>

تنظیمات برای تغییر

بسیاری از تنظیمات LibreOffice به طور پیش فرض ایمن هستند. در اینجا، ما بر روی مواردی تمرکز خواهیم کرد که نیاز است سفت و سخت‌تر گرفته شوند.

اجرای ماکرو

به طور پیش‌فرض، همه ماکروهای امضا شده اجرا می‌شوند، بنابراین این تنظیم باید به حداکثر برسد - اجازه می‌دهد فقط ماکروهای پوشه‌های مطمئن اجرا شوند. بنابراین در گروه org.openoffice.Office.Common/Security/Scripting، MacroSecurityLevel را روی ۳ قرار دهید:

<prop over:name="MacroSecurityLevel" over:finalized="true" over:op="fuse" over:type="xs:int">
<value>3</value>
</prop>

برای غیرفعال کردن کامل ماکروها، گزینه DisableMacrosExecution را از همان گروه تنظیم کنید تا با تگ نهایی‌شده چک شود.

فولدرهای قابل‌اعتماد

به طور پیش‌فرض، LibreOffice فهرست پوشه‌های مورد اعتماد را بر اساس فعالیت کاربر به‌روزرسانی می‌کند - اغلب شامل پوشه‌هایی مانند دانلودها. برای تنظیم واضح مکان های ذخیره اسناد قابل اعتماد، آنها را در گزینه SecureURL فهرست کنید. لیست را می‌توان خالی گذاشت.

<item oor:path="/org.openoffice.Office.Common/Security/Scripting ear:type="oor:string-list">

<plug about:name="SecureURL" about:finalized="true" about:op="fuse"/>

</item>

 لود کردن تصاویر خارجی

تصاویر  منابع خارجی را می‌توان در داکیومنت‌ها جاسازی کرد. این امر خطرات قابل توجهی از فیشینگ و سوء استفاده از آسیب‌پذیری ایجاد می‌کند، بنابراین این گزینه باید غیرفعال شود: BlockUntrustedRefererLinks را با تگ نهایی در گروه /org.openoffice.Office.Common/Security/Scripting چک کنید.

آپدیت داده‌های لینک‌شده

محتوای لینک بارگیری شده در Calc نیز می‌تواند مخرب باشد، بنابراین به‌روزرسانی‌ها باید با تنظیم گزینه Link روی 1+finalized در گروه /org.openoffice.Office.Calc/Content/Update مسدود شوند.

تنظیمات مربوطه در Writer به دلایلی مقادیر عددی متفاوتی دارد. با تنظیم Link روی 0+finalized در /org.openoffice.Office.Writer/Content/Update، آن را مسدود کنید.

فایل‌های عجیب

برای غیرفعال کردن لود Abiword، Hangul Office، StarOffice XML و سایر قالب‌های نامربوط، LoadExoticFileFormats را در گروه /org.openoffice.Office.Common/Security روی 0 تنظیم کنید. علاوه بر این، هر یک از بیش از 100 فرمت فایل پشتیبانی‌شده را می‌توان با تنظیم گزینه Enabled روی false+finalized برای هر فرمتی در گروه مسدود کرد.

/org.openoffice.TypeDetection.Filter/Filters/org.openoffice.TypeDetection.Filter:Filter['NAME'].

NAME را با نام قالبی که قرار است مسدود شود جایگزین کنید.

احراز سیستم

برنامه‌های LibreOffice می‌توانند به طور خودکار با استفاده از اطلاعات کاربری کاربر فعلی به URLهای خارجی دسترسی پیدا کنند که به طور بالقوه منجر به نشت اعتبار می‌شود. برای غیرفعال کردن این رفتار، یک لیست خالی در گزینه AuthenticateUsingSystemCredentials تنظیم کنید:

<item oor:path="/org.openoffice.Office.Common/Passwords">

<prop oor:name="AuthenticateUsingSystemCredentials" oor:finalized="true" over:op="fuse" ear:type="oor:string-list"/>

</item>

نصب افزونه‌ها

توصیه می‌شود نصب برنامه‌های افزودنی توسط کاربر را غیرفعال کنید و اجازه دهید برنامه‌های افزودنی فقط به‌صورت مرکزی از طریق امتیازات سرپرست اضافه شوند: DisableExtensionInstallation را روی true+finalized در گروه /org.openoffice.Office.ExtensionManager/ExtensionSecurity تنظیم کنید.

برای متمرکز کردن حذف افزونه‌ها و غیرفعال نمودن امکان انجام دستی این کار توسط کاربر، DisableExtensionRemoval را در همان گروه روی true+finalized قرار دهید.

آپدیت‌ها

برنامه‌های LibreOffice به‌طور خودکار به‌روزرسانی‌ها را بررسی می‌کنند و از کاربر می‌خواهند آن‌ها را نصب کند. اگر به‌روزرسانی‌ها و پچ‌ها به صورت مرکزی در سازمان مدیریت می‌شوند، این گزینه را می‌توان با تنظیم AutoCheckEnabled روی false+finalized در گروه آرگومان /org.openoffice.Office.Jobs/Jobs/org.openoffice.Office.Jobs:Job['UpdateCheck'] غیرفعال کرد.

نصب فونت‌ها، پک‌های زبان و پایگاه‌های داده (فقط لینوکس)

اگرچه ممکن است این افزونه‌ها بی‌ضرر به نظر برسند، به دلایل امنیتی، نصب خودکار باید غیرفعال شود. گزینه‌های EnableFontInstallation، EnableLangpackInstallation و EnableBaseInstallation را در گروه /org.openoffice.Office.Common/PackageKit روی false+finalized تنظیم کنید.

غیرفعالسازی تله‌متری

گزینه‌های CollectUsageInformation و CrashReport را در گروه /org.openoffice.Office.Common/Misc روی false+finalized تنظیم کنید.

گواهی امضای اسناد (فقط لینوکس)

به طور پیش فرض، هر فولدری را می‌توان برای پایگاه داده NSS انتخاب کرد که گواهی‌ها را ذخیره می‌کند. این ایمن نیست و می تواند منجر به نشت گواهی از مکان‌های کنترل نشده شود. مدیر باید با استفاده از گزینه CertDir مکان ذخیره‌سازی تعیین‌شده توسط سازمان را مشخص کند:

<item oor:path="/org.openoffice.Office.Common/Security/Scripting">

<prop over:name="CertDir" over:op="fuse" over:type="xs:string"/>

</item>

پاک کردن داده‌های شخصی (سندسازی سایر داده‌ها)

چناچه توزیع سند قابل کنترل نباشد، داده‌های نویسنده اغلب باید پنهان شود. برای حذف LibreOffice هنگام ذخیره یک داکیومنت، تنظیم RemovePersonalInfoOnSaving (true+finalized) را در /org.openoffice.Office.Common/Security/Scripting گروه اضافه کنید. این حالت همکاری در یک سند را پیچیده‌تر می‌کند، زیرا شناسایی نویسنده هر تغییری سخت‌تر است، بنابراین برای همه نقش‌های سازمانی مناسب نیست. اداره فدرال امنیت اطلاعات آلمانهمچنین توصیه می‌کند ذخیره کلیدهای PGP کامل در اسناد امضا شده را غیرفعال کنید، زیرا آنها حاوی اطلاعات شخصی نویسنده هستند: MinimalKeyExport را روی true+finalized در گروه /org.openoffice.Office.Common/Security/OpenPGP تنظیم کنید.

تنظیمات قفل

این تنظیمات در ابتدا برای ایمن بودن تنظیم شده‌اند، اما باید با افزودن ویژگی نهایی‌شده از تغییر آن جلوگیری کرد.

لایه‌های محافظتی اضافی

در هر پلت‌فرمی، کاربران ممکن است با حملات سایبری هدفمند و اسناد مخرب مواجه شوند. بنابراین، تنظیمات سیستم عامل امن و مجموعه اداری باید با مجموعه ای جامع از اقدامات دفاعی چندلایه‌ای تکمیل شود:

•         احراز هویت چند عاملی
•         مدیریت متمرکز حقوق دسترسی
•         عامل EDR اجباری در تمام ایستگاه‌های کاری و سرورها
•         نظارت متمرکز بر رویدادهای امنیتی با استفاده از راهکارهای SIEM یا ترجیحاً XDR.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.