Microsoft a mis à jour la base de référence de sécurité pour les applications Microsoft 365 pour les entreprises (anciennement Office 365 Professionnel Plus) pour inclure la protection contre les attaques d’exécution de code JScript et les macros non signées.

Les lignes de base de sécurité permettent aux administrateurs de sécurité d’utiliser les lignes de base d’objet de stratégie de groupe (GPO) recommandées par Microsoft pour réduire la surface d’attaque des applications Microsoft 365 et améliorer la sécurité des points de terminaison d’entreprise sur lesquels elles s’exécutent.

«Une base de référence de sécurité est un groupe de paramètres de configuration recommandés par Microsoft qui explique leur impact sur la sécurité», comme l’explique Microsoft.

« Ces paramètres sont basés sur les commentaires des équipes d’ingénierie de sécurité Microsoft, des groupes de produits, des partenaires et des clients. »

Changements de base de sécurité

Les points forts des nouveaux paramètres de base de configuration de sécurité recommandés pour Microsoft 365 Apps for Enterprise, version 2104, incluent la protection contre les attaques d’exécution de code à distance en limitant l’exécution JScript héritée pour Office.

JScript est un composant Internet Explorer hérité qui, bien que remplacé par JScript9, est toujours utilisé par les applications critiques dans les environnements d’entreprise.

En outre, il est également conseillé aux administrateurs d’étendre la protection des macros en permettant à un GPO d’exiger que les compléments d’application soient signés par des éditeurs de confiance et de les désactiver silencieusement en les bloquant et en désactivant les notifications de la barre de confiance.

Les objets de stratégie de groupe qui doivent être activés pour implémenter ces paramètres de sécurité recommandés de base sont:

• «Legacy JScript Block – Computer» désactive l’exécution JScript héritée pour les sites Web de la zone Internet et de la zone des sites restreints.
• «Exiger la signature de macro – Utilisateur» est un objet de stratégie de groupe de configuration utilisateur qui désactive les macros non signées dans chacune des applications Office.

Les autres nouvelles politiques ajoutées à la base de référence depuis la publication de l’année dernière comprennent:

• « DDE Block – User » est un GPO de configuration utilisateur qui bloque l’utilisation de DDE pour rechercher un serveur DDE existant …