Режим предотвращения выполнения данных outlook
Обновлено: 01.07.2024
Запуск Outlook в безопасном режиме и отключение надстроек
В первую очередь рекомендуется запустить Outlook в безопасном режиме ( все параметры запуска Outlook ):
В этом режиме Outlook загружается с отключенными плагинами и расширениями.
В том случае, если в безопасном режиме проблем не наблюдается – рекомендуется по-очереди отключить дополнительные модули (Параметры -> Надстройки ->Управление Надстройка COM -> Перейти).
Отключение аппаратного ускорения
В Office 2013 появился функционал аппаратного ускорения (Hardware graphics acceleration), который по идее должен улучшать визуальный вид, отзывчивость, плавность и реактивировать масштабирования приложений Office. По умолчанию в Office 2013 / 2016 режим аппаратного ускорения включен, но зачастую он вызывать обратный эффект – периодическое зависание приложений Office (в том числе Outlook) при отрисовке их окошек с содержимым. Как правило, такие проблемы наблюдаются на компьютерах со старыми или интегрированными видеокартами, когда на компьютере установлено 2 и более GPU, или используются устаревшие видеодрайверы.
В таком случае рекомендуется попробовать отключить режим аппаратного ускорения в MS Office. Для этого, в настройках Outlook поставьте галку:
- В ENG версии Office — Disable hardware graphics acceleration (Options-> Advanced -> Display)
- В RUS версии — Отключить аппаратное ускорение обработки изображения (Параметры ->Дополнительно -> Отображение)
Сохраните изменения и закройте все приложения Office
Совет . Режим аппаратного ускорения применяется сразу для всех приложений MS Office
Отключить аппаратное ускорение обработки изображений можно через реестре. Достаточно создать Dword параметр DisableHardwareAcceleration со значением 1 в ветке:
- ДляOffice 2013 — HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\Graphics
- ДляOffice 2016 — HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Graphics
Размеры файлов Outlook
Проверьте размеры pst и ost файлов на компьютере. В том случае, если размеры этих файлов превышает 10-20 Гб, могут наблюдаться проблемы с производительностью Outlook. Не рекомендуется превышать эти значения.
Проверка целостности PST файлов с помощью утилиты scanpst.exe
Пересоздайте профиль Outlook
Если методы выше не помогли, попробуйте пересоздать профиль почтовой конфигурации в Outlook или же полностью переустановите MS Office.
ДЛЯ ПРОСМОТРА САЙТА РЕКОМЕНДУЕТСЯ ИСПОЛЬЗОВАТЬ: Uran - браузер от uCoz на базе проекта Chromium. | Google Chrome | Opera | Firefox
Из них:
Пользователи: 1371
Проверенные: 19
Друзья: 5
Редакторы: 0
Журналисты: 8
В вечном бане : 31
Модераторы: 1
Администраторы: 3
Из них:
Парней 1131
Девушек 307
Сейчас на сайте:
ВЫ МОЖЕТЕ ВОСПОЛЬЗОВАТЬСЯ
| Статьи: Общие [101] | Статьи: Windows Vista [225] | Статьи: Windows 7 [430] |
| Статьи: Windows 8 [33] | Статьи: Windows 10 [336] | Статьи: Windows 11 [48] |
| Статьи: Медицина и Здоровье [163] | Статьи: Психология, Семья, Отношения [160] | Статьи: Наука и Искусство [34] |
| Статьи: Безопасность [12] | Статьи: Офис 2010 [125] | Статьи: Офис 2007 [9] |
| Статьи: Тестирование железа [4] | Статьи: Exchange Server 2010 [103] | Статьи: Photoshop [76] |
| Статьи: Corel Draw [2] | Статьи: История и Политика [5] | Статьи: Реестр Windows [1] |
Здравствуйте, меня зовут Викас Малхотра (Vikas Malhotra), я руководитель программы безопасности в группе по разработке защищенных компьютерных систем Office (TWC). В этой статье мы рассмотрим ряд важных изменений в системе безопасности, связанных с технологией предотвращения выполнения данных (DEP). Эта технология представляет собой один из множества новых уровней комплексной защиты, добавленных в Office 2010.
Для начала я расскажу о принципах работы технологии предотвращения выполнения данных и ее влиянии как на разработчиков, так и на ИТ-специалистов.
Что такое технология предотвращения выполнения данных?
Компонент предотвращения выполнения данных впервые был представлен в ОС Windows XP с пакетом обновления 2 (SP2) и Windows 2003 Server с пакетом обновления 1 (SP1). Дополнительные сведения об этой технологии см. в следующей статье базы знаний Майкрософт.
При запуске программы для нее выделяются страницы памяти. Этим страницам назначается маркер, определяющий возможность их исполнения. Если страница помечена как исполняемая, расположенный по соответствующему адресу в памяти код может выполняться. Выполнение кода со страниц, не помеченных как исполняемые, не допускается. Если технология предотвращения выполнения данных включена, при попытке выполнить код со страницы, не помеченной как исполняемая, вызывается исключение предотвращения, и соответствующий процесс завершается.
Современные вредоносные программы, заражающие компьютер, в первую очередь пытаются внедрить вредоносный код в области памяти, помеченные как доступные для записи и исполняемые. После этого предпринимается попытка запустить такой код. На этом этапе при включенной технологии предотвращения выполнения данных происходит сбой приложения Office. С точки зрения безопасности в этом случае приложение Office предотвращает выполнение потенциально вредоносного кода и автоматически закрывается, чтобы обеспечить защиту компьютера.
Как узнать, работает ли программа в режиме предотвращения выполнения данных?
Самый простой способ заключается в использовании диспетчера задач. Проверьте, отображается ли в окне диспетчера задач столбец "Предотвращение выполнения данных". Для каждого процесса, выполняемого в таком режиме, в этом столбце отображается состояние "Включено". На следующем рисунке показан процесс winword.exe, выполняемый в режиме предотвращения выполнения данных:
Как реализуется предотвращение выполнения данных в приложениях Office?
Чтобы определить политику предотвращения выполнения данных, настроенную на компьютере, загруженные приложения Office вызывают функцию GetSystemDEPPolicy. Этот API-интерфейс возвращает один из следующих результатов и реализует следующее поведение:
- AlwaysOn — приложения Office всегда выполняются в режиме предотвращения выполнения данных. Единственным способом изменить такое поведение является изменение системного файла конфигурации загрузки и перезапуск компьютера.
- AlwaysOff — приложения Office всегда выполняются с отключенным режимом предотвращения выполнения данных. Единственным способом изменить такое поведение является изменение файла конфигурации загрузки системы и перезапуск компьютера.
- OptIn — для каждого приложения Office в центре безопасности можно включить предотвращение выполнения данных (см. соответствующий раздел ниже).
- OptOut — для каждого приложения Office в центре безопасности можно отключить предотвращение выполнения данных (см. соответствующий раздел ниже).
Если определяется, что приложение Office должно выполняться с включенным предотвращением выполнения данных, это приложение вызывает функцию SetProcessDEPPolicy и проверяет, что предотвращение выполнения данных постоянно включено в течение всего срока жизни соответствующего процесса. Это позволяет обеспечить загрузку любых других двоичных файлов в процесс Office в режиме предотвращения выполнения данных.
Какие параметры конфигурации доступны для ИТ-специалистов?
В 64-разрядных системах предотвращение выполнения данных для приложений Office включено всегда. В 32-разрядных системах можно настроить эту технологию на уровне приложений в центре безопасности. Для приложений, поддерживающих режим защищенного просмотра, параметр для настройки предотвращения выполнения данных находится на вкладке "Режим защищенного просмотра". Для всех других приложений Office этот параметр располагается на вкладке "Предотвращение выполнения данных", как показано ниже:
Рисунок. Настройка параметров предотвращения выполнения данных для приложений Office, поддерживающих режим защищенного просмотра
Рисунок. Настройка параметров предотвращения выполнения данных для приложений Office, не поддерживающих режим защищенного просмотра
Если параметр для включения предотвращения выполнения данных в центре безопасности недоступен, это означает, что на компьютере задан параметр AlwaysOn или AlwaysOff.
Настроить эти параметры центра безопасности также можно в шаблонах групповой политики, как показано ниже для приложения Word:
Как предотвращение выполнения данных может повлиять на приложения разработчика?
В большинстве случаев предотвращение выполнения данных не оказывает влияния на код. Однако если в коде реализуется запись на страницы памяти, не помеченные как исполняемые, с последующим выполнением этого кода (такое поведение характерно для компиляторов JIT), возможно несколько вариантов действий. Первый способ заключается в изменении кода и исключении подобного выполнения. Если доступ к исходному коду отсутствует или невозможно получить новую версию надстройки, можно отключить предотвращение выполнения данных, следуя приведенным ранее инструкциям. Кроме того, можно использовать функцию VirtualProtect. Функция VirtualProtect позволяет записывать код на страницы памяти, помеченные для записи и исполнения. После окончания записи можно снять атрибут "Запись". Это позволяет выполнять код в дальнейшем без вызова исключения. Если атрибут "Запись" снят, вредоносные программы не смогут заразить память компьютера.
Как выглядит исключение предотвращения выполнения данных?
В большинстве случаев причиной ошибки предотвращения выполнения данных являются установленные надстройки, а не сами приложения Office. Когда в надстройке возникает исключение предотвращения выполнения данных, работа приложения Office завершается, как при обычном сбое. После перезапуска приложения Office открывается диалоговое окно, аналогичное приведенному ниже:
В этом примере причиной нестабильной работы приложения Office является надстройка "my vc test com add-in". У пользователя есть два варианта действий. Первый — отключить загрузку надстройки, а второй — попытаться повторно загрузить ее. Рекомендуется отключить надстройку, чтобы обеспечить нормальную загрузку приложения Office. После запуска приложения Office следует определить причину отключения надстройки с помощью диспетчера надстроек.
На следующем рисунке показана следующая причина отключения: "Надстройка была отключена пользователем после сбоя предотвращения выполнения данных".
В этом случае рекомендуется отключить надстройку до тех пор, пока не будет доступна новая ее версия с поддержкой предотвращения выполнения данных.
Итак, в наборе Office 2010 реализована встроенная поддержка предотвращения выполнения данных. Эта технология позволяет защитить компьютер, не допуская выполнения вредоносного кода.
После прочтения материала " Предотвращение выполнения данных в Office 2010 ", можно просмотреть форум и поискать темы по данной игре.
| html-cсылка на публикацию |
| BB-cсылка на публикацию |
| Прямая ссылка на публикацию |
Внимание: Все ссылки и не относящиеся к теме комментарии будут удаляться. Для ссылок есть форум.
Программы электронного документооборота совершили настоящий прорыв, значительно облегчив работу офисных сотрудников. Но вскоре стало понятно, что можно продвинуться еще дальше, автоматизировав рутинные действия пользователей. У программируемых офисных приложений было явное преимущество на рынке. Visual Basic For Applications не удовлетворял всех потребностей: требовалась поддержка различных «внешних» языков, в том числе и скриптовых.
Как уже упоминалось в предыдущих статьях, разработка пакета была начата в те времена, когда о безопасности десктопных систем никто особенно не задумывался. Главной целью разработчиков было быстродействие, второстепенной— низкие требования к ресурсам системы. Соответственно, никто даже не пытался ограничивать возможности автоматизации приложений. Напротив, в их функциональность старались включить все, на что хватало фантазии и технических возможностей разработчиков. В дальнейшем эту необъятную функциональность пришлось искусственно ограничивать и тут же добавлять механизмы отключения ограничений ради совместимости со старыми решениями, что запутало все еще сильнее.
Конечно же, в основу новой программной платформы, которую назвали объектная модель (Microsoft Office Object Model), или Автоматизация Microsoft Office (Microsoft Office Automation), легла технология COM/OLE (последняя, в свою очередь, разрабатывалась в немалой степени с оглядкой на потребности пакета Office).
Вкратце суть технологии автоматизации Office можно описать следующим образом: сами приложения, их детали (например, меню или настройки безопасности), открытые документы и содержимое документов представляют собой для программы-клиента набор объектов, имеющих определенные свойства и методы. Например, объект Приложение может иметь свойство Коллекция Документов, отдельный Документ из которой имеет свойство Текст и метод Найти.
Пример использования на C++
Пример использования на PowerShell
Помимо этого, COM обеспечивает возможность программирования обратного отклика при возникновении определенных Событий, что позволяет программно отслеживать работу приложений, в том числе действия пользователя, в реальном времени.
Эти особенности позволяют создавать не только гибкие и многофункциональные системы автоматизации документооборота, но и вредоносные приложения, к примеру, отслеживающие отсылку писем Outlook и добавляющие вложения. При этом у вредоносного исполняемого кода будет минимальный размер, поскольку основная работа выполняется объектами Office. Это облегчает создание вредоносного кода, а также его распространение и сокрытие от антивирусных программ.
msoAutomationSecurity
С автоматизацией связан интересный момент, упоминавшийся ранее. Настройки безопасности приложений (те, что определяют возможность автозапуска макросов и другого активного содержимого из документов) в программной модели Office определяются переменной-«свойством» Application.AutomationSecurity. По умолчанию это свойство имеет значение msoAutomationSecurityLow, что позволяет запуск любого активного содержимого из открываемых автоматически документов. Настройки безопасности, выставленные пользователем в Trust Center или администратором при помощи административных шаблонов, сохраненные в реестре, не оказывают влияния на настройки безопасности приложений Microsoft Office, запущенных в режиме автоматизации. Для безопасной автоматической обработки документов свойство AutomationSecurity должно быть целенаправленно изменено программно во время исполнения.
Такая небольшая деталь может иметь огромное значение для компаний, в которых настроена автоматическая обработка получаемых извне (по электронной почте, из облачных хранилищ и т.п.) документов.
Доступ к объектной модели VBA
Как и для большинства других элементов приложений Microsoft Office,
возможность управления и модификации проектов и кода Visual Basic for Applications программным путем доступна через интерфейсы автоматизации. По умолчанию она отключена для повышения безопасности пакета и защиты от макровирусов. При попытке программно создать объект, имеющий отношение к VBA, вызывающей программе вернется ошибка:
Error: 6068
Programmatic access to Visual Basic Project is not trusted.
Если пользователю все же необходим программный доступ к VBA, он может разрешить эту возможность в настройках Trust Center:
Недостаток этого решения в том, что заданная таким образом настройка сохраняется в ветке реестра, доступной пользователю для модификации, например для Microsoft Word это:
HKEY_CURRENT_USER\Software\Microsoft\Office\ >> Версия Office << \Word\Security\AccessVBOM
Это значит, что любая программа, которой необходим доступ к объектной модели VBA, может «разрешить» себе эти действия совершенно самостоятельно. Ниже приведен код программы на VBScript, выставляющей этот флаг в реестре и записывающей код в проект VBA открытого в данный момент документа.
Настройка программного доступа к VBA может определяться также ключами реестра
HKLM\Software\Microsoft\Office\>> Версия Office <<\Word\Security\AccessVBOM
HKLM\SOFTWARE\Policies\Microsoft\Office\>> Версия Office <<\Word\Security\AccessVBOM
Эти ключи имеют преимущество перед содержащимися в ветке HKEY_CURRENT_USER. Их может изменить администратор, например, при помощи шаблонов групповых политик, заблокировав тем самым возможность редактирования этой настройки пользователем. Однако по умолчанию эти ключи отсутствуют.
Удаленное выполнение/DCOM
Технология COM изначально проектировалась в расчете на прозрачность местоположения: вызываемые компоненты могут являться библиотеками (DLL), загружаемыми в вызывающий процесс, либо в отдельный процесс-прокси, локально исполняемыми программами (EXE) или компонентами, расположенными на каком-либо другом компьютере (DCOM).
Например, можно сделать компоненты Microsoft Word доступными для удаленного управления, выполнив настройку вручную. При желании можно настроить доступ как с аутентификацией, так и без нее (для анонимного подключения). При этом приложения будут выполняться от имени интерактивного (осуществившего локальный вход в систему) пользователя.
- открыть порт DCOM в брандмауэре и добавить Microsoft Word в список разрешенных программ
- при помощи утилиты Dcomcnfg настроить удаленный доступ для компонента Microsoft Word 97 — 2003 Document
Один из этапов настройки компонента DCOM для Word
Естественно, те же настройки можно выполнить и программно.
Таким образом, объектная модель Microsoft Word доступна для удаленного управления.
Пример кода для Visual Studio, читающего содержимое заданного файла на удаленном компьютере
Отслеживание действий пользователя/События
Ниже приведен фрагмент текста программы, способной отслеживать такие действия пользователя в программе Microsoft Word, как открытие, закрытие документа, и отправка его на принтер. В каждом из случаев программа получает текст активного документа.
Применение для закрепления/выполнения кода в уязвимой системе
В пентестерской (и не только) практике иногда появляется необходимость оставить возможность доступа к компьютеру, которая не вызовет подозрений у пользователя или администраторов и не будет обнаружена антивирусом. Компонентная модель Office прекрасно подходит для таких целей. Хорошие описания некоторых вариантов составил Matt Nelson (@enigma0x3) (Excel, Outlook).
В первом случае используется программный доступ к Excel для запуска макроса, во втором Outlook для запуска произвольного приложения.
Предупреждения Outlook
Использование возможностей DCOM позволяет производить эти действия удаленно, не сохраняя на уязвимом компьютере какой-либо исполняемый код, который может быть обнаружен антивирусными программами.
В реестре эта опция сохраняется в подключе Security программы Microsoft Outlook, к примеру для Microsoft Office версии 2016 32-битной с платформой ClickToRun полный путь ключа:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\REGISTRY\MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Outlook\Security
Чтобы отключить предупреждения о подозрительной программной активности, необходимо добавить значение:ObjectModelGuard (DWORD) 0x2.
Изменить эти настройки в последних версиях Microsoft Office возможно средствами группового администрирования, либо через реестр. Возможность менять их через пользовательский интерфейс по умолчанию отключена.
Основная причина этой ошибки заключается в том, что добавление файлов PST или добавление нового файла данных PST отключено в учетной записи Outlook. Таким образом, важно решить эту проблему как можно скорее, чтобы предотвратить возникновение обстоятельств, которые могут повлиять на работу MS Outlook.
Что ж, в этой статье мы поделимся как ручными, так и автоматическими решениями для эффективного устранения ошибки.
Уловка вручную для разрешения использования файлов данных Outlook (.pst) на этом компьютере отключена
Вот несколько ручных способов, которые помогут решить, что использование файла данных Outlook (PST) отключено на этом компьютере.
Уловка 1. Отключите настройки автоархивирования Outlook.
Эту ошибку можно легко устранить, отключив параметр «Запретить пользователю добавлять новые данные в существующий файл PST» в настройках Outlook. Посмотрите, что для этого нужно сделать.
Итак, теперь на вашем локальном компьютере запустите gpupdate / force, чтобы мгновенно применить GPO и войти в систему. После этого вы заметите, что конечный пользователь не заблокирован для выполнения операций, связанных с Outlook .pst. Аналогичным образом, опция «Открыть файл данных MS Outlook» будет видна при нажатии на Файл в MS Outlook 2010.
Таким образом, попытка экспорта и импорта данных Outlook PST больше не приведет к ошибке «Использование файлов данных Outlook (.pst) отключено на этом компьютере».
Уловка 2: с помощью метода реестра
Примечание I: Перед использованием этого метода создайте резервную копию реестра для восстановления. Если вы измените реестр неправильно, вы можете столкнуться с серьезной проблемой.
1. Разрешить пользователям добавлять новые данные в существующий файл PST.
Чтобы запретить пользователю добавлять новое содержимое в существующий файл данных Outlook PST, внесите изменения в запись реестра PSTDisableGrow, значение ресурса равно 0. Для этого выполните следующие действия:
1: Открой Редактор реестра.
2: Перейдите в следующий подраздел реестра:
HKEY_CURRENT_USER Программное обеспечение Политики Microsoft Office.0 Outlook PST
[The .0 placeholder states the version of MS Outlook]
3: В меню «Правка» нажмите «Создать» и выберите DWORD Ценить.
4: Введите PSTDisableGrow и нажмите клавишу Enter.
5: Щелкните правой кнопкой мыши на PSTDisableGrow запись реестра, которую вы создали, а затем выберите Изменить.
6: Введите 0 в поле «Значение» и нажмите «ОК».
Примечание II: Запись реестра PSTDisableGrow будет установлена в соответствии с заданными значениями:
0 = это значение по умолчанию, что пользователь может добавлять новые данные в существующий PST. файл.
1 = Пользователь не может добавить новый контент в существующий файл PST.
2. Разрешить пользователям добавлять новый файл PST
Ошибка «Файл данных Outlook PST отключен на этом компьютере» может быть устранена путем запрета пользователю подключения одного файла PST в MS Outlook. Для того, чтобы сделать то же самое, вам необходимо внести изменения в запись реестра DisablePST в качестве значения 0. Для этого внимательно выполните следующие действия:
1: Откройте Редактор реестра.
2: Найдите и щелкните следующий подраздел реестра:
HKEY_CURRENT_USER Программное обеспечение Политики Microsoft Office.0 Outlook
[The .0 placeholder indicates the version of MS Outlook]
3: в меню «Правка» выберите «Создать» и нажмите DWORD Ценить.
4: Тип DisablePST, а затем нажмите клавишу Enter.
5: Щелкните правой кнопкой мыши реестр DisablePST и выберите «Изменить».
6. В поле «Значение» введите 0 и нажмите OK.
Примечание: Запись реестра DisablePST, которая может иметь следующие значения:
0 = Пользователь может добавлять файлы данных PST (значение по умолчанию).
1 = Пользователь не может добавлять файлы PST (функция PST).
2 = Пользователь может добавлять только данные PST с эксклюзивным доступом, например файлы SharePoint PST.
Помните: Если вы хотите отключить использование файлов PST, вам следует выполнить описанные выше шаги, чтобы запретить другим пользователям использовать файлы PST.
Оборотная сторона ручных методов
1: Вышеупомянутые техники очень сложны в исполнении.
2: У вас должен быть технический опыт для выполнения вышеуказанных команд.
3: Любые неправильные шаги могут привести к огромным потерям данных.
Заключительные мысли
В этих блогах решена одна из наиболее распространенных проблем Outlook, а именно: «Использование файла данных Outlook (.pst) на этом компьютере отключено». Чтобы уменьшить ошибку, мы придумали как ручные, так и автоматизированные решения. Но мы заметили, что ручной подход довольно сложен для понимания. Поэтому, чтобы решить проблему простым и эффективным способом, мы упомянули автоматизированный сторонний инструмент. С помощью этого программного обеспечения пользователи могут восстанавливать свои поврежденные файлы Outlook PST без потери данных.
Читайте также: