최근 Windows 도메인 컨트롤러에 대한 보안 권고를 발표하고 Edge 브라우저에 대한 여러 보안 기능을 미리 본 후 Microsoft는 이제 기업 IT 관리자가 사무실 환경을 강화하는 데 도움이 되는 Microsoft 365 Office 응용 프로그램에 대한 최신 보안 기준 구성을 발표했습니다.
이번에 릴리스된 최신 보안 기준은 Microsoft 365 앱 v2512에 적용 가능하며 Microsoft 보안 규정 준수 도구 키트를 통해 일련의 업데이트된 보안 구성을 제공하여 IT 관리자가 해당 환경에 균일하게 배포할 수 있도록 합니다. 마이크로소프트는 이 버전이 이전 기준을 기반으로 한 증분 업데이트이며 공격자 행동 패턴, 파트너 피드백 및 마이크로소프트 자체의 "보안 설계" 표준을 기반으로 개발되었다고 밝혔습니다.
특정 애플리케이션 수준에서 Excel 및 PowerPoint의 보안 정책이 크게 변경되었습니다. Excel의 경우 파일 차단 기능으로 제한된 외부 링크가 더 이상 새로 고쳐지지 않으며 사용자가 이러한 링크를 만들거나 업데이트하려고 하면 직접 오류가 표시되므로 신뢰할 수 없는 소스에서 데이터를 얻을 수 없습니다. 또한 포함된 개체를 통해 공격자가 악용할 위험을 줄이기 위해 PowerPoint에서 OLE 콘텐츠가 비활성화됩니다.
개별 앱에 대한 대상 조정 외에도 Microsoft는 전체 Microsoft 365 앱 제품군에 걸쳐 여러 보안 구성을 업데이트했습니다. 여기에는 다음이 포함됩니다. 문서를 열 때 HTTPS가 아닌 모든 프로토콜을 차단합니다. MSGraph.Application 및 MSGraph.Chart와 같은 클래식 OLE 차트 구성 요소가 실행되는 것을 방지하고 정적 이미지만 표시합니다. 대신 레거시 OrgChart 플러그인을 비활성화하여 더 높은 충실도의 이미지를 표시합니다. Microsoft 365 앱이 FrontPage Server Extensions RPC와 같은 레거시 프로토콜로 대체되는 것을 방지합니다.
Microsoft는 이러한 보안 구성 변경이 주로 오래된 구성 요소와 프로토콜을 비활성화하는 데 중점을 두고 있다고 지적했습니다. 왜냐하면 이러한 콘텐츠는 종종 악의적인 공격자가 악용할 수 있는 잠재적인 진입점이 되기 때문입니다. 조직에 최신 보안 기준을 배포하려는 IT 관리자를 위해 Microsoft는 공식 문서에 자세한 정책 경로 설명과 구현 프로세스 중에 발생할 수 있는 운영 영향을 제공하여 기업이 배포 전에 완전히 평가하고 테스트할 수 있도록 했습니다.
자세히 알아보기:
https://techcommunity.microsoft.com/blog/microsoft-security-baselines/security-baseline-for-m365-apps-for-enterprise-v2512/4487213