Злоумышленники придумывают новые способы проникновения в систему, для этого они используют зараженные файлы rtf, которые отправляют по электронной почте, пользователь, открыв такой файл, может позволить злоумышленнику выполнить произвольный код в системе.
Файлы с расширением rtf, можно создать в любой операционной системе Windows. Для этого используется простой текстовой редактор WordPad. Однако с файлами rtf, можно работать и в программе Microsoft Word и если открыть зараженный файл в Microsoft Word, шансы на выполнение произвольного кола со стороны злоумышленников многократно увеличивается. В связи с последними уязвимостями в Microsoft Word CVE-2013-21716, блокировка файлов rtf актуальна.
Рассмотрим, как заблокировать открытие файлов rtf на компьютере, для этого будем использовать редактор реестра Windows и групповые политики (Для версий Windows Pro и выше).
Блокировка с помощью редактора реестра.
Microsoft Word 2003.
Нажмите сочетания клавиш Win + R, в поле Открыть введите команду regedit и нажмите кнопку ОК.
Найдите и откройте следующий подраздел реестра: HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\FileOpenBlock. Если подраздел FileOpenBlock не существует, его необходимо создать.
В подразделе FileOpenBlock найдите значение DWORD: RtfFiles, если это значение не существует, его необходимо создать. Укажите для этого значения цифру 2.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Word\Security\FileOpenBlock]
"rtffiles"=dword:00000002
Далее закройте редактор реестра.
При открытии файла rtf в Microsoft Word 2003, появится следующее сообщение.
Для разрешения открытия файлов rtf удалите в подразделе FileOpenBlock значение DWORD: RtfFiles.
Microsoft Word 2007.
Нажмите сочетания клавиш Win + R, в поле Открыть введите команду regedit и нажмите кнопку ОК.
Найдите и откройте следующий подраздел реестра: HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Security\FileOpenBlock. Если подраздел FileOpenBlock не существует, его необходимо создать.
В подразделе FileOpenBlock найдите значение DWORD: RtfFiles, если это значение не существует, его необходимо создать. Укажите для этого значения цифру 2.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Office\12.0\Word\Security\FileOpenBlock]
"rtffiles"=dword:00000002
Далее закройте редактор реестра.
При открытии файла rtf в Microsoft Word 2007, появится следующее сообщение.
Для разрешения открытия файлов rtf удалите в подразделе FileOpenBlock значение DWORD: RtfFiles.
Microsoft Word 2010.
Запустите редактор реестра от имени администратора.
Найдите и откройте следующий подраздел реестра: HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Security\FileBlock. Если подраздел FileBlock не существует, его необходимо создать.
В подразделе FileBlock найдите:
1) Значение DWORD: RtfFiles, если это значение не существует, его необходимо создать. Укажите для этого значения цифру 2.
2) Значение DWORD: OpenInProtectedView, если это значение не существует, его необходимо создать. Укажите для этого значения цифру 0.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Office\14.0\Word\Security\FileBlock]
"RtfFiles"=dword:00000002
"OpenInProtectedView"=dword:00000000
Далее закройте редактор реестра.
При открытии файла rtf в Microsoft Word 2010, появится следующее сообщение.
Для разрешения открытия файлов rtf удалите в подразделе FileBlock значения DWORD: RtfFiles и OpenInProtectedView.
Microsoft Word 2013.
Запустите редактор реестра от имени администратора.
Найдите и откройте следующий подраздел реестра: HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Word\Security\FileBlock. Если подраздел FileBlock не существует, его необходимо создать.
В подразделе FileBlock найдите:
1) Значение DWORD: RtfFiles, если это значение не существует, его необходимо создать. Укажите для этого значения цифру 2.
2) Значение DWORD: OpenInProtectedView, если это значение не существует, его необходимо создать. Укажите для этого значения цифру 0.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\15.0\Word\Security\FileBlock]
"RtfFiles"=dword:00000002
"OpenInProtectedView"=dword:00000000
Далее закройте редактор реестра.
При открытии файла rtf в Microsoft Word 2013, появится следующее сообщение.
Для разрешения открытия файлов rtf удалите в подразделе FileBlock значения DWORD: RtfFiles и OpenInProtectedView.
Microsoft Word 2016, 2019, 2021.
Запустите редактор реестра от имени администратора.
Найдите и откройте следующий подраздел реестра: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Word\Security\FileBlock. Если подраздел FileBlock не существует, его необходимо создать.
В подразделе FileBlock найдите:
1) Значение DWORD: RtfFiles, если это значение не существует, его необходимо создать. Укажите для этого значения цифру 2.
2) Значение DWORD: OpenInProtectedView, если это значение не существует, его необходимо создать. Укажите для этого значения цифру 0.
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Word\Security\FileBlock]
"RtfFiles"=dword:00000002
"OpenInProtectedView"=dword:00000000
Далее закройте редактор реестра.
При открытии файла rtf в Microsoft Word 2016/2019/2021, появится следующее сообщение.
Для разрешения открытия файлов rtf удалите в подразделе FileBlock значения DWORD: RtfFiles и OpenInProtectedView.
Для упрощенной работы с редактором реестра, можно использовать уже готовые файлы reg. Скачайте прилагаемый архив, разархивируйте в любом месте.
Далее выберите необходимый файл (установленный на Вашем ПК Microsoft Word).
Кликните по данному файлу правой кнопкой мыши и в появившемся меню выберите пункт Слияние.
Согласитесь с добавлением изменений в реестр Windows, нажав кнопку Да.
Значения успешно внесены в реестр.
Блокировка с помощью групповых политик.
В данном случае будут блокироваться исполняемые файлы и файлы rtf в каталоге Загрузки, т.к. большинство пользователей скачивают файлы из сети Интернет именно в этот каталог.
Нажмите сочетания клавиш Win + R, в поле Открыть введите команду gpedit.msc и нажмите кнопку ОК.
Перейдите в раздел Конфигурация компьютера – Параметры безопасности, подраздел Политики ограниченного использования программ.
Выберите объект Назначенные типы файлов.
В появившемся окне, в поле Расширение наберите с клавиатуры значение rtf и нажмите кнопку Добавить.
Результат должен быть таким.
Таким образом, мы присвоили файлам rtf статус исполняемый файл.
Далее выберите объект Дополнительные правила.
На следующем этапе кликните правой кнопкой мыши и выберите пункт меню Создать правила для пути.
В появившемся окне, в поле Путь укажите %userprofile%\Downloads\ и нажмите кнопку ОК, если пользователь скачивает файлы в другой каталог, то необходимо указать путь к этому каталогу, воспользовавшись кнопкой Обзор.
Далее закройте редактор групповой политики.
Если пользователь попытается запустить файл rtf из каталога Загрузки, данный файл будет заблокирован, как и все исполняемые файлы.
Но если пользователь скопирует данный файл в другой каталог, он сможет его открыть.
На этом всё. Удачи всем!!!
ВКонтакте
