Mark of the Web: используем встроенный механизм Windows для блокировки опасных превью

Привет! С вами Семёнов Евгений Сергеевич, директор ITFresh. За 15 с лишним лет работы с Windows-сетями, в администрировании офисов, я повидал немало. Расследовал, наверное, десятки случаев с шифровальщиками. И знаете что? В 8 из 10 инцидентов сценарий один и тот же, прямо под копирку: бухгалтер, ни о чём не подозревая, открывает какой-нибудь «акт выполненных работ.xlsx» из письма. Жмёт «Разрешить редактирование» — ну а что такого? И тут же макрос запускается. Проходит буквально 20 минут, и все общие файлы уже зашифрованы. Ужасно, правда? Но есть отличная новость: эту атаку можно остановить. И причём абсолютно бесплатно, с помощью инструмента, который уже есть в каждой Windows! Называется он Mark of the Web.

Что такое MOTW и как он работает

Mark of the Web — это небольшая метка, которую Windows ставит на любой файл, попавший в систему из внешнего источника: браузер, почтовый клиент, скачивание через Outlook, SharePoint, OneDrive. Физически это альтернативный поток данных (Alternate Data Stream) NTFS с именем Zone.Identifier. Внутри — номер зоны:

Стоит этому значению достигнуть отметки в «3» или выше, как система тут же включает свои защитные механизмы. Что это означает на практике? Office переходит в «защищённый просмотр» (Protected View), макросы блокируются автоматически, Windows начинает показывать предупреждения SmartScreen при попытке запустить любой EXE-файл, а ещё блокируются CHM-справки и отключается динамический контент. Серьёзная защита, да?

Проверяем MOTW руками

# Посмотреть метку
Get-Item .\contract.docx -Stream Zone.Identifier | Format-List
Get-Content .\contract.docx -Stream Zone.Identifier

# Убрать MOTW (разблокировать)
Unblock-File .\contract.docx

# Пакетно на всю папку
Get-ChildItem C:\work\inbox -Recurse | Unblock-File

# Посмотреть через cmd
dir /R contract.docx
# Увидите :Zone.Identifier:$DATA

На нашей практике, если случается инцидент, первым делом я всегда проверяю этот самый MOTW у «подозрительного» файла. Это мгновенно даёт понять, откуда он взялся: прилетел к нам из интернета или кто-то подложил его внутри нашей сети. Полезная штука!

Protected View в Office — основной барьер

Допустим, вы открыли в Word, Excel или PowerPoint файл, у которого есть MOTW. Что происходит? Документ сразу запускается в Protected View – это такой специальный, полностью изолированный режим. В нём макросы просто не работают, OLE-объекты деактивированы, а ссылки остаются "мёртвыми". Конечно, пользователь увидит жёлтую полоску, которая предлагает «Включить редактирование». И вот тут, коллеги, кроется главная опасность! Мы по нашей статистике видим, что 70% всех инцидентов происходят именно из-за того, что кто-то, не глядя, нажимает на эту кнопку.

Кстати, с июля 2022 года Microsoft серьёзно усилил эту защиту. Теперь они по умолчанию блокируют макросы во всех документах с меткой MOTW. Представьте: вместо привычной жёлтой полоски «Включить контент» пользователь видит тревожное красное сообщение: «Microsoft заблокировал выполнение макросов». Ещё и с ссылкой, где всё подробно объясняется! Мой вам настоятельный совет: включите эту важную настройку через GPO для вообще всех версий Office. Только так вы обеспечите по-настоящему максимальную защиту.

# Через реестр (для каждой версии Office отдельно)
# Word
reg add "HKCU\Software\Microsoft\Office\16.0\Word\Security" /v BlockContentExecutionFromInternet /t REG_DWORD /d 1 /f
# Excel
reg add "HKCU\Software\Microsoft\Office\16.0\Excel\Security" /v BlockContentExecutionFromInternet /t REG_DWORD /d 1 /f
# PowerPoint
reg add "HKCU\Software\Microsoft\Office\16.0\PowerPoint\Security" /v BlockContentExecutionFromInternet /t REG_DWORD /d 1 /f

GPO для корпоративной блокировки

Делать точечные правки в реестре, чтобы настроить это на одной-единственной машине? Можно, конечно, но на домене так не работают. Там всё настраивается централизованно через Group Policy, используя административные шаблоны Office — те самые admx-файлы от Microsoft. Так гораздо удобнее и надёжнее.

1. Для начала, вам нужно скачать «Administrative Templates for Microsoft 365 Apps / Office 2019/2021». Их, разумеется, можно найти на официальном сайте Microsoft.
2. Положите admx в \\domain.local\SYSVOL\domain.local\Policies\PolicyDefinitions\.
3. Далее, открывайте GPMC. Там создайте новую политику, которую можно назвать, например, «Office-Security-MOTW», и обязательно привяжите её к тому OU, где находятся ваши пользователи.
4. Включите ключевые параметры:

• User Configuration → Policies → Admin Templates → Microsoft Word 2016 → Word Options → Security → Trust Center → Block macros from running in Office files from the Internet = Enabled
• Кстати, аналогичные пути настройки вы найдёте и для других приложений Office: Excel, PowerPoint, Visio и Access. Принцип тот же.
• User Configuration → Policies → Admin Templates → Windows Components → Attachment Manager → Do not preserve zone information in file attachments = Disabled.
• Computer Configuration → Policies → Admin Templates → Windows Components → Windows Defender SmartScreen → Configure Windows Defender SmartScreen = Enabled, Warn and prevent bypass.

Почему MOTW иногда не ставится

А что, если файл пришёл не через браузер? Тогда метки MOTW может и не быть. Вот несколько типичных примеров:

• Старые версии 7-Zip (до 22.00) не пробрасывали MOTW в файлы внутри архива. Обновляйтесь до 24.x.
• Сетевая папка SMB с доверенного сервера. Windows считает её Intranet Zone.
• ISO/VHD-файлы. До Windows 11 22H2 MOTW не пропагировался в содержимое — популярный трюк фишеров. Сейчас исправлено.
• Копия через USB. Флешка обнуляет ADS-поток, если файловая система не NTFS.
• Ручное удаление. Юзеры с админ-правами могут снять блок в свойствах файла.

Лично я всегда настаиваю: комбинируйте MOTW с AppLocker или WDAC. Почему? Потому что тогда, даже если метки каким-то чудом нет, ни один исполняемый файл, которого нет в вашем «белом списке», просто не сможет запуститься. Это даёт двойную защиту!

SmartScreen и Reputation-based защита

Что такое SmartScreen? Это облачный сервис от Microsoft, который работает как ваш личный охранник, проверяя репутацию любых исполняемых файлов и ссылок. Вот как это работает: если вы пытаетесь запустить EXE или MSI с меткой MOTW, Windows сразу спрашивает SmartScreen. И если вдруг файл незнакомый или, что ещё хуже, имеет плохую репутацию, то вы тут же увидите предупреждение.

# Проверка состояния
Get-MpPreference | Select-Object EnableSmartScreen*

# Включение в режиме Block
Set-MpPreference -PUAProtection Enabled
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" /v EnableSmartScreen /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" /v ShellSmartScreenLevel /t REG_SZ /d "Block" /f

Кейс: защита офиса юридической фирмы от шифровальщика

Вот вам реальный пример из нашей практики. В сентябре 2025 года к нам пришла одна юридическая фирма: 35 человек, работают на Windows 10/11, используют Office 2019. В августе они словили массовую фишинговую атаку – представьте, 22 письма за пару дней, все с вложением «Уведомление суда.docm»! Трое сотрудников открыли эти файлы, а двое из них, к сожалению, нажали «Включить содержимое». Что произошло дальше? Макросы активировались, и началось шифрование. Слава богу, серверный бэкап, который делали на Veeam, не пострадал, но вот данные на трёх ноутбуках были безвозвратно утеряны. Ужасная ситуация, но мы смогли им помочь.

Мы за 2 дня развернули:

• Чтобы защитить вас от хитрых макросов, которые могут прийти из интернета, мы внедрили новую групповую политику. Называется она GPO «Office-Security-MOTW». Теперь можете быть спокойны: у кого бы то ни было в компании, макросы извне просто не сработают. Это надёжная защита для всех.
• А что насчёт OLE-объектов и ActiveX в Office? Они тоже несут риски. Мы добавили строгую блокировку и для них. Это ещё одна ступень вашей защиты, которую мы считаем критически важной. Никаких лазеек!
• Мы обновили архиватор 7-Zip до последней версии 24.08 на всех ваших рабочих машинах. Зачем? Чтобы вы работали быстрее и, главное, безопаснее. Новая версия всегда лучше справляется с потенциальными угрозами.
• Исполняемые файлы – это всегда потенциальный риск, не так ли? Поэтому мы внедрили AppLocker. Он работает по принципу белого списка: запускаются только те программы, которые мы разрешили. Всё остальное просто не сможет запуститься. Это наша гарантия, что никакие случайные или вредоносные приложения не проникнут в систему.
• SmartScreen в режиме Block на всех ПК.
• Знаете, фишинг становится всё изощрённее. Мы провели 40-минутный тренинг для всего персонала. Теперь каждый сотрудник лучше разбирается, как распознать поддельное письмо или подозрительную ссылку. Эти знания помогут избежать серьёзных проблем. Ведь человеческий фактор часто самое слабое звено, верно?

Что в итоге? За первые полгода после внедрения, по данным логов Defender, мы заблокировали 47 фишинговых вложений. А самое главное – НОЛЬ инцидентов с шифрованием! Вся работа, включая обучение персонала и подготовку документации, обошлась компании в 95 000 рублей. Неплохо за такое спокойствие, правда?

Тест MOTW в вашем офисе

# PowerShell-скрипт проверки: скачиваем тестовый файл и смотрим метку
$url = "https://example.com/test.docx"
$path = "$env:TEMP\test.docx"
Invoke-WebRequest -Uri $url -OutFile $path
Get-Item $path -Stream Zone.Identifier -ErrorAction SilentlyContinue
if ($?) {
  Write-Host "MOTW установлен корректно" -ForegroundColor Green
} else {
  Write-Host "MOTW не установлен — проверьте политики SaveZoneInformation" -ForegroundColor Red
}

FAQ — Mark of the Web

Что такое Mark of the Web?

MOTW — это метка ZoneIdentifier, которую Windows добавляет к файлам из интернета. При открытии включается Protected View, блокировка макросов, SmartScreen.

Как посмотреть или снять MOTW?

PowerShell: Get-Item / Unblock-File. В проводнике — свойства файла → Разблокировать.

Можно ли полностью отключить MOTW?

Технически можно, но категорически нельзя — это бесплатный слой защиты от фишинга.

Почему макросы всё равно запускаются?

Если файл пришёл не через браузер, MOTW может не стоять. Проверяйте источник и версию архиваторов.

Как настроить MOTW для домена?

Через GPO: User Configuration → Administrative Templates → Windows Components → Attachment Manager.