Sichere Office-Lösungen
Das Sicherheitsmodell für Office-Lösungen umfasst mehrere Technologien: die Visual Studio-Tools für Office-Laufzeit, ClickOnce, das Trust Center in Microsoft Office und die Zone mit eingeschränkten Internet Explorer-Websites. In den folgenden Abschnitten wird die Funktionsweise der verschiedenen Sicherheitsfunktionen beschrieben:
Erteilen einer Vertrauensstellung bei Verwendung von Windows Installer
Visual Studio-Tools für Office-Laufzeit
Gilt für: Die Informationen in diesem Thema gelten für Projekte auf Dokumentebene und VSTO-Add-In-Projekte. Siehe features available by Office-App lication and project type.
Vertrauen in Office-Lösungen gewähren
Das Gewähren von Vertrauenswürdigkeit für Office-Projektmappen bedeutet das Ändern der Sicherheitsrichtlinie jedes Endbenutzers, um der Office-Lösung auf Grundlage der folgenden Beweise zu vertrauen:
Das Zertifikat, das zum Signieren des Bereitstellungsmanifests verwendet wird.
Die URL des Bereitstellungsmanifests.
Weitere Informationen finden Sie unter Erteilen von Vertrauensstellungen für Office-Lösungen.
Vertrauensstellung für Dokumente gewähren
Eine Anpassung auf Dokumentebene erfordert, dass sich das Dokument in einem Verzeichnis befindet, das als vertrauenswürdiger Speicherort festgelegt ist. Weitere Informationen finden Sie unter Erteilen einer Vertrauensstellung für Dokumente.
Erteilen einer Vertrauensstellung bei Verwendung von Windows Installer
Sie können Windows Installer verwenden, um eine MSI-Datei zum Installieren von Office-Projektmappen in das Verzeichnis "Programme" zu erstellen, wofür Administratorrechte erforderlich sind. Bei Office-Lösungen im Verzeichnis "Programme" betrachtet die Visual Studio 2010 Tools for Office-Laufzeit diese Office-Lösungen als vertrauenswürdig und zeigt nicht die ClickOnce-Vertrauensaufforderung an.
Spezifische Sicherheitsüberlegungen für Office-Lösungen
Die Sicherheitsfeatures von .NET Framework 4, .NET Framework 4.5 und Microsoft Office können dazu beitragen, vor einer Vielzahl möglicher Sicherheitsbedrohungen in Office-Lösungen zu schützen. Weitere Informationen finden Sie unter Spezifische Sicherheitsüberlegungen für Office-Lösungen.
Sicherheit während der Entwicklung
Um Ihren Entwicklungsprozess zu vereinfachen, legt Visual Studio die Sicherheitsrichtlinie, die zum Ausführen und Debuggen der Projektmappe auf dem Computer benötigt wird, bei jedem Erstellen eines Projekts fest. In einigen Szenarien müssen Sie möglicherweise zusätzliche Schritte zum Entwickeln des Projekts ausführen.
Lösungen auf Dokumentebene
Wenn Sie die folgenden Typen von Projekten entwickeln, muss der vollqualifizierte Pfad eines Dokuments zur Liste der vertrauenswürdigen Speicherorte in der Microsoft Office-Anwendung hinzugefügt werden:
Lösungen auf Dokumentebene, die sich auf einer Netzwerkdateifreigabe befinden, z . B. \\servername\sharename.
Lösungen auf Dokumentebene für Word, die DOC- oder DOCM-Dateien verwenden.
Schließen Sie die Unterverzeichnisse ein, wenn Sie den Dokumentspeicherort der Liste vertrauenswürdiger Speicherorte hinzufügen, oder schließen Sie insbesondere die Debug- und Buildordner ein. Weitere Informationen finden Sie im Microsoft Office Online-Hilfeartikel "Erstellen, Entfernen oder Ändern eines vertrauenswürdigen Speicherorts für Ihre Dateien".
Temporäre Zertifikate
Visual Studio erstellt ein temporäres Zertifikat, wenn ein signierendes Zertifikat nicht bereits vorhanden ist. Sie sollten dieses temporäre Zertifikat nur während der Entwicklung verwenden und ein offizielles Zertifikat für die Bereitstellung erwerben.
Das temporäre Zertifikat wird nach dem ersten Erstellen eines Office-Projekts generiert. Wenn Sie das nächste Mal F5 drücken, wird das Projekt neu erstellt, da das Projekt beim Hinzufügen des Zertifikats als geändert markiert ist.
Nach einer Weile kann es zahlreiche temporäre Zertifikate geben, sodass Sie sie gelegentlich löschen sollten.
Visual Studio-Tools für Office-Laufzeit
Die Visual Studio-Tools für Office-Laufzeit verfügt über Features, um die Identität des Herausgebers und die Berechtigungen zu überprüfen, die einer Anpassung gewährt werden. Diese Berechtigungen werden mithilfe einer Reihe von Sicherheitsüberprüfungen verifiziert.
Sicherheit beim Laden der Anpassung
Wenn eine Anpassung auf Dokumentebene geladen wird, überprüft die Visual Studio-Tools für Office-Laufzeit immer, ob sich das Dokument in der Liste der vertrauenswürdigen Speicherorte befindet. Darüber hinaus überprüft die Laufzeit, ob die Lösung "FullTrust" im Anwendungsmanifest anfordert. Beim Laden der Anpassung werden keine zusätzlichen Sicherheitsüberprüfungen durchgeführt.
Sequenz der Sicherheitsüberprüfungen während der Installation
Wenn eine Office-Lösung installiert oder aktualisiert wird, führt die Visual Studio-Tools für Office-Laufzeit eine Reihe von Sicherheitsüberprüfungen in einer bestimmten Reihenfolge aus, um eine Vertrauensentscheidung zu treffen. Eine Projektmappe wird nur dann installiert oder aktualisiert, wenn die Laufzeit bestimmt, dass die Projektmappe vertrauenswürdig ist.
Sie können den Installationsprozess auf eine von vier Arten starten: indem Sie das Setupprogramm ausführen, indem Sie das Bereitstellungsmanifest öffnen, den Microsoft Office-App lication-Host öffnen oder VSTOInstaller.exe ausführen.
Die erste Sicherheitsüberprüfung gilt nur für Projektmappen auf Dokumentebene. Das Dokument einer Projektmappe auf Dokumentebene muss sich an einem vertrauenswürdigen Speicherort befinden. Wenn sich das Dokument in einer Remotenetzwerkdateifreigabe befindet oder über die Dateinamenerweiterung DOC oder DOCM verfügt, muss der Speicherort des Dokuments der Liste der vertrauenswürdigen Speicherorte hinzugefügt werden. Weitere Informationen finden Sie unter Erteilen einer Vertrauensstellung für Dokumente.
Die nächsten Sicherheitsüberprüfungen stammen aus der Visual Studio-Tools für Office-Laufzeit und ClickOnce. Um diese Prüfungen zu bestehen, müssen Office-Lösungen Volltrust-Berechtigungen anfordern, mit einem Zertifikat signiert werden, das nicht in der Liste nicht vertrauenswürdiger Publisher aufgeführt ist, und sich an einem Speicherort befinden, der sich nicht in der eingeschränkten Zone von Internet Explorer befindet. Wenn sich das Zertifikat in der Liste "Vertrauenswürdiger Herausgeber" befindet, wird die Lösung sofort installiert. Andernfalls fährt die Lösung mit der letzten letzte Gruppe von Überprüfungen fort, sofern keine der Überprüfungen fehlgeschlagen ist.
Wenn die ClickOnce-Vertrauensaufforderung zulässig ist und der Lösung noch keine Vertrauenswürdigkeit gewährt wurde, ermöglicht die Laufzeit die Vertrauensentscheidung des Endbenutzers. Wenn der Benutzer der Projektmappe Vertrauenswürdigkeit gewährt, wird der Benutzeraufnahmeliste ein Eintrag hinzugefügt. Alle Projektmappen in der Benutzeraufnahmeliste haben volle Vertrauenswürdigkeit und können installiert und ausgeführt werden.
Ab Visual Studio 2010 wird die Aufnahmeliste umgangen, wenn die Office-Projektmappe mithilfe von Windows Installer (MSI) in das Verzeichnis "Programme" installiert wurde. Weitere Informationen finden Sie unter Vertrauensstellung von Office-Lösungen mithilfe von Einschlusslisten.
Zugehöriger Inhalt
- Vertrauen in Office-Lösungen gewähren
- Vertrauensstellung für Dokumente gewähren
- Vertrauen von Office-Lösungen mithilfe von Einschlusslisten
- How to: Configure inclusion list security
- Vorgehensweise: Signieren von Office-Lösungen
- Behandeln von Problemen mit der Sicherheit von Office-Lösungen
- Anwendungsmanifeste für Office-Lösungen
- Bereitstellungsmanifeste für Office-Lösungen
- ClickOnce-Referenz
- Bereitstellen einer Office-Lösung