受信任的文档

大家好，我叫 Maithili Dandige，是 Microsoft 公司 Office 安全团队中的一名项目经理。为了进行此次发布，我研究了几种与安全和隐私相关的功能，例如 Office 文件验证、推荐的设置、对文档检查器的改进和受信任的文档。我将在接下来的几个月内陆续介绍所有这些功能。今天，我将在这里为大家介绍“受信任的文档”功能，它是一种简单的增强功能，能够改进用户在与我们的安全功能进行交互时的体验。如果您想通过我们的团队了解其他安全功能，可以转到此处。由于在使用包含宏、ActiveX 控件、数据连接及 Office 信任中心阻止的其他类型活动内容的 Office 文档时会出现安全提示，“受信任的文档”功能通过减少这些安全提示的数量，缓解了我作为一名最终用户长期以来所困扰的问题。

在我们详细讨论“受信任的文档”功能的工作方式之前，我将花几分钟时间介绍我们为什么构建此功能。在 Office 2007 之前的 Office 版本中，系统通常会在您打开文档之前显示有关宏及其他类型的活动内容的提示。这些对话框虽然有用但存在问题；在允许您与文件进行交互之前会显示如下提示：“是否要启用宏?”。许多不需要启用这些宏的用户最终也启用了它们，但通常他们只需要阅读文档。

在 Office 2007 中，我们修复了该问题。在您打开文档之前，我们不会再向您显示提示，而是显示消息栏。这是一种显著的改进，因为您可以安全地阅读或编辑文档，并且可以稍后处理安全警告。但遗憾的是，对于您所创建的包含宏的文档或每天处理的包含数据连接的工作簿，则每次都需要从消息栏启用相应内容。这会影响用户体验，因为现在您不仅需要额外单击两次才能开始执行下一个任务，而且它看起来没有为文档提供任何安全方面的实际好处。原因如下：

a) 首先，您在多大程度上会改变对文档可信度的看法？如果您启用了一次内容，则下一次您几乎肯定会再次启用它，因为您需要文档正常运行。

b) 其次，如果有恶意创建的宏或其他类型的内容，则您的计算机很可能在您第一次启用宏时便已受到损害，因此下次在针对同一文件发出提示时并不会额外增加安全方面的好处。

因此，这启发我们为用户提供更好的安全体验，我们称之为“受信任的文档”功能。在 Office 14 中，我们现在能够记住您启用了哪些活动内容，并且在您下次打开同一文档时不再提示您。

那么，什么是“受信任的文档”功能？通过“受信任的文档”功能，只需单击一次即可始终启用文档中的活动内容（例如宏、ActiveX 控件等）。我们会记住您对文件的信任决定，并且在您下次打开该文件时不再向您显示安全提示。

它更加真实地反映了人们的工作方式。如果我创建了一个其中包含宏的文档，则我不希望在下次打开它时被提示是否启用宏。或者，如果我从具有数据透视表的同事那里获得了一个包含每日报告的文档，则我不希望在每次需要更新的数据时都启用与受信任服务器的数据连接。另外，我可能从多个文件夹（SharePoint、网络共享、桌面、电子邮件中收到的附件）打开文档。我不一定希望每次打开它们时都将它们放入受信任的文件夹中。“受信任的文档”功能可帮助实现上述所有愿望。它会记住您第一次启用的内容，并且在该文档的信任记录发生变化之前，不会再向您发出有关该内容的安全通知。

使用“受信任的文档”功能时，系统将按每个文件记录信任情况。信任记录会添加到您的本地注册表的“当前用户 (Current User)”部分，并且它包含文件的完整路径以及其他数据（如文档的创建时间）。请注意，由于“信任记录”存储在特定计算机上，因此如果您在另一台计算机上打开该文件，则会再次提示您。另外，由于信任记录不仅仅包括文件的路径，因此它可以抵御社会工程攻击，例如将现有的受信任文档替换为同名的恶意文档。

受保护的视图有助于在您的计算机上可能受信任的文档与从 Internet、附件等位置打开的新传入的不可信文档之间建立一个强大的安全屏障。例如，包含宏的附件会首先在受保护的视图中打开。如果您信任该文件并退出了受保护的视图，则我们不会自动启用宏，而将显示另一个消息栏来启用宏。通过在退出受保护的视图时禁止宏自动运行，我们可以在用户可能只打算通过评论答复文档而不打算运行宏的情况下，避免计算机面临其他风险。现在，如果您要明确保存附件并且还启用宏，我们将使它成为受信任的文档，在您下次打开该文档时，它不会在受保护的视图中打开，并且将启用该文档的活动内容。

在 Office 2010 中，当文档中包含宏、数据连接、ActiveX 控件或其他类型的活动内容时，您仍然会看到消息栏。下面是在禁用了多种类型的活动内容（例如宏和 ActiveX 控件）时出现的消息栏。

有两种方法可使文档成为受信任的文档。如果您单击消息栏上的“启用内容”(Enable Content)，则会将该文档自动添加到注册表中的受信任文档列表中。此外，您还可以单击消息栏来获取详细信息；它会使您转至 Backstage 视图。在 Backstage 视图中，您可以单击“启用内容”(Enable Content) 按钮，这会显示两个选项。

a) 您可以启用所有内容并使它成为受信任的文档。这会启用文档中的宏和 ActiveX 控件，并将该文档添加到注册表中的受信任文档列表中。使用此选项，您只需单击一下即可启用所有内容并使它成为受信任的文档。下次打开该文档时，不会再向您显示安全警告。

b) 如果您是希望进一步控制要启用/禁用的内容类型的高级用户，则可以单击“高级选项”(Advanced Options) 按钮，这会显示“安全通知”对话框，其中包含用于一次性启用内容的选项（这类似于 Office 2007）。

与受信任位置类似，我们对受信任的文档进行了安全限制和相应设置。例如，我们不允许用户信任来自不受信任的位置（例如 Internet 临时文件 (TIF) 或 TEMP）的文档。

信任网络共享上的文档比信任您本地硬盘驱动器上的文档风险大，因为有权访问网络位置的其他用户可以修改您的文件内容。因此，我们在您首次尝试信任网络位置上的文档时会向您显示安全警告。在信任中心 (Trust Center)，您可以禁止信任受信任位置上的文档，这会导致 Office 在您每次打开来自网络位置的文档时都会显示安全通知。我们还在信任中心为您提供了其他选项，例如完全禁用所有受信任的文档或清除您已信任的文档。所有这些选项都可以在应用程序的信任中心设置下找到。类似地，所有这些设置也可以由 IT 组织的管理员通过组策略进行配置（例如，管理员可以配置设置，以禁止在网络共享上创建受信任的文档，从而将使用位置限制在您的本地硬盘驱动器上）。

总之，在 Office 14 中，我们通过“受信任的文档”及其他安全功能努力达到的主要安全 UX 目标是取消不必要的提示，并只在需要时提示用户。通过减少“提示疲劳”，我们希望用户能够在遇到安全提示时做出更好、更明智的决定

最初发表时间： 2009 年 9 月 28 日（星期一），晚上 11:01，作者：OffTeam

这是一篇本地化的博客文章。请访问 https://blogs.technet.com/office2010/archive/2009/09/28/trusted-documents.aspx 以查看原文。