Планирование параметров управления функциями Internet Explorer в выпуске 2007 системы Microsoft Office
Обновлено: Февраль 2009
Назначение: Office Resource Kit
Последнее изменение раздела: 2015-03-09
Параметры управления функциями Internet Explorer позволяют устранять риски, связанные с программным использованием приложениями возможностей Internet Explorer. Это представляет большую важность, поскольку все угрозы Internet Explorer также относятся и к приложениям, использующим этот продукт.
В Выпуск 2007 системы Office поддерживается настройка 15 параметров управления функциями Internet Explorer. Дополнительные сведения об этих параметрах см. в разделе Политика и параметры безопасности в версии 2007 системы Office. Каждый параметр ограничивает определенный вид поведения или функций Internet Explorer. Чтобы включить подобные ограничения на определенный параметр, необходимо вначале "подписать" приложения. Когда приложение подписано на определенный параметр управления функциями Internet Explorer, при каждом обращении приложения к Internet Explorer реализуется соответствующее поведение, регулируемое данной настройкой. Если же приложение отказывается от определенного параметра, обращение приложения к Internet Explorer не будет регулироваться данным параметром.
Для настройки параметров управления функциями Internet Explorer необходимо выполнить следующие действия:
выявить приложения, обращающиеся к Internet Explorer;
определить необходимые параметры управления функциями Internet Explorer;
предусмотреть возможные конфликты с предыдущими версиями системы Microsoft Office.
Приложения, обращающиеся к Internet Explorer
Приложение обращается к Internet Explorer, если какой-либо вид активного контента (элементы управления ActiveX, надстройки или макросы Visual Basic for Applications (VBA)) программным образом использует функциональные возможности Internet Explorer. Например, распространенной является ситуация, при которой пользователь открывает документ Microsoft Office Word 2007 с элементом управления ActiveX, после чего этот элемент программным образом вызывает Internet Explorer для отображения HTML. В этом случае Office Word 2007 обращается к Internet Explorer.
По умолчанию Office Groove 2007, Office Outlook 2007 и Office SharePoint Designer 2007 подписаны на все 15 параметров управления Internet Explorer. Microsoft Office InfoPath 2007 также использует эти параметры, как и три компонента Office InfoPath 2007: область сведений о документе, формы рабочих процессов и стороннее размещение. В данных приложениях используются параметры управления функциями Internet Explorer, поскольку приложения либо обращаются к Internet Explorer, либо потенциально могут использовать функции Internet Explorer.
Чтобы найти другие приложения, которые обращаются или могут потенциально обратиться к Internet Explorer, воспользуйтесь следующими указаниями.
Приложения, которые позволяют пользователям запускать ненадежные элементы управления ActiveX, надстройки или макросы, могут обращаться к Internet Explorer.
Приложения, которые позволяют пользователям запускать элементы управления ActiveX, надстройки или макросы, которые отображают HTML или предоставляют функциональные возможности веб-браузера, обычно обращаются к Internet Explorer.
Приложения, настроенные для отображения HTML или предоставления функциональных возможностей веб-браузера, обычно выполняют обращение к Internet Explorer.
Приложения, которые предоставляют доступ пользователям к проектам VBA или позволяют создавать макросы VBA, могут обращаться к Internet Explorer.
Приложения, которые позволяют пользователям получать доступ к внешним документам и данным, могут обращаться к Internet Explorer.
Мы рекомендуем выбрать все приложения, которые обращаются или могут обратиться к Internet Explorer. Обязательно запишите имя приложения и соответствующего исполняемого файла в документах планирования системы безопасности. Имя исполняемого файла понадобится для настройки параметров управления функциями Internet Explorer с помощью центра развертывания Office (OCT) или групповой политики.
В таблице далее перечислены названия исполняемых файлов для приложений, выбранных для реализации параметров управления функциями Internet Explorer в Выпуск 2007 системы Office.
| Приложение | Имя исполняемого файла |
|---|---|
Microsoft Office Access 2007 |
Msaccess.exe |
Microsoft Office Excel 2007 |
Excel.exe |
Microsoft Office Groove 2007 (Подписано по умолчанию) |
Groove.exe |
Microsoft Office OneNote 2007 |
Onent.exe |
Microsoft Office Outlook 2007 (Подписано по умолчанию) |
Outlook.exe |
Microsoft Office PowerPoint 2007 |
Powerpnt.exe |
Microsoft Office Project 2007 |
Winproj.exe |
Microsoft Office Publisher 2007 |
Mspub.exe |
Microsoft Expression Web |
Exprwd.exe |
Microsoft Office Visio 2007 |
Visio.exe |
Office SharePoint Designer 2007 (Подписано по умолчанию) |
Spdesign.exe |
Office Word 2007 |
Winword.exe |
Средство просмотра Microsoft Office PowerPoint |
Pptview.exe |
Редактор скриптов (Microsoft) |
Mse7.exe |
Определение необходимых параметров управления функциями Internet Explorer
В приложениях могут реализовываться все или некоторые из 15 параметров управления функциями Internet Explorer, которые позволяют ограничить широкий диапазон различных функциональных возможностей Internet Explorer. В большинстве случаев, если приложение обращается или может обратиться к Internet Explorer, должны быть выбраны все 15 параметров управления. В этом случае при любом обращении приложения к Internet Explorer будет реализована наиболее ограничивающая модель безопасности Internet Explorer.
Рекомендуется использовать все 15 параметров управления функциями Internet Explorer, однако возможны ситуации, при которых следует отказаться от того или иного параметра. Это происходит в следующих случаях:
Ограничение определенного параметра препятствует реализации требуемого поведения приложения. Например, если известно, что приложение использует Internet Explorer для загрузки файлов без вмешательства пользователя, следует отказаться от параметра "Ограничение загрузки файлов".
Ограничение определенного параметра не требуется, поскольку возможная угроза, которую устраняет данный параметр, представляет незначительную опасность для организации. Например, если пользователь не может получить доступа к общедоступной сети (Интернет), необходимо отказаться от параметра "Блокировать всплывающие окна".
Ограничение определенного параметра приводит к ухудшению производительности (например, параметр "Сохранено через URL-адрес"). Если потери производительности значительны, следует отказаться от использования данного параметра.
Укажите в документации планирования системы безопасности те приложения, в которых необходимо реализовать все 15 параметров управления функциями Internet Explorer. Также укажите все параметры управления функциями Internet Explorer, от которых намереваетесь отказаться.
.gif "Note") Примечание: |
|---|
| Office InfoPath 2007 представляет особый случай и не может выбираться или отменяться для параметров управления отдельными функциями Internet Explorer. Можно лишь указать, какие компоненты Office InfoPath 2007 применяются или отменяются для целой группы параметров управления функциями Internet Explorer. В документах планирования системы безопасности необходимо определить все отменяемые компоненты Office InfoPath 2007. Рекомендуется сохранить параметры по умолчанию и выбрать все компоненты Office InfoPath 2007. Дополнительные сведения о параметрах Office InfoPath 2007 см. в документе Политика и параметры безопасности в версии 2007 системы Office. |
Выявление конфликтов с предыдущими версиями Office
Хотя рекомендуется выбрать все приложения, которые обращаются или могут обратиться к Internet Explorer, существуют некоторые случаи, в которых это может привести к непредсказуемым последствиям в предыдущих версиях системы Microsoft Office. Такое поведение связано со способом хранения параметров управления функциями Internet Explorer в реестре и может проявиться только при параллельной установке Выпуск 2007 системы Office и более ранних выпусков системы Microsoft Office.
Когда для приложения подписываются на параметры управления функциями Internet Explorer или отказываются от них, имя исполняемого файла приложения сохраняется в реестр и ему присваивается значение 1 (выбрано) или 0 (отменено). Например, если для приложения Office Word 2007 выбран параметр управления "Ограничение установки элементов ActiveX", запись раздела реестра под названием Winword.exe добавляется в раздел реестра FEATURE_RESTRICT_ACTIVEXINSTALL, а записи Winword.exe присваивается значение 1.
Если Internet Explorer запускается программным образом, программа определяет, используется ли приложение Internet Explorer в каких-либо процессах, динамически подключаемых библиотеках (DLL) или исполняемых файлах. Internet Explorer также проверяет в реестре, для каких процессов, библиотек DLL или исполняемых файлов подключены или отключены определенные параметры управления функциями Internet Explorer. Если Internet Explorer используется процессом, библиотекой DLL или исполняемым файлом, а в параметрах реестра указано, что для данного процесса, библиотеки или исполняемого файла включен параметр управления функциями Internet Explorer, то программа реализует ограничения для параметра управления функциями. Например, если Internet Explorer используется в Winword.exe, а значение записи Winword.exe раздела реестра FEATURE_RESTRICT_ACTIVEXINSTALL равно 1, Internet Explorer реализует более ограничивающее поведение, определяемое параметром управления "Ограничение установки элементов ActiveX".
В то же время Winword.exe является именем исполняемого файла для Office Word 2007 и Microsoft Office Word 2003. Таким образом, при параллельной установке Office Word 2007 и Office Word 2003 и включении параметров управления функциями Internet Explorer для Office Word 2007, Internet Explorer не может определить, следует ли применять параметры управления функциями Internet Explorer к приложению Office Word 2007 или Office Word 2003. Эта ситуация возникает, когда приложения используют одинаковое имя исполняемого файла для последовательных версий системы Microsoft Office. В таблице далее перечислены одинаковые имена исполняемых файлов, использующиеся в Выпуск 2007 системы Office и более ранних версиях системы Microsoft Office.
| Имя исполняемого файла | Приложения |
|---|---|
Excel.exe |
Office Excel 2007, Office Excel 2003 |
Msaccess.exe |
Office Access 2007, Office Access 2003 |
Mspub.exe |
Office Publisher 2007, Publisher 2003 |
Outlook.exe |
Office Outlook 2007, Office Outlook 2003 |
Powerpnt.exe |
Office PowerPoint 2007, Office PowerPoint 2003 |
Visio.exe |
Office Visio 2007, Office Visio 2003 |
Winproj.exe |
Office Project 2007, Office Project 2003 |
Winword.exe |
Office Word 2007, Office Word 2003 |
Чтобы выявить возможные проблемы, возникающие при параллельных установках, рекомендуется протестировать каждый параметр управления функциями Internet Explorer в более ранних версиях приложений, перечисленных в таблице выше. Параметры управления функциями Internet Explorer поддерживаются только в Выпуск 2007 системы Office и не поддерживаются в более ранних выпусках Microsoft Office; использование данных параметров может привести к неожиданному поведению таких ранних версий.
Загрузить эту книгу
Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:
Полный список доступных книг представлен в разделе Загружаемые материалы для набора ресурсов для выпуска 2007 системы Microsoft Office..
См. также
Понятия
Настройка параметров управления функциями Internet Explorer в выпуске 2007 системы Microsoft Office
Оценка параметров безопасности и конфиденциальности по умолчанию для выпуска 2007 системы Microsoft Office
Оценка угроз безопасности и конфиденциальности для выпуска 2007 системы Microsoft Office