Статья
11/01/2016

Планирование параметров надежных расположений и надежных издателей для выпуска 2007 системы Microsoft Office

Обновлено: Декабрь 2009

Назначение: Office Resource Kit

Последнее изменение раздела: 2015-03-09

Содержание:

Планирование надежных расположений
Планирование надежных издателей

Функция Надежные расположения приложения Выпуск 2007 системы Microsoft Office позволяет указать на жестких дисках компьютеров пользователей или на общем сетевом ресурсе папки, являющиеся надежными источниками файлов. Если папка помечена как надежный источник файлов, считается, что любой файл, сохраненный в этой папке, является надежным файлом. Когда открывается надежный файл, все содержимое этого файла включено и активно, и пользователи не оповещаются о потенциальных рисках, которые могут быть связаны с данным файлом, например, неподписанные макросы, элементы управления ActiveX или ссылки на контент из Интернета.

Кроме надежных расположений можно использовать список надежных издателей, которым вы доверяете. Издателем является любой разработчик, компания, разрабатывающая программное обеспечение, или организация, разрабатывающая и распространяющая элементы управления ActiveX, надстройки или макросы. Надежным издателем является любой издатель, внесенный в список надежных издателей. Когда открывается файл, содержимое которого создано надежным издателем, все это содержимое включено и активно, и пользователи не оповещаются о потенциальных рисках, которые могут быть связаны с данным файлом.

Чтобы планировать надежные расположения и надежных издателей, используйте рекомендации и инструкции, приведенные в следующих разделах.

Планирование надежных расположений

В пакете Выпуск 2007 системы Office предусматривается несколько параметров, позволяющих управлять поведением надежных расположений. Настраивая эти параметры, можно выполнить следующие действия.

Disable all trusted locations (Отключить все надежные расположения).
Определить надежные расположения глобально или по отдельным приложениям.
Разрешить существование надежных расположений на удаленных общих ресурсах.
Запретить пользователям создание надежных расположений.

Подробная информация обо всех надежных расположениях приведена в главе Политика и параметры безопасности в версии 2007 системы Office.

Хотя надежные расположения можно настроить для широкого спектра сценариев, наиболее общими сценариями подобного рода являются следующие.

Отключение функции надежных расположений для того, чтобы не допустить создания надежных расположений пользователями и исключить распознавание надежных расположений приложениями.
Внедрение функции надежных расположений с настраиваемыми надежными расположениями.

Отключение надежных расположений

Чтобы отключить надежные расположения, настройте параметры надежных расположений в соответствии со следующей таблицей.

Имя параметра	Рекомендуемая конфигурация	Описание
Отключить все надежные расположения	Выберите вариант: отключено	По умолчанию надежные расположения включены. Выбор этого параметра включает все надежные расположения, в том числе надежные расположения, которые были: созданы по умолчанию во время установки; созданы пользователями с помощью графического пользовательского интерфейса; развернуты на основании групповой политики. Включение данного параметра также запрещает пользователям настраивать параметры надежных расположений в Центре управления безопасностью. Это не глобальный параметр; его необходимо выбирать для каждого из приложений Microsoft Office Access 2007, Microsoft Office Excel 2007, Microsoft Office PowerPoint 2007, Microsoft Office Visio 2007 и Microsoft Office Word 2007.

Отключить все надежные расположения

Выберите вариант: отключено

По умолчанию надежные расположения включены. Выбор этого параметра включает все надежные расположения, в том числе надежные расположения, которые были:

созданы по умолчанию во время установки;
созданы пользователями с помощью графического пользовательского интерфейса;
развернуты на основании групповой политики.

Включение данного параметра также запрещает пользователям настраивать параметры надежных расположений в Центре управления безопасностью. Это не глобальный параметр; его необходимо выбирать для каждого из приложений Microsoft Office Access 2007, Microsoft Office Excel 2007, Microsoft Office PowerPoint 2007, Microsoft Office Visio 2007 и Microsoft Office Word 2007.

Если надежные расположения отключены, необходимо убедиться в выполнении следующих условий.

Пользователи оповещены о том, что они не смогут пользоваться функцией надежных расположений. Если пользователи открывали файлы из надежных расположений и надежные расположения отключены, на панели сообщений могут начать появляться предупреждения о запуске активного контента, такого как элементы управления ActiveX и макросы Visual Basic для приложений.
Параметры записаны в документах планирования безопасности и в документах операций по безопасности.

Реализация надежных расположений

Для реализации надежных расположений необходимо определить следующее.

Для каких приложений должны быть настроены надежные расположения.
Какие папки предполагается использовать для надежных расположений.
Какие параметры предоставления доступа к папкам и их безопасности предполагается применить к надежным расположениям.
Какие ограничения предполагается применить к надежным расположениям.

Определение приложений, для которых планируется применить надежные расположения

Можно настроить надежные расположения для Office Access 2007, Office Excel 2007, Office PowerPoint 2007, Office Visio 2007 и Office Word 2007. Принимая решение о том, для каких приложений будут настраиваться надежные расположения, помните о следующем.

Надежные расположения влияют на все активное содержимое в файле, включая элементы управления ActiveX, гиперссылки, ссылки на источники данных и мультимедиа и макросы VBA.
В каждом приложении имеются одни и те же параметры для настройки надежных расположений. Это означает, что для каждого приложения можно настаивать надежные расположения независимо.
Можно отключить надежные расположения для одного или нескольких приложений и реализовать их для других приложений.

Определение папок, которые предполагается использовать для надежных расположений

Если папки, предназначенные для надежных расположений по умолчанию, не подходят для потребностей организации, можно создать свои собственные папки и определить их в качестве надежных расположений. Дополнительные сведения о надежных расположениях по умолчанию см. в разделе Оценка параметров безопасности и конфиденциальности по умолчанию для выпуска 2007 системы Microsoft Office.

Принимая решение о том, какие папки будут определяться как надежные расположения, помните о следующем.

Надежные расположения можно определять для каждого приложения в отдельности или глобально.
Одно или несколько приложений могут иметь общее надежное расположение.
Чтобы исключить для злоумышленников возможность добавления файлов в надежные расположения или изменения файлов, сохраняемых в надежном расположении, необходимо обеспечить безопасность любой папки, установленной в качестве надежного расположения.
Не рекомендуется определять в качестве надежных расположений сетевые общие папки. По умолчанию допустимыми в качестве надежных расположений являются только папки, размещенные на жестких дисках пользователей. Чтобы разрешить использование сетевых общих папок как надежных расположений, необходимо включить параметр Allow Trusted Locations not on the computer (Разрешить надежные расположения, находящиеся не на компьютере).
Не рекомендуется определять целиком папки "Документы" или "Мои документы" как надежные расположения. Лучше создать внутри этих папок вложенную папку и определить только эту папку как надежное расположение.

Кроме того, необходимо использовать инструкции, приведенные в следующих разделах, если предполагается:

использовать переменные среды для определения надежных расположений;
определять веб-папки (т.е. пути http://) в качестве надежных расположений.

Использование переменных среды для определения надежных расположений

Можно использовать переменные среды для определения надежных расположений, но для правильной работы переменных среды необходимо изменить тип значения, используемый для хранения надежных расположений в реестре. Если для определения надежного расположения используется переменная среды и при этом не производится необходимое изменение реестра, надежное расположение появляется в "Центре управления безопасностью", но оно недоступно и появляется как относительный путь, содержащий переменные среды. После изменения типа значения в реестре надежное расположение появится в "Центре управления безопасностью" как абсолютный путь и будет доступно.

Важно:
Нельзя использовать переменные среды, если надежные расположения определяются с помощью групповой политики. Переменные среды можно использовать для определения надежных расположений только с помощью центра развертывания Office.

Нельзя использовать переменные среды, если надежные расположения определяются с помощью групповой политики. Переменные среды можно использовать для определения надежных расположений только с помощью центра развертывания Office.

Чтобы использовать переменные среды для определения надежных расположений, выполните следующее.

Используйте редактор реестра для указания надежного расположения, представленного переменной среды.

Надежные расположения, настраиваемые с помощью центра развертывания Office, хранятся в следующем разделе:

HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/имя_приложения/Security/Trusted Locations

Где имя_приложения может быть Access, Excel, PowerPoint, Visio или Word.

Надежные расположения хранятся в записях реестра под именем Path, и они хранятся как типы значений "Строковый параметр" (REG_SZ). Убедитесь, что найдены все записи Path, в которых используются переменные среды для определения надежного расположения.

Измените тип значения Path.

Приложения в пакете Выпуск 2007 системы Office не могут распознать переменные среды, хранящиеся как типы значений "Строковый параметр" (REG_SZ). Чтобы приложения могли распознать переменные среды, необходимо изменить тип значения записи Path на "Расширяемый строковый параметр" (REG_EXPAND_SZ). Для этого выполните следующие операции.

Примечание:
Неправильные действия при изменении реестра могут серьезно повредить систему. Перед изменением реестра создайте резервную копию всех важных данных, имеющихся на компьютере.

Запишите или скопируйте значение записи Path. Это должен быть относительный путь, содержащий одну или несколько переменных среды.
Удалите запись Path.
Создайте новую записьPathтипа "Расширяемый строковый параметр" (REG_EXPAND_SZ).
Измените новую запись Path так, чтобы она имела такое же значение, как то, которое было записано или скопировано на первом шаге.

Проделайте это изменение для каждой записи Path, в которой используются переменные среды для определения надежного расположения.

Определение веб-папок как надежных расположений

Можно определить веб-папки (т.е. пути http://) как надежные расположения, однако распознаваться как надежные расположения будут только те веб-папки, которые поддерживают протоколы WebDAV или FPRPC. Если нет уверенности в том, поддерживает ли веб-папка протоколы WebDAV или FPRPC, воспользуйтесь следующими инструкциями.

Если приложение открывается браузером Internet Explorer, проверьте список последних использованных файлов. Если из этого списка следует, что указанные файлы размещены на удаленном сервере, а не в папке временных файлов Интернета, это означает, что, вероятно, веб-папка поддерживает протокол WebDAV в той или иной форме. Например, если щелкнуть документ во время просмотра в Internet Explorer и документ открывается в Office Word 2007, список последних использованных файлов показывает, что документ расположен на удаленном сервере, а не в папке временных файлов Интернета.
Попытайтесь использовать диалоговое окно Открыть, чтобы перейти в веб-папку. Если эта папка поддерживает протокол WebDAV, такой переход произойдет сразу или программа попросит учетные данные. Если же веб-папка не поддерживает WebDAV, переход прекращается и диалоговое окно закрывается.

Примечание:
Сайты, создаваемые с помощью Windows SharePoint Services 3,0 и Microsoft Office SharePoint Server 2007, могут быть обозначены как надежные расположения.

Определение параметров общего доступа к папкам и их безопасности

Все папки, определяемые как надежные расположения, должны быть общими и защищенными. Используйте следующие инструкции, чтобы определить, какие параметры общего доступа и безопасности необходимо применить для каждого из надежных расположений.

Предоставьте общий доступ к каждой папке, объявленной надежным расположением, чтобы пользователи имели доступ к файлам, сохраняемым в надежном расположении.
Настраивайте разрешения на совместное использование таким образом, чтобы доступ к общей папке имели только авторизованные пользователи. Старайтесь придерживаться принципа минимальных привилегий и предоставлять разрешения строго в объеме, необходимом пользователю. Это означает, в частности, что разрешение "Чтение" следует предоставлять пользователям, у которых нет необходимости изменять надежные файлы, а разрешение "Полный доступ" — пользователям, у которых есть такая необходимость.
Применяйте разрешения системы безопасности папок таким образом, чтобы читать или изменять файлы из надежных расположений могли только авторизованные пользователи. Старайтесь придерживаться принципа минимальных привилегий и предоставлять разрешения строго в объеме, необходимом пользователю. Это означает, в частности, что разрешения "Полный доступ" следует предоставлять только пользователям, которые должны изменять файлы, а пользователям, которым требуется только читать файлы, будет достаточно более ограниченных прав.

Определение ограничений для надежных расположений

Имеется несколько параметров, которые можно использовать для ограничения доступа к надежным расположениям или контроля за поведением при их использовании. В следующей таблице приведены рекомендации по настройке этих параметров.

Имя параметра	Рекомендуемая конфигурация	Описание
Allow mix of policy and user locations (Разрешить расположения, создаваемые пользователями и определяемые политиками)	Выберите вариант: отключено	По умолчанию в компьютере могут одновременно существовать надежные расположения, созданные пользователем, созданные с помощью центра развертывания Office и созданные на основе групповой политики. Выбор этого варианта отключает все надежные расположения, не созданные на основе групповой политики и запрещает пользователям создавать новые надежные расположения с помощью графического пользовательского интерфейса в Центре управления безопасностью. Это глобальный параметр, действующий во всех приложениях, для которых настраиваются надежные расположения.
Allow Trusted Locations not on the computer (Разрешить надежные расположения, находящиеся не на компьютере)	Выберите параметр: "Отключено"	По умолчанию надежные расположения, являющиеся общими папками, отключены, но пользователи могут установить флажок Разрешить надежные расположения в моей сети в графическом пользовательском интерфейсе Центра управления безопасностью. Выбор этого варианта отключает надежные расположения, являющиеся общими папками, и лишает пользователей возможности установки флажка Разрешить надежные расположения в моей сети в графическом пользовательском интерфейсе Центра управления безопасностью. Если установлено значение Отключено и пользователь пытается объявить общую папку надежным расположением, появляется предупреждение, информирующее пользователя о том, что текущие параметры безопасности не допускают создания надежных расположений с удаленными или сетевыми путями. Если администратор назначает общую папку надежным расположением с помощью групповой политики или центра развертывания Office и для этого параметра установлено значение Отключено, надежное расположение отключается и не распознается никаким приложением. Это не глобальный параметр, его необходимо настраивать отдельно для каждого приложения: Office Access 2007, Office Excel 2007, Office PowerPoint 2007, Office Visio 2007 и Office Word 2007.

Примечание:
Можно также использовать параметр Remove all trusted locations written by the OCT during installation (Удалить все надежные расположения, записанные центром развертывания Office при установке), чтобы удалить все надежные расположения, которые были созданы путем настройки центра развертывания Office. Дополнительные сведения об этом параметре см. в статье Политика и параметры безопасности в версии 2007 системы Office.

Можно также использовать параметр Remove all trusted locations written by the OCT during installation (Удалить все надежные расположения, записанные центром развертывания Office при установке), чтобы удалить все надежные расположения, которые были созданы путем настройки центра развертывания Office. Дополнительные сведения об этом параметре см. в статье Политика и параметры безопасности в версии 2007 системы Office.

Планирование надежных издателей

В пакете Выпуск 2007 системы Office сертификаты для надежных издателей сохраняются в хранилище надежных издателей браузера Internet Explorer. В предыдущих версиях Office информация о сертификатах надежных издателей (а именно, отпечатки сертификатов) хранились в специальном хранилище надежных издателей Office. В пакете Выпуск 2007 системы Office информация о сертификатах надежных издателей по-прежнему считывается из хранилища надежных издателей Office, но в это хранилище информация не записывается. Поэтому, если список надежных издателей был создан в предыдущей версии Office и произведено обновление до версии Выпуск 2007 системы Office, этот список надежных издателей будет по-прежнему распознаваться. Однако любые новые сертификаты надежных издателей, добавляемые к этому списку, будут храниться в хранилище надежных издателей браузера Internet Explorer. Такое поведение относится ко всем приложениям, использующим список надежных издателей, включая:

Office Access 2007
Office Excel 2007
Microsoft Office InfoPath 2007
Microsoft Office Outlook 2007
Office PowerPoint 2007
Microsoft Office Publisher 2007
Office Visio 2007
Office Word 2007

Для добавления сертификатов к списку надежных издателей нельзя использовать административные шаблоны Office 2007, однако можно использовать центр развертывания Office. Для этого необходимо наличие цифрового сертификата (файлы с расширением CER) от надежного издателя. Если невозможно получить сертификат непосредственно от издателя, можно экспортировать его из файла, подписанного издателем, например из файла динамически подключаемой библиотеки (DLL) или исполняемого (EXE) файла. В следующей процедуре показано, как это сделать.

Экспорт сертификата из DLL-файла

Щелкните правой кнопкой DLL-файл, подписанного издателем, и выберите Свойства.
Перейдите на вкладку Цифровые подписи.
В Списке подписей выберите сертификат, затем щелкните Состав.
В диалоговом окне Состав цифровой подписи щелкните Показать сертификат.
Перейдите на вкладку Состав и выберите Копировать в файл.
На начальной странице мастера по работе с сертификатами нажмите Далее.
На странице "Формат экспортируемого файла" выберите Файлы в DER-кодировке X.509 (CER) и нажмите Далее.
На странице "Имя экспортируемого файла" введите путь и имя CER-файла, нажмите Далее, затем нажмите Готово.

Эту процедуру также можно использовать для определения необходимых сертификатов и их последующего создания в Microsoft Office Word 2007.

Определение необходимых сертификатов

Не тестовом компьютере или на компьютере клиента со стандартной для организации конфигурацией (включающей все используемые пользователями надстройки) выберите параметр Требовать подпись надежных издателей для надстроек приложений:
1. Последовательно щелкните кнопку Microsoft Office, Параметры Word, Центр управления безопасностью, Параметры центра управления безопасностью, Надстройки, Требовать подпись надежных издателей для надстроек приложений, ОК.
Выйдите из Word и перезапустите его. Если надстройки установлены, то в строке предупреждений системы безопасности отобразится следующее сообщение: Надстройки приложения отключены.
Временное отключение смарт-тегов:
1. Последовательно щелкните кнопку Microsoft Office, Параметры Word, ОК. В строке предупреждений системы безопасности отобразится следующее сообщение: Активное содержимое было отключено.
  
  Примечание:
  
  Смарт-теги будут снова включены после перезапуска Word.
2. В строке предупреждений системы безопасности щелкните Параметры.

Примечание:
Смарт-теги будут снова включены после перезапуска Word.

В окне Оповещение системы безопасности — несколько проблем установите все сертификаты в список надежных издателей, выполнив следующие действия для каждой надстройки, снабженной допустимой цифровой подписью:

Примечание:
Если смарт-теги не были отключены на предыдущем этапе, то отобразится другое окно, в котором установить сертификаты невозможно.

Щелкните Показать состав подписи.
В окне Состав цифровой подписи щелкните Показать сертификат.
В окне Сертификат щелкните Установить сертификат.
В мастере импорта сертификатов последовательно щелкните Далее, Поместить все сертификаты в следующее хранилище, Обзор, Надежные издатели, ОК, Далее, Готово.

Подготовка файлов сертификатов к распространению:
1. В окне Надежные издатели (последовательно щелкните кнопку Microsoft Office, Параметры Word, Центр управления безопасностью, Параметры центра управления безопасностью, Надежные издатели), просмотрите установленные сертификаты.
2. Дважды щелкните каждый сертификат и выполните следующие действия:
  1. В окне Сертификат на вкладке Состав щелкните Копировать в файл.
  2. В мастере экспорта сертификатов щелкните Далее и еще раз Далее, чтобы принять формат фала по умолчанию, введите имя файла, выберите место для сохранения файла и щелкните Готово.

Загрузить эту книгу

Для упрощения чтения и печати эта тема включена в следующую загружаемую книгу:

Безопасность для выпуска 2007 системы Microsoft Office (на английском языке)

Полный список доступных книг представлен в разделе Загружаемое содержимое для набора ресурсов для выпуска 2007 системы Microsoft Office.

См. также

Понятия

Оценка параметров безопасности и конфиденциальности по умолчанию для выпуска 2007 системы Microsoft Office
Настройка параметров надежных расположений и доверенных издателей для выпуска 2007 системы Microsoft Office