Office 文件的受信任位置
适用于:Microsoft 365 应用版、Office LTSC 2021、Office 2019 和 Office 2016
“受信任位置”是 Office 的一项功能,其中这些文件夹中包含的文件是安全的,例如你自己创建或从可信源保存的文件。 这些文件会绕过威胁防护服务、绕过文件阻止设置,并且已启用所有活动内容。 这意味着保存在受信任位置中的文件不会在 受保护的视图 或 应用程序防护中打开。
活动内容 可以包括未签名的加载项、VBA 宏、外部数据连接等。 在将文件保存到受信任位置之前,请确保信任该文件的原始源。 这一点很重要,因为已启用所有活动内容,并且用户不会收到有关潜在安全风险的通知。 下图显示了用于打开 Office 文件的信任工作流。
如步骤 2 所示,受信任位置中的文件会绕过所有其他安全和策略检查。 因此,对于特殊情况,应很少使用受信任位置,并且仅适用于选定用户。 在 Microsoft 365 企业应用版 的安全基线 中,指南是禁用基于网络的受信任位置。 然后,如果需要,请通过策略集中控制受信任位置,并且不允许用户自行设置受信任位置。
受信任位置的规划步骤
受信任位置启用文件内的所有内容,包括加载项、ActiveX 控件、超链接、数据源和媒体的链接以及 VBA 宏。 从“受信任位置”打开的文件会跳过文件验证检查、文件阻止检查,并且不会在受保护的视图或应用程序防护中打开。 组织中可以允许对“受信任位置”的不同信任级别:
- 允许最终用户在其设备或网络上自行创建受信任位置
- 使用策略阻止用户创建受信任位置
- 使用策略集中管理受信任位置
- 禁用受信任位置
请务必选择最适合组织及其安全风险容忍度的方案。
注意
安装 Office 时,默认情况下会创建一些受信任的位置。 有关这些受信任位置的列表,请参阅 Office 应用的默认受信任位置。
若要实现受信任位置,必须确定:
- 要为其配置受信任位置的 Office 应用。
- 要指定为受信任位置的文件夹。
- 要应用于受信任位置的文件夹共享和文件夹安全设置。
- 要应用于受信任位置的限制。
确定要为其配置受信任位置的 Office 应用
可以通过转到“文件>选项>信任中心信任中心>设置...”来查看受信任位置的列表。>以下 Office 应用中的受信任位置:
- Access
- Excel
- PowerPoint
- Visio
- Word
策略可用于管理其中每个 Office 应用的受信任位置。 有关详细信息,请参阅 使用策略管理受信任位置。
注意
策略也可用于 Project,但 Project 在信任中心没有 “受信任位置” 设置。
确定要指定为受信任位置的文件夹
以下是确定将哪些文件夹用作受信任位置时需要注意的一些注意事项:
除非策略阻止,否则用户可以在信任中心为其 Office 应用创建和修改受信任位置。 有关详细信息,请参阅 添加、删除或更改受信任位置。
默认情况下,仅允许用户设备的本地受信任位置。 网络位置也可以设置为受信任位置,但不建议这样做。
建议用户不要将根文件夹指定为“受信任位置”。 例如,C: 驱动器或“我的文档”文件夹。 相反,请在这些文件夹中创建一个子文件夹,并仅将该文件夹指定为“受信任位置”。
一个或多个应用程序可以使用同一受信任位置。
可以使用 受信任位置 #1 策略为用户指定受信任位置。
确定受信任位置文件夹的文件夹共享和文件夹安全设置
必须保护指定为“受信任位置”的所有文件夹,以防止恶意用户在“受信任位置”中添加或修改文件。
如果文件夹已共享,请配置共享权限,这样,只有授权用户能够访问共享文件夹。
确保使用最小特权原则并为用户授予合适的权限。 向不需要修改受信任位置中的文件的用户授予“读取”权限。 向必须编辑文件的用户授予“完全控制”权限。
使用策略管理受信任位置
可以使用多种策略来管理组织中的受信任位置。
可以使用云策略、Microsoft Intune 管理中心或组策略管理控制台配置策略设置并将其部署到组织中的用户。 有关详细信息,请参阅 可用于管理策略的工具。
注意
对于 Office 2016 的批量许可版本(例如 Office Professional Plus 2016),可以使用 Office 自定义工具 (OCT) 配置受信任位置。 有关详细信息,请参阅 Office 自定义工具 (OCT) 2016 帮助:Office 安全设置。
每个 Office 应用程序都有单独的受信任位置策略。 下表显示了可以在组策略管理控制台的用户配置\策略\管理模板下找到每个策略的位置。
应用程序 | 策略位置 |
---|---|
Access | Microsoft Access 2016\Application Settings\Security\Trust Center\Trusted Locations |
Excel | Microsoft Excel 2016\Excel Options\Security\Trust Center\Trusted Locations |
PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center\Trusted Locations |
Project | Microsoft Project 2016\Project Options\Security\Trust Center |
Visio | Microsoft Visio 2016\Visio 选项\安全\信任中心 |
Word | Microsoft Word 2016\Word Options\Security\Trust Center\Trusted Locations |
配置 “允许混合使用策略和用户位置” 策略,以确定用户和管理员还是仅管理员可以定义受信任位置。
“受信任位置 #1”策略
可以使用此策略为组织中的用户指定受信任位置的路径。 此策略有 20 个实例。 例如,受信任位置 #1、受信任位置 #2、受信任位置 #3 等。
默认情况下,这些策略为空白。 若要添加受信任位置,请启用策略并指定受信任位置的路径。 通过设置权限,确保指定的位置是安全的,以便只有适当的用户可以将 Office 文件添加到该位置。
使用此策略指定的受信任位置显示在“文件>选项>信任中心信任中心>设置”下的“策略位置”部分下。>受信任位置。
注意
- 指定受信任位置时,可以使用环境变量。
- 这 20 个策略也位于用户配置\策略\管理模板\Microsoft Office 2016\安全设置\信任中心下。 如果使用此版本的策略,该策略将应用于支持受信任位置的所有应用。
“允许网络上的受信任位置”策略
此策略控制是否可以使用网络上的受信任位置。
默认情况下,禁用网络位置上的受信任位置。 但用户可以通过转到“文件>选项>信任中心信任中心>设置...”来更改此设置。>“受信任位置”,并选中“在我的网络上允许受信任位置 (不建议) 复选框。
你为策略选择的状态决定了你提供的保护级别。 下表显示了每个状态下获得的保护级别。
图标 | 保护级别 | 策略状态 | 说明 |
---|---|---|---|
受保护[推荐] | Disabled | 阻止网络位置上的受信任位置,包括管理员 (配置的任何位置,例如,使用“受信任位置 #1”策略) 。
忽略用户设置为信任中心中受信任位置的任何网络位置,并阻止用户添加更多位置。 |
|
不受保护 | 已启用 | 允许用户和策略将网络位置设置为“受信任位置”。 | |
受部分保护 | 未配置 | 默认情况下,系统会阻止用户将网络位置添加为“受信任位置”,但可以通过选中“信任中心”中的“ 允许网络上的受信任位置 (不建议) ”复选框来启用此设置 |
建议将此策略设置为 “已禁用” ,作为 Microsoft 365 企业应用版 的安全基线 的一部分。 应为大多数用户禁用此策略,并且仅根据需要对某些用户进行例外。
可以将 Web 文件夹指定为“受信任位置”。 但是,只有支持 Web 分布式创作和版本控制的 Web 文件夹 (WebDAV) 或 FrontPage 服务器扩展远程过程调用 (FPRPC) 协议才被识别为受信任位置。
“禁用所有受信任位置”策略
此策略可用于禁用所有受信任位置。
默认情况下,“受信任位置”可用,用户可以将任何位置指定为“受信任位置”,并且设备可以具有用户创建和管理员配置的“受信任位置”的任意组合。
你为策略选择的状态决定了你提供的保护级别。 下表显示了每个状态下获得的保护级别。
图标 | 保护级别 | 策略状态 | 说明 |
---|---|---|---|
Protected | 已启用 | 阻止所有受信任位置。 | |
不受保护 | Disabled | 用户或设备可以具有由用户创建或由管理员 (配置(例如,策略) )的受信任位置的组合。 | |
不受保护 | 未配置 | 此设置是 Office 默认设置。 提供与 Disabled 相同的行为。 |
具有高度限制性安全环境的组织通常将此策略设置为 “已启用”。
“允许混合使用策略和用户位置”策略
此策略控制是否可以由用户和管理员 ((例如,通过策略) )定义受信任位置,或者是否只能由策略定义受信任位置。
可以在组策略管理控制台中的“用户配置\策略\管理模板\Microsoft Office 2016\安全设置\信任中心”下找到此策略。
你为策略选择的状态决定了你提供的保护级别。 下表显示了每个状态下获得的保护级别。
图标 | 保护级别 | 策略状态 | 说明 |
---|---|---|---|
受保护[推荐] | Disabled | 仅允许策略定义的受信任位置。 | |
不受保护 | 已启用 | 用户或设备可以具有由用户创建或由管理员 (配置(例如,策略) )的受信任位置的组合。 | |
不受保护 | 未配置 | 此设置是 Office 默认设置。 提供与 Enabled 相同的行为。 |
建议将此策略设置为 “已禁用” ,作为 Microsoft 365 企业应用版 的安全基线 的一部分。 应为大多数用户禁用此策略,并且仅根据需要对某些用户进行例外。
Office 应用的默认受信任位置
在 Office 安装中,多个文件夹被指定为默认的受信任位置。 以下应用程序的表中列出了默认的受信任位置。
对于 Project 或 Visio,没有默认的受信任位置。
可以通过转到“文件>选项>信任中心信任中心>设置...”来查看这些文件夹。>受信任位置。
用于访问的默认受信任位置
下表列出了访问的默认受信任位置以及子文件夹是否也受信任。
默认受信任位置 | 文件夹说明 | 子文件夹受信任? |
---|---|---|
Program Files\Microsoft Office\Root\Office16\ACCWIZ | 向导数据库 | 否(不允许) |
Excel 的默认受信任位置
下表列出了哪些文件夹是 Excel 的默认受信任位置,以及子文件夹是否也受信任。
默认受信任位置 | 文件夹说明 | 子文件夹受信任? |
---|---|---|
Program Files\Microsoft Office\Root\Templates | 应用程序模板 | 是(允许) |
Users\user_name\Appdata\Roaming\Microsoft\Templates | 用户模板 | 否(不允许) |
Program Files\Microsoft Office\Root\Office16\XLSTART | Excel 启动 | 是(允许) |
Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART | 用户启动 | 否(不允许) |
Program Files\Microsoft Office\Root\Office16\STARTUP | Office 启动 | 是(允许) |
Program Files\Microsoft Office\Root\Office16\Library | 加载项 | 是(允许) |
PowerPoint 的默认受信任位置
下表列出了 PowerPoint 的默认受信任位置以及子文件夹是否也受信任。
默认受信任位置 | 文件夹说明 | 子文件夹受信任? |
---|---|---|
Program Files\Microsoft Office\Root\Templates | 应用程序模板 | 是(允许) |
Users\user_name\Appdata\Roaming\Microsoft\Templates | 用户模板 | 是(允许) |
Users\user_name\Appdata\Roaming\Microsoft\Addins | 加载项 | 否(不允许) |
Program Files\Microsoft Office\Root\Document 主题 16 | 应用程序主题 | 是(允许) |
Word 的默认受信任位置
下表列出了 Word 的默认受信任位置以及子文件夹是否也受信任。
默认受信任位置 | 文件夹说明 | 子文件夹受信任? |
---|---|---|
Program Files\Microsoft Office\Root\Templates | 应用程序模板 | 是(允许) |
Users\user_name\Appdata\Roaming\Microsoft\Templates | 用户模板 | 否(不允许) |
Users\user_name\Appdata\Roaming\Microsoft\Word\Startup | 用户启动 | 否(不允许) |