为 2007 Office system 规划受信任位置和受信任发布者设置
更新时间: 2009年12月
应用到: Office Resource Kit
上一次修改主题: 2015-03-09
本文内容:
规划受信任位置
规划受信任发布者
使用 2007 Microsoft Office system 的受信任位置 功能可以指定用户计算机硬盘上或网络共享上的文件夹作为受信任文件源。将文件夹指定为受信任文件源时,该文件夹中保存的任何文件都会被认为是受信任文件。打开受信任文件时,文件中所有内容都将被启用并处于活动状态,且不会向用户通知文件中可能包含的任何潜在风险,如未签名宏、ActiveX 控件或 Internet 上内容的链接。
除了受信任位置之外,还可以使用“受信任发布者”列表指定您所信任的内容发布者。发布者 是创建并分发 ActiveX 控件、加载项或宏的任意开发人员、软件公司或组织。受信任发布者 是已被添加到“受信任发布者”列表中的任何发布者。打开文件时如果文件包含由受信任发布者创建的内容,则所有内容都将被启用并处于活动状态,且不会向用户通知文件中可能包含的任何潜在风险。
若要规划受信任位置和受信任发布者,请使用以下各节中的最佳做法和建议原则。
规划受信任位置
2007 Office system 针对如何控制受信任位置的行为提供了几种设置。通过配置这些设置,可以:
禁用所有受信任位置。
全局指定或按应用程序指定受信任位置。
允许受信任位置存在于远程共享上。
禁止用户创建受信任位置。
有关每个受信任位置设置的详细信息,请参阅 2007 Office system 中的安全策略和设置。
虽然可以配置受信任位置以适应多种应用场景,但受信任位置的最常见应用场景包括:
禁用受信任位置功能,以禁止用户创建受信任位置并禁止应用程序识别受信任位置。
以自定义受信任位置实现受信任位置功能。
禁用受信任位置
若要禁用受信任位置,请配置下表中所推荐的受信任位置设置。
设置名称 | 推荐的配置 | 说明 |
---|---|---|
禁用所有受信任位置 |
选择此选项:禁用 |
默认情况下,受信任位置处于启用状态。选择此选项可以启用所有受信任位置,包括如下受信任位置:
启用此选项可以禁止用户配置信任中心中的受信任位置设置。该设置不是全局设置;必须按应用程序分别为 Microsoft Office Access 2007、Microsoft Office Excel 2007、Microsoft Office PowerPoint 2007、Microsoft Office Visio 2007 和 Microsoft Office Word 2007 选择此选项。 |
如果禁用受信任位置,请确保:
通知用户其不能使用受信任位置功能。如果用户已从受信任位置打开文件,而您禁用受信任位置,则用户可能会在消息栏中开始看到警告,并且可能要求他们对消息栏警告做出响应以启用活动内容,如 ActiveX 控件和 Visual Basic for Applications (VBA) 宏。
在安全规划文档和安全操作文档中记录设置。
实现受信任位置
若要实现受信任位置,您必须确定:
要为哪些应用程序配置受信任位置。
要将哪些文件夹用于受信任位置。
要向您的受信任位置应用何种文件夹共享和文件夹安全设置。
要向受信任位置施加哪些限制。
确定要为哪些应用程序配置受信任位置
可以为 Office Access 2007、Office Excel 2007、Office PowerPoint 2007、Office Visio 2007 和 Office Word 2007 配置受信任位置。确定要为哪些应用程序配置受信任位置时,请牢记以下几点:
受信任位置影响文件中的所有活动内容,包括 ActiveX 控件、超链接、数据源和媒体的链接以及 VBA 宏。
每个应用程序为配置受信任位置都提供相同的设置。这意味着可以独立地为每个应用程序自定义受信任位置。
可以对一个或多个应用程序禁用受信任位置,而对其他应用程序实现受信任位置。
确定要将哪些文件夹用于受信任位置。
如果默认的受信任位置文件夹不足以满足您的组织的要求,则可以创建自己的文件夹并将其指定为受信任位置。有关默认的受信任位置的详细信息,请参阅为 2007 Office system 评估默认安全设置和隐私选项。
确定要将哪些文件夹指定为受信任位置时,请牢记以下几点:
可以按应用程序指定或全局指定受信任位置。
一个或多个应用程序可以共享受信任位置。
若要禁止恶意用户将文件添加到受信任位置或修改保存在受信任位置中的文件,必须保护指定为受信任位置的任何文件夹。
建议不要指定网络共享作为受信任位置。默认情况下,只允许受信任位置位于用户硬盘上。若要启用网络共享上的受信任位置,必须启用“允许不在计算机上的受信任位置”设置。
建议不要指定整个“文档”或“我的文档”文件夹作为受信任位置。而是在这些文件夹中创建子文件夹,并仅指定该子文件夹作为受信任位置。
此外,如果要进行下列操作,则必须使用以下各节中的准则:
使用环境变量指定受信任位置。
指定 Web 文件夹(即 http:// 路径)作为受信任位置。
使用环境变量指定受信任位置
可以使用环境变量指定受信任位置,但必须更改注册表中用于存储受信任位置的值类型,环境变量才能正确发挥作用。如果使用环境变量指定受信任位置,但不进行必要的注册表修改,则受信任位置会出现在信任中心,但该位置不可用,且显示为包含环境变量的相对路径。更改注册表中的值类型之后,受信任位置将以绝对路径的形式显示在信任中心,并可供使用。
重要信息 |
---|
使用组策略指定受信任位置时,无法使用环境变量。只能通过 Office 自定义工具 (OCT) 来使用环境变量指定受信任位置。 |
若要使用环境变量指定受信任位置,请执行下列操作:
使用注册表编辑器查找由环境变量表示的受信任位置。
通过使用 OCT 配置的受信任位置存储在以下位置:
HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/应用程序名/Security/Trusted Locations
其中应用程序名 可以是 Access、Excel、PowerPoint、Visio 或 Word。
受信任位置存储在名为 Path 的注册表项中,并存储为字符串值 (REG_SZ) 值类型。确保找到每个使用环境变量指定受信任位置的 Path 项。
更改 Path 值类型。
2007 Office system 中的应用程序无法识别存储为字符串值 (REG _ SZ) 值类型的环境变量。为使应用程序能识别环境变量,必须将 Path 项的值类型更改为可扩展字符串值 (REG _ EXPAND _ SZ) 值类型。为此,请执行下列步骤:
注意 不正确地编辑注册表可能会对系统造成严重损坏。更改注册表之前,应对计算机上的所有重要数据进行备份。 记下或复制 Path 项的值。这应该是包含一个或多个环境变量的相对路径。
删除 Path 项。
新建一个可扩展字符串值 (REG _ EXPAND _ SZ) 类型的Path 项。
修改新的 Path 项,以使它具有在第一步中记下或复制的相同值。
确保对每个使用环境变量指定受信任位置的 Path 项都做出此更改。
指定 Web 文件夹作为受信任位置
可以指定 Web 文件夹(即 http:// 路径)作为受信任位置,但是,只能将那些支持 Web 分布式创作和版本管理 (WebDAV) 或 FrontPage Server Extensions 远程过程调用 (FPRPC) 协议的 Web 文件夹识别为受信任位置。如果不能确定 Web 文件夹是否支持 WebDAV 或 FPRPC 协议,则请使用以下准则:
如果由 Internet Explorer 打开应用程序,则请检查最近使用的文件列表。如果最近使用的文件列表表明文件位于远程服务器上,而非 Internet 临时文件夹中,则 Web 文件夹可能以某种形式支持 WebDAV。例如,如果在 Internet Explorer 中浏览时单击某个文档,而文档在 Office Word 2007 中打开,则最近使用的文件列表应显示该文档位于远程服务器上而非本地的 Internet 临时文件夹中。
尝试使用“打开”对话框浏览到 Web 文件夹。如果路径支持 WebDAV,则应该能浏览到 Web 文件夹或应该提示您输入凭据。如果 Web 文件夹不支持 WebDAV,则导航失败且对话框关闭。
注意 |
---|
可以将使用 Windows SharePoint Services 3.0 和 Microsoft Office SharePoint Server 2007 创建的网站指定为受信任位置。 |
确定文件夹共享和文件夹安全设置
必须共享和保护所有指定为受信任位置的文件夹。使用以下准则可以确定需要向每个受信任位置应用哪些共享设置和安全设置:
共享每个被指定为受信任位置的文件夹,以使用户可以访问保存在该受信任位置中的文件。
配置共享权限,以便只有经过授权的用户才可以访问共享文件夹。请确保使用最小特权原则,并向用户授予相应权限。也就是说,向那些不需要修改受信任文件的用户授予“读取”权限,而向那些需要修改受信任文件的用户授予“完全控制”权限。
应用文件夹安全权限,以便只有经过授权的用户才可以读取或修改受信任位置中的文件。请确保使用最小特权原则,并向用户授予相应权限。也就是说,向那些需要修改文件的用户授予“完全控制”权限,而向那些只需读取文件的用户授予限制程度更高的权限。
确定对受信任位置的限制
有几种设置可用于限制或控制受信任位置的行为。使用下表中的建议确定如何配置这些设置。
设置名称 | 推荐的配置 | 说明 |
---|---|---|
允许将策略和用户位置相结合 |
选择此选项:禁用 |
默认情况下,计算机可以组合使用用户创建的、OCT 创建的以及组策略创建的受信任位置。选择此选项将禁用所有不是由组策略创建的受信任位置,并禁止用户通过信任中心中的图形用户界面创建新的受信任位置。这是全局设置,适用于所有为其配置受信任位置的应用程序。 |
允许不在计算机上的受信任位置 |
选择此选项:禁用 |
默认情况下,作为网络共享的受信任位置处于禁用状态,但用户仍可以在信任中心图形用户界面上选中“允许网络上的受信任位置”复选框。选择此选项将禁用作为网络共享的受信任位置,并禁止用户在信任中心图形用户界面上选中“允许网络上的受信任位置”复选框。如果指定为“禁用”,而用户尝试指定网络共享作为受信任位置,则将出现一条警告,通知用户当前安全设置不允许创建带有远程路径或网络路径的受信任位置。如果管理员通过组策略或使用 OCT 指定网络共享作为受信任位置,且此设置为“禁用”,则将禁用受信任位置,且应用程序不会识别该受信任位置。这不是全局设置;必须按应用程序分别为 Office Access 2007、Office Excel 2007、Office PowerPoint 2007、Office Visio 2007 和 Office Word 2007 配置此设置。 |
注意 |
---|
还可以使用“删除 OCT 在安装过程中写入的所有受信任位置”设置删除所有通过配置 OCT 所创建的受信任位置。有关此设置的详细信息,请参阅 2007 Office system 中的安全策略和设置。 |
规划受信任发布者
2007 Office system 在 Internet Explorer 受信任发布者存储区中存储受信任发布者的证书。以前版本的 Office 在特殊的 Office 受信任发布者存储区中存储受信任发布者证书信息(尤其是证书指纹)。2007 Office system 仍从 Office 受信任发布者存储区中读取受信任发布者证书信息,但并不向此存储区写入信息。因此,如果在以前版本的 Office 中创建了受信任发布者的列表,然后升级到 2007 Office system,则受信任发布者列表将仍可被识别。但是,任何添加到列表的受信任发布者证书都将存储在 Internet Explorer 受信任发布者存储区中。此行为对使用受信任发布者列表的所有应用程序都相同,这些应用程序包括:
Office Access 2007
Office Excel 2007
Microsoft Office InfoPath 2007
Microsoft Office Outlook 2007
Office PowerPoint 2007
Microsoft Office Publisher 2007
Office Visio 2007
Office Word 2007
不能使用 Office 2007 管理模板将证书添加到受信任发布者列表;但可以使用 OCT。为此,必须有来自受信任发布者的数字证书(.cer 文件)。如果不能直接从发布者获取证书,则可以从发布者已签名的文件(如动态链接库 (.dll) 文件或可执行 (.exe) 文件)中导出证书。下面的过程介绍如何执行此操作。
从 .dll 文件导出证书
右键单击发布者已签名的 .dll 文件,然后单击“属性”。
单击“数字签名”选项卡。
在“签名列表”中单击证书,然后单击“详细信息”。
在“数字签名详细信息”对话框中单击“查看证书”。
单击“详细信息”选项卡,然后单击“复制到文件”。
在证书导出向导欢迎页上单击“下一步”。
在“导出文件格式”页上单击“DER 编码二进制 X.509 (.CER)”,然后单击“下一步”。
在“要导出的文件”页上键入 .cer 文件的路径和名称,单击“下一步”,然后单击“完成”。
或者,可以使用以下步骤,以确定您需要的证书,然后在 Microsoft Office Word 2007 中创建这些证书。
确定需要何种证书
在为您的组织运行标准配置(包括用户需要的任何加载项)的测试计算机或客户端计算机上,启用“要求受信任的发布者签署应用程序加载项”选项:
- 依次单击“Microsoft Office 按钮”、“Word 选项”、“信任中心”、“信任中心设置”、“加载项”、“要求受信任的发布者签署应用程序加载项”,然后单击“确定”。
退出并重新启动 Word。如果安装了加载项,则安全警告栏会显示以下消息:“应用程序加载项已被禁用”。
临时禁用智能标记:
依次单击“Microsoft Office 按钮”、“Word 选项”,然后单击“确定”。安全警告栏将显示以下消息:“部分活动内容已被禁用”。
注意 在您关闭并重新启动 Word 后将启用只能标记。 在安全警告栏上,单击“选项”。
在“安全警告 – 多个问题”窗口中,为每个显示有效数字签名的加载项执行下列步骤,从而为受信任发布者列表安装每个证书:
注意 如果在上一步未禁用智能标记,将会看到另一个窗口中显示无法安装证书的信息。 单击“显示签名详细信息”。
在“数字签名详细信息”窗口中,单击“查看证书”。
在“证书”窗口中,单击“安装证书”。
在证书导入向导中,依次单击“下一步”、“将所有的证书放入下列存储”、“浏览”、“受信任发布者”、“确定”、“下一步”,然后单击“完成”。
准备要分发的证书文件:
在“受信任发布者”框(依次单击“Microsoft Office 按钮”、“Word 选项”、“信任中心”、“信任中心设置”,然后单击“受信任发布者”)中,查看您已安装的证书。
对于每个证书,应双击该证书,然后执行以下步骤:
在“证书”窗口的“详细信息”选项卡上,单击“复制到文件”。
在证书导出向导中,单击“下一步”,然后单击“下一步”,接受默认的文件格式,输入文件名,选择要存储该文件的位置,然后单击“完成”。