2007 Office system 中的安全性概述
更新时间: 2009年2月
应用到: Office Resource Kit
上一次修改主题: 2015-03-09
一个组织在财务上的成功通常是由其信息工作者的工作效率及其知识产权的完整性和保密性决定的。过去,IT 专业人员很难满足这些业务需求,原因是这类保护通常以牺牲工作效率为代价。利用 2007 Microsoft Office system 中经过重新设计的安全模型和许多新的和增强的安全功能,IT 专业人员可以设计减少安全威胁的桌面配置,同时维持信息工作者的工作效率。
基础安全原则
在 2007 Office system 之前,设计安全桌面配置通常需要在保护和工作效率之间进行取舍。一方面,您可以通过禁用具有潜在风险的功能(例如 ActiveX 控件、加载项和 Visual Basic for Applications (VBA) 宏)来最大限度地减少桌面配置的攻击面,但是功能的损失通常会转化为信息工作者工作效率的降低,这样会对组织的财务表现产生不利的影响。另一方面,您可以通过允许信息工作者自由使用高风险的工具和应用程序功能,从而最大限度地提高信息工作者的工作效率并改善组织的财务表现,但是攻击面的扩大会给知识产权带来更大的风险,并且会因为持续的安全攻击而增加拥有成本 (TCO)。
面对这种状况,大多数 IT 专业人员会选择中间立场,从而强制信息工作者做出关系重大的安全决定。如果文档中包含来自未知源的 ActiveX 控件或宏,则将询问用户是否要启用 ActiveX 控件或宏。用户只有在回答这个问题后才允许访问文档。尽管这不是一个完美的解决方案,但它确实提供了一种既可减轻安全威胁又不会对工作效率产生太大影响的机制。这个解决方案存在一个主要问题,即,大多数用户在遇到安全警告时会忽略警告,以便他们可以访问文档来完成工作。对于可能未包含恶意内容的低风险的内部文档,这样做是可以接受的;但对于通过 Internet 进行传递并可能包含恶意内容的高风险的外部文档,这样做就是不可接受的。遗憾的是,用户通常不对高风险文件和低风险文件加以区分,而是以同样的方式处理这两种文件,即,用户接受风险并启用 ActiveX 控件和宏。
为了解决上述问题,设计 2007 Office system 的总体安全模型时遵循了以下四项主要原则:
默认情况下保护应用程序功能的安全。
避免提出用户可能无法回答的问题。
通过减轻威胁而又不限制应用程序功能来维护用户的工作效率。
提供可进行修改以满足特定情况的灵活的安全模型。
这些原则一起为 2007 Office system 的安全目标(即,最大限度地加强保护和提高工作效率,同时最大限度地减少 TCO)奠定了基础。
默认情况下保护安全
与以前的 Microsoft Office 版本相比,2007 Office system 安全模型其中一个主要原则保持不变:默认情况下要保护系统和数据的安全。此原则包含一个事实:某些功能虽然有用,但本身具有很高的攻击可能性(例如宏)。在很多情况下,已对这些功能进行配置,以使保护处于首要地位,而功能则是次要的。
例如,文档和电子邮件通常包含指向存储在远程计算机上的图像的链接。这使更新图像变得很容易,并使文档和电子邮件变得较小,因而对磁盘空间和网络带宽的要求降低。但是,垃圾邮件发送者和恶意攻击者可以使用链接的图像来确认电子邮件地址是否有效,或获取计算机的 IP 地址。为了应对这个问题,在 2007 Office system 中,默认情况下将阻止链接的图像。不过,用户仍可以打开包含链接图像的电子邮件和文档,从而访问全部文本。这样既可以最大程度地提供保护,又可以最大程度地提高工作效率。
避免提出问题
尽管以前的安全模型依赖用户来评估风险和降低潜在的安全威胁,但 2007 Office system 采用的原则是,用户不必响应其可能无法回答的问题。此原则更改了用户和应用程序处理安全威胁的方式。首先,用户必须响应的问题数和频率减少。其次,在安全威胁风险已提升和用户绝对有必要提供反馈的实例中,警告消息会提供用户做出决定所需的详细信息。最后,在必须要求用户反馈的实例中,每次都会在提供帮助用户理解的上下文中请求用户反馈。
例如,用户不再需要每次打开包含来自不受信任或未知源的宏的文档时都响应安全提示。尽管默认情况下禁用来自不受信任或未知源的宏,但通知程序不要求用户在处理文档之前进行安全决策。相反,宏通知包含在文档顶部显示的通知栏中。用户可以单击该通知栏以读取通知并启用宏。此外,通知现在还提供有关风险内容、风险对安全构成威胁的原因和用户可以采取哪些措施来减轻威胁的信息。
维护用户工作效率
维护用户工作效率是 2007 Office system 安全模型中的另一项重要原则。过去,当用户试图打开包含潜在安全威胁(例如宏或 ActiveX 控件)的文档时,用户在对安全警告做出响应之前,将不能对文件进行处理。现在,用户可以在打开文档后立即访问文档内容并对文档进行处理。只有在需要用户干预以保护工作环境的安全时才会提示用户输入相关内容。
例如,利用一个新的称为“受信任位置”的安全功能,您可以区分低风险文档和高风险文档,从而最大限度地提高工作效率。低风险文档的示例包括来自同事或业务合作伙伴的文档。高风险文档的示例包括来自未知人员的文档或通过不安全的 Internet 连接传递的文档。
存储在受信任位置的文档被视为是安全的,并且受信任文档中的所有内容均被启用。用户不必响应任何安全警告,并且无需启用受信任文档中的任何内容即可完成工作。在这种情况下,工作效率不会受到削弱。
非存储在受信任位置的文档被认为是高风险的,不受信任文档中的所有内容默认情况下均被禁用。用户可以打开并处理高风险的文档,但必须响应通知才能启用文档中的高风险内容。在这种情况下,只有在用户希望启用文档中的高风险内容时才会影响工作效率。
提供灵活的安全模型
最后一项原则是默认的安全模型并不适用于每种计算机环境或每个用户。尽管有前三项原则,但在有些情况下,用户必须响应安全通知或警告才能访问低风险内容。为了更好地实现前三项原则的目标,2007 Office system 提供了一套安全设置,从而让您可以修改默认的安全模型。
新增内容和更改内容
通过使用上述四项原则,针对 2007 Office system 开发了一个新的安全模型。新的安全模型包括新特征、新设置和新功能。此外,新的安全模型还可以影响用户在各自的工作环境中响应风险的方式,并更改管理员减少和管理整个组织中的安全威胁的方式。新的安全模型中的主要更改包括:
用户界面 这些更改可帮助用户更好地查看和配置安全设置,以及响应安全警告和通知。
管理设置和功能 这些更改可帮助 IT 专业人员设计和实现可更好地减少安全威胁的安全桌面配置。
默认功能 这些更改有助于提高用户的工作效率,同时帮助保护企业资源并减少安全威胁。
用户界面的变化
针对 2007 Office system 的用户界面进行了三项更改。第一项:大多数特定于应用程序的安全和隐私设置现在均显示在一个称为“信任中心”的单一位置中;第二项:一些文档保护设置现在与其他文档准备设置(例如“保存”和“打印”)显示在一起;第三项:大多数安全警告和通知现在显示在一个称为“消息栏”的新通知区域中。这些用户界面更改通过帮助用户查找、查看和配置安全设置,并帮助用户在面临安全威胁时保持工作效率,从而改善了用户体验。
信任中心
信任中心是一个中心控制台,用户可以通过这个控制台查看和配置安全设置和隐私选项。下图阐明了信任中心。
.gif "信任中心")
用户可以在信任中心配置以下设置:
受信任的发布者和受信任的位置 这些设置用于指定安全内容。
ActiveX 控件、加载项和宏 这些设置用于控制高风险内容(例如 ActiveX 控件、加载项和宏)的行为。
消息栏和隐私选项 这些设置用于控制通知行为和应用程序处理个人或私人信息的方式。
对于 Microsoft Office Access 2007、Microsoft Office Excel 2007、Microsoft Office PowerPoint 2007 和 Microsoft Office Word 2007,用户可以通过依次单击“Microsoft Office 按钮”和“程序 选项”(其中程序 是您正在运行的程序)来访问信任中心。对于 Microsoft Office InfoPath 2007、Microsoft Office Outlook 2007、Microsoft Office Publisher 2007 和 Microsoft Office Visio 2007,用户可以单击“工具”菜单上的“信任中心”。
文档保护控件
尽管信任中心包含大多数特定于应用程序的安全和隐私设置,但某些特定于文档的安全设置已经被有意地排除在信任中心之外:特别是允许用户对文档进行加密的文档保护设置。由于文档保护设置往往会在用户保存或发送文档时使用,因此这些设置与其他文档准备设置放在一起。用户可以通过依次单击“Microsoft Office 按钮”和“准备”来访问文档准备设置。
消息栏
消息栏是一项新的用户界面功能,可在用户打开包含潜在有害内容的文档时向其提供通知和警告。下图显示了消息栏。
.gif "消息栏")
.gif "Note") 注意 |
|---|
| 在 Office Outlook 2007 和 Office Publisher 2007 中,安全警报显示在对话框中,而不是显示在消息栏中。 |
消息栏通知用户文档中的某个功能被阻止。在某些方面,消息栏可替换用户每次打开包含宏的不受信任文档时都会显示的警告。过去,这些警告会阻止用户访问文档,直到他们响应警告并启用或禁用宏。而通过使用消息栏,用户在打开文档后就可以处理文档,而无需响应消息栏提示。在用户单击消息栏并响应通知或警告之前,将禁用不受信任的 ActiveX 控件、宏以及其他潜在有害内容。下图显示了用户在单击消息栏时收到的警告。
.gif "信息栏警告")
新增的和增强的设置和功能
2007 Office system 包含一些新增的和增强的设置和功能,其中包括:
一组称为“受信任位置”设置的新设置。
一组称为“阻止文件格式”设置的新设置。
ActiveX 控件、加载项和宏的管理方式的更改。
以下各节描述了新增的和增强的设置和功能。
受信任位置设置
利用“受信任位置”设置,您可以区分安全文档和不安全文档。如果您指定一个受信任位置(如用户硬盘上的文件夹),当用户打开保存在该受信任位置的文档时,将启用并初始化该文档中的所有内容,包括 ActiveX 控件、外部链接和宏。此外,从受信任位置打开文档时,消息栏或用户界面中将不显示任何提示或警告。
为了降低某些人恶意创建受信任位置而运行有害代码的风险,2007 Office system 中的默认设置不允许您将远程文件夹指定为受信任位置。默认情况下,受信任位置只能存在于用户的本地硬盘上。此外,在受到安全攻击时可以轻易地撤销受信任位置。另外,2007 Office system 会永久阻止您将某些高风险文件夹指定为受信任位置,例如,用于保存附件的 Office Outlook 2007 缓存、临时文件夹以及有时临时保存文档的其他文件夹。
ActiveX 控件、加载项和宏的设置
在 2007 Office system 中,您可以通过配置全局设置或特定于应用程序的设置来管理 ActiveX 控件、加载项和宏的行为。过去,您可以通过选择仅有的四个全局设置之一来降低来自宏的安全威胁:“低”、“中”、“高”和“非常高”。其中的每项设置均对应于一种限制渐趋严格的情况。“低”设置允许用户运行所有宏,而“高”设置仅允许用户运行由受信任发布者签名的宏。此外,不存在用于管理 ActiveX 控件(更改注册表除外)的任何全局或特定于应用程序的设置和用于管理加载项的特定于应用程序的安全设置。
ActiveX 控件设置
有一些用于控制 ActiveX 控件的行为的新设置。可以选择下列选项:
禁用所有 ActiveX 控件 禁止加载所有 ActiveX 控件并且不通知用户 ActiveX 控件已被禁用。受信任位置的文档中包含的 ActiveX 控件除外。
配置 ActiveX 控件初始化 指定如何基于初始化安全 (SFI) 和初始化不安全 (UFI) 参数加载 ActiveX 控件。过去,您可以通过更改注册表来配置此设置。现在,您可以使用管理模板(.adm 文件)或通过 Office 配置工具 (OCT) 来配置此设置。
配置 ActiveX 提示 指定在加载 ActiveX 控件时如何提示用户。您可以配置此设置,以便在 ActiveX 控件尝试加载时提示或不提示用户。
加载项设置
2007 Office system 没有提供“信任所有安装的加载项和模板”设置,而是提供了几种用于控制加载项行为的新设置,其中包括:
禁用所有应用程序加载项 阻止运行所有加载项。不通知用户加载项已被禁用。
要求由受信任发布者签署应用程序加载项 检查包含加载项的文件上的数字签名。如果尚不信任发布者,则程序不会加载该加载项,并且消息栏会显示一条说明该加载项已被禁用的通知。
禁用针对未签署的应用程序加载项的消息栏通知 只有在您要求加载项具有数字签名时才会涉及此设置。在某些情况下,可能未对包含加载项的文件进行签名。在这种情况下,将启用由受信任发布者签名的加载项,并禁用未签名的加载项,而不会向用户发出任何通知。
宏
存在几种用于控制宏行为的新设置。通过这些设置可以按以下方式控制宏:
禁用 Visual Basic for Applications 对所有 Office 应用程序禁用 Visual Basic for Applications。
配置宏警告设置 指定向用户通知宏信息的条件。可以使用下面的四个选项:
始终提供有关宏的通知。
始终仅针对已经过数字签名的宏提供通知。
不提供通知并且禁用所有宏。
不执行任何安全检查并且允许所有宏运行。
在 Microsoft Office Open XML 格式文档中强制扫描加密的宏 指定在使用新的 Office Open XML 格式的加密文件中执行宏安全检查。无法在图形用户界面中配置此设置;您只能通过使用管理模板(.adm 文件)或使用 OCT 来配置此设置。此外,默认情况下将启用此设置:即,默认情况下将扫描 Office Open XML 格式文档中加密的宏。
下表汇总了 Microsoft Office 2003 中的各种安全设置组合与 2007 Office system 中的新安全设置的比较。
| Office 2003 设置 | 2007 Office system 设置 |
|---|---|
非常高(启用) 信任所有安装的加载项和模板。(启用) |
对所有宏都不提供警告,但禁用所有宏。(启用) |
非常高(启用) 信任所有安装的加载项和模板。(禁用) |
对所有宏都不提供警告,但禁用所有宏。(启用) 禁用所有加载项。(启用) |
高(启用) 信任所有安装的加载项和模板。(启用) |
仅对已经过数字签名的宏发出警告。(启用) |
高(启用) 信任所有安装的加载项和模板。(禁用) |
仅对已经过数字签名的宏发出警告。(启用) 要求所有加载项由受信任发布者签署。(启用) 禁用未签署加载项通知。(启用) 禁用所有受信任位置,仅信任由受信任的发布者签署的文件。(启用) |
中(启用) 信任所有安装的加载项和模板。(启用) |
不要在 2007 Office system 中配置任何安全设置。默认情况下,当文档中包含宏并且信任加载项和模板时,将会通知用户。 |
中(启用) 信任所有安装的加载项和模板。(禁用) |
要求所有加载项由受信任发布者签署。(启用) 禁用所有受信任位置。(启用) |
低(启用) |
不执行宏安全性检查。(启用) |
阻止文件格式设置
有几种新的设置可让您防止用户在 Office Excel 2007、Office PowerPoint 2007 和 Office Word 2007 中打开或保存某些类型的文件。如果您要强制组织使用特定的文件格式或者要在应用修补程序之前减少零时差漏洞攻击和利用,则这些设置非常有用。通过使用阻止文件格式设置,您可以:
在应用修补程序之前减少零时差漏洞攻击和利用。
阻止用户打开或保存特定的文件类型。
阻止用户打开与以前版本的 Office Excel 2007、Office PowerPoint 2007 和 Office Word 2007 兼容的文件。
阻止用户通过外部转换器打开文档。
阻止用户打开预发行版 (Beta) 的文件。
文档检查器
文档检查器是一种新的隐私工具,可帮助用户从文档中删除个人信息和隐藏信息。默认情况下,Office Excel 2007、Office PowerPoint 2007 和 Office Word 2007 中均提供文档检查器,但每个程序使用一组不同的检查器模块来删除不同类型的内容。例如,Office Excel 2007 具有使用户能够删除隐藏的工作表的检查器模块。相反,Office Word 2007 没有该检查器模块,原因是该模块与 Office Word 2007 文档不相关。
用户可以指定希望从文件中删除的内容类型,包括:
批注、修订中的修订标记、版本信息和墨迹注释。
文档属性和个人信息(元数据)。
页眉、页脚和水印。
隐藏文字。
隐藏的行、列和工作表。
不可见内容。
幻灯片外内容。
演示文稿备注。
文档服务器属性。
自定义 XML 数据。
您可以启用和禁用检查器模块,但没有使您能够管理每个检查器模块的行为方式的管理设置。不过,您可以通过编程方式创建自定义检查器模块。
新的默认行为和功能
2007 Office system 中已更改几种默认的安全设置。以下各节介绍新的默认设置。
始终打开文档
当用户尝试打开包含潜在有害内容(例如不受信任的 ActiveX 控件和宏或指向不受信任的外部数据源的链接)的文档时,将始终允许打开文档,但不允许运行不受信任的内容,并且通知用户某些内容已被阻止。
始终阻止外部内容
始终阻止用户访问外部内容,其中包括通过数据连接、超链接、图像和链接媒体访问的外部内容。当用户打开包含外部内容的文档时,文档将打开并且用户可以处理文档,但会禁用外部内容(不可访问),并且消息栏中会显示一条通知,通知用户某些内容已被阻止。如果用户单击消息栏,则将显示一个对话框,询问用户是否要启用外部内容。
| 注意 |
|---|
| 受信任位置中的文档会启用所有外部内容。 |
允许在某些情况下运行 ActiveX 控件
ActiveX 控件具有四种可能的默认行为。默认行为取决于 ActiveX 控件本身的特性和包含 ActiveX 控件的文档的特征。
如果某个 ActiveX 控件在注册表中设置了消除位,则将不会加载该控件,并且在任何情况下都不能加载。“消除位”是一项用于禁止加载存在已知漏洞的控件的功能。
如果某个 ActiveX 控件是在未包含 VBA 项目的文档中,并且该 ActiveX 控件标记为初始化安全 (SFI),则将在施加最小限制的情况下加载该 ActiveX 控件。消息栏不会出现,用户也不会收到关于其文档中存在 ActiveX 控件的任何通知。文档中的 ActiveX 控件必须全部标记为 SFI 才不会生成通知。
如果某个 ActiveX 控件是在未包含 VBA 项目的文档中,并且该 ActiveX 控件标记为初始化不安全 (UFI),则消息栏中将通知用户一个 ActiveX 控件已被禁用。如果用户单击消息栏,则将显示一个对话框,询问用户是否要启用 ActiveX 控件。如果用户启用 ActiveX 控件,则将在施加最小限制的情况下加载所有 ActiveX 控件(标记为 SFI 和 UFI 的控件)。
如果某个 ActiveX 控件是在同时包含了 VBA 项目的文档中,则消息栏中将显示一条通知,告知用户 ActiveX 控件已被禁用。如果用户单击消息栏,则将显示一个对话框,询问用户是否要启用 ActiveX 控件。如果用户启用 ActiveX 控件,则将在施加最小限制的情况下加载所有 ActiveX 控件(标记为 SFI 和 UFI 的控件)。
| 注意 |
|---|
| 如果某个 ActiveX 控件包含在保存到受信任位置的文档中,则默认情况下将启用该 ActiveX 控件,并且不提示用户启用 ActiveX 控件。 |
允许运行已安装和注册的加载项
默认情况下,允许运行已安装和注册的任何加载项,而无需用户干预或警告。已安装和注册的加载项包括:
组件对象模型 (COM) 加载项。
智能标记。
自动化加载项。
RealTimeData (RTD) 服务器。
应用程序加载项(例如 .wll, .xll 和 .xlam 文件)。
XML 扩展包。
XML 样式表。
此默认行为与选择早期版本的 Microsoft Office system 中的“信任所有安装的加载项和模板”设置等效。
仅允许运行受信任的宏
默认情况下,允许运行受信任的宏。受信任的宏包括保存在受信任位置的文档中的宏以及满足下列条件的宏:
开发人员已使用数字签名对这个宏进行了签名。
该数字签名有效。
该数字签名没有过期。
与该数字签名关联的证书是由信誉良好的证书颁发机构 (CA) 颁发的。
对宏进行签名的开发人员是受信任的发布者。
在用户单击消息栏并选择启用宏之前,将不允许运行不受信任的宏。过去,未签名的宏会被禁用,并且没有为用户提供启用这些宏的选项。在 2007 Office system 中,此行为有所不同。现在,当文档中包含未签名的宏时,将会通知用户,并且用户可以根据需要启用宏。