规划 Office 2013 的 Office 文件验证设置
适用于: Office 365 ProPlus, Office client
上一次修改主题: 2016-12-16
摘要: 说明 Office 文件验证设置如何帮助阻止 Office 2013 中的文件格式攻击。
目标用户: IT 专业人员
Office 文件验证是 Office 2013 中的一个安全功能,可以通过在 Excel 2013、PowerPoint 2013 或 Word 2013 中打开 Office 二进制文件格式之前,对其进行扫描来帮助阻止文件格式攻击。您可以通过配置 Office 文件验证设置,更改 Office 2013 验证存储在 Microsoft Office 二进制文件格式中的文件的方式。
本文是 Office 2013 安全性指南的一部分。可以使用该指南作为起点来获取可帮助您评估 Office 2013 安全的文章、下载、海报和视频。 您是否要查找有关单独的 Office 2013 应用程序的安全信息?您可以通过在 Office.com 上搜索“2013 安全”来查找此信息。 |
本文内容:
规划 Office 2013 中的 Office 文件验证设置
关闭 Office 2013 中的 Office 文件验证
在 Office 2013 中验证失败时,更改文档的行为
关闭 Office 2013 中的 Office 文件验证报告
规划 Office 2013 中的 Office 文件验证设置
Office 文件验证帮助检测和阻止一种称为文件格式攻击或文件模糊攻击的漏洞。文件格式攻击会破坏文件的完整性。有人通过有目的地添加恶意代码修改文件的结构时会出现此情况。通常恶意代码以远程方式运行,并用于在计算机上提升受到限制的帐户的权限。这样,攻击者便可以获得其原本不具有访问权限的计算机的访问权。这可能会让攻击者能够读取计算机硬盘中的敏感信息或者安装恶意软件,例如蠕虫或关键日志记录程序。Office 文件验证功能通过在打开文件之前扫描和验证文件,帮助阻止文件格式攻击。为了验证文件,Office 文件验证会比较文件的结构和预定义文件架构,预定义文件架构是一组确定可读取文件外观的规则。如果 Office 文件验证检测到文件的结构并没有遵循架构中定义的所有规则,文件将无法通过验证。
文件格式攻击在以 Office 二进制文件格式存储的文件中出现得最为频繁。出于此原因,Office 文件验证扫描并验证以下类型的文件:
Excel 97-2003 工作簿文件。这些文件的扩展名为 .xls ,并且包括所有二进制交换文件格式 8 (BIFF8) 文件。
Excel 97-2003 模板文件。这些文件的扩展名为 .xlt ,并且包括所有的 BIFF8 文件。
Microsoft Excel 5.0/95 文件。这些文件的扩展名为 .xls ,并且包括所有的 BIFF5 文件。
PowerPoint 97-2003 演示文稿文件。这些文件的扩展名为 .ppt。
PowerPoint 97-2003 演示文件。这些文件的扩展名为 .pps。
PowerPoint 97-2003 模板文件。这些文件的扩展名为 .pot。
Word 97-2003 文档文件。这些文件的扩展名为 .doc。
Word 97-2003 模板文件。这些文件的扩展名为 .dot。
Office 2013 提供了几种更改 Office 文件验证功能工作方式的设置。您可以使用这些设置执行以下操作:
禁用 Office 文件验证。
文件验证失败时,请指定文档的行为。
阻止 Office 2013 将 Office 文件验证信息发送到 Microsoft。
注意: |
---|
有关如何在 Office 自定义工具 (OCT) 和 Office 2013 管理模板中配置安全设置的信息,请参阅使用 OCT 或组策略为 Office 2013 配置安全性。 |
默认情况下,Excel 2013、PowerPoint 2013 和 Word 2013 中已启用 Office 文件验证。任何验证失败的文件都将在受保护的视图中打开。用户可以选择启用对这些文件的编辑。此外,会提示用户将 Office 文件验证信息发送给 Microsoft。如果用户授权,仅会收集验证失败的文件的信息并发送给 Microsoft。
我们建议您不要更改 Office 文件验证的默认设置。但是,有些组织可能需要配置 Office 文件验证设置,以满足特殊的安全要求。尤其是以下类型的组织的安全要求可能需要更改 Office 文件验证功能的默认设置:
**限制对 Internet 访问的组织。**Office 文件验证会提示用户,大约每两周向 Microsoft 发送验证错误信息。这可能违反组织的 Internet 访问策略。在这种情况下,您可能会选择阻止 Office 文件验证将信息发送到 Microsoft。有关详细信息,请参阅本文后面部分的关闭 Office 2013 中的 Office 文件验证报告。
**有较高的限制性安全环境的组织。**您可以配置 Office 文件验证,以便验证失败的文件是否无法打开或者只能在受保护的视图中打开。这比 Office 文件验证的默认设置更加严格,可能适合拥有锁定安全环境的组织。有关如何更改文档行为的详细信息,请参阅本文后面部分的在 Office 2013 中验证失败时,更改文档的行为。
**不希望将文件发送给 Microsoft 的组织。**如果用户允许,Office 文件验证会向 Microsoft 发送所有验证失败文件的副本。您可以配置 Office 文件验证,使其不会提示用户将验证信息发送给 Microsoft。
关闭 Office 2013 中的 Office 文件验证
您可以使用“关闭文件验证”设置禁用 Office 文件验证。此设置必须在 Excel 2013、PowerPoint 2013 和 Word 2013 的每个应用程序上配置。此设置阻止扫描和验证以 Office 二进制文件格式存储的文件。例如,如果您启用 Excel 2013 的“关闭文件验证”设置,Office 文件验证将不会扫描或验证 Excel 97-2003 工作簿文件、Excel 97-2003 模板文件或者 Microsoft Excel 5.0/95 文件。如果用户打开这些文件类型,并且文件包含文件格式攻击,除非某些其他控件检测和阻止此类攻击,否则攻击将不会被检测或阻止。
建议您不要关闭 Office 文件验证。Office 文件验证 Office 2013 中分层防御策略的关键部分,应该在组织中的所有计算机上启用。如果您想阻止 Office 文件验证功能验证文件,我们建议您使用受信任位置功能。从受信任位置打开的文件将跳过 Office 文件验证检查。您还可以使用受信任文档功能阻止 Office 文件验证验证某个文件。被视为受信任文档的文件不会受到 Office 文件验证的检查。
在 Office 2013 中验证失败时,更改文档的行为
您可以使用“文件验证失败时设置文档行为”组策略设置更改文档验证失败时的文档行为。启用此设置时,您可以选择以下两个选项之一:
阻止文件 验证失败的文件不能在受保护的视图中打开,且用户无法打开文件进行编辑。
如果选择“在受保护的视图中打开文件”选项,文件验证失败时,用户会在消息栏看到以下文本:
“受保护的视图 Office 程序检测到此文件有问题。请单击查看详细信息。”
如果用户单击消息栏,将会显示 Microsoft Office Backstage 视图,提供问题的详细说明并让用户启用文件进行编辑。
在受保护的视图中打开文件,以便用户可以查看文件的内容,但是用户不能打开文件进行编辑。此选项是 Office 文件验证功能的默认行为。
如果选择“阻止文件”选项,文件验证失败时,用户会在对话框中看到以下文本:
“Office 检测到此文件存在一个问题。为帮助保护您的计算机,不能打开此文件。”
用户可以展开对话框,查看文件为什么不能打开的详细说明,或者可以选择“确定”关闭对话框。
关闭 Office 2013 中的 Office 文件验证报告
您可以使用“关闭验证失败文件的错误报告”组策略设置阻止对话框提示用户将信息发送给 Microsoft。
每次文件验证失败时,Office 2013 都会收集有关文件为何验证失败的信息。文件验证失败后大约两周,Office 2013 会提示用户将 Office 文件验证信息发送给 Microsoft。验证信息包括文件类型、文件大小、打开文件所用的时间和验证文件所用时间等。验证失败的文件的副本也将发送给 Microsoft。提示用户将验证信息发送给 Microsoft 时,用户将会看到文件列表。用户可以拒绝发送验证信息,这就意味着验证失败相关信息都不会发送给 Microsoft,文件也不会发送给 Microsoft。如果组织限制 Internet 访问,拥有限制性 Internet 访问策略,或者不希望将文件发送给 Microsoft,您可能必须启用“禁用文件验证失败时的错误报告 ”组策略设置。
重要说明: |
---|
Office 文件验证功能偶尔可能会提示某个文件验证失败,但实际上该文件是有效的。验证报告功能可以帮助 Microsoft 改善 Office 文件验证功能并尽可能减少误报的发生。 |
注意: |
---|
有关组策略设置的最新信息,请参阅 Office 2013 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具文章。 |
另请参阅
Office 2013 中的安全概述
了解 Office 2013 的安全威胁和对策
规划 Office 2013 的文件阻止设置
规划 Office 2013 的 Office 文件验证设置
规划 Office 2013 的受保护视图设置
使用 OCT 或组策略为 Office 2013 配置安全性