规划 Office 2013 外接程序的安全设置

适用于： Office 365 ProPlus, Office client

上一次修改主题： 2016-12-16

摘要：说明如何控制外接程序在 Office 2013 中的行为方式，以及如何阻止用户运行外接程序。

目标用户： IT 专业人员

修改 Office 2013 外接程序设置以减少 Office 2013 应用程序中的未知或未受信任的外接程序造成的潜在安全风险。

引向 Office 安全的路线图箭头。

本文是 Office 2013 安全性指南的一部分。可以使用该指南作为起点来获取可帮助您评估 Office 2013 安全的文章、下载、海报和视频。

您是否要查找有关单独的 Office 2013 应用程序的安全信息？您可以通过在 Office.com 上搜索“2013 安全”来查找此信息。

本文内容：

规划 Office 2013 中的外接程序设置

Office 2013 提供了一些相关设置，允许您控制加载项的行为方式。通过配置这些设置，可以执行下列操作：

只能基于每个应用程序配置外接程序设置。不存在全局外接程序设置。

有关如何在 Office 自定义工具 (OCT) 和 Office 2013 管理模板中配置安全设置的信息，请参阅使用 OCT 或组策略为 Office 2013 配置安全性。

默认情况下，已安装和注册的任何外接程序无需用户干预即可运行，并且不会向用户显示相关警告。已安装和注册的外接程序可能包括：

此默认行为与在 Office 2003 或更早 Office 系统中选择“信任所有安装的加载项和模板”设置相同。

Office 2013 提供了相关设置，允许您禁用加载项。使用以下准则可以确定是否使用此设置。

**组策略设置名称：**禁用所有应用程序外接程序

**说明：**此设置禁用所有加载项。默认情况下，所有已安装和注册的加载项都可以运行。
**影响：**启用此设置时，将禁用加载项，并且不会通知用户已禁用加载项。启用此设置可能会严重影响使用加载项的用户。如果用户安装了关键业务加载项，可能无法启用此设置。
**准则：**大多数组织可使用此设置的默认配置而无需对其进行更改。

Office 2013 提供了相关设置，允许您要求由受信任发布者签署所有加载项。使用以下准则可以确定是否使用此设置。

**组策略设置名称：**要求由受信任发布者签署应用程序外接程序

**说明：**此设置控制加载项是否必须由受信任发布者数字签署。默认情况下，加载项的发布者不必位于“受信任的发布者”列表中加载项即可运行。
**影响：**启用此设置时，将运行由“受信任的发布者”列表中的发布者签署的外接程序，并且不发出通知。将禁用未签署外接程序和未包含在“受信任的发布者”列表中的发布者签署的外接程序。但是会提示用户启用外接程序，即使它们无法启用未签署和未受信任的外接程序。启用“要求由受信任发布者签署应用程序外接程序”设置可能会影响依赖未经受信任发布者签署的外接程序的用户。这些用户必须获取此类外接程序的签署版本或停止使用此类外接程序。
**准则：**具有限制性较强的安全环境的组织通常应启用此设置。

Office 2013 提供了相关设置，允许您禁止在未签署加载项无法运行时向用户显示消息栏警告。使用以下准则可以确定是否使用此设置。

**组策略设置名称：**禁用针对未签署的应用程序加载项的信任栏通知

**说明：**此设置控制在加载未签署的应用程序加载项时通知用户，还是无提示方式禁用此类加载项而不提供通知。默认情况下，未签署加载项尝试运行时，会在消息栏中显示警告。
**影响：**如果启用此设置，未签署的外接程序尝试运行时将不会在消息栏中显示警告，并且用户无法启用未签署的外接程序。启用此设置可能会影响依赖未经受信任发布者签署的外接程序的用户。这些用户必须获取此类外接程序的签署版本或停止使用此类外接程序。
**准则：**如果具有限制性较强的安全环境的组织要求由受信任发布者签署所有外接程序，则此类组织通常启用此设置。

注意：
有关策略设置的最新信息，请参阅 Office 2013 管理模板文件（ADM、ADMX、ADML）和 Office 自定义工具 TechNet 文章。