Microsoft 365 Apps 企業版的安全性基準
Microsoft 365 Apps 企業版的安全性基準一年發佈兩次,通常是在 6 月和 12 月。 最新的版本是 版本 2306,發行於 2023 年 6 月 29 日。
若要取得 Microsoft 365 Apps 企業版的安全性基準,請 下載安全性合規性工具組。
注意事項
此安全性基準適用於 Microsoft 365 Apps 企業版。 某些原則可能適用於其他版本的 Office,例如 Office LTSC 2021、Office 2019 或 Office 2016。 但您必須判斷哪些原則適用於這些版本。
安全性基準概觀
安全性基準是Microsoft建議的組態設定,供企業客戶在其組織中部署。 它們旨在作為IT系統管理員的起點,以評估和平衡安全性優勢與其用戶的生產力需求,並據此進行調整。 這些設定是以Microsoft安全性工程小組、產品群組、合作夥伴和客戶的意見反應為基礎。
安全性基準適用於下列Microsoft產品:
- Windows 11、Windows 10 和 Windows Server 2022
- Microsoft 365 Apps 企業版
- Microsoft Edge
如需最新的安全性基準清單,請參閱此 版本矩陣。
安全性合規性工具組概觀
安全性合規性工具組是一組工具,可讓企業安全性系統管理員下載、分析、測試、編輯及儲存Microsoft產品Microsoft建議的安全性設定基準。
使用工具組,系統管理員可以比較其目前的 GPO 與Microsoft建議的 GPO 基準或其他基準、編輯它們、將它們儲存為 GPO 備份檔格式,以及透過 Active Directory 或個別透過本機原則廣泛套用它們。
如需詳細資訊, 請參閱 Microsoft Security Compliance Toolkit 1.0。
Microsoft 365 Apps 企業版的安全性基準內容
Microsoft 365 Apps 企業版的安全性基準下載包含檔、GP 報告、GPO、腳本,以及「MS 安全性指南」系統管理範本。 下列各節提供其中一些區域的其他相關信息。
GPO) (組策略物件
Microsoft 365 Apps 企業版的安全性基準下載包含數個預先設定的組策略物件, (GPO) 。
大部分的組織都可以實作 [計算機 ] 和 [ 使用者 GPO] 中所包含的建議設定,而不會有任何問題。
不過,有幾個設定會對某些組織造成操作問題。 我們已將這類設定的相關群組分成自己的 GPO,讓組織更輕鬆地新增或移除這些限制。 這些設定包含在下列四個不同的 GPO 中:
DDE 封鎖 - 使用者,這是封鎖使用 DDE 搜尋現有 DDE 伺服器進程或啟動新進程的使用者設定 GPO。
舊版檔案區塊 - 使用者,這是防止 Office 應用程式開啟或儲存舊版檔案格式的使用者設定 GPO。
舊版 JScript 區塊 - 計算機,這是一種計算機設定 GPO,可停用因特網區域和限制網站區域中網站的舊版 JScript 執行。
需要巨集簽署 - 使用者,這是使用者設定 GPO,可停用每個 Office 應用程式中未簽署的巨集。
名為 Baseline-LocalInstall.ps1 的本機原則腳本提供命令行選項來控制是否已安裝這些 GPO。
「MS 安全性指南」系統管理範本
Microsoft 365 Apps 企業版的安全性基準下載包含「MS 安全性指南」系統管理範本。 SecGuide ADMX/ADML 檔案包含兩個 Office 系統管理員感興趣的設定:
- 在 Office 檔中封鎖 Flash 啟用
- 限制 Office 的舊版 JScript 執行
[在 Office 文件中封鎖快閃啟用] 設定僅適用於 [MS 安全性指南] 系統管理範本。 如上一節所述,在安全性基準下載中,您也可以使用 [限制 Office 的舊版 JScript 執行] 設定作為 GPO。
這些設定會出現在組策略管理控制台的 [計算機設定\原則\系統管理範本\MS 安全性指南] 底下。
列出可用原則和安全性基準建議的檔
Microsoft 365 Apps 企業版的安全性基準下載包含 Excel 檔案,其中列出可用的電腦設定和使用者設定原則。 檔案也包含「MS 安全性指南」系統管理範本中可用的設定。
您可以篩選 [安全性基準] 上的 [區域] 資料行,以查看屬於安全性基準一部分的原則。 您也可以在每個原則的安全性基準中查看設定的方式。
您也可以篩選 [區域類別] 資料行,以尋找相關原則的群組。 例如,您可以篩選 FileBlock 或 巨集。
此外, MSFT Office 365 基準 數據行中有色彩編碼,指出先前所述的四個個別 GPO 涵蓋哪些原則。 如需說明色彩的圖例,請參閱 Excel 檔案中的 資訊 工作表。
Excel 檔案包含下列數據行。
資料行名稱 | 內容描述 |
---|---|
原則路徑 | 組策略管理控制台中的原則位置。 |
原則設定名稱 | 原則的名稱。 |
MSFT Office 365 基準 | 原則應設定為的建議安全性基準狀態或值。 |
區域 | 原則的區域。 建議使用具有「安全性基準」的原則。 注意: 安全性基準建議中不包含具有「安全性」的原則。 它們是更嚴格的安全策略。 |
分區類別 | 原則所控制的技術類別。 |
登錄資訊 | 登錄中儲存原則狀態的位置。 |
說明文字 | 原則的描述。 |
如需這些原則的一些額外資訊,請參閱隨附於 Office 的組策略系統管理 範本檔案下載 (ADMX/ADML) 的 Excel 檔案。