規劃 2007 Office system 信任的位置及信任的發行者設定
更新日期: 2009年12月
適用於: Office Resource Kit
上次修改主題的時間: 2015-03-09
本文內容:
信任位置的計劃
受信任的發行者計劃
2007 Microsoft Office 系統 的「信任位置」功能,可讓您將使用者電腦硬碟上或是網路共用上的資料夾指定為「信任的檔案來源」。將一個資料夾指定為信任的檔案來源時,任何儲存在資料夾中的檔案都會假設為信任的檔案。當開啟信任的檔案時,檔案中的所有內容都會啟用並且為使用中,而且系統不會通知使用者在檔案中可能含有任何潛在的風險,例如未簽署的巨集、ActiveX 控制項或是網際網路上的內容連結。
除了信任位置之外,您可以使用「受信任的發行者」清單來指定您信任的內容發行者。「發行者」是任何已建立並散佈 ActiveX 控制項、增益集或巨集的組織。「受信任的發行者」是任何已加入受信任發行者清單的發行者。當開啟檔案時,檔案包含由受信任的發行者所建立的內容,所有的內容都會啟用並且為使用中,而且系統不會通知使用者檔案中可能含有任何潛在的風險。
若要規劃信任位置和受信任的發行者,請使用下列各節中的最佳作法和建議的指導方針。
信任位置的計劃
2007 Office System 提供一些設定,可讓您控制信任位置的行為。透過完成這些設定,您可以:
停用所有的信任位置。
以全域方式或是針對每個應用程式指定信任位置。
允許信任位置存在於遠端共用上。
防止使用者建立信任位置。
如需每個信任位置設定的詳細資訊,請參閱<2007 Office 系統中的安全性原則和設定>。
雖然您可以將信任位置設定成符合各種不同的案例,不過,信任位置最常見的案例包括:
停用信任位置功能,以防止使用者建立信任位置並防止應用程式辨識信任位置。
實作信任位置功能與自訂信任位置。
停用信任位置
若要停用信任位置,請設定下表中所建議的信任位置設定。
設定名稱 | 建議的設定 | 描述 |
---|---|---|
停用所有信任位置 |
選取此選項:停用 |
根據預設,會啟用信任位置。選取此選項會啟用所有信任的位置,包括的信任位置如下:
啟用此選項可防止使用者在信任中心中設定信任位置設定。這不是全域設定;您必須為 Microsoft Office Access 2007、Microsoft Office Excel 2007、Microsoft Office PowerPoint 2007、Microsoft Office Visio 2007,和 Microsoft Office Word 2007 針對每個應用程式選取此選項。 |
如果您停用信任位置,請務必確定:
通知使用者無法使用信任位置功能。如果使用者已從信任位置開啟檔案,而且您停用信任位置,則使用者可能會開始看到訊息列中的警告,而且他們可能需要回應訊息列警告以啟用主動式內容,例如 ActiveX 控制項與 Visual Basic for Applications (VBA) 巨集。
將設定記錄於安全性規劃文件和安全性作業文件中。
實作信任位置
若要實作信任位置,必須決定:
哪些應用程式要設定信任位置。
信任位置要使用哪些資料夾。
您要套用到信任位置的資料夾共用和資料夾安全性設定。
哪些限制要套用至信任位置。
決定哪些應用程式要設定信任位置
您可以設定 Office Access 2007、Office Excel 2007、Office PowerPoint 2007、Office Visio 2007 和 Office Word 2007 的信任位置。當您決定要設定信任位置的應用的程式時,請考慮下列項目:
信任位置會影響檔案中的所有主動式內容,包括 ActiveX 控制項、超連結、資料來源和媒體的連結以及 VBA 巨集。
每個應用程式提供設定信任位置的相同設定。這表示可以個別自訂每個應用程式的信任位置。
您可以停用一或多個應用程式的信任位置,並實作其他應用程式的信任位置。
決定要用於信任位置的資料夾
如果預設值信任位置資料夾不適合貴組織,可以建立自己的資料夾並將它們指定為信任位置。如需預設信任位置的詳細資訊,請參閱<評估 2007 Office system 的預設安全性設定和隱私選項>。
當您決定要指定為信任位置的資料夾,請考慮下列項目:
您可以針對每個應用程式或以全域方式指定信任位置。
一或多個應用程式可以共用一個信任位置。
為了防止惡意使用者將檔案新增至信任位置或修改儲存在信任位置中的檔案,您必須保護指定為信任位置的任何資料夾。
我們不建議您將網路共用指定為信任位置。根據預設,只允許在使用者硬碟上的信任位置。若要啟用網路共用上的信任位置,您必須啟用 [允許不在電腦中的信任位置]。
我們不建議您將整個 [文件] 或 [我的文件] 資料夾指定為信任位置。請改在這些資料夾內建立子資料夾,並僅將該資料夾指定為信任位置。
除此之外,如果您想要執行下列動作,請使用下列各節中的指導方針:
使用環境變數來指定信任位置。
將 Web 資料夾 (也就是,http:// 路徑) 指定為信任位置。
使用環境變數來指定信任位置
您可以使用環境變數來指定信任位置,但是您必須變更在登錄中用以儲存信任位置的值類型,這樣環境變數才能適當運作。如果您使用環境變數以指定信任位置,而且您未做所需的登錄修改,則信任位置會出現在「信任中心」內,但是它無法使用並且會顯示成包含環境變數的相對路徑。在變更登錄中的值類型之後,信任位置會在「信任中心」內顯示成絕對路徑,而且它是可以使用的。
重要事項: |
---|
當您使用「群組原則」來指定信任位置時,無法使用環境變數。您只能透過 Office 自訂工具 (OCT) 來使用環境變數以指定信任位置。 |
若要使用環境變數來指定信任位置,請執行下列動作:
使用「登錄編輯程式」來找出環境變數所顯示的信任位置。
使用 OCT 所設定的信任位置會儲存在下列位置:
HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/application_name/Security/Trusted Locations
其中 application_name 可能是 Access、Excel、PowerPoint、Visio 或 Word。
信任位置是儲存在名為 Path 的登錄項目中,而且會將它們儲存為 String 值 (REG_SZ) 值類型。請務必找出每個 Path 項目以使用環境變數來指定信任位置。
變更 Path 值類型。
2007 Office System 中的應用程式無法辨識儲存為字串值 (REG_SZ) 值類型的環境變數。若希望應用程式辨識環境變數,您必須變更 Path 項目的值類型,使它成為可擴充字串值 (REG_EXPAND_SZ) 值類型。若要執行這項操作,請執行下列步驟:
附註: 不正確編輯登錄,可能會造成系統嚴重受損。在變更登錄之前,您應該先備份電腦上所有的重要資料。 寫下或複製 Path 項目的值。這應該是含有一或多個環境變數的相對路徑。
刪除 Path 項目。
建立可擴充字串值 (REG_EXPAND_SZ) 類型的新 Path 項目。
修改新的 Path 項目,使它具有在第一個步驟中寫下或複製的相同值。
請務必為每個使用環境變數來指定信任位置的 Path 項目進行這項變更。
指定 Web 資料夾做為信任位置
您可以指定 Web 資料夾 (也就是,http:// 路徑) 做為信任位置,但是只有那些支援 Web Distributed Authoring and Versioning (WebDAV) 或 FrontPage Server Extensions 遠端程序呼叫 (FPRPC) 通訊協定的那些 Web 資料夾才會組織為信任位置。如果您不確定 Web 資料夾是否支援 WebDAV 或 FPRPC 通訊協定,請使用下列指導方針:
如果應用程式是由 Internet Explorer 開啟,請檢查最近使用的檔案清單。如果最近使用的檔案清單,指出檔案位於遠端伺服器上,而非在 [Temporary Internet Files] 資料夾中,很可能 Web 資料夾會以某種形式支援 WebDAV。例如,如果在 Internet Explorer 中瀏覽時按一下文件,而且文件在 Office Word 2007 中開啟,最近使用的檔案清單應該會顯示文件位於遠端伺服器上,而且不在本機 [Temporary Internet Files] 資料夾中。
請試著使用 [開啟] 對話方塊瀏覽至 Web 資料夾。如果路徑支援 WebDAV,您應該可以瀏覽至 Web 資料夾或是系統應該會提示輸入憑證。如果 Web 資料夾不支援 WebDAV,瀏覽會失敗,而且對話方塊會關閉。
附註: |
---|
使用 Windows SharePoint Services 3.0 與 Microsoft Office SharePoint Server 2007 所建立的網站可以指定為信任位置。 |
決定資料夾共用及資料夾的安全性設定
所有指定為信任位置的資料夾都必須共用及受到保護。請使用下列指導方針來決定您需要將哪些共用設定和安全性設定套用到每個信任位置:
共用您指定為信任位置的每個資料夾,這樣使用者就可以存取儲存在信任位置中的檔案。
設定共用權限,以便只有授權的使用者可以存取共用資料夾。請務必使用最低權限的原則及授與適用於使用者的權限。也就是,將「讀取」權限授與那些不需要修改信任檔案的使用者,並將「完全控制」權限授與那些需要修改信任檔案的使用者。
套用資料夾安全性權限,如此便只有授權的使用者可以讀取或修改信任位置中的檔案。請務必使用最低權限原則並授與適用於使用者的權限。也就是,將「完全控制」權限授與那些需要修改檔案的使用者;並將更嚴格的權限授與那些只需要讀取檔案的使用者。
決定信任位置的限制
有一些設定可以讓您用來限制或控制信任位置的行為。請使用下表中的建議,決定如何完成這些設定。
設定名稱 | 建議的設定 | 描述 |
---|---|---|
允許混合原則及使用者位置 |
選取此選項:停用 |
根據預設,一部電腦可以同時具有使用者建立、OCT 建立及群組原則建立的信任位置組合。選取此選項會停用所有不是由「群組原則」建立的所有信任位置,並防止使用者透過信任中心的圖形化使用者介面來建立新的信任位置。這是會套用至設定信任位置的所有應用程式之全域設定。 |
允許不在電腦中的信任位置 |
選取此選項:停用 |
根據預設,會停用網路共用的信任位置,但是使用者仍然可以選取「信任中心」圖形化使用者介面中的 [允許我的網路上之信任位置] 核取方塊。選取此選項會停用是網路共用的信任位置,並且會防止使用者選取在「信任中心」圖形化使用者介面中的 [允許我的網路上之信任位置] 核取方塊。如果您指定 [停用],而且使用者嘗試指定網路共用做為信任位置,會出現警告來通知使用者目前的安全性設定不允許建立有遠端路徑或網路路徑的目前安全性設定。如果系統管理員透過群組原則或是使用 OCT 將網路共用指定為信任位置,而且此設定已 [停用],則會停用信任位置,而且應用程式將無法辨識它。這不是全域設定;您必須為 Office Access 2007、Office Excel 2007、Office PowerPoint 2007、Office Visio 2007 和 Office Word 2007 這些應用程式個別完成此設定。 |
附註: |
---|
您也可以使用 [移除所有安裝時由 OCT 寫入的信任位置] 設定來刪除由設定 OCT 所建立的所有信任位置。如需此設定的詳細資訊,請參閱<2007 Office 系統中的安全性原則和設定>。 |
受信任的發行者計劃
2007 Office System 會在 Internet Explorer 受信任的發行者存放區中儲存受信任的發行者之憑證。舊版的 Office 將受信任的發行者憑證資訊 (特別是,憑證指紋) 存放在一個特殊的 Office 受信任的發行者存放區中。2007 Office System 仍然會從 Office 受信任的發行者存放區中,讀取受信任的發行者憑證資訊,但它不會將資訊寫入此存放區。所以,如果您在舊版的 Office 中建立一份受信任的發行者清單,並升級到 2007 Office System,仍然可以辨識受信任的發行者清單。不過,您新增到清單的任何受信任的發行者憑證都會儲存在 Internet Explorer 受信任的發行者存放區中。所有使用受信任發行者清單的應用程式,都有這個相同的行為,包括:
Office Access 2007
Office Excel 2007
Microsoft Office InfoPath 2007
Microsoft Office Outlook 2007
Office PowerPoint 2007
Microsoft Office Publisher 2007
Office Visio 2007
Office Word 2007
您無法使用 Office 2007 系統管理範本來將憑證新增到受信任的發行者清單;不過,您可以使用 OCT。若要執行這項操作,您必須擁有受信任的發行者所發出的數位憑證 (.cer 檔案)。如果無法直接從發行者取得憑證,可以從發行者已簽署的檔案匯出憑證,例如動態連結程式庫 (.dll) 檔案或可執行檔 (.exe)。下列程序示範如何執行這項操作。
從.dll 檔匯出憑證
以滑鼠右鍵按一下發行者已簽署的 .dll 檔案,然後按一下 [內容]。
按一下 數位簽章] 索引標籤。
在 [簽章清單] 中,按一下憑證,然後按一下 [詳細資料]。
按一下 [數位簽章詳細資料] 對話方塊中的 [檢視憑證]。
按一下 [詳細資料] 索引標籤,然後按一下 [複製到檔案]。
在 [憑證探索精靈] 歡迎頁面中,按一下 [下一步]。
在 [匯出檔案格式] 頁面中,按一下 [DER 編碼二位元 X.509 (.CER)],然後按一下 [下一步]。
在 [要匯出的檔案] 頁面中,輸入 .cer 檔案的路徑與名稱,按一下 [下一步],然後按一下 [完成]。
或者,您可以使用此程序來決定需要哪些憑證,然後在 Microsoft Office Word 2007 中建立他們。
決定需要哪些憑證
在執行組織標準設定 (包括使用者需要的任何增益集) 的測試電腦或用戶端電腦上,啟用 [要求應用程式增益集由受信任的發行者簽署] 選項:
- 依序按一下 [Microsoft Office 按鈕]、[Word 選項]、[信任中心]、[信任中心設定]、[增益集]、[要求應用程式增益集由受信任的發行者簽署] 及 [確定]。
結束並重新啟動 Word。如果已安裝增益集,則 [安全性警告] 列會顯示下列訊息:[已經停用應用程式增益集]。
暫時停用智慧標籤:
依序按一下 [Microsoft Office 按鈕]、[Word 選項] 及 [確定]。[安全性警告] 列會顯示下列訊息:[已經停用部分主動式內容]。
附註: 當您關閉再重新啟動 Word 之後,智慧標籤將會再次啟用。 在 [安全性警告] 列上,按一下 [選項]。
在 [安全性警訊 - 多重議題] 視窗中,針對每個會顯示有效數位簽章的增益集執行下列步驟,藉以將每個憑證安裝至 [受信任的發行者] 清單:
附註: 如果您並未在先前步驟中啟用智慧標籤,將會看見不同的視窗,而您將無法從其中安裝憑證。 按一下 [顯示簽章詳細資料]。
按一下 [數位簽章詳細資料] 視窗中的 [檢視憑證]。
按一下 [憑證] 視窗中的 [安裝憑證]。
在 [憑證匯入精靈] 中,依序按一下 [下一步]、[將所有憑證放入以下的存放區]、[瀏覽]、[受信任的發行者]、[確定]、[下一步] 及 [完成]。
準備要散佈的憑證檔案:
在 [受信任的發行者] 方塊中 (依序按一下 [Microsoft Office 按鈕]、[Word 選項]、[信任中心]、[信任中心設定] 及 [受信任的發行者]),檢視您安裝的憑證。
針對每個憑證,按兩下憑證,然後執行下列步驟:
在 [憑證] 視窗的 [詳細資料] 索引標籤中,按一下 [複製到檔案]。
在 [憑證匯出精靈] 中,按一下 [下一步],然後再按一次 [下一步],以接受預設的檔案格式,輸入檔案名稱,選取儲存檔案的位置,然後按一下 [完成]。