針對 2007 Office system 中的安全性設定和隱私權選項選擇部署工具
更新日期: 2009年2月
適用於: Office Resource Kit
上次修改主題的時間: 2015-03-09
若要針對 2007 Microsoft Office 系統 建立有效的安全性規劃,您必須先識別將在組織中用來設定、部署及管理安全性設定的工具。在某些情況下,單一工具就足以用來設定、部署及管理設定。在其他情況下,您可能需要使用工具組合,一個工具用於設定和部署初始組態,另一個工具則可用於持續管理設定。選擇正確的工具是安全性規劃程序中非常重要的步驟,因為其可協助您確認所規劃的安全性設定可實際部署於整個組織內並強制執行,也可協助確認您可在最初的首度發行之後修訂安全性設定,讓您可以回應突發的安全性威脅。
雖然您可以使用各種不同的工具和技術來部署和管理企業環境中的桌上型電腦應用程式,但是建議您僅使用 Office 自訂工具 (OCT) 和 2007 Office System 群組原則系統管理範本 (.adm 檔案) 來設定、部署及管理 2007 Office System 中的安全性設定。每個工具都有不同的需求和限制,並提供不同的特性與功能。選擇正確的工具需要謹慎評估組織現有的部署與管理基礎結構、組織的安全性架構及組織的安全性需求。若要決定哪個工具適用於組織,可以使用後續幾節中提供的最佳作法與建議,來評估每個工具。
Office 自訂工具
OCT 是新的圖形化使用者介面工具,可協助您建立設定 (.msp) 檔。設定檔可以包含各式各樣的資訊,包括安裝指示、授權資訊及應用程式設定,例如,安全性設定及隱私權選項。您可以下列兩種方式來使用設定檔:
與安裝程式搭配使用,在大規模首度發行期間自訂安裝程序。
與 Windows Installer 3.1 搭配使用,在軟體開發週期的作業階段更新或維護組態設定。
若要使用設定檔來自訂安裝程序,您可以執行下列工作:
使用 OCT 圖形化使用者介面來設定安裝選項和應用程式設定。
將設定和選項儲存到 .msp 檔案中。
在用戶端電腦上執行安裝程式,使用命令列參數來指定要安裝程式使用的 .msp 檔案。
若要使用設定檔來更新或維護現有的安裝,您可以執行下列工作:
使用 OCT 圖形化使用者介面,在現有或新的 .msp 檔案中設定應用程式設定。
將新的應用程式設定儲存於 .msp 檔案中。
在用戶端電腦上執行 Windows Installer,使用命令列參數來指定您要 Windows Installer 使用的 .msp 檔案。
如需使用 OCT 的詳細資訊,請參閱<2007 Office 系統的 Office 自訂工具>和<自訂 2007 Office system>。
需求和限制
雖然 OCT 是新工具,但它不需要任何特殊的基礎結構增強功能。例如,您不需修改現有的硬體、軟體、網路拓撲或安全性架構,即可使用 OCT。不過,OCT 有下列要求:
您必須將 OCT 與 Office 安裝程式搭配使用。OCT 只會產生 .msp 檔案,不會將安全性設定套用到電腦。您必須使用安裝程式來安裝 2007 Office System 並套用 .msp 檔案中所儲存的安全性設定。
您必須使用 2007 Office System 隨附的安裝程式,因為它是唯一支援的安裝程式,可以讀取 OCT 產生之 .msp 檔案中的資料,並將安全性設定 (和其他設定) 新增到登錄。
要執行安裝程式和 OCT 的電腦必須安裝 Windows Installer 3.1。
您必須是本機電腦上的管理員群組成員,才能執行 OCT 與 Office 安裝程式。
決定是否要使用 OCT 來設定和管理安全性設定時,您應將下列兩個 OCT 限制納入考慮:
您無法利用 OCT 鎖定或強制執行安全性設定。OCT 會在登錄的可公開存取部份 (例如,HKEY_CURRENT_USER/Software/Microsoft/Office/12.0) 中設定應用程式設定。如果您使用 OCT 來設定或管理 2007 Office System 的安全性設定,使用者便可修改您部署的安全性設定。因為使用者可以變更這些設定,所以這些設定會被視為使用者喜好設定而非受管理的設定。如果您要強制執行安全性設定,可使用群組原則。
當您使用 OCT 時,只能設定一個封鎖檔案格式設定。封鎖檔案格式設定讓您可以防止使用者開啟或儲存特定的檔案類型或檔案格式。如果您要防止使用者使用較舊的檔案格式或者想要減緩零時差攻擊,這些設定會很實用。
常見案例
您可以使用 OCT 和安裝程式來設定、部署及管理許多 IT 環境中的安全性設定。下列各節將說明 OCT 和安裝程式特別有用的案例。
未受管理的環境
未集中管理桌上型電腦應用程式或者沒有遠端管理桌上型電腦環境的組織通常會使用 OCT。在這些情況下,您可以使用 OCT 和安裝程式來設定、部署及管理安全性設定,而不需使用遠端系統管理工具 (例如,Microsoft Systems Management Server 2003) 或以原則為基礎的工具 (例如,群組原則)。
初始安全性設定
OCT 通常會用來建立初始安全性設定,即使群組原則是用來鎖定或強制執行安全性設定也一樣。這有助於確保安全性設定會在最初的首度發行期間及進行第一個原則更新之前加以設定。使用 OCT 來建立初始安全性設定也可讓您藉由重新套用初始設定檔案,來重設電腦上的安全性設定。
部分鎖定的環境
OCT 在部分鎖定的環境中非常有用,在此環境中已透過群組原則鎖定安全性設定的重要子集,但並未鎖定其他安全性設定,可讓使用者進行設定。在此案例中,大部分的安全性設定都是在初始安裝期間,使用 OCT 產生的設定檔案 (.msp 檔案) 進行設定,在初始設定完成之後,會透過群組原則部署和管理重要的安全性設定。
群組原則系統管理範本
2007 Office System 包含 15 個系統管理範本,可讓您透過本機或網域型的群組原則管理安全性設定。系統管理範本是 Unicode 文字檔,群組原則會用其來說明以登錄為基礎的原則設定會儲存在登錄中。所有以登錄為基礎的原則設定都會出現並設定於系統管理範本節點底下的群組原則物件編輯器中。系統管理範本不會套用原則設定;他們讓您能夠在群組原則物件編輯器中檢視原則設定。接著系統管理員可以建立群組原則物件 (GPO),其中包含他們要使用的原則設定。例如,您可能有一個 GPO,其中包含不同的原則設定,可用來管理 ActiveX 控制項、增益集及巨集。
用於群組原則設定的登錄值會儲存在群組原則的核准登錄機碼底下。使用者無法變更或停用這些設定。系統管理員可以完全管理的群組原則設定會被視為「真正的原則」。真正的群組原則設定會有 ACL 限制,以防止使用者變更設定。核准的群組原則登錄機碼如下:
電腦原則設定:
HKEY_LOCAL_MACHINE\Software\Policies (慣用的位置)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
使用者原則設定:
HKEY_CURRENT_USER\Software\Policies (慣用的位置)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
如需系統管理範本、群組原則及 OCT 的詳細資訊,請參閱<群組原則概觀 (2007 Office system)>中的<系統管理範本>和<自訂工具和群組原則>。如需使用系統管理範本來設定、部署及管理安全性設定的詳細資訊,請參閱<使用 2007 Office system 中的群組原則強制執行設定>。
需求和限制
如果您要在執行 Microsoft Windows XP、Microsoft Windows Server 2003 或 Windows Vista 作業系統的電腦上安裝 2007 Office System,則必須符合下列需求,才能使用系統管理範本。
您必須在組織中部署 Active Directory 目錄服務,才能透過網域型群組原則設定來設定、部署及管理安全性設定。
您必須是本機電腦上的管理員群組成員,才能透過本機群組原則設定來設定、部署及管理安全性設定。
決定是否要使用系統管理範本來設定和管理安全性設定時,您應該將下列的系統管理範本限制納入考慮:
群組原則不提供將設定復原為初始設定的機制。如果您利用群組原則來部署初始設定,並對群組原則設定進行後續變更,那麼必須重新設定每個後續的變更,才能還原為初始設定。停用或刪除包含您設定的群組原則物件會將所有設定都變更為 [未設定]。
您無法使用群組原則來設定受信任的發行者設定。您可以只利用 OCT,將數位憑證新增到受信任的發行者清單中。
如果組織很小而且您尚未使用 Active Directory,那麼瞭解和實作 Active Directory 環境中群組原則所需的管理開銷,可能會使實作網域型群組原則的成本過高。
常見案例
群組原則可用來設定、部署及管理許多 IT 環境中的安全性設定。下列各節將說明系統管理範本特別有用的案例。
受管理的環境
系統管理範本在使用群組原則來管理桌上型電腦環境的組織中非常有用。不論您是否已部署 Active Directory 並使用網域型群組原則來管理桌上型電腦環境,或者尚未安裝 Active Directory 但會利用本機群組原則來管理桌上型電腦環境,都符合此情況。
鎖定的環境
在鎖定環境中,使用者對於其桌上型電腦設定的控制權很小,因此系統管理範本相當有用。在此案例中,所有的安全性設定均是透過群組原則進行部署和管理。群組原則設定會覆寫初始安裝期間所設定的任何安全性設定。
實作封鎖檔案格式設定
系統管理範本是唯一能有效實作封鎖檔案格式設定的方法,讓您能夠防止使用者開啟特定的檔案格式或檔案類型。當您知道特定的檔案類型或檔案格式會造成組織風險時,即可使用這些設定來減緩零時差攻擊。若要防止使用者使用較舊的檔案格式或強制使用者使用相同的檔案格式,這些設定也非常有用。
選擇工具
下表會比較兩個建議工具的特性與功能,您可以在 2007 Office System 中使用這些工具來設定安全性設定。使用表格中的資訊來評估每個工具,並決定哪個工具最適合貴組織。
| 特性與功能 | 系統管理範本 | OCT 和安裝程式 |
|---|---|---|
需要 Active Directory。 |
是 (網域型群組原則) 否 (本機群組原則) |
否 |
需要 Windows Installer 3.1。 |
否 |
是 |
需要用戶端電腦上的系統管理認證。 |
是 (本機群組原則) 否 (網域型群組原則) |
是 |
可用來鎖定安全性設定。 |
是 |
否 |
可在初始安裝之後用來管理安全性設定。 |
是 |
是 |
可用來建立初始安全性設定。 |
是 (不適用) |
是 |
可用來設定封鎖檔案格式設定。 |
是 (所有設定) |
是 (但是,只有一個設定) |
可用來將發行者新增到受信任的發行者清單中。 |
否 |
是 |