Sichern von Office-Projektmappen

Artikel
08/10/2011

Das Sicherheitsmodell für Office-Projektmappen beinhaltet verschiedene Technologien: die Visual Studio Tools for Office-Laufzeit, ClickOnce, das Sicherheitscenter in Microsoft Office und die eingeschränkte Internet Explorer-Websitezone. In den folgenden Abschnitten wird die Funktionsweise der verschiedenen Sicherheitsfunktionen beschrieben:

Gewähren von Vertrauenswürdigkeit für Office-Projektmappen
Gewähren von Vertrauenswürdigkeit für Dokumente
Gewähren von Vertrauenswürdigkeit beim Verwenden von Windows Installer
Überlegungen zur Sicherheit von Office-Projektmappen
Sicherheit während der Entwicklung
Visual Studio Tools for Office Runtime

Betrifft: Die Informationen in diesem Thema betreffen Projekte auf Dokument- und Anwendungsebene für Microsoft Office 2010 und 2007 Microsoft Office System. Weitere Informationen finden Sie unter Verfügbare Funktionen nach Office-Anwendung und Projekttyp.

Gewähren von Vertrauenswürdigkeit für Office-Projektmappen

Unter dem Gewähren von Vertrauenswürdigkeit für Office-Projektmappen versteht man das Ändern der Sicherheitsrichtlinie jedes Endbenutzers, um die Office-Projektmappe aufgrund folgenden Beweises als vertrauenswürdig einzustufen:

Das zum Signieren des Bereitstellungsmanifests verwendete Zertifikat.
Die URL des Bereitstellungsmanifests.

Weitere Informationen finden Sie unter Gewähren von Vertrauenswürdigkeit für Office-Projektmappen.

Gewähren von Vertrauenswürdigkeit für Dokumente

Eine Anpassung auf Dokumentebene erfordert, dass sich das Dokument in einem Verzeichnis befindet, das als vertrauenswürdiger Speicherort gekennzeichnet ist. Weitere Informationen finden Sie unter Gewähren von Vertrauenswürdigkeit für Dokumente.

Gewähren von Vertrauenswürdigkeit beim Verwenden von Windows Installer

Sie können mithilfe von Windows Installer eine MSI-Datei erstellen, um Office-Lösungen in das Verzeichnis "Programme" zu installieren. Hierfür sind Administratorrechte erforderlich. Office-Lösungen im Verzeichnis "Programme" werden von Visual Studio 2010-Tools for Office-Laufzeit als vertrauenswürdig betrachtet, und die vertrauenswürdige ClickOnce-Eingabeaufforderung wird nicht angezeigt.

Überlegungen zur Sicherheit von Office-Projektmappen

Die von Microsoft .NET Framework 3.5 und Microsoft Office bereitgestellten Sicherheitsfunktionen können in Office-Projektmappen zum Schutz vor einer Reihe von möglichen Sicherheitsbedrohungen beitragen. Weitere Informationen finden Sie unter Überlegungen zur Sicherheit von Office-Projektmappen.

Sicherheit während der Entwicklung

Zur Vereinfachung des Entwicklungsprozesses legt Visual Studio die Sicherheitsrichtlinie, die zum Ausführen und Debuggen der Projektmappe auf dem Computer erforderlich ist, bei jeder Projekterstellung fest. In einigen Szenarien müssen unter Umständen zusätzliche Sicherheitsschritte zum Entwickeln des Projekts ausgeführt werden.

Projektmappen auf Dokumentebene

Der vollqualifizierte Pfad eines Dokuments muss der Liste der vertrauenswürdigen Speicherorte in der Microsoft Office-Anwendung hinzugefügt werden, falls Sie die folgende Projekttypen entwickeln:

Projektmappen auf Dokumentebene, die sich in einer Netzwerkfreigabe wie \\Servername\Freigabename befinden.
Projektmappen auf Dokumentebene für Word, für die DOC- oder DOCM-Dateien verwendet werden.

Fügen Sie die Unterverzeichnisse ein, wenn Sie den Dokumentspeicherort der Liste für vertrauenswürdige Speicherorte hinzufügen, oder fügen Sie insbesondere die Debug- und Buildordner ein. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Office-Onlinehilfe: Create, remove, or change a trusted location for your files.

Temporäre Zertifikate

Visual Studio erstellt ein temporäres Zertifikat, falls noch kein Signaturzertifikat vorhanden ist. Verwenden Sie dieses temporäre Zertifikat nach Möglichkeit nur während der Entwicklung, und erwerben Sie ein offizielles Zertifikat für die Bereitstellung.

Das temporäre Zertifikat wird nach dem ersten Erstellen eines Office-Projekts generiert. Beim nächsten Drücken der Taste F5 wird das Projekt erneut erstellt, da es beim Hinzufügen des Zertifikats als geändert gekennzeichnet wird.

Da nach einiger Zeit zahlreiche temporäre Zertifikate vorhanden sein können, sollten diese gelegentlich gelöscht werden.

Visual Studio Tools for Office Runtime

Die Visual Studio Tools for Office-Laufzeit verfügt über Funktionen zur Überprüfung der Identität des Herausgebers und der einer Anpassung erteilten Berechtigungen. Die Laufzeit prüft diese Berechtigungen mithilfe einer Reihe von Sicherheitsprüfungen.

Sicherheit während des Anpassungsladevorgangs

Beim Laden einer Anpassung auf Dokumentebene prüft die Visual Studio Tools for Office-Laufzeit stets, ob sich das Dokument in der Liste der vertrauenswürdigen Speicherorte befindet. Außerdem überprüft die Laufzeit, ob die Projektmappe im Anwendungsmanifest "FullTrust" anfordert. Weitere Sicherheitsprüfungen werden beim Laden der Anpassung nicht ausgeführt.

Abfolge der Sicherheitsprüfungen während der Installation

Bei der Installation oder Aktualisierung einer Office-Projektmappe führt die Visual Studio Tools for Office-Laufzeit in einer bestimmten Abfolge eine Reihe von Sicherheitsprüfungen aus, um eine Entscheidung bezüglich der Vertrauenswürdigkeit zu treffen. Eine Projektmappe wird nur installiert oder aktualisiert, wenn durch die Laufzeit bestimmt werden kann, ob die Projektmappe als vertrauenswürdig einzustufen ist.

Für den Start des Installationsvorgangs stehen vier verschiedene Möglichkeiten zur Verfügung: Ausführen des Setupprogramms, Öffnen des Bereitstellungsmanifests, Öffnen des Microsoft Office-Anwendungshosts oder Ausführen von VSTOInstaller.exe.

Die erste Sicherheitsprüfung bezieht sich nur auf Projektmappen auf Dokumentebene. Das Dokument einer Projektmappe auf Dokumentebene muss sich an einem vertrauenswürdigen Speicherort befinden. Wenn sich das Dokument in einer Remotenetzwerk-Dateifreigabe befindet oder die Dateinamenerweiterung .doc oder .docm aufweist, muss der Speicherort des Dokuments der Liste für vertrauenswürdige Speicherorte hinzugefügt werden. Weitere Informationen finden Sie unter Gewähren von Vertrauenswürdigkeit für Dokumente.

Microsoft Office-Sicherheitsprüfungen

VSTO-Sicherheit – Installation aus Microsoft Office

Der nächste Satz Sicherheitsprüfungen wird von der Visual Studio Tools for Office-Laufzeit und von ClickOnce ausgeführt. Für das Bestehen dieser Prüfungen sind folgende Bedingungen zu erfüllen: Office-Projektmappen müssen FullTrust-Berechtigungen anfordern, mit einem Zertifikat signiert sein, das nicht in der Liste der nicht vertrauenswürdigen Herausgeber aufgeführt ist, und sich an einem Speicherort befinden, der nicht in der eingeschränkten Zone von Internet Explorer enthalten ist. Befindet sich das Zertifikat in der Liste der vertrauenswürdigen Herausgeber, wird die Projektmappe umgehend installiert. Andernfalls wird die Projektmappe bei erfolgreicher Absolvierung sämtlicher Prüfungen den letzten Prüfungen unterzogen.

Laufzeit- und ClickOnce-Sicherheitsprüfungen

VSTO-Sicherheit für Installation von Lösungen

Ist die vertrauenswürdige ClickOnce-Eingabeaufforderung zulässig, und wurde die Projektmappe noch nicht als vertrauenswürdig eingestuft, gestattet die Laufzeit dem Benutzer, die Entscheidung bezüglich der Vertrauenswürdigkeit selbst zu treffen. Stuft der Benutzer die Projektmappe als vertrauenswürdig ein, wird der Benutzeraufnahmeliste ein Eintrag hinzugefügt. Alle Projektmappen in der Benutzeraufnahmeliste besitzen vollständige Vertrauenswürdigkeit und können installiert und ausgeführt werden.

Ab Visual Studio 2010 wird die Aufnahmeliste umgangen, wenn die Office-Projektmappe mit dem Windows Installer (MSI) im Verzeichnis "Programme" installiert wird. Weitere Informationen finden Sie unter Gewähren von Vertrauenswürdigkeit für Office-Projektmappen mithilfe von Aufnahmelisten.

Laufzeitaufnahmeliste - Prüfungen

VSTO-Sicherheit – Installation mit dem Setupprogramm

Siehe auch

Share via