规划 Office 2010 的“受保护的视图”设置
适用于: Office 2010
上一次修改主题: 2017-01-18
如果您要更改 Microsoft Office 2010 中沙盒预览功能的运行方式,则可以配置受保护的视图的各项设置。受保护的视图是 Office 2010 中的一种新安全功能,它在受限环境中打开文件,以便可以先检查这些文件,然后再在 Microsoft Excel 2010、Microsoft PowerPoint 2010 或 Microsoft Word 2010 中打开它们进行编辑,从而有助于减少对您的计算机的攻击。
本文内容:
关于规划受保护的视图的设置
阻止文件在受保护的视图中打开
强制文件在受保护的视图中打开
将文件添加到不安全文件列表中
关于规划受保护的视图的设置
受保护的视图通过在沙盒环境中打开文档、演示文稿或工作簿来帮助减少多种攻击。沙盒 是独立于某些操作系统组件和应用程序的一块计算机内存或一个特定计算机进程。由于此隔离设置,在沙盒环境中运行的程序和进程的危险性较低。沙盒环境经常用于测试可能使计算机不稳定或出现故障的新应用程序和服务。沙盒环境还用于阻止应用程序和进程损害计算机。
在受保护的视图中打开文件时,用户可以查看文件内容,但无法编辑、保存或打印文件内容。活动的文件内容(例如 ActiveX 控件、加载项、数据库连接、超链接和 Visual Basic for Applications (VBA) 宏)处于未启用状态。用户可以从文件中复制内容并将其粘贴到另一个文档中。另外,受保护的视图阻止用户查看用于签署文档、演示文稿或工作簿的数字签名的详细信息。
受保护的视图的默认行为
默认情况下,将在 Excel 2010、PowerPoint 2010 和 Word 2010 中启用受保护的视图功能。但是,文件只在某些条件下才在受保护的视图中打开。在有些情况下,文件会绕过受保护的视图打开以进行编辑。例如,从受信任位置打开的文件和属于受信任文档的文件会绕过多种安全检查,不会在受保护的视图中打开。
默认情况下,如果满足以下任一条件,则文件将在受保护的视图中打开:
文件跳过或未通过 Office 文件验证 Office 文件验证是一种用于扫描文件中是否存在文件格式漏洞的新安全功能。如果 Office 文件验证功能检测到可能存在漏洞或其他一些不安全的文件损坏行为,则将在受保护的视图中打开文件。
AES 区域信息确定文件不安全 附件执行服务 (AES) 向由 Microsoft Outlook 或 Microsoft Internet Explorer 下载的文件中添加区域信息。如果文件的区域信息指示该文件源自不受信任的网站或 Internet,则下载的文件将在受保护的视图中打开。
用户在受保护的视图中打开文件 用户可以通过以下方式在受保护的视图中打开文件:在“打开”对话框中选择“在受保护的视图中打开”;或者按下 Shift 键,右键单击文件,然后选择“在受保护的视图中打开”。
从不安全的位置打开文件 默认情况下,不安全的位置包括用户的 Temporary Internet Files 文件夹以及放置下载的程序文件的文件夹。但是,您可以使用组策略设置来指定其他不安全的位置。
在有些情况下,即使满足了前面列出的一个或多个条件,也会绕过受保护的视图。特别是当满足以下任一条件时,文件将不会在受保护的视图中打开:
文件是从受信任位置打开的。
文件被视为受信任文档。
更改受保护的视图的行为
建议您不要更改受保护的视图的默认行为。受保护的视图是 Office 2010 中分层防御策略的重要组成部分,旨在与其他安全功能(例如 Office 文件验证和文件阻止)协作。但是,我们认识到某些组织可能必须更改受保护的视图的设置,才能符合特殊安全需要。因此,Office 2010 提供了几种允许您更改受保护的视图功能运行方式的设置。您可以使用这些设置执行以下操作:
阻止从 Internet 下载的文件在受保护的视图中打开。
阻止存储在不安全位置的文件在受保护的视图中打开。
阻止在 Microsoft Outlook 2010 中打开的附件在受保护的视图中打开。
将位置添加到不安全位置列表中。
另外,您可以使用文件阻止设置和 Office 文件验证设置来强制文件在受保护的视图中打开。有关详细信息,请参阅下文中的强制文件在受保护的视图中打开。
备注
有关本文中讨论的设置的详细信息,请参阅 Security policies and settings in Office 2010。有关如何在 Office 自定义工具 (OCT) 和 Office 2010 管理模板中配置安全设置的信息,请参阅为 Office 2010 配置安全性。
阻止文件在受保护的视图中打开
您可以更改受保护的视图的设置,以便某些文件绕过受保护的视图。为此,可启用以下设置:
不在受保护的视图中打开来自 Internet 区域的文件 如果 AES 区域信息指示文件是从 Internet 区域下载的,则此设置将强制文件绕过受保护的视图。此设置适用于使用 Internet Explorer、Outlook Express 和 Outlook 下载的文件。
不在受保护的视图中打开位于不安全位置的文件 如果文件是从不安全的位置打开的,则此设置将强制文件绕过受保护的视图。您可以使用“指定不安全位置的列表”设置将文件夹添加到不安全位置列表中,此设置将在下文中讨论。
对 Outlook 中打开的附件关闭受保护的视图 此设置强制作为 Outlook 2010 附件打开的 Excel 2010、PowerPoint 2010 和 Word 2010 文件绕过受保护的视图。
如果文件阻止设置强制文件在受保护的视图中打开,将不应用这些设置。另外,如果文件未通过 Office 文件验证,则也不应用这些设置。您可以按应用程序为 Excel 2010、PowerPoint 2010 和 Word 2010 的情况分别配置其中每项设置。
强制文件在受保护的视图中打开
文件阻止和 Office 文件验证功能具有的某些设置允许您在满足某些条件时强制在受保护的视图中打开文件。您可以使用这些设置来确定文件在受保护的视图中打开时所处的境况。
使用文件阻止功能来强制文件在受保护的视图中打开
文件阻止功能允许您阻止用户打开或保存某些文件类型。当您使用文件阻止设置来阻止文件类型时,可以选择以下三种文件阻止操作之一:
阻止并且不允许打开。
阻止并且仅在受保护的视图中打开(用户无法进行编辑)。
阻止并且在受保护的视图中打开(用户可以进行编辑)。
通过选择第二个或第三个选项,您可以强制被阻止的文件类型在受保护的视图中打开。您只能按应用程序为 Excel 2010、PowerPoint 2010 和 Word 2010 的情况配置文件阻止设置。有关文件阻止设置的详细信息,请参阅规划 Office 2010 的文件阻止设置。
使用 Office 文件验证设置来强制文件在受保护的视图中打开
Office 文件验证是一种新安全功能,它在 Office 2010 应用程序打开文件之前对文件进行文件格式漏洞扫描。默认情况下,未通过 Office 文件验证的文件将在受保护的视图中打开,并且用户可以在受保护的视图中预览文件后进行编辑。不过,您可以使用“文件验证失败时设置文档行为”设置来更改此默认行为。您可以使用此设置来为未通过 Office 文件验证的文件选择三种可能的选项之一:
完全阻止 未通过 Office 文件验证的文件无法在受保护的视图中打开或打开后进行编辑。
在受保护的视图中打开并且不允许编辑 未通过 Office 文件验证的文件在受保护的视图中打开,但用户无法编辑这些文件。
在受保护的视图中打开并且允许编辑 未通过 Office 文件验证的文件在受保护的视图中打开,并且允许用户编辑这些文件。这是默认设置。
通过选择第二个选项,您可以针对未通过 Office 文件验证的文件限制受保护的视图的行为。您只能按应用程序为 Excel 2010、PowerPoint 2010 和 Word 2010 的情况配置此 Office 文件验证设置。有关 Office 文件验证设置的详细信息,请参阅规划 Office 2010 的 Office 文件验证设置。
将文件添加到不安全文件列表中
您可以使用“指定不安全位置的列表”设置将相关位置添加到不安全位置列表中。从不安全的位置打开的文件将始终在受保护的视图中打开。不安全的位置功能不会阻止用户编辑文档;它只是强制文档在受保护的视图中打开后进行编辑。这是应用于 Excel 2010、PowerPoint 2010 和 Word 2010 的全局设置。
备注
有关策略设置的最新信息,请参考 Microsoft Excel 2010 工作簿 Office2010GroupPolicyAndOCTSettings_Reference.xls,可从 Office 2010 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x804)(该链接可能指向英文页面) 下载页上的“此下载中的文件”部分获得该工作簿。
See Also
Concepts
Office 2010 安全概述
了解 Office 2010 的安全威胁和对策
规划 Office 2010 的 Office 文件验证设置