规划和配置 Office 2013 的受信任位置设置

  • 项目

 

适用于: Office 365 ProPlus

上一次修改主题: 2016-12-16

摘要 说明如何使用 Office 2013 中的受信任位置功能区分安全文件和可能有害的文件。

目标用户: IT 专业人员

如果要区分安全文件和可能有害的文件,可以使用 Office 2013 中的受信任位置功能。通过受信任位置功能,您能够指定用户计算机硬盘或网络共享中的受信任文件源。文件夹被指定为受信任文件源时,保存在该文件夹中的任何文件都会被假定为受信任文件。打开受信任文件时,文件中的所有内容都为启用和活动状态,且不会通知用户文件中可能包含的任何潜在风险。例如,这些风险可能包括未签名的加载项和 Microsoft Visual Basic for Applications (VBA) 宏、指向 Internet 内容的链接或数据库连接。

引向 Office 安全的路线图箭头。

本文是 Office 2013 安全性指南的一部分。可以使用该指南作为起点来获取可帮助您评估 Office 2013 安全的文章、下载、海报和视频。

您是否要查找有关单独的 Office 2013 应用程序的安全信息?您可以通过在 Office.com 上搜索“2013 安全”来查找此信息。

本文内容:

  • 规划 Office 2013 中的受信任位置设置

  • 在 Office 2013 中实现受信任位置

  • 禁用受信任位置

规划 Office 2013 中的受信任位置设置

Office 2013 提供了几种设置,让您能够控制受信任位置功能的行为。通过配置这些设置,可以执行以下操作:

  • 全局或为每个应用程序指定受信任位置。

  • 允许网络共享成为受信任位置。

  • 阻止用户指定受信任位置。

  • 禁用受信任位置功能。

受信任位置功能在以下应用程序中提供:Access 2013、Excel 2013、InfoPath 2013、PowerPoint 2013、Visio 2013 和 Word 2013。

以下列表描述了受信任位置功能的默认配置:

  • 受信任位置功能已启用。

  • 用户不能指定网络共享为受信任位置。但是,可以在信任中心更改此设置。请参阅查看信任中心中的选项和设置,获取有关受信任位置和信任中心其他用户选项的用户说明。

  • 用户可以将文件夹添加到受信任位置列表。

  • 用户定义和策略定义的受信任位置都能用来指定受信任位置。

此外,在 Office 2013 的默认安装过程中,几个文件夹被指定为受信任位置。下表列出了每个应用程序的默认文件夹。(InfoPath 2013 和 Visio 2013 没有默认受信任位置。)

Access 2013 受信任位置

下表列出了 Access 2013 的默认受信任位置。

Access 2013 的默认受信任位置

默认受信任位置 文件夹说明 子文件夹是否也受信任?

Program Files\Microsoft Office 15\Root\Office15\ACCWIZ

向导数据库

否(不允许)

Excel 2013 受信任位置

下表列出了 Excel 2013 的默认受信任位置。

Excel 2013 的默认受信任位置

默认受信任位置 文件夹说明 子文件夹是否也受信任?

Program Files\Microsoft Office 15\Root\Templates

应用程序模板

是(允许)

Users\user_name\Appdata\Roaming\Microsoft\Templates

用户模板

否(不允许)

Program Files\Microsoft Office 15\Root\Office15\XLSTART

Excel 启动

是(允许)

Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART

用户启动

否(不允许)

Program Files\Microsoft Office 15\Root\Office15\STARTUP

Office 启动

是(允许)

Program Files\Microsoft Office 15\Root\Office15\Library

加载项

是(允许)

PowerPoint 2013 受信任位置

下表列出了 PowerPoint 2013 的默认受信任位置。

PowerPoint 2013 的默认受信任位置

默认受信任位置 文件夹说明 子文件夹是否也受信任?

Program Files\Microsoft Office 15\Root\Templates

应用程序模板

是(允许)

Users\user_name\Appdata\Roaming\Microsoft\Templates

用户模板

是(允许)

Users\user_name\Appdata\Roaming\Microsoft\Addins

加载项

否(不允许)

Program Files\Microsoft Office 15\Root\Document Themes 15

应用程序主题

是(允许)

Word 2013 受信任位置

下表列出了 Word 2013 的默认受信任位置。

Word 2013 的默认受信任位置

默认受信任位置 文件夹说明 子文件夹是否也受信任?

Program Files\Microsoft Office 15\Root\Templates

应用程序模板

是(允许)

Users\user_name\Appdata\Roaming\Microsoft\Templates

用户模板

否(不允许)

Users\user_name\Appdata\Roaming\Microsoft\Word\Startup

用户启动

否(不允许)
注意注意:
有关如何在 Office 自定义工具 (OCT) 和 Office 2013 管理模板中配置安全设置的信息,请参阅使用 OCT 或组策略为 Office 2013 配置安全性

在 Office 2013 中实现受信任位置

要实现受信任位置,必须确定以下事项:

  • 要为其配置受信任位置的应用程序。

  • 要指定为受信任位置的文件夹。

  • 要应用于受信任位置的文件夹共享和文件夹安全设置。

  • 要应用于受信任位置的限制。

确定要为其配置受信任位置的应用程序

使用以下指南帮助确定要为其配置受信任位置的应用程序:

  • 受信任位置影响文件中的所有内容。包括加载项、ActiveX 控件、超链接、指向数据源与媒体的链接和 VBA 宏。而且,从受信任位置打开的文件会跳过文件验证检查、文件阻止检查,且不会在受保护的视图中打开。

  • 每个应用程序为配置受信任位置提供相同的设置。这意味着您可以独立地为每个应用程序自定义受信任位置。

  • 可以为一个或多个应用程序禁用受信任位置,而为其他应用程序实现受信任位置。

确定要指定为受信任位置的文件夹

使用以下指南帮助确定要指定为受信任位置的文件夹:

  • 可以为每个应用程序或全局指定受信任位置。

  • 一个或多个应用程序可以共享受信任位置。

  • 为了防止恶意用户将文件添加到受信任位置或修改保存在受信任位置中的文件,您必须对指定为受信任位置的任何文件夹应用操作系统安全设置。

  • 默认情况下,仅允许使用用户硬盘上的受信任位置。要启用网络共享上的受信任位置,必须启用“允许网络上的受信任位置(不推荐)”设置。

  • 我们不建议您将根文件夹(例如驱动器 C)或整个文档或我的文档文件夹指定为受信任位置。应在那些文件夹中创建子文件夹并仅将该文件夹指定为受信任位置。

此外,如果需要,必须使用以下各节中的指南:

  • 使用环境变量指定受信任位置。

  • 将 Web 文件夹(即 http://paths)指定为受信任位置。

使用环境变量指定受信任位置

可以通过组策略和 OCT 使用环境变量指定受信任位置。但是,在 OCT 中使用时,要让环境变量正常工作,必须更改用于在注册表中存储受信任位置的值的类型。如果使用环境变量指定受信任位置,而没有进行必要的注册表修改,受信任位置会出现在信任中心,但是并不可用且将列为包含环境变量的相对路径。更改注册表中值的类型后,受信任位置会在信任中心显示为绝对路径并且可用。

注意注意:
可以使用鼠标、键盘快捷方式或触摸完成所有 Office 2013 套件中的任务。若要了解如何结合使用 Office 产品和服务与键盘快捷方式和触摸,请参阅 Keyboard shortcuts(键盘快捷方式)和 Office 触摸指南

使用环境变量指定受信任位置

  1. 使用注册表编辑器找到由环境变量表示的受信任位置。

    要打开注册表编辑器,请依次单击“开始”、“运行”,键入 regedit,然后单击“确定”。

    或者,如果您正在使用 Windows 8 或 Windows 8.1,从右侧轻扫以显示超级按钮,选择“搜索”超级按钮,然后键入“regedit”。

    通过 OCT 配置的受信任位置存储在以下位置:

    HKEY_CURRENT_USER/Software/Microsoft/Office/15.0/application_name/Security/Trusted Locations

    其中 application_name 可以是 Access、Excel、PowerPoint、Visio 或 Word。

    受信任位置存储在名为 Path 的注册表项中,并且存储为字符串值 (REG_SZ) 值类型。确保找到每个使用环境变量指定受信任位置的 Path 项。

  2. 更改 Path 值类型。

    Office 2013 中的应用程序不能识别存储为字符串值 (REG_SZ) 值类型的环境变量。为了让应用程序识别环境变量,必须更改 Path 项的值类型,使其成为可扩展字符串值 (REG_EXPAND_SZ) 值类型。为此,请按以下步骤操作:

    1. 记下或复制 Path 项的值。它应该是包含一个或多个环境变量的相对路径。

    2. 删除 Path 项。

    3. 创建类型为可扩展字符串值 (REG_EXPAND_SZ) 的Path项。

    4. 更改 Path 项,使其值与您在第一步中记下或复制的值相同。

    确保对每个使用环境变量指定受信任位置的 Path 项都进行此更改。

将 Web 文件夹指定为受信任位置

可以将 Web 文件夹(即 http://paths)指定为受信任位置。但是,只有支持 Web 分布式创作和版本管理 (WebDAV) 或 FrontPage Server Extensions 远程过程调用 (FPRPC) 协议的 Web 文件夹才会被视为受信任位置。如果您不确定某个 Web 文件夹是否支持 WebDAV 或 FPRPC 协议,请使用以下指南:

  • 如果在 Internet Explorer 中打开应用程序,请检查最近使用的文件列表。如果最近使用的文件列表指示文件位于远程服务器上,而不是临时 Internet 文件文件夹中,则该 Web 文件夹有可能支持某种格式的 WebDAV。例如,如果在浏览 Internet Explorer 时打开某个文档,并且该文档在 Word 2013 中打开,则最近使用的文件列表应该显示文档位于远程服务器上,而不在本地临时 Internet 文件文件夹中。

  • 尝试使用“打开”对话框浏览 Web 文件夹。如果路径支持 WebDAV,则可能可以浏览到该 Web 文件夹,或者会提示您输入凭据。如果 Web 文件夹不支持 WebDAV,导航失败,对话框将会关闭。

注意注意:
使用 SharePoint Server 2013 创建的网站可以指定为受信任位置。

为受信任位置文件夹确定文件夹共享和文件夹安全设置

所有指定为受信任位置的文件夹必须是安全的。使用以下指南确定必须应用于每个受信任位置的共享设置和安全设置:

  • 如果文件夹已共享,请配置共享权限,这样,只有授权用户能够访问共享文件夹。确保使用最小特权原则并为用户授予合适的权限。即,为不需要更改受信任文件的用户授予读取权限,为需要更改受信任文件的用户授予完全控制权限。

  • 应用文件夹安全权限,这样,只有授权用户才能读取或更改受信任位置中的文件。确保使用最小特权原则并向用户授予合适的权限。即,只为需要更改文件的用户授予完全控制权限。然后,为只需要读取文件的用户授予更严格的权限。

为受信任文件确定限制

Office 2013 提供了几种设置,让您能够限制或控制受信任位置的行为。使用以下指南确定如何配置这些设置。

**组策略设置名称:**允许混合使用策略和用户位置

  • **说明:**此设置控制受信任位置可以由用户、OCT 和组策略定义,还是只能由组策略定义。默认情况下,用户可以将任何位置指定为受信任位置,且计算机上可以包含用户创建、OCT 创建和组策略创建的受信任位置的任意组合。

  • **影响:**如果此设置已禁用,所有不是由组策略创建的受信任位置将会禁用,用户不能在信任中心创建新的受信任位置。禁用此设置后,会导致在信任中心定义了自己的受信任位置的用户出现某些中断。应用程序会将此类位置与任何其他不受信任位置一样对待,也就是说用户在打开文件时会看到有关内容(例如 ActiveX 控件和 VBA 宏)的消息栏警告,且必须选择是启用控件和宏,还是保持禁用状态。这是应用于配置了受信任位置的所有应用程序的全局设置。

  • **指南:**处于限制性较强的安全环境的组织通常会禁用此设置。通过组策略管理桌面配置的组织通常会禁用此设置。

**组策略设置名称:**允许网络上的受信任位置

  • **说明:**此设置控制是否可以使用网络上的受信任位置。默认情况下,禁用网络共享的受信任位置。但是用户仍然可以选中信任中心的“允许网络上的受信任位置(不推荐)”复选框,这样将使用户能够将网络共享指定为受信任位置。这不是全局设置。必须以每个应用程序为单位为 Access 2013、Excel 2013、PowerPoint 2013、Visio 2013 和 Word 2013 配置此设置。

  • **影响:**禁用此设置将禁用所有网络共享的受信任位置并阻止用户选中信任中心的“允许网络上的受信任位置(不推荐)”复选框。禁用此设置后,会导致在信任中心定义了自己的受信任位置的用户出现某些中断。如果您已禁用此设置,而用户尝试将网络共享指定为受信任位置,将出现警告,告知用户当前的安全设置不允许他们创建远程路径或网络路径的受信任位置。如果管理员通过组策略或通过使用 OCT 将网络共享指定为受信任位置,且此设置已禁用,该受信任位置将会禁用。应用程序会将此类位置与任何其他不受信任位置一样对待,也就是说用户在打开文件时会看到有关内容(例如 ActiveX 控件和 VBA 宏)的消息栏警告,且必须选择是启用控件和宏,还是保持禁用状态。

  • **指南:**处于限制性较强的安全环境的组织通常会禁用此设置。

注意注意:
还可以使用“删除 OCT 在安装过程中写入的所有受信任位置”设置将删除所有通过配置 OCT 创建的受信任位置。

在 Office 2013 中禁用受信任位置

Office 2013 提供能够让您禁用受信任位置功能的设置。此设置必须以每个应用程序为单位为 Access 2013、Excel 2013、PowerPoint 2013、Visio 2013 和 Word 2013 配置。使用以下指南确定是否应该使用此设置。

**组策略设置名称:**禁用所有受信任位置

  • **说明:**此设置能够让您在每个应用程序上禁用受信任位置功能。默认情况下,受信任位置功能已启用,用户可以创建受信任位置。

  • **影响:**启用此设置会禁用所有受信任位置。包括如下受信任位置:

    • 默认安装过程中创建的。

    • 使用 OCT 创建的。

    • 用户通过信任中心创建的。

    • 使用组策略创建的。

启用此设置还会阻止用户在信任中心配置受信任位置设置。如果启用此设置,请确保通知用户他们将不能使用受信任位置功能。如果用户已经打开来自受信任位置的文件,而您启用了此设置,用户可能会开始看到消息栏警告,并且系统可能会要求他们响应消息栏警告,以启用内容,例如 ActiveX 控件、加载项和 VBA 宏。
  • **指南:**处于限制性较强的安全环境的组织通常会启用此设置。
注意注意:
有关策略设置的最新信息,请参阅包含在 Office 2013 管理模板文件中的 Excel 2013 工作簿 Office2013GroupPolicyAndOCTSettings_Reference.xlsx。有关详细信息,请参阅 TechNet 文章 Office 2013 管理模板文件 (ADMX/ADML) 和 Office 自定义工具

另请参阅

Office 2013 安全性指南
Office 2013 中的安全概述
使用 OCT 或组策略为 Office 2013 配置安全性
了解 Office 2013 的安全威胁和对策
规划和配置 Office 2013 受信任的发布者设置
使用 OCT 或组策略为 Office 2013 配置安全性