Escolha uma ferramenta de implantação para configurações de segurança e opções de privacidade no sistema 2007 Office
Atualizado: fevereiro de 2009
Aplica-se a: Office Resource Kit
Tópico modificado em: 2015-03-09
Para criar um plano de segurança eficaz para o Microsoft Office 2007, você deve primeiro identificar as ferramentas que vai usar para definir, implantar e gerenciar as configurações de segurança da sua organização. Em alguns casos, uma única ferramenta é adequada para definição, implantação e gerenciamento das configurações. Em outros casos, pode ser necessário usar uma combinação de ferramentas — uma para definir e implantar a configuração inicial e outra para gerenciar as configurações continuamente. A escolha da ferramenta certa é uma etapa crucial para o processo de planejamento de segurança, pois é ela que garante a implantação e imposição em toda a organização das configurações de segurança planejadas. Ela também o ajuda a modificar as configurações de segurança depois da distribuição inicial, permitindo que você responda a ameaças de segurança repentinas.
Embora você possa usar uma ampla gama de ferramentas e técnicas para implantar e gerenciar aplicativos da área de trabalho em ambientes corporativos, recomendamos usar apenas a OCT (Ferramenta de Personalização do Office) e os Modelos Administrativos da Diretiva de Grupo do 2007 Office system (arquivos .adm) para definir, implantar e gerenciar as configurações de segurança do 2007 Office system. Cada ferramenta tem requisitos e limitações diferentes e oferece recursos e funcionalidades variadas. A escolha da ferramenta certa requer uma avaliação cuidadosa da infraestrutura de implantação e gerenciamento existente, da arquitetura e das necessidades de segurança de sua organização. Para determinar qual ferramenta é a adequada para a sua empresa, use as práticas recomendadas e as recomendações fornecidas nas seções a seguir para avaliar cada ferramenta.
Ferramenta de Personalização do Office
A OCT é uma nova ferramenta de interface gráfica de usuário que o ajuda a criar um arquivo de configuração (.msp). O arquivo de configuração pode ter uma ampla variedade de informações, incluindo instruções de instalação, informações sobre licenciamento e configurações de aplicativo, como definições de segurança e opções de privacidade. O arquivo de configuração pode ser usado destas duas maneiras:
Em conjunto com o programa de instalação para personalizar o processo de instalação durante uma distribuição em grande escala.
Em conjunto com o Windows Installer 3.1 para atualizar ou manter as definições de configuração durante a fase operacional do ciclo de vida do software.
Para usar o arquivo de configuração para personalizar o processo de instalação, execute as seguintes tarefas:
Use a interface gráfica de usuário da OCT para configurar as opções de instalação e as configurações do aplicativo.
Salve as configurações e opções em um arquivo .msp.
Execute o programa de instalação nos computadores cliente, usando os parâmetros de linha de comando para especificar o arquivo .msp que você deseja que o programa de instalação utilize.
Para usar um arquivo de configuração para atualizar ou manter instalações existentes, execute as seguintes tarefas:
Use a interface gráfica de usuário da OCT para definir as configurações do aplicativo em um arquivo .msp novo ou existente.
Salve as novas configurações do aplicativo no arquivo .msp.
Execute o Windows Installer no computador cliente, usando os parâmetros de linha de comando para especificar o arquivo .msp que deseja que o Windows Installer utilize.
Para obter mais informações sobre como usar a OCT, consulte Ferramenta de Personalização do Office no 2007 Office system e Personalizar o sistema 2007 Office.
Requisitos e limitações
Embora a OCT seja nova, ela não exige nenhum aperfeiçoamento especial na infraestrutura. Por exemplo, não é preciso modificar sua arquitetura existente de hardware, software, topologia de rede ou segurança para usar a OCT. Porém, a OCT tem os seguintes requisitos:
Você deve usar a OCT em conjunto com o programa de instalação do Office. A OCT gera apenas arquivos .msp. Ela não aplica as configurações de segurança aos computadores. Use o programa de instalação para instalar o 2007 Office system e aplicar as configurações de segurança salvas nos arquivos .msp.
Você deve usar o programa de instalação incluído no 2007 Office system, pois ele é o único programa de instalação com suporte capaz de ler os dados dos arquivos .msp gerados pela OCT e adicionar as configurações de segurança (e outras configurações) ao Registro.
O Windows Installer 3.1 deve estar instalado nos computadores em que você executa a Instalação e a OCT.
Você deve ser membro do grupo Administradores no computador local para executar o Programa de Instalação do Office e a OCT.
Na hora de decidir se deve ou não usar a OCT para configurar e gerenciar as configurações de segurança, considere estas duas limitações da OCT:
Não é possível bloquear nem impor as configurações de segurança com a OCT. A OCT define as configurações do aplicativo em partes publicamente acessíveis do Registro, como HKEY_CURRENT_USER/Software/Microsoft/Office/12.0. Se você usar a OCT para definir ou gerenciar as configurações de segurança no 2007 Office system, os usuários poderão modificar as configurações de segurança implantadas. Essas configurações são consideradas preferências do usuário, e não configurações gerenciadas, pois os usuários podem alterá-las. Se quiser impor as configurações de segurança, use a Diretiva de Grupo.
É possível definir apenas uma configuração de formato de arquivo de blocos com a OCT. As configurações de formato de arquivo de blocos impedem que os usuários abram ou salvem determinados tipos ou formatos de arquivo. Essas configurações são úteis para impedir que os usuários utilizem formatos de arquivo antigos ou para reduzir ataques de dia zero.
Cenários comuns
É possível usar a OCT e o programa de instalação para definir, implantar e gerenciar configurações de segurança em vários ambientes de TI. As seções a seguir descrevem cenários em que a OCT e o programa de instalação são particularmente úteis.
Ambientes não gerenciados
A OCT é comumente usada por organizações que não gerenciam seus aplicativos de área de trabalho de forma central nem remotamente. Nesses casos, é possível usar a OCT e o programa de instalação para definir, implantar e gerenciar as configurações de segurança sem usar uma ferramenta de administração remota, como o Microsoft Systems Management Server 2003, ou uma ferramenta baseada em diretivas, como a Diretiva de Grupo.
Configurações iniciais de segurança
A OCT é comumente usada para estabelecer as configurações iniciais de segurança muito embora a Diretiva de Grupo seja usada para bloquear ou impor as configurações de segurança. Isso ajuda a garantir que as configurações de segurança sejam definidas durante a distribuição inicial e antes da primeira atualização de diretiva. O uso da OCT para criar uma configuração inicial de segurança também possibilita a redefinição das configurações de segurança em um computador, reaplicando o arquivo de configuração inicial.
Ambientes parcialmente bloqueados
A OCT é útil para ambientes parcialmente bloqueados onde um subconjunto crítico de configurações de segurança está bloqueado por uma Diretiva de Grupo, mas outras configurações de segurança não estão bloqueadas e podem ser definidas pelos usuários. Nesse cenário, a maior parte das configurações de segurança é definida durante a instalação inicial, usando um arquivo de configuração gerado pela OCT (arquivo .msp), e as configurações cruciais de segurança são implantadas e gerenciadas por meio da Diretiva de Grupo depois da conclusão da instalação inicial.
Modelos Administrativos da Diretiva de Grupo
O 2007 Office system inclui 15 Modelos Administrativos, que permitem gerenciar as configurações de segurança por meio da Diretiva de Grupo local ou baseada no domínio. Os Modelos Administrativos são arquivos de texto Unicode que a Diretiva de Grupo usa para descrever onde as configurações de diretivas baseadas no Registro são armazenadas. Todas as configurações de diretivas baseadas no Registro aparecem e são definidas no Editor de Objeto de Diretiva de Grupo, abaixo do nó Modelos Administrativos. Os Modelos Administrativos não aplicam as configurações de diretivas; eles possibilitam a exibição delas no Editor de Objeto de Diretiva de Grupo. Os administradores podem criar objetos de Diretiva de Grupo (GPOs) que contêm as configurações de diretivas que desejam usar. Por exemplo, você pode ter um GPO com várias configurações de diretivas para gerenciar controles ActiveX, suplementos e macros.
Os valores do Registro usados para as configurações da Diretiva de Grupo são armazenados sob as chaves de Registro aprovadas para a Diretiva de Grupo. Os usuários não podem alterar nem desabilitar essas configurações. As configurações da Diretiva de Grupo que os administradores podem gerenciar integralmente são chamadas de “diretivas reais”. As configurações da Diretiva de Grupo têm restrições ACL para impedir que os usuários alterem as configurações. As chaves aprovadas do Registro da Diretiva de Grupo são:
Para configurações de diretivas do computador:
HKEY_LOCAL_MACHINE\Software\Policies (o local de preferência)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Para configurações de diretivas de usuário:
HKEY_CURRENT_USER\Software\Policies (o local de preferência)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Para obter mais informações sobre Modelos Administrativos, Diretiva de Grupo e OCT, consulte Extensão de Modelos Administrativos e Ferramenta de Personalização do Office e Diretiva de Grupo em Visão geral da Diretiva de Grupo (Office System 2007). Para obter mais informações sobre como usar os Modelos Administrativos para definir, implantar e gerenciar configurações de segurança, consulte Impor configurações usando a Diretiva de Grupo no Office System 2007.
Requisitos e limitações
Se você estiver instalando o 2007 Office system em computadores que estejam executando os sistemas operacionais Microsoft Windows XP, Microsoft Windows Server 2003 ou Windows Vista, deverá atender aos seguintes requisitos para usar os Modelos Administrativos.
O serviço de diretório do Active Directory deve estar implantado na organização para definir, implantar e gerenciar as configurações de segurança por meio das configurações da Diretiva de Grupo baseada no domínio.
Você deve ser membro do grupo Administradores no computador local para definir, implantar e gerenciar as configurações de segurança por meio das configurações da Diretiva de Grupo local.
Na hora de decidir se deve ou não usar os Modelos Administrativos para definir e gerenciar as configurações de segurança, considere estas limitações dos Modelos Administrativos:
A Diretiva de Grupo não tem nenhum mecanismo de reversão das configurações para a configuração inicial. Se você implantar as definições de configuração inicial pela Diretiva de Grupo e depois fizer alterações nelas, deverá reconfigurar cada uma das alterações feitas após a implantação para reverter para a configuração inicial. Se você desabilitar ou excluir o objeto de Diretiva de Grupo que contém as configurações, todas as configurações serão definidas como Não Configurado.
Não é possível definir as configurações de editores confiáveis com a Diretiva de Grupo. Você pode adicionar certificados digitais à lista de editores confiáveis apenas com a OCT
Se a organização for pequena e você ainda não estiver usando o Active Directory, a sobrecarga administrativa necessária para conhecer e implementar a Diretiva de Grupo no ambiente do Active Directory pode tornar a implementação da Diretiva de Grupo baseada no domínio inviável.
Cenários comuns
É possível usar a Diretiva de Grupo para definir, implantar e gerenciar as configurações de segurança em vários ambientes de TI. As seções a seguir descrevem cenários em que os Modelos Administrativos são particularmente úteis.
Ambientes gerenciados
Os Modelos Administrativos são úteis em organizações que usam a Diretiva de Grupo para gerenciar seus ambientes de área de trabalho. Isso é válido tanto se você tiver o Active Directory implantado e gerenciar seu ambiente de área de trabalho com a Diretiva de Grupo baseada no domínio quanto se não tiver o Active Directory instalado, mas gerenciar seu ambiente de área de trabalho com a Diretiva de Grupo local.
Ambientes bloqueados
Os Modelos Administrativos são úteis em ambientes bloqueados em que os usuários têm pouco controle sobre a configuração da área de trabalho. Nesse cenário, todas as configurações de segurança são implantadas e gerenciadas por meio da Diretiva de Grupo. Qualquer configuração de segurança definida durante a instalação inicial é substituída pela configuração da Diretiva de Grupo.
Implementando configurações de formato de arquivo de blocos
Os Modelos Administrativos são a única forma de implementar com eficácia as configurações de formato de arquivo de blocos, que permitem que você impeça os usuários de abrir determinados tipos ou formatos de arquivo. Essas configurações são úteis para reduzir ataques de dia zero quando você sabe o tipo ou o formato específico de arquivo que pode colocar sua organização em risco. Essas configurações também são úteis para impedir que os usuários utilizem formatos de arquivo antigos ou para impor aos usuários o uso dos mesmos formatos de arquivo.
Escolhendo uma ferramenta
A tabela a seguir compara os recursos e capacidades das duas ferramentas recomendadas que você pode usar para definir as configurações de segurança no 2007 Office system. Use as informações da tabela para avaliar cada ferramenta e determinar a mais adequada para a organização.
| Recursos | Modelos Administrativos | OCT + Instalação |
|---|---|---|
Requer Active Directory. |
Sim (Diretiva de Grupo baseada no domínio) Não (Diretiva de Grupo local) |
Não |
Requer Windows Installer 3.1. |
Não |
Sim |
Requer credenciais administrativas no computador cliente. |
Sim (Diretiva de Grupo local) Não (Diretiva de Grupo baseada no domínio) |
Sim |
É possível usar para bloquear as configurações de segurança. |
Sim |
Não |
É possível usar para gerenciar as configurações de segurança depois da instalação inicial. |
Sim |
Sim |
É possível usar para estabelecer as configurações de segurança iniciais. |
Sim (não é o ideal) |
Sim |
É possível usar para definir as configurações de formato de arquivo de blocos. |
Sim (todas as configurações) |
Sim (porém, apenas uma configuração) |
É possível usar para adicionar editores à lista de editores confiáveis. |
Não |
Sim |
Baixar este manual
Este tópico está incluído nos seguintes manuais que podem ser baixados para facilitar a leitura e a impressão:
Consulte a lista completa de manuais disponíveis na seção de informações sobre o Office Resource Kit .