规划 Office 2013 的受保护视图设置

适用于： Office 365 ProPlus, Office client

上一次修改主题： 2016-12-16

摘要：介绍如何在 Office 2013 中配置受保护视图设置。

目标用户： IT 专业人员

通过配置受保护视图设置更改 Office 2013 中沙盒预览功能的行为方式。受保护视图是 Office 2013 中的一种安全功能，可在受限制的环境中打开文件，对其进行检查，然后在 Excel 2013、PowerPoint 2013 或 Word 2013 中打开文件进行编辑，以此帮助减少对计算机的攻击。

本文内容：

• 规划 Office 2013 的受保护视图设置

• 防止文件在 Office 2013 的受保护视图中打开

• 强制文件在 Office 2013 的受保护视图中打开

• 将文件添加到不安全文件的列表

在 Office 2013 中规划受保护视图设置

受保护视图通过在沙盒环境中打开文档、演示文稿和工作簿，来帮助减少多种攻击。沙盒是一块计算机内存或特定的计算机进程，与某些操作系统组件和应用程序隔离。正因为此隔离，在沙盒环境中运行的程序和进程危险度较低。沙盒环境通常用于测试新的应用程序和服务，它们可能导致计算机不稳定或出现故障。沙盒环境还可用于防止应用程序和进程危害计算机。

在受保护视图中打开文件时，用户可以查看文件内容，但不能编辑、保存或打印文件内容，也不能查看文件中任何数字签名的详细信息。不会启用活动文件内容，例如 ActiveX 控件、加载项、数据库连接、超链接和 Visual Basic for Applications (VBA) 宏。但是，用户可以从文件中复制内容并粘贴到其他文档中。

Office 2013 中受保护视图的默认行为

默认情况下，受保护视图在 Excel 2013、PowerPoint 2013 和 Word 2013 中为启用状态，但只有在少数情况下，文件才会在受保护视图中打开。某些情况下，文件会绕过受保护视图并打开以进行编辑。例如，从受信任位置打开的文件以及属于受信任文档的文件会绕过某些安全检查，不在受保护视图中打开。

默认情况下，如果满足下列条件之一，文件将在受保护视图中打开：

• 文件跳过或未通过 Office 文件验证   Office 文件验证是一种安全功能，可扫描文件是否存在文件格式攻击。如果 Office 文件验证检测到可能的攻击或其他不安全的文件损坏，文件将在受保护视图中打开。

• AES 区域信息确定文件不安全   Attachment Execution Services (AES) 将区域信息添加到通过 Outlook、Internet Explorer 和其他应用程序下载的文件中。如果文件的区域信息显示文件来自不受信任的网站或 Internet，下载的文件将在受保护视图中打开。

• 用户在受保护视图中打开文件   用户可以通过以下方式在受保护视图中打开文件：在“打开”对话框中选择“在受保护视图中打开”；或者，按住 SHIFT 键，选择文件名，然后从快捷菜单（右键单击）中选择“在受保护视图中打开”。

• 文件从不安全的位置打开   默认情况下，不安全的位置包括用户的临时 Internet 文件文件夹。但是，您可以使用组策略设置来指定其他不安全的位置。

在某些情况下，即使满足一个或多个上述条件，也会绕过受保护视图。具体地说，如果满足下列条件之一，文件将不会在受保护视图中打开：

• 文件从受信任位置打开。

• 文件被视为受信任文档。

更改 Office 2013 中的受保护视图行为

我们建议您不要更改受保护视图的默认行为。受保护视图是 Office 2013 中分层防御战略的重要组成部分，用于与其他安全功能结合使用，例如 Office 文件验证和文件阻止。但我们承认，某些组织可能必须更改受保护视图设置以满足特殊的安全要求。Office 2013 提供的多种设置可让您更改受保护视图功能的行为。您可以使用这些设置执行以下操作：

• 防止从 Internet 下载的文件在受保护视图中打开。

• 防止存储在不安全位置的文件在受保护视图中打开。

• 防止在 Outlook 2013 中打开的附件在受保护视图中打开。

• 将位置添加到不安全位置列表中。

此外，您可以使用文件阻止设置和 Office 文件验证设置强制文件在受保护视图中打开。有关详细信息，请参阅本文稍后介绍的强制文件在 Office 2013 的受保护视图中打开。

注意：
有关如何在 Office 自定义工具 (OCT) 和 Office 2013 管理模板中配置安全设置的信息，请参阅使用 OCT 或组策略为 Office 2013 配置安全性。

防止文件在 Office 2013 的受保护视图中打开

您可以更改受保护视图设置，以便特定文件绕过受保护视图。为此，请禁用信任中心中的下列设置：

• 您可以在 Office 应用程序中查找信任中心设置，方法是转到“文件”“选项”“信任中心”“信任中心设置”。

• 为来自 Internet 的文件启用受保护视图   如果 AES 区域信息显示文件是从 Internet 区域下载的，禁用此设置以强制文件绕过受保护视图。此设置适用于使用 Internet Explorer 和 Outlook 下载的文件。

• 为位于可能不安全的位置的文件启用受保护视图   如果文件是从不安全的位置打开的，禁用此设置以强制文件绕过受保护视图。您可以使用“指定不安全位置的列表”设置，将文件夹添加到不安全位置，本文稍后将讨论这一点。

• 启用受保护视图 Outlook 附件   禁用此设置以强制作为 Outlook 2013 附件打开的 Excel 2013、PowerPoint 2013 和 Word 2013 文件绕过受保护视图。

如果文件阻止设置强制文件在受保护视图中打开，这些设置将不适用。此外，如果文件未通过 Office 文件验证，这些设置也不适用。您可以在预先应用 Excel 2013、PowerPoint 2013 和 Word 2013 的基础上配置这些设置。

强制文件在 Office 2013 的受保护视图中打开

文件阻止和 Office 文件验证功能的设置让您可以在满足特定条件时，强制文件在受保护视图中打开。您可以使用这些设置确定文件将在受保护视图中打开的情况。

使用文件阻止功能强制 Office 2013 文件在受保护视图中打开

文件阻止功能可以防止用户打开或保存特定的文件类型。当您使用文件阻止设置阻止某种文件类型时，您可以选择下列三种文件阻止操作之一：

• 阻止且不允许打开。

• 阻止且仅在受保护视图中打开（用户不能启用编辑）。

• 阻止且在受保护视图中打开（用户可以启用编辑）。

如果选择第二或第三个选项，您可以强制阻止的文件类型在受保护视图中打开。您可以仅在预先应用 Excel 2013、PowerPoint 2013 和 Word 2013 的基础上配置文件阻止设置。有关文件阻止设置的详细信息，请参阅规划 Office 2013 的文件阻止设置。

使用 Office 文件验证设置强制 Office 2013 文件在受保护视图中打开

Office 文件验证是一种安全功能，可在使用 Office 2013 应用程序打开文件之前扫描文件是否存在文件格式攻击。默认情况下，未通过 Office 文件验证的文件将在受保护视图中打开，用户可以在受保护视图中预览文件，然后启用编辑。但是，您可以使用组策略受保护视图设置“设置文件验证失败时的文档行为”来更改此默认行为。对于未通过 Office 文件验证的文件，您可以使用此设置选择两个可能的选项之一：

• 完全阻止   未通过 Office 文件验证的文件不能在受保护视图中打开或打开进行编辑。

• 在受保护视图中打开   未通过 Office 文件验证的文件在受保护视图中打开，但用户不能编辑文件。这是默认设置。

如果选择第二个选项，您可以限制未通过 Office 文件验证的文件的受保护视图行为。您可以仅在预先应用 Excel 2013、PowerPoint 2013 和 Word 2013 的基础上配置此 Office 文件验证设置。有关 Office 文件验证设置的详细信息，请参阅规划 Office 2013 的 Office 文件验证设置。

将文件添加到不安全文件的列表

您可以使用“指定不安全位置的列表”设置，将位置添加到不安全位置列表。从不安全位置打开的文件将始终在受保护视图中打开。不安全位置功能不会阻止用户编辑文档。它仅会强制文档在编辑之前在受保护视图中打开。这是适用于 Excel 2013、PowerPoint 2013 和 Word 2013 的全局设置。

注意：
有关策略设置的最新信息，请参阅 Office 2013 管理模板文件（ADM、ADMX、ADML）和 Office 自定义工具文章。

另请参阅

Office 2013 安全性指南
Office 2013 中的安全概述
了解 Office 2013 的安全威胁和对策
规划 Office 2013 的文件阻止设置
规划 Office 2013 的 Office 文件验证设置