規劃 2007 Office system 中的 Internet Explorer 功能控制項設定
更新日期: 2009年2月
適用於: Office Resource Kit
上次修改主題的時間: 2015-03-09
Internet Explorer 功能控制項設定讓您減低以程式設計方式使用 Internet Explorer 功能時可能發生的威脅。請務必降低 Internet Explorer 的威脅,因為任何針對 Internet Explorer 所存在的威脅也會存在於主控 Internet Explorer 的任何應用程式中。
在 2007 Office System 中您可以設定 15 個 Internet Explorer 功能控制項設定。如需 Internet Explorer 功能控制項設定的詳細資訊,請參閱<2007 Office 系統中的安全性原則和設定>。每個設定都會限制特定類型的 Internet Explorer 行為或功能。若要啟用特定設定的嚴格行為或功能,您可以「選擇加入」應用程式。應用程式選擇加入特定 Internet Explorer 功能控制設定時,每當應用程式主控 Internet Explorer,會強制設定所指定之更嚴格的行為。反過來說,應用程式「選擇退出」特定設定時,每當應用程式主控 Internet Explorer,不會強制設定所指定之更嚴格的行為。
若要設計 Internet Explorer 功能控制項設定,您必須執行下列動作:
識別主控 Internet Explorer 的應用程式。
決定要實作哪個 Internet Explorer 功能控制項設定。
識別與舊版 Office system 的衝突。
識別主控 Internet Explorer 的應用程式
當有任何類型的主動式內容 (例如 ActiveX 控制項、增益集或 Visual Basic for Applications (VBA) 巨集) 以程式設計方式使用 Internet Explorer 功能時,應用程式會主控 Internet Explorer。最常見的範例是使用者開啟包含 ActiveX 控制項的 Microsoft Office Word 2007 文件,而且 ActiveX 控制項以程式設計方式叫用 Internet Explorer 來轉譯 HTML。在此情況下,Office Word 2007 正在主控 Internet Explorer。
根據預設,會將 Office Groove 2007、Office Outlook 2007 和 Office SharePoint Designer 2007 選擇加入所有的 15 個 Internet Explorer 功能控制項設定。也會將 Microsoft Office InfoPath 2007 選擇加入這些 Internet Explorer 功能控制項設定,以及選擇加入三個 Office InfoPath 2007 元件:文件資訊面板、工作流程表單和協力廠商主控。會選擇加入這些應用程式是因為它們主控 Internet Explorer 或是它們有高可能性會主控 Internet Explorer。
使用下列指導方針來協助識別其他主控 Internet Explorer 或可能主控 Internet Explorer 的其他應用程式。
允許使用者執行不受信任的 ActiveX 控制項、增益集或巨集的應用程式可能會主控 Internet Explorer。
允許使用者執行 ActiveX 控制項、增益集或巨集以轉譯 HTML 或提供瀏覽功能的應用程式,通常會主控 Internet Explorer。
您已設定為轉譯 HTML 或提供瀏覽器功能的應用程式通常會主控 Internet Explorer。
提供使用者存取 VBA 專案或讓使用者建立 VBA 巨集的應用程式可能會主控 Internet Explorer。
允許使用者存取外部文件和資料的應用程式可能會主控 Internet Explorer。 。
建議您選擇加入任何主控 Internet Explorer 的應用程式,或任何可能主控 Internet Explorer 的應用程式。請務必在安全性規劃文件中記錄應用程式名稱和相對應的可執行檔名稱。您必須知道可執行檔名稱,才能使用 Office 自訂工具 (OCT) 或「群組原則」來設定 Internet Explorer 功能控制項設定。
下表列出您可以選擇加入 2007 Office System 的 Internet Explorer 功能控制項設定之應用程式的可執行檔名稱。
| 應用程式 | 可執行檔名稱 |
|---|---|
Microsoft Office Access 2007 |
Msaccess.exe |
Microsoft Office Excel 2007 |
Excel.exe |
Microsoft Office Groove 2007 (預設會選擇加入) |
Groove.exe |
Microsoft Office OneNote 2007 |
Onent.exe |
Microsoft Office Outlook 2007 (預設會選擇加入) |
Outlook.exe |
Microsoft Office PowerPoint 2007 |
Powerpnt.exe |
Microsoft Office Project 2007 |
Winproj.exe |
Microsoft Office Publisher 2007 |
Mspub.exe |
Microsoft Expression Web |
Exprwd.exe |
Microsoft Office Visio 2007 |
Visio.exe |
Office SharePoint Designer 2007 (預設會選擇加入) |
Spdesign.exe |
Office Word 2007 |
Winword.exe |
Microsoft Office PowerPoint Viewer |
Pptview.exe |
Microsoft Script Editor |
Mse7.exe |
決定要實作哪個 Internet Explorer 功能控制項設定
可以將應用程式選擇加入任何或所有的 15 個 Internet Explorer 功能控制項設定,這將限制範圍很廣的 Internet Explorer 功能。在大部分的情況下,如果應用程式主控 Internet Explorer 或可能主控 Internet Explorer,應該將應用程式選擇加入所有的 15 個 Internet Explorer 功能控制項設定。將應用程式選擇加入所有的 15 個設定,可協助確保每當應用程式主控 Internet Explorer 時,會實作最嚴格的 Internet Explorer 安全性模型。
雖然建議您將應用程式選擇加入所有的 15 個 Internet Explorer 功能控制項設定,不過有時您可能會需要選擇退出特定設定。如果發生下列情況,可能會選擇退出設定:
特定設定的限制會阻礙應用程式如預期般地正常運作。例如,如果您知道應用程式使用 Internet Explorer 來下載檔案,而不須使用者介入,可能必須選擇退出 [限制檔案下載] 設定。
不需要特定設定的限制,因為設定所減輕的特定威脅對組織幾乎或根本沒有造成風險。例如,如果使用者無法存取公用網路 (例如網際網路),您可能不需要選擇加入 [封鎖快顯畫面] 設定。
特定設定的限制會造成效能降低。例如,從 [從 URL 儲存] 設定可能會造成效能降低。如果效能大幅降低,就可能必須選擇退出該設定。
請務必在安全性規劃文件中記錄要選擇加入所有 15 個 Internet Explorer 功能控制項設定的應用程式。也請務必記錄任何需要選擇退出的 Internet Explorer 功能控制項設定。
.gif "Note") 附註: |
|---|
| Office InfoPath 2007 是一個特殊的案例,無法選擇加入或選擇退出個別的 Internet Explorer 功能控制項設定。您只能設定將哪些 Office InfoPath 2007 元件選擇加入或退出整個群組的 Internet Explorer 功能控制項設定。請務必在您的安全性規劃文件中記錄要退出的任何 Office InfoPath 2007 元件。建議您將預設設定保持原狀,並選擇加入所有的 Office InfoPath 2007 元件。如需 Office InfoPath 2007 設定的詳細資訊,請參閱<Office 系統中的安全性原則和設定>。 |
識別與舊版 Office 的衝突
雖然建議您選擇加入任何主控 Internet Explorer 或可能主控 Internet Explorer 的應用程式,不過有時選擇加入應用程式可能會造成舊版 Office system 的非預期行為。這個非預期行為之所以會發生,是因為 Internet Explorer 功能控制項設定儲存在登錄中的方式,而且可能會發生在 2007 Office System 及較舊 Office 版本的並存安裝。
當應用程式選擇加入或選擇退出 Internet Explorer 功能控制項設定時,應用程式的可執行檔名稱會儲存在登錄中並指定值為 1 (選擇加入) 或 0 (選擇退出)。例如,如果您將 Office Word 2007 選擇加入 [限制 ActiveX 安裝] 的 Internet Explorer 功能控制項設定,名為 Winword.exe 的登錄索引鍵項目會加入 FEATURE_RESTRICT_ACTIVEXINSTALL 登錄機碼之下,而且 Winword.exe 項目的值會設定為 1。
以程式設計方式叫用 Internet Explorer 時,它會決定在任何處理序、動態連結程式庫 (DLL) 或可執行檔中是否主控 Internet Explorer 應用程式。Internet Explorer 也會檢查登錄,以查看哪些處理程序、DLL 或可執行檔是選擇加入或選擇退出每個 Internet Explorer 功能控制項設定。如果 Internet Explorer 是由處理程序、DLL 或可執行檔主控,而且登錄設定指出已將處理程序、DLL 或可執行檔選擇加入 Internet Explorer 功能控制設定,Internet Explorer 可讓 Internet Explorer 功能控制項設定的行為更嚴格。例如,如果 Internet Explorer 是由 Winword.exe 主控,而且在 FEATURE_RESTRICT_ACTIVEXINSTALL 登錄機碼之下的 Winword.exe 項目有 1 的值,則 Internet Explorer 會採用 [限制 ActiveX 安裝] 的 Internet Explorer 功能控制設定所指定的更嚴格行為。
不過,Winword.exe 是 Office Word 2007 和 Microsoft Office Word 2003 的可執行檔名稱。因此,如果您有 Office Word 2007 和 Office Word 2003 的並存安裝,而且將 Office Word 2007 選擇加入 Internet Explorer 功能控制項設定,則 Internet Explorer 無法決定是否要將 Internet Explorer 功能控制項設定套用至 Office Word 2007 或 Office Word 2003。這個問題之所以發生是因為連續好幾個版本的 Office system,其應用程式都使用相同的可執行檔名稱。下表列出在 2007 Office System 及舊版的 Office system 中相同的可執行檔名稱。
| 可執行檔名稱 | 應用程式 |
|---|---|
Excel.exe |
Office Excel 2007、Office Excel 2003 |
Msaccess.exe |
Office Access 2007、Office Access 2003 |
Mspub.exe |
Office Publisher 2007、Publisher 2003 |
Outlook.exe |
Office Outlook 2007、Office Outlook 2003 |
Powerpnt.exe |
Office PowerPoint 2007、Office PowerPoint 2003 |
Visio.exe |
Office Visio 2007、Office Visio 2003 |
Winproj.exe |
Office Project 2007、Office Project 2003 |
Winword.exe |
Office Word 2007、Office Word 2003 |
為了識別並存安裝的潛在問題,建議您使用上述表格中所顯示的舊版應用程式來測試每個 Internet Explorer 功能控制項設定。只有 2007 Office System 才支援 Internet Explorer 功能控制項設定。在舊版的 Office 中不支援 Internet Explorer 功能控制項設定,而且可能會導致應用程式在舊版的 Office 中無法正常運作。