規劃 Office 2013 的 Office 檔案驗證設定

  • 發行項

 

適用版本: Office 365 ProPlus, Office client

上次修改主題的時間: 2016-12-16

摘要:說明 Office 檔案驗證設定如何能夠協助防止 Office 2013 中的檔案格式攻擊。

對象: IT 專業人員

Office 檔案驗證是 Office 2013 中的安全功能,可以在 Excel 2013、PowerPoint 2013 或 Word 2013 中開啟 Office 二進位檔案格式前加以掃描,協助防止檔案格式攻擊。您可以設定 Office 檔案驗證設定,來變更 Office 2013 驗證以 Microsoft Office 二進位檔案格式儲存之檔案所用的方式。

Office 安全性之指南的藍圖箭號

本文為<Office 2013 安全性的內容藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 安全性之文章、下載檔、海報及影片的起點。

您在尋找有關個別 Office 2013 應用程式的安全性資訊嗎?您可在 Office.com 上搜尋「2013 安全性」,即可找到此資訊。

本文內容:

  • 規劃 Office 2013 的 Office 檔案驗證設定

  • 關閉 Office 2013 的 Office 檔案驗證

  • 變更 Office 2013 驗證失敗時的文件行為

  • 關閉 Office 2013 的 Office 檔案驗證報告

規劃 Office 2013 的 Office 檔案驗證設定

Office 檔案驗證可協助偵測和防止檔案格式攻擊或檔案模糊測試攻擊之類的攻擊。檔案格式攻擊會破換檔案的完整性。這些攻擊起因於有人企圖新增惡意程式碼來修改檔案的結構。通常惡意程式碼是從遠端執行,用來提升電腦上受限制帳戶所擁有的權限。因此,攻擊者就能夠存取原本無法存取的電腦。這可讓攻擊者從電腦的硬碟機讀取敏感資訊或安裝惡意軟體,例如蠕蟲或按鍵側錄程式。Office 檔案驗證功能可在開啟檔案前先掃描並驗證檔案,防止檔案格式攻擊。驗證檔案時,Office 檔案驗證會比較檔案的結構與預先定義的檔案結構描述,檔案結構描述是一組決定可讀取的檔案應該是什麼的規則。如果 Office 檔案驗證偵測到檔案的結構並未完全遵循結構描述中所述的所有規則,檔案將無法通過驗證。

檔案格式攻擊最常發生在以 Office 二進位檔案格式儲存的檔案。因此,檔案驗證會掃描並驗證下列檔案類型:

  • Excel 97-2003 活頁簿檔案。這些檔案的副檔名是 .xls,其中包含所有 Binary Interchange File Format 8 (BIFF8) 檔案。

  • Excel 97-2003 範本檔案。這些檔案的副檔名是 .xlt,其中包含所有 BIFF8 檔案。

  • Microsoft Excel 5.0/95 檔案。這些檔案的副檔名是 .xls,其中包含所有 BIFF5 檔案。

  • PowerPoint 97-2003 簡報檔案。這些檔案的副檔名是 .ppt。

  • PowerPoint 97-2003 放映檔。這些檔案的副檔名是 .pps。

  • PowerPoint 97-2003 範本檔案。這些檔案的副檔名是 .pot。

  • Word 97-2003 文件檔案。這些檔案的副檔名是 .doc。

  • Word 97-2003 範本檔案。這些檔案的副檔名是 .dot。

Office 2013 提供一些設定,讓您變更 Office 檔案驗證功能的行為。您可以使用這些設定進行下列作業:

  • 停用 Office 檔案驗證。

  • 指定檔案未通過驗證時的文件行為。

  • 不讓 Office 2013 將 Office 檔案驗證資訊傳送到 Microsoft。

注意事項附註:
如需如何在 Office 自訂工具 (OCT) 和 Office 2013 系統管理範本中進行安全性設定的詳細資訊,請參閱<使用 OCT 或群組原則設定 Office 2013 的安全性>。

Office 檔案驗證在 Excel 2013、PowerPoint 2013 和 Word 2013 中預設為啟用。任何未通過驗證的檔案將在 [受保護檢視] 中開啟。使用者可選擇啟用這些檔案的編輯。而且,系統會提示使用者將 Office 檔案驗證資訊傳送到 Microsoft。如果使用者授予權限,只會收集未通過驗證的檔案相關資訊並傳送到 Microsoft。

建議您不要變更 Office 檔案驗證的預設設定。不過,部份組織可能必須按照特別的安全性需求來配置 Office 檔案驗證設定。尤其是,下列類型的組織本身的安全性需求可能需要變更 Office 檔案驗證功能的預設設定:

  • 限制網際網路存取的組織。 Office 檔案驗證大約每兩週會提示使用者將驗證錯誤資訊傳送到 Microsoft。這可能會違反組織的網際網路存取原則。在這種情況下,您可能會選擇不讓 Office 檔案驗證將資訊傳送到 Microsoft。如需詳細資訊,請參閱本文稍後的關閉 Office 2013 的 Office 檔案驗證報告。

  • 擁有高安全性限制環境的組織 您可以設定 Office 檔案驗證,使未通過驗證的檔案無法開啟或只能在 [受保護檢視] 中開啟。這項設定的限制程度高於 Office 檔案驗證的預設設定,因此適合擁有鎖定安全性環境的組織。如需如何變更文件行為的詳細資訊,請參閱本文稍後的變更 Office 2013 驗證失敗時的文件行為。

  • 不要將檔案傳送到 Microsoft 的組織。 如果使用者允許,Office 檔案驗證便會將所有未通過驗證的檔案傳送到 Microsoft。您可以設定 Office 檔案驗證,不提示使用者將驗證資訊傳送到 Microsoft。

關閉 Office 2013 的 Office 檔案驗證

您可以使用 [關閉檔案驗證] 設定停用 Office 檔案驗證。對於 Excel 2013、PowerPoint 2013 和 Word 2013,必須針對個別的應用程式配置這項設定。這項設定可防止對以 Office 二進位檔案格式儲存的檔案進行掃描和驗證。例如,如果您為 Excel 2013 啟用 [關閉檔案驗證] 設定,Office 檔案驗證將不會掃描或驗證 Excel 97-2003 活頁簿檔案、Excel 97-2003 範本檔案或 Microsoft Excel 5.0/95 檔案。如果使用者開啟其中一個檔案類型,而檔案包含檔案格式攻擊,除非其他某些安全性控制項偵測到這類攻擊並加以防範,否則將不會偵測或防範這個攻擊。

建議您不要關閉 Office 檔案驗證。Office 檔案驗證是 Office 2013 分層防禦策略的重要部份,應該在組織的所有電腦上啟用。如果不想讓 Office 檔案驗證功能驗證檔案,建議您使用信任位置功能。從信任位置開啟的檔案將略過 Office 檔案驗證檢查。您也可以使用信任文件功能,防止 Office 檔案驗證功能驗證檔案。被視為信任文件的檔案將不會進行 Office 檔案驗證檢查。

變更 Office 2013 驗證失敗時的文件行為

您可以使用 [設定檔案驗證失敗時的文件行為] 群組原則設定變更文件未通過驗證時的行為。當您啟用這項設定時,可以選取下列兩個選項的其中一項:

  • 封鎖檔案 未通過驗證的檔案不會在 [受保護檢視] 中開啟,使用者也無法開啟檔案進行編輯。

    如果您選取 [在受保護檢視中開啟檔案] 選項,當檔案未通過驗證時,使用者會看見訊息列顯示下列文字:

    受保護的檢視 Office 已偵測到此檔案有問題,請按一下這裡取得詳細資料。

    如果使用者按一下訊息列,Microsoft Office Backstage 檢視將出現,其中會詳細敘述問題,並且讓使用者啟用檔案進行編輯。

  • 在受保護檢視中開啟檔案 檔案會在 [受保護檢視] 中開啟,以便使用者查看檔案的內容,但是使用者無法開啟檔案進行編輯。這個選項代表 Office 檔案驗證功能的預設行為。

    如果您選取 [封鎖檔案] 選項,當檔案未通過驗證時,使用者將看見對話方塊顯示下列文字:

    Office 已偵測到此檔案有問題,請按一下這裡取得詳細資料。

    使用者可展開對話方塊,查看無法開啟檔案的詳細原因,也可以選取 [確定] 關閉對話方塊。

關閉 Office 2013 的 Office 檔案驗證報告

您可以使用 [關閉未通過檔案驗證的檔案之錯誤報告] 群組原則設定,不讓對話方塊提示使用者將資訊傳送到 Microsoft。這項設定也不會讓驗證資訊傳送到 Microsoft。

每次檔案未通過驗證時,Office 2013 就會收集檔案未通過驗證的資訊。檔案未通過驗證後大約兩週,Office 2013 會提示使用者將 Office 檔案驗證資訊傳送到 Microsoft。驗證資訊包括檔案類型、檔案大小、開啟檔案所需的時間,以及驗證檔案所需的時間。未通過驗證的檔案副本也會傳送到 Microsoft。在將驗證資訊傳送到 Microsoft 的提示出現時,使用者會看見檔案清單。使用者可以拒絕將驗證資訊傳送到 Microsoft,這表示不會有任何未通過驗證的相關資訊傳送到 Microsoft,而且不會將檔案傳送到 Microsoft。如果組織限制網際網路存取、訂定限制網際網路存取原則,或不想將檔案傳送到 Microsoft,您可能必須啟用 [關閉未通過檔案驗證的檔案之錯誤報告] 群組原則設定。

重要事項重要事項:
Office 檔案驗證功能有時候可能會指出檔案未通過驗證,但事實上檔案是有效的。驗證報告功能有助於 Microsoft 改善 Office 檔案驗證功能,並將誤報結果的次數減至最少。
注意事項附註:
如需群組原則設定的最新資訊,請參閱 Office 2013 的群組原則系統管理範本檔案 (ADMX、ADML) 和 Office 自訂工具 (OCT) 檔案文章。

另請參閱

Office 2013 安全性概觀
了解 Office 2013 的安全性威脅與計數器測量
規劃 Office 2013 的檔案封鎖設定
規劃 Office 2013 的 Office 檔案驗證設定
規劃 Office 2013 受保護的檢視設定
使用 OCT 或群組原則設定 Office 2013 的安全性