Pianificare e configurare le impostazioni di Percorsi attendibili per Office 2013
Si applica a: Office 365 ProPlus
Ultima modifica dell'argomento: 2016-12-16
Riepilogo Viene illustrato come utilizzare la caratteristica Percorsi attendibili di Office 2013 per distinguere i file sicuri da quelli potenzialmente dannosi.
Destinatari: professionisti IT
Per distinguere i file sicuri da quelli potenzialmente dannosi, è possibile utilizzare la caratteristica Percorsi attendibili di Office 2013. Questa caratteristica consente infatti di designare origini file attendibili sui dischi rigidi dei computer degli utenti o in una condivisione di rete. Quando una cartella viene designata come origine file attendibile, tutti i file salvati al suo interno vengono considerati attendibili. Quando si apre un file attendibile, tutto il relativo contenuto viene abilitato e attivato e agli utenti non vengono notificati potenziali rischi presenti nel file, ad esempio macro VBA (Microsoft Visual Basic, Applications Edition) e componenti aggiuntivi non firmati, collegamenti a contenuti su Internet o connessioni di database.
|
Questo articolo fa parte della Guida alla sicurezza di Office 2013. Utilizzare tale guida come punto di partenza per accedere ad articoli, download, poster e video utili per valutare la sicurezza in Office 2013. Per ulteriori informazioni sulla sicurezza per le singole applicazioni di Office 2013, cercare "sicurezza 2013" in Office.com. |
.jpg "Freccia della roadmap per la guida di orientamento alla sicurezza di Office.")
Contenuto dell'articolo:
Pianificare le impostazioni di Percorsi attendibili in Office 2013
Implementare Percorsi attendibili in Office 2013
Disabilitare Percorsi attendibili in Office 2013
Pianificare le impostazioni di Percorsi attendibili in Office 2013
Office 2013 include diverse impostazioni che consentono di controllare il comportamento della caratteristica Percorsi attendibili. Configurando queste impostazioni è possibile:
Specificare percorsi attendibili su base globale o applicazione per applicazione.
Impostare una condivisione di rete come percorso attendibile.
Impedire agli utenti di designare percorsi attendibili.
Disabilitare la caratteristica Percorsi attendibili.
La caratteristica Percorsi attendibili è disponibile nelle applicazioni seguenti: Access 2013, Excel 2013, InfoPath 2013, PowerPoint 2013, Visio 2013 e Word 2013.
Nell'elenco seguente è descritta la configurazione predefinita della caratteristica Percorsi attendibili:
Percorsi attendibili è abilitata.
Gli utenti non possono designare condivisioni di rete come percorsi attendibili, ma possono tuttavia modificare questa impostazione nel Centro protezione. Per le istruzioni per utenti sui percorsi attendibili e su altre opzioni del Centro protezione, vedere Visualizzazione delle opzioni e delle impostazioni personali nel Centro protezione.
Gli utenti possono aggiungere cartelle all'elenco Percorsi attendibili.
Per specificare percorsi attendibili, è possibile utilizzare percorsi definiti sia dall'utente sia mediante criteri per specificare percorsi attendibili.
Inoltre, in un'installazione predefinita di Office 2013 diverse cartelle sono designate come percorsi attendibili. Le cartelle predefinite per ogni applicazione sono elencate nelle tabelle seguenti. InfoPath 2013 e Visio 2013 non includono percorsi attendibili predefiniti.
Percorsi attendibili di Access 2013
Nella tabella seguente sono elencati i percorsi attendibili predefiniti per Access 2013.
Percorso attendibile predefinito per Access 2013
| Percorso attendibile predefinito | Descrizione cartella | Sottocartelle attendibili? |
|---|---|---|
Programmi\Microsoft Office 15\Root\Office15\ACCWIZ |
Database procedure guidate |
No (non consentito) |
Percorsi attendibili di Excel 2013
Nella tabella seguente sono elencati i percorsi attendibili predefiniti per Excel 2013.
Percorsi attendibili predefiniti per Excel 2013
| Percorsi attendibili predefiniti | Descrizione cartella | Sottocartelle attendibili? |
|---|---|---|
Programmi\Microsoft Office 15\Root\Templates |
Modelli dell'applicazione |
Sì (consentito) |
Users\nome_utente\Appdata\Roaming\Microsoft\Templates |
Modelli utente |
No (non consentito) |
Programmi\Microsoft Office 15\Root\Office15\XLSTART |
Cartella di avvio di Excel |
Sì (consentito) |
Users\nome_utente\Appdata\Roaming\Microsoft\Excel\XLSTART |
Cartella di avvio dell'utente |
No (non consentito) |
Programmi\Microsoft Office 15\Root\Office15\STARTUP |
Cartella di avvio di Office |
Sì (consentito) |
Programmi\Microsoft Office 15\Root\Office15\Library |
Componenti aggiuntivi |
Sì (consentito) |
Percorsi attendibili di PowerPoint 2013
Nella tabella seguente sono elencati i percorsi attendibili predefiniti per PowerPoint 2013.
Percorsi attendibili predefiniti per PowerPoint 2013
| Percorsi attendibili predefiniti | Descrizione cartella | Sottocartelle attendibili? |
|---|---|---|
Programmi\Microsoft Office 15\Root\Templates |
Modelli dell'applicazione |
Sì (consentito) |
Users\nome_utente\Appdata\Roaming\Microsoft\Templates |
Modelli utente |
Sì (consentito) |
Users\nome_utente\Appdata\Roaming\Microsoft\Addins |
Componenti aggiuntivi |
No (non consentito) |
Programmi\Microsoft Office 15\Root\Document Themes 15 |
Temi dell'applicazione |
Sì (consentito) |
Percorsi attendibili di Word 2013
Nella tabella seguente sono elencati i percorsi attendibili predefiniti per Word 2013.
Percorsi attendibili predefiniti per Word 2013
| Percorsi attendibili predefiniti | Descrizione cartella | Sottocartelle attendibili? |
|---|---|---|
Programmi\Microsoft Office 15\Root\Templates |
Modelli dell'applicazione |
Sì (consentito) |
Users\nome_utente\Appdata\Roaming\Microsoft\Templates |
Modelli utente |
No (non consentito) |
Users\nome_utente\Appdata\Roaming\Microsoft\Word\Startup |
Cartella di avvio dell'utente |
No (non consentito) |
Nota
Per informazioni su come configurare le impostazioni di sicurezza nello Strumento di personalizzazione di Office e nei modelli amministrativi di Office 2013, vedere Configurare la sicurezza utilizzando lo Strumento di personalizzazione di Office o Criteri di gruppo per Office 2013.
Implementare Percorsi attendibili in Office 2013
Per implementare Percorsi attendibili, è necessario determinare:
Le applicazioni per cui configurare percorsi attendibili.
Le cartelle da designare come percorsi attendibili.
Le impostazioni di condivisione e sicurezza di cartelle da applicare ai percorsi attendibili.
Le restrizioni da applicare ai percorsi attendibili.
Determinare le applicazioni per cui configurare percorsi attendibili
Utilizzare le linee guida seguenti per determinare le applicazioni per cui si desidera configurare percorsi attendibili:
La caratteristica Percorsi attendibili ha effetti su tutto il contenuto di un file, inclusi componenti aggiuntivi, controlli ActiveX, collegamenti ipertestuali, collegamenti a origini dati e contenuti multimediali e macro VBA. Inoltre, i file aperti da percorsi attendibili non vengono sottoposti ai controlli di convalida dei file, ai controlli di Blocco file e non vengono aperti in Visualizzazione protetta.
Poiché ogni applicazione prevede le stesse impostazioni per la configurazione di percorsi attendibili, è possibile personalizzare in modo indipendente percorsi attendibili per ognuna di esse.
È possibile disabilitare la caratteristica Percorsi attendibili per una o più applicazioni e implementarla per altre.
Determinare le cartelle da designare come percorsi attendibili
Utilizzare le linee guida seguenti per determinare le cartelle da designare come percorsi attendibili:
È possibile specificare percorsi attendibili applicazione per applicazione o globalmente.
Una o più applicazioni possono condividere un percorso attendibile.
Per impedire a utenti malintenzionati di aggiungere o modificare file salvati in un percorso attendibile, è necessario applicare le impostazioni di sicurezza del sistema operativo a tutte le cartelle designate come percorsi attendibili.
Per impostazione predefinita, sono consentiti solo percorsi attendibili presenti sui dischi rigidi degli utenti. Per abilitare la caratteristica Percorsi attendibili nelle condivisioni di rete, è necessario abilitare l'opzione Consenti percorsi attendibili in questa rete (scelta non consigliata).
Non è consigliabile specificare come percorsi attendibili cartelle radice, ad esempio l'unità C, o l'intera cartella Documenti. In alternativa, creare una sottocartella all'interno di tali cartelle e designarla come percorso attendibile.
È inoltre necessario utilizzare le linee guida riportate nelle sezioni seguenti se si desidera:
Utilizzare variabili di ambiente per specificare percorsi attendibili.
Specificare cartelle Web, ovvero http://percorsi, come percorsi attendibili.
Utilizzare variabili di ambiente per specificare percorsi attendibili.
È possibile utilizzare variabili di ambiente mediante Criteri di gruppo e lo Strumento di personalizzazione di Office per specificare percorsi attendibili. Tuttavia, per il corretto funzionamento delle variabili di ambiente nello Strumento di personalizzazione di Office, è necessario modificare il tipo di valore utilizzato per archiviare i percorsi attendibili nel Registro di sistema. Se si utilizza una variabile di ambiente per specificare un percorso attendibile e non si esegue la necessaria modifica del Registro di sistema, il percorso attendibile verrà visualizzato nel Centro protezione, ma non sarà disponibile e verrà visualizzato come percorso relativo contenente le variabili di ambiente. Dopo aver modificato il tipo di valore nel Registro di sistema, il percorso attendibile verrà visualizzato nel Centro protezione come percorso assoluto e sarà disponibile.
Nota
In tutte le famiglie di prodotti Office 2013 è possibile eseguire attività utilizzando il mouse, le scelte rapide da tastiera o la modalità tocco. Per informazioni su come utilizzare le scelte rapide da tastiera e la modalità tocco con i prodotti e i servizi di Office, vedere l'articolo relativo alle scelte rapide da tastiera e Guida ai gesti di Office.
Per utilizzare variabili di ambiente per specificare percorsi attendibili
Utilizzare l'editor del Registro di sistema per individuare il percorso attendibile rappresentato da una variabile di ambiente.
Per aprire l'editor del Registro di sistema, fare clic sul pulsante Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.
In alternativa, se si utilizza Windows 8 o Windows 8.1, scorrere rapidamente dal bordo destro per visualizzare gli accessi, scegliere l'accesso alla ricerca e digitare regedit.
I percorsi attendibili configurati utilizzando lo Strumento di personalizzazione di Office vengono memorizzati nel percorso seguente:
HKEY_CURRENT_USER/Software/Microsoft/Office/15.0/nome_applicazione/Security/Trusted Locations
Dove nome_applicazione può essere Access, Excel, PowerPoint, Visio o Word.
I percorsi attendibili vengono archiviati in voci del Registro di sistema denominate Path come tipi di valore String Value (REG_SZ). Assicurarsi di individuare ogni voce Path che utilizza variabili di ambiente per specificare un percorso attendibile.
Modificare il tipo di valore Path.
Le applicazioni presenti in Office 2013 non sono in grado di riconoscere variabili di ambiente archiviate come tipi di valore String Value (REG_SZ). Affinché le applicazioni riconoscano le variabili di ambiente, è necessario modificare il tipo di valore della voce Path in Expandable String Value (REG_EXPAND_SZ). A tale scopo, eseguire la procedura seguente:
Annotare o copiare il valore della voce Path. Dovrebbe trattarsi di un percorso relativo contenente una o più variabili di ambiente.
Eliminare la voce Path.
Creare una vocePathdi tipo Expandable String Value (REG_EXPAND_SZ).
Modificare la nuova voce Path in modo che abbia lo stesso valore annotato o copiato nel primo passaggio.
Assicurarsi si eseguire questa modifica per ogni voce Path che utilizza variabili di ambiente per specificare un percorso attendibile.
Specificare cartelle Web come percorsi attendibili
È possibile specificare cartelle Web, ovvero http://percorsi, come percorsi attendibili. Tuttavia, solo le cartelle Web che supportano il protocollo WebDAV (Web Distributed Authoring and Versioning) o FPRPC (FrontPage Server Extensions Remote Procedure Call) verranno riconosciute come percorsi attendibili. Utilizzare le linee guida seguenti se non si è certi che una cartella Web supporti il protocollo WebDAV o FPRPC:
Se si apre un'applicazione in Internet Explorer, controllare l'elenco dei file utilizzati più di recente. Se tale elenco indica che il file si trova su un server remoto, invece che nella cartella File temporanei Internet, è probabile che la cartella Web supporti in qualche modo il protocollo WebDAV. Se ad esempio si apre un documento mentre si utilizza Internet Explorer e il documento viene visualizzato in Word 2013, l'elenco dei file utilizzati più di recente dovrebbe indicare che il documento si trova sul server remoto e non nella cartella locale File temporanei Internet.
Provare a utilizzare la finestra di dialogo Apri per passare alla cartella Web. Se il percorso supporta WebDAV, dovrebbe essere possibile passare alla cartella Web oppure possono venire richieste le credenziali. Se la cartella Web non supporta WebDAV, l'esplorazione avrà esito negativo e la finestra di dialogo si chiuderà.
Nota
I siti creati con SharePoint Server 2013 possono essere designati come percorsi attendibili.
Determinare le impostazioni per la condivisione e la sicurezza delle cartelle designate come percorsi attendibili
Tutte le cartelle specificate come percorsi attendibili devono essere protette. Utilizzare le linee guida seguenti per determinare quali impostazioni di condivisione e sicurezza devono essere applicate a ogni percorso attendibile:
Se una cartella è condivisa, configurare le autorizzazioni di condivisione in modo che sia accessibile solo agli utenti autorizzati. Assicurarsi di utilizzare il principio dei privilegi minimi e concedere autorizzazioni che siano appropriate all'utente. In altre parole, concedere autorizzazioni di lettura agli utenti che non hanno la necessità di modificare file attendibili e autorizzazioni di controllo completo a quelli che hanno invece la necessità di modificarli.
Applicare autorizzazioni di sicurezza delle cartelle in modo che solo gli utenti autorizzati possano leggere o modificare i file nei percorsi attendibili. Assicurarsi di utilizzare il principio dei privilegi minimi e concedere autorizzazioni che siano appropriate all'utente. In altre parole, concedere autorizzazioni di controllo completo solo agli utenti che hanno la necessità di modificare file e autorizzazioni più restrittive a quelli che devono solo leggerli.
Determinare le restrizioni per i percorsi attendibili
Office 2013 include diverse impostazioni che consentono di limitare o controllare il comportamento dei percorsi attendibili. Utilizzare le linee guida seguenti per determinare come configurare queste impostazioni.
Nome impostazione Criteri di gruppo: Consenti criteri e percorsi definiti dall'utente
Descrizione: questa impostazione consente di specificare se i percorsi attendibili possono essere definiti dagli utenti, tramite lo Strumento di personalizzazione di Office e Criteri di gruppo, oppure se devono essere definiti esclusivamente tramite Criteri di gruppo. Per impostazione predefinita, gli utenti possono designare qualsiasi percorso come percorso attendibile e in un computer possono coesistere percorsi attendibili definiti dagli utenti e creati con lo Strumento di personalizzazione di Office e Criteri di gruppo.
Impatto: se questa impostazione è disabilitata, tutti i percorsi attendibili che non sono stati creati mediante Criteri di gruppo sono disabilitati e gli utenti non possono creare nuovi percorsi attendibili nel Centro protezione. La disabilitazione di questa impostazione può comportare disagi per gli utenti che hanno definito personalmente percorsi attendibili nel Centro protezione. Nelle applicazioni tali percorsi vengono considerati come qualsiasi altro percorso non attendibile, ossia quando gli utenti aprono i file sulla barra messaggi vengono visualizzati avvisi relativi a contenuti come controlli ActiveX e macro VBA e viene chiesto di decidere se abilitarli o meno. Si tratta di un'impostazione globale applicata a tutte le applicazioni per cui si configurano percorsi attendibili.
Linee guida: questa impostazione viene in genere disabilitata nelle organizzazioni con un ambiente di sicurezza estremamente restrittivo. In genere, le organizzazioni che gestiscono le configurazioni desktop tramite Criteri di gruppo disabilitano questa impostazione.
Nome impostazione Criteri di gruppo: Consenti percorsi attendibili in questa rete
Descrizione: questa impostazione consente di stabilire se utilizzare o meno percorsi attendibili di rete. Per impostazione predefinita, i percorsi attendibili che coincidono con condivisioni di rete sono disabilitati. Gli utenti possono tuttavia selezionare la casella di controllo Consenti percorsi attendibili in questa rete (scelta non consigliata) nel Centro protezione per designare condivisioni di rete come percorsi attendibili. Poiché non si tratta di un'impostazione globale, è necessario configurarla singolarmente per Access 2013, Excel 2013, PowerPoint 2013, Visio 2013 e Word 2013.
Impatto: se si disabilita questa impostazione tutti i percorsi attendibili che coincidono con condivisioni di rete vengono disabilitati e si impedisce agli utenti di selezionare la casella di controllo Consenti percorsi attendibili in questa rete nel Centro protezione. La disabilitazione di questa impostazione può comportare disagi per gli utenti che hanno definito personalmente percorsi attendibili nel Centro protezione. Se si disabilita questa impostazione e un utente tenta di designare una condivisione di rete come percorso attendibile, verrà visualizzato un avviso indicante che le impostazioni di sicurezza correnti non consentono di designare percorsi di rete o remoti come percorsi attendibili. Se un amministratore designa una condivisione di rete come percorso attendibile tramite Criteri di gruppo o lo Strumento di personalizzazione di Office, e questa impostazione è disabilitata, il percorso attendibile è disabilitato. Nelle applicazioni tali percorsi vengono considerati come qualsiasi altro percorso non attendibile, ossia quando gli utenti aprono i file sulla barra messaggi vengono visualizzati avvisi relativi a contenuti come controlli ActiveX e macro VBA e viene chiesto di decidere se abilitarli o meno.
Linee guida: questa impostazione viene in genere disabilitata nelle organizzazioni con un ambiente di sicurezza estremamente restrittivo.
Nota
È inoltre possibile utilizzare l'impostazione Rimuovi tutti i percorsi attendibili scritti dallo Strumento di personalizzazione di Office durante l'installazione per eliminare tutti i percorsi attendibili che sono stati creati configurando lo Strumento di personalizzazione di Office.
Disabilitare Percorsi attendibili in Office 2013
Office 2013 include un'impostazione che consente di disabilitare la caratteristica Percorsi attendibili. Questa impostazione deve essere configurata singolarmente per Access 2013, Excel 2013, PowerPoint 2013, Visio 2013 e Word 2013. Utilizzare le linee guida seguenti per determinare se utilizzare questa impostazione.
Nome impostazione Criteri di gruppo: Disattiva tutti i percorsi attendibili
Descrizione: questa impostazione consente di disabilitare la caratteristica Percorsi attendibili a livello di singola applicazione. Per impostazione predefinita, la caratteristica Percorsi attendibili è abilitata e gli utenti possono creare percorsi attendibili.
Impatto: se si abilita questa impostazione, verranno disabilitati tutti i percorsi attendibili, inclusi quelli creati nei modi seguenti:
Per impostazione predefinita durante l'installazione.
Tramite lo Strumento di personalizzazione di Office.
Dagli utenti tramite il Centro protezione.
Tramite Criteri di gruppo.
Se si abilita questa impostazione, gli utenti non potranno inoltre configurare percorsi attendibili nel Centro protezione. Se si decide di abilitarla, assicurarsi di informare gli utenti che non potranno utilizzare la caratteristica Percorsi attendibili. Se gli utenti aprono file da percorsi attendibili e si abilita questa impostazione, è possibile che vengano visualizzati avvisi sulla barra messaggi e che venga chiesto di decidere se abilitare o meno contenuti come controlli ActiveX, componenti aggiuntivi e macro VBA.
- Linee guida: le organizzazioni con un ambiente di protezione estremamente restrittivo in genere attivano questa impostazione.
Nota
Per le informazioni più aggiornate sulle impostazioni dei criteri, fare riferimento alla cartella di lavoro di Excel 2013 Office2013GroupPolicyAndOCTSettings_Reference.xlsx, inclusa nei file di modelli amministrativi di Office 2013. Per ulteriori informazioni, vedere l'articolo di TechNet File dei modelli amministrativi di Office 2013 (ADMX, ADML) e Strumento di personalizzazione di Office.
Vedere anche
Guida alla sicurezza di Office 2013
Panoramica della sicurezza in Office 2013
Configurare la sicurezza utilizzando lo Strumento di personalizzazione di Office o Criteri di gruppo per Office 2013
Valutare le minacce alla sicurezza e le contromisure per Office 2013
Pianificare e configurare le impostazioni degli autori attendibili per Office 2013
Configurare la sicurezza utilizzando lo Strumento di personalizzazione di Office o Criteri di gruppo per Office 2013