Condividi tramite


Pianificare le impostazioni di Percorsi attendibili per Office 2010

 

Si applica a: Office 2010

Ultima modifica dell'argomento: 2015-03-09

Per distinguere i file attendibili dai file potenzialmente dannosi è possibile utilizzare la caratteristica Percorsi attendibili di Microsoft Office 2010. Questa caratteristica consente infatti di designare origini file attendibili sui dischi rigidi dei computer degli utenti o su una condivisione di rete. Quando una cartella viene designata come origine file attendibile, tutti i file salvati in essa vengono considerati attendibili. Quando si apre un file attendibile, tutto il relativo contenuto viene attivato e agli utenti non vengono notificati potenziali rischi presenti nel file, ad esempio macro VBA (Microsoft Visual Basic, Applications Edition) e componenti aggiuntivi non firmati, collegamenti a contenuto in Internet o connessioni di database.

Contenuto dell'articolo:

  • Informazioni sulla pianificazione delle impostazioni di Percorsi attendibili

  • Implementare Percorsi attendibili

  • Disabilitare Percorsi attendibili

Informazioni sulla pianificazione delle impostazioni di Percorsi attendibili

Office 2010 include diverse impostazioni che consentono di controllare il comportamento della caratteristica Percorsi attendibili. Configurando queste impostazioni è possibile:

  • Specificare percorsi attendibili su base globale o applicazione per applicazione.

  • Consentire la presenza di percorsi attendibili su condivisioni remote.

  • Impedire agli utenti di designare percorsi attendibili.

  • Disabilitare la caratteristica Percorsi attendibili.

La caratteristica Percorsi attendibili è disponibile nelle applicazioni seguenti: Microsoft Access 2010, Microsoft Excel 2010, Microsoft InfoPath 2010, Microsoft PowerPoint 2010, Microsoft Visio 2010 e Microsoft Word 2010.

Nell'elenco seguente è descritta la configurazione predefinita della caratteristica Percorsi attendibili:

  • Percorsi attendibili è abilitata.

  • Gli utenti non possono designare condivisioni di rete come percorsi attendibili, ma possono modificare questa impostazione nel Centro protezione.

  • Gli utenti possono aggiungere cartelle all'elenco Percorsi attendibili.

  • È possibile utilizzare sia percorsi attendibili definiti dall'utente sia percorsi attendibili definiti tramite criteri.

In un'installazione predefinita di Office 2010, inoltre, diverse cartelle sono designate come percorsi attendibili. Le cartelle predefinite per ogni applicazione sono elencate nelle tabelle seguenti. (Per InfoPath 2010 e Visio 2010 non sono previsti percorsi attendibili predefiniti.)

Percorsi attendibili di Access 2010

Nella tabella seguente sono elencati i percorsi attendibili predefiniti per Access 2010.

Percorsi attendibili predefiniti Descrizione cartella Sottocartelle attendibili

Programmi\Microsoft Office\Office14\ACCWIZ

Database procedure guidate

Non consentite

Percorsi attendibili di Excel 2010

Nella tabella seguente sono elencati i percorsi attendibili predefiniti per Excel 2010.

Percorsi attendibili predefiniti Descrizione cartella Sottocartelle attendibili

Programmi\Microsoft Office\Modelli

Modelli dell'applicazione

Consentite

Utenti\nome utente\Dati applicazioni\Roaming\Microsoft\Modelli

Modelli utente

Non consentite

Programmi\Microsoft Office\Office14\XLSTART

Cartella di avvio di Excel

Consentite

Utenti\nome_utente\Dati applicazioni\Roaming\Microsoft\Excel\XLSTART

Cartella di avvio dell'utente

Non consentite

Programmi\Microsoft Office\Office14\STARTUP

Cartella di avvio di Office

Consentite

Programmi\Microsoft Office\Office14\Library

Componenti aggiuntivi

Consentite

Percorsi attendibili di PowerPoint 2010

Nella tabella seguente sono elencati i percorsi attendibili predefiniti per PowerPoint 2010.

Percorsi attendibili predefiniti Descrizione cartella Sottocartelle attendibili

Programmi\Microsoft Office\Modelli

Modelli dell'applicazione

Consentite

Utenti\nome utente\Dati applicazioni\Roaming\Microsoft\Modelli

Modelli utente

Consentite

Utenti\nome_utente\Dati applicazioni\Roaming\Microsoft\Addins

Componenti aggiuntivi

Non consentite

Programmi\Microsoft Office\Temi documento 14

Temi dell'applicazione

Consentite

Percorsi attendibili di Word 2010

Nella tabella seguente sono elencati i percorsi attendibili predefiniti per Word 2010.

Percorsi attendibili predefiniti Descrizione cartella Sottocartelle attendibili

Programmi\Microsoft Office\Modelli

Modelli dell'applicazione

Consentite

Utenti\nome utente\Dati applicazioni\Roaming\Microsoft\Modelli

Modelli utente

Non consentite

Utenti\nome_utente\Dati applicazioni\Roaming\Microsoft\Word\Startup

Cartella di avvio dell'utente

Non consentite

Nota

Per informazioni su come configurare le impostazioni di sicurezza nello Strumento di personalizzazione di Office e in Modelli amministrativi di Office 2010, vedere Configurare la sicurezza per Office 2010.

Implementare Percorsi attendibili

Per implementare Percorsi attendibili, è necessario determinare:

  • Le applicazioni per cui configurare Percorsi attendibili.

  • Le cartelle da designare come percorsi attendibili.

  • Le impostazioni di condivisione e sicurezza di cartelle da applicare ai percorsi attendibili.

  • Le restrizioni da applicare ai percorsi attendibili.

Determinare le applicazioni da configurare

Utilizzare le linee guida seguenti per determinare le applicazioni per cui si desidera configurare Percorsi attendibili:

  • La caratteristica Percorsi attendibili ha effetti su tutto il contenuto di un file, inclusi componenti aggiuntivi, controlli ActiveX, collegamenti ipertestuali, collegamenti a origini dati e contenuti multimediali e macro VBA. Inoltre, i file aperti da percorsi attendibili non vengono sottoposti ai controlli di convalida dei file, ai controlli di Blocco file e non vengono aperti in Visualizzazione protetta.

  • Poiché ogni applicazione prevede le stesse impostazioni per la configurazione di Percorsi attendibili, è possibile personalizzare in modo indipendente Percorsi attendibili per ogni applicazione.

  • È possibile disabilitare la caratteristica Percorsi attendibili per una o più applicazioni e implementarla per altre applicazioni.

Determinare le cartelle da designare come percorsi attendibili

Utilizzare le linee guida seguenti per determinare le cartelle da designare come percorsi attendibili:

  • È possibile specificare percorsi attendibili applicazione per applicazione o globalmente.

  • Una o più applicazioni possono condividere un percorso attendibile.

  • Per impedire che utenti malintenzionati aggiungano file in un percorso attendibile o modifichino file salvati in un percorso attendibile, è necessario applicare le impostazioni di sicurezza del sistema operativo a tutte le cartelle designate come percorsi attendibili.

  • Per impostazione predefinita, sono consentiti solo i percorsi attendibili presenti sui dischi rigidi dei computer degli utenti. Per abilitare percorsi attendibili nelle condivisioni di rete, è necessario abilitare l'impostazione Consenti percorsi attendibili non presenti nel computer.

  • Non è consigliabile specificare come percorsi attendibili cartelle radice, ad esempio l'unità C, o l'intera cartella Documenti. In alternativa, creare una sottocartella all'interno di tali cartelle e designarla come percorso attendibile.

È inoltre necessario utilizzare le linee guida riportate nelle sezioni seguenti se si desidera:

  • Utilizzare variabili di ambiente per specificare percorsi attendibili.

  • Specificare cartelle Web, ovvero http://percorsi, come percorsi attendibili.

Utilizzare variabili di ambiente per specificare percorsi attendibili

È possibile utilizzare variabili di ambiente tramite Criteri di gruppo e lo Strumento di personalizzazione di Office per specificare percorsi attendibili. Se si utilizzando variabili di ambiente nello Strumento di personalizzazione di Office, è tuttavia necessario modificare il tipo di valore utilizzato per archiviare i percorsi attendibili nel Registro di sistema, affinché le variabili di ambiente funzionino correttamente. Se si utilizza una variabile di ambiente per specificare un percorso attendibile e non si esegue la necessaria modifica del Registro di sistema, il percorso attendibile verrà visualizzato nel Centro protezione, ma non sarà disponibile e verrà visualizzato come percorso relativo contenente le variabili di ambiente. Dopo aver modificato il tipo di valore nel Registro di sistema, il percorso attendibile verrà visualizzato nel Centro protezione come percorso assoluto e sarà disponibile.

Per utilizzare variabili di ambiente per specificare percorsi attendibili

  1. Utilizzare l'Editor del Registro di sistema per individuare il percorso attendibile rappresentato da una variabile di ambiente.

    Per aprire l'editor del Registro di sistema, fare clic sul pulsante Start, scegliere Esegui, digitare regedit e quindi fare clic su OK.

    I percorsi attendibili configurati utilizzando lo Strumento di personalizzazione di Office vengono memorizzati nel percorso seguente:

    HKEY_CURRENT_USER/Software/Microsoft/Office/14.0/nome_applicazione/Security/Trusted Locations

    Dove nome_applicazione può essere Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Visio o Microsoft Word.

    I percorsi attendibili vengono memorizzati in voci del Registro di sistema denominate Path come tipo di valore String Value (REG_SZ). Assicurarsi di individuare ogni voce Path che utilizza variabili di ambiente per specificare un percorso attendibile.

  2. Modificare il tipo di valore Path.

    Le applicazioni presenti in Office 2010 non possono riconoscere variabili di ambiente archiviate come tipi di valore String Value (REG_SZ). Affinché le applicazioni riconoscano le variabili di ambiente, è necessario modificare il tipo di valore della voce Path in Expandable String Value (REG_EXPAND_SZ). A tale scopo, eseguire la procedura seguente:

    1. Annotare o copiare il valore della voce Path. Dovrebbe trattarsi di un percorso relativo contenente una o più variabili di ambiente.

    2. Eliminare la voce Path.

    3. Creare una nuova vocePathdi tipo Expandable String Value (REG_EXPAND_SZ).

    4. Modificare la nuova voce Path in modo che abbia lo stesso valore annotato o copiato nel primo passaggio.

    Assicurarsi si eseguire questa modifica per ogni voce Path che utilizza variabili di ambiente per specificare un percorso attendibile.

Specificare cartelle Web come percorsi attendibili

È possibile specificare cartelle Web, ovvero http://percorsi, come percorsi attendibili. Tuttavia, solo le cartelle Web che supportano il protocollo WebDAV (Web Distributed Authoring and Versioning) o FPRPC (FrontPage Server Extensions Remote Procedure Call) verranno riconosciute come percorsi attendibili. Utilizzare le linee guida seguenti se non si è certi che una cartella Web supporti il protocollo WebDAV o FPRPC:

  • Se un'applicazione viene aperta da Internet Explorer, verificare l'elenco dei file utilizzati più di recente. Se l'elenco dei file utilizzati più di recente indica che il file si trova su un server remoto, invece che nella cartella File temporanei Internet, è probabile che la cartella Web supporti in qualche modo il protocollo WebDAV. Se ad esempio si fa clic su un documento mentre si utilizza Internet Explorer e il documento viene visualizzato in Word 2010, l'elenco dei file utilizzati più di recente dovrebbe indicare che il documento si trova sul server remoto e non nella cartella locale File temporanei Internet.

  • Provare a utilizzare la finestra di dialogo Apri per passare alla cartella Web. Se il percorso supporta WebDAV, dovrebbe essere possibile passare alla cartella Web oppure possono venire richieste le credenziali. Se la cartella Web non supporta WebDAV, lo spostamento avrà esito negativo e la finestra di dialogo si chiuderà.

Nota

I siti creati con Windows SharePoint Services e Microsoft SharePoint Server possono essere specificati come percorsi attendibili.

Determinare le impostazioni di condivisione e sicurezza delle cartelle

Tutte le cartelle specificate come percorsi attendibili devono essere protette. Utilizzare le linee guida seguenti per determinare quali impostazioni di condivisione e sicurezza devono essere applicate a ogni percorso attendibile:

  • Se una cartella è condivisa, configurare autorizzazioni di condivisione, in modo che solo gli utenti autorizzati abbiano accesso alla cartella condivisa. Assicurarsi di utilizzare il principio dei privilegi minimi e concedere autorizzazioni che siano appropriate all'utente. In altre parole, concedere autorizzazioni di lettura agli utenti che non hanno la necessità di modificare file attendibili e concedere, invece, autorizzazioni di controllo completo agli utenti che hanno la necessità di modificare file attendibili.

  • Applicare autorizzazioni di sicurezza delle cartelle, in modo che solo gli utenti autorizzati possano leggere o modificare i file nei percorsi attendibili. Assicurarsi di utilizzare il principio dei privilegi minimi e concedere autorizzazioni che siano appropriate all'utente. In altre parole, concedere autorizzazioni di controllo completo solo agli utenti che hanno la necessità di modificare file e concedere, invece, autorizzazioni più restrittive agli utenti che devono solo leggere i file.

Determinare le restrizioni per i percorsi attendibili

Office 2010 include diverse impostazioni che consentono di limitare o controllare il comportamento dei percorsi attendibili. Utilizzare le linee guida seguenti per determinare come configurare queste impostazioni.

Nome impostazione: Consenti criteri e percorsi definiti dall'utente


  • Descrizione: questa impostazione consente di specificare se i percorsi attendibili possono essere definiti dagli utenti, tramite lo Strumento di personalizzazione di Office e Criteri di gruppo, oppure se devono essere definiti esclusivamente tramite Criteri di gruppo. Per impostazione predefinita, gli utenti possono designare qualsiasi percorso come percorso attendibile e in un computer possono coesistere percorsi attendibili definiti dagli utenti e creati tramite lo Strumento di personalizzazione di Office e Criteri di gruppo.


  • Impatto: se questa impostazione è disabilitata, tutti i percorsi attendibili che non sono stati creati tramite Criteri di gruppo sono disabilitati e gli utenti non possono creare nuovi percorsi attendibili nel Centro protezione. La disabilitazione di questa impostazione può comportare disagi per gli utenti che hanno definito personalmente percorsi attendibili nel Centro protezione. Nelle applicazioni tali percorsi vengono considerati come qualsiasi altro percorso non attendibile: sulla barra messaggi vengono visualizzati avvisi relativi a contenuto quali controlli ActiveX e macro VBA quando gli utenti aprono file e gli utenti devono decidere se abilitare o meno i controlli e le macro. Si tratta di un'impostazione globale applicata a tutte le applicazioni per cui si configurano percorsi attendibili.


  • Linee guida: questa impostazione viene in genere disabilitata nelle organizzazioni con un ambiente di sicurezza estremamente restrittivo. In genere, le organizzazioni che gestiscono le configurazioni desktop tramite Criteri di gruppo disabilitano questa impostazione.

Nome impostazione: Consenti percorsi attendibili non presenti nel computer


  • Descrizione: questa impostazione consente di definire l'utilizzo di percorsi attendibili in rete. Per impostazione predefinita, i percorsi attendibili che coincidono con condivisioni di rete sono disabilitati. Gli utenti possono tuttavia selezionare la casella di controllo Consenti percorsi attendibili in questa rete nel Centro protezione per designare condivisioni di rete come percorsi attendibili. Poiché non si tratta di un'impostazione globale, è necessario configurarla singolarmente per Access 2010, Excel 2010, PowerPoint 2010, Visio 2010 e Word 2010.


  • Impatto: se si disabilita questa impostazione tutti i percorsi attendibili che coincidono con condivisioni di rete vengono disabilitati e si impedisce agli utenti di selezionare la casella di controllo Consenti percorsi attendibili in questa rete nel Centro protezione. La disabilitazione di questa impostazione può comportare disagi per gli utenti che hanno definito personalmente percorsi attendibili nel Centro protezione. Se si disabilita questa impostazione e un utente tenta di designare una condivisione di rete come percorso attendibile, verrà visualizzato un avviso che informa l'utente che le impostazioni di sicurezza correnti non consentono di designare percorsi di rete o remoti come percorsi attendibili. Se un amministratore designa una condivisione di rete come percorso attendibile tramite Criteri di gruppo o lo Strumento di personalizzazione di Office,e questa impostazione è disabilitata, il percorso attendibile è disabilitato. Nelle applicazioni tali percorsi vengono considerati come qualsiasi altro percorso non attendibile: sulla barra messaggi vengono visualizzati avvisi relativi a contenuto quali controlli ActiveX e macro VBA quando gli utenti aprono file e gli utenti devono decidere se abilitare o meno i controlli e le macro.


  • Linee guida: questa impostazione viene in genere disabilitata nelle organizzazioni con un ambiente di sicurezza estremamente restrittivo.

Nota

È inoltre possibile utilizzare l'impostazione Rimuovi tutti i percorsi attendibili scritti dallo Strumento di personalizzazione di Office durante l'installazione per eliminare tutti i percorsi attendibili che sono stati creati configurando lo Strumento di personalizzazione di Office.

Disabilitare Percorsi attendibili

Office 2010 include un'impostazione che consente di disabilitare la caratteristica Percorsi attendibili. Questa impostazione deve essere configurata singolarmente per Access 2010, Excel 2010, PowerPoint 2010, Visio 2010 e Word 2010. Utilizzare le linee guida seguenti per determinare se utilizzare questa impostazione.

Nome impostazione: Disattiva tutti i percorsi attendibili


  • Descrizione: questa impostazione consente agli amministratori di disabilitare la caratteristica Percorsi attendibili a livello di singola applicazione. Per impostazione predefinita, la caratteristica Percorsi attendibili è abilitata e gli utenti possono creare percorsi attendibili.


  • Impatto: se si abilita questa impostazione, tutti i percorsi attendibili verranno disabilitati, inclusi i percorsi attendibili:

    • Creati per impostazione predefinita durante l'installazione.

    • Creati tramite lo Strumento di personalizzazione di Office.

    • Creati dagli utenti tramite il Centro protezione.

    • Creati tramite Criteri di gruppo.

    Se si abilita questa impostazione, gli utenti non potranno configurare percorsi attendibili nel Centro protezione. Se si decide di abilitarla, assicurarsi di informare gli utenti che non potranno utilizzare la caratteristica Percorsi attendibili. Se gli utenti aprono file da percorsi attendibili e si abilita questa impostazione, è possibile che vengano visualizzati avvisi sulla barra messaggi e che venga richiesto agli utenti di decidere se abilitare o meno contenuto quali controlli ActiveX, componenti aggiuntivi e macro VBA.


  • Linee guida: questa impostazione viene in genere abilitata nelle organizzazioni con un ambiente di sicurezza estremamente restrittivo.

Nota

Per informazioni aggiornate sulle impostazioni dei criteri, fare riferimento alla cartella di lavoro di Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, disponibile nella sezione Files in this Download della pagina di download File di modelli amministrativi di Office 2010 (ADM, ADMX, ADML) e Strumento di personalizzazione di Office (le informazioni potrebbero essere in lingua inglese) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x410) (le informazioni potrebbero essere in lingua inglese).