• Artykuł

Ocena domyślnych ustawień zabezpieczeń i opcji prywatności oprogramowania Office 2007 - wprowadzenie     Microsoft Office 2007 - ocena domyślnych ustawień zabezpieczeń i opcji prywatności     Ocena domyślnych ustawień zabezpieczeń dla zagrożeń dokumentów

Ocena domyślnych ustawień zabezpieczeń kodu i aplikacji Udostępnij na: Facebook

Opublikowano: 29 czerwca 2007

W celu określenia, czy domyślne ustawienia zabezpieczeń kodu i aplikacji są odpowiednie dla danej organizacji, należy dokonać ich oceny pod kątem:

  • formantów ActiveX
  • dodatków Add-in
  • zaufanych lokalizacji
  • zaufanych wydawców
  • makr Visual Basic for Applications (VBA)

*

Zawartość strony
Ustawienia domyślne dla formantów ActiveX  Ustawienia domyślne dla formantów ActiveX
Ustawienia domyślne dla dodatków add-in  Ustawienia domyślne dla dodatków add-in
Domyślne ustawienia dla zaufanych lokalizacji  Domyślne ustawienia dla zaufanych lokalizacji
Ustawienia domyślne dla zaufanych wydawców  Ustawienia domyślne dla zaufanych wydawców
Ustawienia domyślne dla makr  Ustawienia domyślne dla makr
Przeczytaj pozostałe części tej publikacji  Przeczytaj pozostałe części tej publikacji

Ustawienia domyślne dla formantów ActiveX

Ustawienia domyślne dla formantów ActiveX mogą być przyczyną różnego zachowania się tych formantów w zależności od charakterystyki samego formantu oraz charakterystyki dokumentu, który go zawiera. Wyróżnia się cztery rodzaje zachowania formantów ActiveX.

  • Jeżeli dla formantu ActiveX ustawiono w rejestrze killbit, formant nie zostanie załadowany w żadnych okolicznościach. Killbit jest funkcją zapobiegającą załadowaniu formantów, w których występuje znana luka.
  • Jeżeli formant ActiveX jest zawarty w dokumencie niezawierającym projektu VBA i jest oznaczony jako bezpieczne do zainicjowania (SFI), zostanie załadowany w trybie bezpiecznym z minimalnymi ograniczeniami (czyli z wartościami utrwalonymi). Nie pojawia się pasek komunikatów, a użytkownicy nie otrzymują żadnego powiadomienia o obecności formantów ActiveX w dokumentach. Aby powiadomienie nie było generowane, wszystkie formanty ActiveX w dokumencie muszą być oznaczone jako SFI.
  • Jeżeli formant ActiveX jest zawarty w dokumencie nie zawierającym projektu VBA, a formant ActiveX jest oznaczony jako niebezpieczny do zainicjowania (UFI), użytkownicy otrzymują powiadomienie w postaci paska komunikatów informującego o tym, że formanty ActiveX zostały wyłączone. Jeżeli użytkownik kliknie na pasek komunikatów, pojawi się okno dialogowe z monitem o ich włączenie. Jeśli formanty ActiveX zostaną włączone, wszystkie (oznaczone jako SFI i jako UFI) zostaną załadowane z minimalnymi ograniczeniami (czyli wartościami utrwalonymi).
  • Jeżeli formant ActiveX jest zawarty w dokumencie zawierającym także projekt VBA, pojawia się powiadomienie w pasku komunikatów, informujące użytkownika o wyłączeniu formantów. Kiedy użytkownik kliknie na pasek komunikatów, pojawi się okno dialogowe z monitem o ich włączenie. Jeśli formanty ActiveX zostaną włączone, wszystkie (oznaczone jako SFI i jako UFI) zostaną załadowane z minimalnymi ograniczeniami (czyli wartościami utrwalonymi).

Jeżeli domyślne ustawienia formantów ActiveX są wystarczające dla danej organizacji, nie ma potrzeby ich modyfikacji. Z drugiej strony, należy zaplanować ustawienia zabezpieczeń dla formantów ActiveX, jeżeli chcemy wykonać następujące czynności:

  • Wyłączyć formanty ActiveX.
  • Pozwolić na działanie wszystkich formantów ActiveX bez powiadamiania użytkowników.
  • Zmodyfikować sposób inicjalizacji formantów ActiveX na podstawie SFI, UFI oraz parametrów trybu bezpiecznego.

Więcej informacji na temat domyślnych ustawień formantów ActiveX oraz planowania ustawień zabezpieczeń dla formantów ActiveX można znaleźć w artykule Plan security settings for ActiveX controls, add-ins, and macros in the 2007 Office System (j.ang.).

 Do początku strony Do początku strony

Ustawienia domyślne dla dodatków add-in

Domyślnie każdy zainstalowany i zarejestrowany dodatek add-in może działać bez interwencji ani ostrzeżeń użytkownika. Zainstalowane i zarejestrowane dodatki add-in mogą zawierać:

  • dodatki Component Object Model (COM)
  • tagi inteligentne
  • dodatki automatyzacji
  • serwery RealTimeData (RTD)
  • dodatki aplikacji (na przykład pliki .wll, .xll, and .xlam).
  • pakiety rozszerzające XML
  • arkusze stylów XML

Domyślne ustawienie to Ufaj wszystkim zainstalowanym dodatkom i szablonom, które znajduje się także we wcześniejszych wersjach oprogramowania Microsoft Office.

Jeżeli domyślne ustawienia dodatków add-in są wystarczające dla danej organizacji, nie ma potrzeby planowania ustawień zabezpieczeń dla dodatków add-in. Z drugiej strony, należy zaplanować ustawienia zabezpieczeń dla dodatków add-in, jeżeli chcemy wykonać następujące czynności:

  • Wyłączyć dodatki add-in w określonych aplikacjach.
  • Wymagać podpisania dodatków przez zaufanego wydawcę.
  • Wyłączyć powiadomienia dla niepodpisanych dodatków.

Więcej informacji na temat domyślnych ustawień dodatków oraz planowania ustawień zabezpieczeń dla dodatków można znaleźć w artykule Plan security settings for ActiveX controls, add-ins, and macros in the 2007 Office System (j.ang.).

 Do początku strony Do początku strony

Domyślne ustawienia dla zaufanych lokalizacji

Ustawienia dla zaufanych lokalizacji umożliwiają wyznaczenie folderów na twardym dysku komputera użytkownika lub w katalogach udostępnionych jako zaufanych źródeł dokumentu. Kiedy folder jest oznaczony jako zaufane źródło dokumentu, każdy zapisany w nim dokument zachowany jest traktowany jako zaufany. Otwarcie zaufanego dokumentu wiąże się z włączeniem całej jego zawartości, a użytkownicy nie są powiadamiani o żadnych potencjalnych zagrożeniach, które mogą się w nim znajdować, takich jak niepodpisane makra, formanty ActiveX czy łącza do materiałów internetowych.

|Uwaga:| |--- | |Istnieje możliwość konfiguracji zaufanych lokalizacji tylko dla programu: Microsoft Office Access 2007, Microsoft Office Excel 2007, Microsoft Office PowerPoint 2007, Microsoft Office Visio 2007 oraz Microsoft Office Word 2007.|  

Poniższa lista przedstawia domyślne ustawienia dla zaufanych lokalizacji:

  • Zaufane lokalizacje są włączone.
  • Użytkownicy nie mogą oznaczać katalogów udostępnionych jako zaufanych lokalizacji. Użytkownicy mogą jednak zmienić to ustawienie.
  • Użytkownicy mogą dodawać foldery do listy zaufanych lokalizacji.
  • Można mieć zaufane lokalizacje zdefiniowane zarówno przez użytkownika, jak i przez zasady.

Ponadto kilka folderów jest oznaczonych jako zaufane lokalizacje. Domyślne foldery dla każdej aplikacji znajdują się w poniższych tabelach. (Zgodnie z ustawieniami domyślnymi, program Office Visio 2007 nie posiada żadnych zaufanych lokalizacji.).

Poniższa tabela przedstawia domyślne zaufane lokalizacje programu Office Access 2007.

|Domyślne zaufane lokalizacje|Opis folderu|Zaufane podfoldery| |--- |--- |--- | |Program Files\Microsoft Office\Office12\ACCWIZ|Bazy danych kreatorów|Niedozwolone|  

Poniższa tabela przedstawia domyślne zaufane lokalizacje programu Office Excel 2007.

|Domyślne zaufane lokalizacje|Opis folderu|Zaufane podfoldery| |--- |--- |--- | |Program Files\Microsoft Office\Templates|Szablony aplikacji|Dozwolone| |Users\username\Appdata\Roaming\Microsoft\Templates|Szablony użytkownika|Niedozwolone| |Program Files\Microsoft Office\Office12\XLSTART|Pliki startowe programu Excel|Dozwolone| |Users\username\Appdata\Roaming \Microsoft\Excel\XLSTART|Nazwa użytkownika StartUp|Niedozwolone| |Program Files\Microsoft Office\Office12\STARTUP|Pliki startowe programu Office|Dozwolone| |Program Files\Microsoft Office\Office12\Library|Dodatki Add-in|Dozwolone|  

Poniższa tabela przedstawia domyślne zaufane lokalizacje programu Office PowerPoint 2007.

|Domyślne zaufane lokalizacje|Opis folderu|Zaufane podfoldery| |--- |--- |--- | |Program Files\Microsoft Office\Templates|Szablony aplikacji|Dozwolone| |Users\username\Appdata\Roaming \Microsoft\Templates|Szablony użytkownika|Dozwolone| |Users\username\Appdata\Roaming \Microsoft\Addins|Dodatki Add-in|Niedozwolone| |Program Files\Microsoft Office\Document Themes 12|Motywy aplikacji|Dozwolone|  

Poniższa tabela przedstawia domyślne zaufane lokalizacje Office Word 2007.

|Domyślne zaufane lokalizacje|Opis folderu|Zaufane podfoldery| |--- |--- |--- | |Program Files\Microsoft Office\Templates|Szablony aplikacji|Dozwolone| |Users\username\Appdata\Roaming \Microsoft\Templates|Szablony użytkownika|Niedozwolone| |Users\username\Appdata\Roaming \Microsoft\Word\Startup|Pliki startowe użytkownika|Niedozwolone|  

Jeżeli domyślne ustawienia dla zaufanych lokalizacji są wystarczające dla danej organizacji, nie ma ich modyfikowania. Należy jednak zaplanować ustawienia zabezpieczeń dla zaufanych lokalizacji, jeżeli chcemy wykonać następujące czynności:

  • Wyłączyć zaufane lokalizacje.
  • Dodać foldery do listy zaufanych lokalizacji na komputerze użytkownika.
  • Wyczyścić listę zaufanych lokalizacji na komputerze użytkownika.
  • Zezwolić użytkownikom na oznaczanie zaufanych lokalizacji w katalogach udostępnionych.
  • Uniemożliwić użytkownikom oznaczanie zaufanych lokalizacji w katalogach udostępnionych.
  • Uniemożliwić użytkownikom oznaczanie zaufanych lokalizacji i zarządzać zaufanymi lokalizacjami tylko przy użyciu Zasad Grupy.
  • Zmodyfikować jakąkolwiek domyślną lokalizację zaufaną.

Więcej informacji na temat domyślnych ustawień zaufanych lokalizacji oraz planowania ustawień zabezpieczeń dla zaufanych lokalizacji można znaleźć w artykule Plan trusted locations and trusted publishers settings for the 2007 Office system (j.ang.).

 Do początku strony Do początku strony

Ustawienia domyślne dla zaufanych wydawców

Podobnie jak w przypadku wcześniejszych edycji oprogramowania Office, Office 2007 pozwala na tworzenie list zaufanych wydawców. Wydawcą jest każdy programista, firma produkująca oprogramowanie lub organizacja, która stworzyła i rozpowszechniła formant ActiveX, dodatek add-in lub makro. Zaufanym wydawcą jest każdy wydawca umieszczony na liście zaufanych wydawców. Domyślnie lista ta jest pusta. Istnieje jednak kilka ustawień domyślnych, które mają wpływ na zachowanie formantów ActiveX oraz makr, które zostały podpisane przez zaufanego wydawcę.

Domyślnie, formanty ActiveX oraz makra podpisane przez wydawcę znajdującego się na liście zaufanych wydawców są włączone i mogą działać bez żadnego ostrzeżenia, jeżeli spełnione są następujące warunki:

  • Formant ActiveX lub makro są podpisane za pomocą cyfrowego podpisu.
  • Podpis cyfrowy jest ważny.
  • Podpis cyfrowy jest aktualny (nie wygasł).
  • Certyfikat połączony z podpisem cyfrowym został wydany przez sprawdzony urząd certyfikacji.

Jeżeli nie mamy zamiaru określić żadnych zaufanych wydawców ani wykorzystywać funkcjonalności zaufanych wydawców, nie ma potrzeby planowania ustawień zaufanych wydawców. Jednak ustawienia te należy zaplanować, jeżeli chcemy dodać wydawców do listy zaufanych wydawców. Należy także zaplanować ustawienia zaufanych wydawców w przypadku, gdy chcemy, by wszystkie dodatki add-in były podpisane przez zaufanego wydawcę. Jest to spowodowane tym, że Office 2007 zawiera kilka dodatków add-in, które nie zadziałają, jeżeli do listy zaufanych wydawców nie dodamy odpowiedniego certyfikatu firmy Microsoft. Więcej informacji na temat ustawień zaufanych wydawców oraz planowania ustawień zabezpieczeń dla zaufanych wydawców można znaleźć w artykule Plan trusted locations and trusted publishers settings for the 2007 Office system (j.ang.).

 Do początku strony Do początku strony

Ustawienia domyślne dla makr

Zaufane makra są domyślnie włączone. Dotyczy to także makr zawartych w dokumentach, które są zachowane w zaufanej lokalizacji oraz makr spełniających następujące kryteria:

  • Makro jest podpisane przez programistę za pomocą podpisu cyfrowego.
  • Podpis cyfrowy jest ważny.
  • Ten podpis cyfrowy jest aktualny (nie wygasł).
  • Certyfikat połączony z podpisem cyfrowym został wydany przez sprawdzony urząd certyfikacji.
  • Twórca który podpisał makro jest zaufanym wydawcą.

Niezaufane makra nie mają pozwolenia na działanie, dopóki użytkownik nie kliknie paska komunikatów i nie wybierze opcji włączenia makra. W poprzednich wersjach oprogramowania Office niepodpisane makra były wyłączone, a użytkownik nie mógł ich włączyć. Natomiast w Office 2007 użytkownicy otrzymują powiadomienia w przypadku, gdy dokument zawiera niepodpisane makra i mogą je włączyć, jeżeli tego chcą.

Jeżeli domyślne ustawienia makr są wystarczające dla danej organizacji, nie ma potrzeby planowania ustawień związanych z ich zabezpieczeniami. Należy jednak zaplanować ustawienia zabezpieczeń dla makr, jeżeli chcemy wykonać następujące czynności:

  • Udostępnić VBA
  • Udostępnić makra
  • Zezwolić na dostęp programistyczny do projektu VBA
  • Zmodyfikować sposób powiadamiania użytkowników o makrach
  • Uniemożliwić skanowanie zaszyfrowanych makr pod kątem wirusów w plikach o formatach Office Open XML. Domyślnie, zaszyfrowane makra są skanowane w plikach o formatach Office Open XML.
  • Zmienić sposób działania makr, kiedy aplikacja uruchamiana jest automatycznie.

Więcej informacji na temat domyślnych ustawień makr oraz planowania ustawień zabezpieczeń makr można znaleźć w artykule Plan security settings for ActiveX controls, add-ins, and macros in the 2007 Office System (j.ang.).

 Do początku strony Do początku strony

Przeczytaj pozostałe części tej publikacji

 Do początku strony Do początku strony

Ocena domyślnych ustawień zabezpieczeń i opcji prywatności oprogramowania Office 2007 - wprowadzenie     Microsoft Office 2007 - ocena domyślnych ustawień zabezpieczeń i opcji prywatności     Ocena domyślnych ustawień zabezpieczeń dla zagrożeń dokumentów