• Artykuł

Microsoft Office

Ustalanie bezpiecznych lokalizacji w Office 2007 Udostępnij na: Facebook

Opublikowano: 27 lutego 2007

Zawartość strony
Wstęp  Wstęp
Wprowadzanie zaufanych lokalizacji - konfiguracja  Wprowadzanie zaufanych lokalizacji - konfiguracja
Dezaktywacja zaufanych lokalizacji  Dezaktywacja zaufanych lokalizacji
Wprowadzanie zaufanych lokalizacji  Wprowadzanie zaufanych lokalizacji
Określenie, dla jakich aplikacji mają być skonfigurowane zaufane lokalizacje  Określenie, dla jakich aplikacji mają być skonfigurowane zaufane lokalizacje
Określanie, które katalogi mają być używane jako zaufane lokalizacje  Określanie, które katalogi mają być używane jako zaufane lokalizacje
Używanie zmiennych środowiskowych do określenia zaufanych lokalizacji  Używanie zmiennych środowiskowych do określenia zaufanych lokalizacji
Określanie katalogów sieci Web jako zaufanych lokalizacji  Określanie katalogów sieci Web jako zaufanych lokalizacji
Określanie ustawień katalogu udostępnionego i zabezpieczeń katalogów  Określanie ustawień katalogu udostępnionego i zabezpieczeń katalogów
Określanie ograniczeń dla zaufanych lokalizacji  Określanie ograniczeń dla zaufanych lokalizacji

Wstęp

Opcja zaufanych lokalizacji w Microsoft Office 2007 umożliwia wskazywanie katalogów jako zaufanych źródeł plików na twardych dyskach w komputerach użytkowników lub w udostępnionych zasobach. Gdy oznacza się katalog jako zaufane źródło plików, każdy plik zachowany w katalogu uznany jest za zaufany. Gdy otwiera się zaufany plik, cała jego zawartość jest dostępna i aktywna, zaś użytkowników nie informuje się o żadnych zagrożeniach, które mogą być zawarte w pliku, takich jak: niepodpisane makra, rozszerzenia z nieznanych źródeł czy linki do stron internetowych.

Wprowadzając zaufane lokalizacje i zaufanych wydawców należy stosować się do zalecanych procedur i czynności przedstawionych poniżej.

 Do początku strony Do początku strony

Wprowadzanie zaufanych lokalizacji - konfiguracja

Oprogramowanie Office 2007 roku zawiera kilka ustawień, zapewniających użytkownikowi kontrolę nad zaufanymi lokalizacjami. Konfigurując te ustawienia można:

  • Dezaktywować wszystkie zaufane lokalizacje.
  • Określić zaufane lokalizacje globalnie lub dla pojedynczej aplikacji.
  • Umożliwić istnienie zaufanych lokalizacji w zdalnych katalogach udostępnionych w sieci.
  • Uniemożliwić użytkownikom tworzenie zaufanych lokalizacji.

Szczegółowe informacje dotyczące każdego ustawienia zaufanych lokalizacji znajdują się w artykule Security policies and settings in the 2007 Office system (j.ang.).

Chociaż można konfigurować zaufane zabezpieczenia tak, aby odpowiadały różnym scenariuszom, najczęstsze scenariusze przy zaufanych lokalizacjach to:

  • Dezaktywacja opcji zaufanych lokalizacji tak, aby użytkownicy nie mogli tworzyć zaufanych lokalizacji, oraz by aplikacje nie mogły ich rozpoznać.
  • Uaktywnienie opcji zaufanych lokalizacji w niestandardowych zaufanych lokalizacjach.

 Do początku strony Do początku strony

Dezaktywacja zaufanych lokalizacji

Aby dezaktywować zaufane lokalizacje, należy skonfigurować ich ustawienia zgodnie z zaleceniami zawartymi w poniższej tabeli.

Nazwa ustawienia Zalecana konfiguracja Opis
Disable all trusted locations Enabled (Włączone)

To ustawienie jest domyślnie wyłączone, co oznacza, że zaufane lokalizacje są aktywne. Aktywowanie tego ustawienia dezaktywuje wszystkie zaufane lokalizacje, łącznie z zaufanymi ustawieniami, które zostały:

  • Utworzone domyślnie podczas konfiguracji.

  • Utworzone przez użytkownika przy użyciu graficznego interfejsu użytkownika.

  • Wprowadzone przez Politykę Grupową.

Aktywacja tej opcji uniemożliwia użytkownikom konfigurowanie zaufanych lokalizacji w Centrum Zaufania (Centrum Zaufania). Nie jest to ustawienie globalne. To ustawienie należy konfigurować dla poszczególnych aplikacji, czyli Microsoft Office Access 2007, Microsoft Office Excel 2007, Microsoft Office PowerPoint 2007, Microsoft Office Visio 2007 oraz Microsoft Office Word 2007.

 

Jeśli dezaktywuje się zaufane lokalizacje, należy pamiętać, aby:

  • Powiadomić użytkowników, by nie używali opcji zaufanych lokalizacji. Jeśli użytkownicy otwierali pliki z zaufanych lokalizacji, a teraz dezaktywowano opcję zaufanych lokalizacji, użytkownicy mogą otrzymywać ostrzeżenia w pasku wiadomości. Mogą także być zmuszeni do udzielenia odpowiedzi na wyświetlane ostrzeżenia, aby uzyskać dostęp do materiałów aktywnych, takich jak kontrolki ActiveX, rozszerzenia czy makra Visual Basic for Applications (VBA).
  • Zapisać zmiany w dokumentach planowania zabezpieczeń oraz w dokumentach operacyjnych bezpieczeństwa.

 Do początku strony Do początku strony

Wprowadzanie zaufanych lokalizacji

Aby wdrożyć zaufane lokalizacje, należy określić:

  • Dla których aplikacji mają zostać skonfigurowane zaufane lokalizacje.
  • Które katalogi mają być używane jako zaufane lokalizacje.
  • Jakie ustawienia katalogu ogólnodostępnego i zabezpieczeń katalogów mają zostać zastosowane do zaufanych lokalizacji.
  • Jakie ograniczenia mają zostać zastosowane do zaufanych lokalizacji.

 Do początku strony Do początku strony

Określenie, dla jakich aplikacji mają być skonfigurowane zaufane lokalizacje

Zaufane lokalizacje można ustawić dla Office Access 2007, Office Excel 2007, Office PowerPoint 2007, Office Visio 2007 oraz Office Word 2007. Gdy określa się, dla jakich aplikacji mają zostać skonfigurowane zaufane lokalizacje, należy pamiętać o poniższych kwestiach:

  • Zaufane lokalizacje dotyczą wszystkich materiałów aktywnych w pliku, łącznie z formantami ActiveX, rozszerzeniami, hiperłączami, linkami do źródeł danych i mediów oraz makrami VBA..
  • Każda aplikacja zawiera te same ustawienia do konfiguracji zaufanych lokalizacji. Oznacza to, że dla każdej aplikacji można niezależnie dostosować zaufane lokalizacje.
  • Można dezaktywować zaufane lokalizacje dla jednej lub więcej aplikacji, jednocześnie korzystając z tej opcji w innych lokalizacjach.

 Do początku strony Do początku strony

Określanie, które katalogi mają być używane jako zaufane lokalizacje

Jeśli domyślne katalogi zaufanych lokalizacji nie są odpowiednie dla danej firmy czy instytucji, można utworzyć własne katalogi i określić je jako zaufane lokalizacje. Dodatkowe informacje dotyczące zaufanych lokalizacji można znaleźć na stronie Evaluate default security settings and privacy options for the 2007 Office system (j.ang.).

Określając, które katalogi mają zostać określone jako zaufane lokalizacje, należy pamiętać o poniższych kwestiach:

  • Zaufane lokalizacje można określać globalnie lub dla wybranej aplikacji.
  • Dana zaufana lokalizacja może być używana przez dowolną liczbę aplikacji.
  • Aby uniemożliwić dodawanie plików do zaufanych lokalizacji i modyfikowanie ich w złośliwych celach, należy zabezpieczyć każdy katalog oznaczony jako zaufana lokalizacja.
  • Nie zalecamy określania udostępnionych zasobów sieciowych jako zaufanych lokalizacji. Domyślnie dozwolone są tylko zaufane lokalizacje na twardych dyskach użytkowników. Aby uaktywnić opcję określania zaufanych lokalizacji na udostępnionych zasobach sieciowych, należy włączyć ustawienie Allow Trusted Locations not on the computer.
  • Nie zalecamy określania całego katalogu Dokumenty lub Moje Dokumenty jako zaufanej lokalizacji. Zamiast tego proponujemy utworzenie podkatalogu w tych katalogach i określenie go jako zaufanej lokalizacji.

Dodatkowo, w razie potrzeby można zastosować się do poniższych wskazówek:

  • Użycie zmiennych środowiskowych do określenia zaufanych lokalizacji.
  • Określenie katalogów sieci Web (czyli ścieżek http:// ) jako zaufanych lokalizacji.

 Do początku strony Do początku strony

Używanie zmiennych środowiskowych do określenia zaufanych lokalizacji

Do określania zaufanych lokalizacji można używać zmiennych środowiskowych, lecz w tym celu trzeba zmienić typ wartości używanej do przechowywania zaufanych lokalizacji w rejestrze. Jeśli użyje się zmiennych środowiskowych do określenia zaufanej lokalizacji, nie wprowadzając przy tym koniecznej modyfikacji w rejestrze, zaufana lokalizacja pojawi się w Centrum Zaufania, lecz będzie niedostępna. Zostanie ona wyświetlona jako ścieżka względna zawierająca zmienne środowiskowe. Po wprowadzeniu zmiany typu wartości w rejestrze, w Centrum Zaufania pojawi się zaufana lokalizacja jako ścieżka bezwzględna i będzie ona dostępna.

Ważne:

Zmiennych środowiskowych nie można używać, gdy określa się zaufane lokalizacje za pomocą Polityki Grupowej. Zmiennych środowiskowych można używać do określania zaufanych lokalizacji tylko przy użyciu narzędzia Office Customization Tool (OCT).

Aby zastosować zmienne środowiskowe do określania zaufanych lokalizacji, należy:

  • Użyć programu Registry Editor do zlokalizowania zaufanej lokalizacji, reprezentowanej przez zmienną środowiskową.

    Zaufane lokalizacje skonfigurowane przy pomocy OCT są przechowywane w następującej lokalizacji:

    HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/nazwa_aplikacji/Security/Trusted Locations

    gdzie w miejsce nazwa_aplikacji należy wstawić Access, Excel, PowerPoint, Visio lub Word.

    Zaufane lokalizacje są przechowywane we wpisach rejestru nazwanych Path jako wartości typu String Value (REG_SZ). Należy upewnić się, że zlokalizowano wszystkie pola Path, które używają zmiennych środowiskowych do określenia zaufanych lokalizacji.

  • Zmienić typ wartości Path.

    Aplikacje w Office 2007 nie rozpoznają zmiennych środowiskowych przechowywanych jako wartości typu String Value (REG_SZ). Aby aplikacje rozpoznawały zmienne środowiskowe, należy zmienić typ wpisu Path na Expandable String Value (REG_EXPAND_SZ). W tym celu należy wykonać następujące czynności:

Uwaga:

Nieprawidłowa edycja rejestru może prowadzić do poważnych uszkodzeń systemu. Przed dokonaniem jakichkolwiek zmian w rejestrze należy utworzyć kopie zapasowe wszystkich ważnych danych znajdujących się w komputerze.

  • Zapisz lub skopiuj wartość wpisu Path. Powinna być to ścieżka względna, zawierająca przynajmniej jedną zmienną środowiskową.
  • Usuń zawartość wpisu Path.
  • Utwórz we wpisie Path nowy wpis typu Expandable String Value (REG_EXPAND_SZ).
  • Zmodyfikuj nowy wpis Path tak, aby posiadał tę samą wartość, jaką zapisano lub skopiowano zgodnie z instrukcjami w punkcie 1.

Należy upewnić się, że zmian tych dokonano dla każdego wpisu Path określającego zaufane lokalizacje za pomocą zmiennych środowiskowych.

 Do początku strony Do początku strony

Określanie katalogów sieci Web jako zaufanych lokalizacji

Można określić katalogi sieci Web (tzn. ścieżki http://) jako zaufane lokalizacje, jednak jako zaufane lokalizacje będą rozpoznane tylko te katalogi sieci Web, które obsługują protokoły Web Distributed Authoring and Versioning (WebDAV) lub FrontPage Server Extensions Remote Procedure Call (FPRPC). Jeśli nie ma pewności, czy dany katalog sieci Web obsługuje protokoły WebDAV lub FPRPC, należy zastosować się do poniższych wskazówek:

  • Jeśli aplikacja jest uruchamiana przez Internet Explorer, należy sprawdzić listę ostatnio używanych plików. Jeśli lista ostatnio używanych plików wskazuje, że plik jest umieszczony na serwerze zdalnym, a nie w katalogu tymczasowych plików internetowych, zapewne katalog ten obsługuje protokół WebDAV w jakiejś formie. Na przykład, jeśli kliknie się na dokument przeglądając sieć przy użyciu programu Internet Explorer, a dokument ten otworzy się w programie Office Word 2007, lista ostatnio używanych plików powinna wskazać, że dokument jest zlokalizowany na serwerze zdalnym, a nie w katalogu Temporary Internet Files.
  • Spróbować użyć okienka dialogowego Open, aby przejść do katalogu sieci Web. Jeśli ścieżka obsługuje WebDAV, przejście do katalogu sieci Web powinno być możliwe lub powinny pojawić się komunikaty proszące o uwierzytelnienie. Jeśli katalog sieci Web nie obsługuje WebDAV, przejście nie udaje się i okienko dialogowe zostaje zamknięte.

Uwaga:

Strony tworzone przy użyciu Microsoft Windows SharePoint Services 3.0 i Microsoft Office SharePoint Server 2007 mogą być wyznaczone jako zaufane lokalizacje.

 Do początku strony Do początku strony

Określanie ustawień katalogu udostępnionego i zabezpieczeń katalogów

Wszystkie katalogi będące zaufanymi lokalizacjami, muszą być udostępnione i zabezpieczone. Aby określić, jakie ustawienia katalogu udostępnionego i ustawienia zabezpieczeń mają zostać zastosowane do każdej zaufanej lokalizacji, należy:

  • Każdy katalog wyznaczony na zaufaną lokalizację określić jako udostępniony, aby użytkownicy mieli dostęp do plików zachowanych w zaufanej lokalizacji.
  • Skonfigurować prawa dostępu tak, aby dostęp do udostępnionego katalogu mieli tylko uprawnieni użytkownicy. Należy stosować zasadę minimalnych uprawnień i udzielać zezwoleń na poziomie odpowiednim dla danego użytkownika; tzn. udzielać prawa odczytu (Read) tym użytkownikom, którym nie jest potrzebna możliwość modyfikowania zaufanych plików, a pełną kontrolę (Full Control) udostępniać tylko tym użytkownikom, którzy będą potrzebowali modyfikować zaufane pliki.
  • Zastosować ustawienia bezpieczeństwa katalogów tak, aby tylko upoważnieni użytkownicy mogli czytać lub modyfikować pliki znajdujące się w zaufanych lokalizacjach. Należy stosować zasadę minimalnych uprawnień i udzielać zezwoleń na poziomie odpowiednim dla danego użytkownika; tzn. udostępniać pełną kontrolę tylko tym użytkownikom, którzy będą potrzebowali modyfikować pliki, zaś użytkownikom, którzy będą jedynie je odczytywali, udzielać węższych uprawnień.

 Do początku strony Do początku strony

Określanie ograniczeń dla zaufanych lokalizacji

Do ograniczania lub kontrolowania zachowania zaufanych lokalizacji można użyć kilku ustawień. Aby skonfigurować te ustawienia, należy skorzystać z zaleceń umieszczonych w poniższej tabeli:

Nazwa ustawienia Zalecana konfiguracja Opis
Allow mix of policy and user locations Disabled (Wyłączone) To zalecane ustawienie dezaktywuje wszelkie zaufane lokalizacje, które nie zostały utworzone przy zastosowaniu Polityki Grupowej i uniemożliwia użytkownikom tworzenie nowych zaufanych lokalizacji przy użyciu interfejsu graficznego Centrum Zaufania. Domyślnie ustawienie to jest włączone, co oznacza, że w komputerze mogą występować jednocześnie lokalizacje zaufane utworzone przez użytkownika, OCT oraz Politykę Grupową Group Policy. Jest to globalne ustawienie, co oznacza, że stosuje się do wszystkich aplikacji, dla których skonfigurowano zaufane lokalizacje.
Allow Trusted Locations not on the computer Disabled (Wyłączone) To zalecane ustawienie dezaktywuje wszelkie zaufane lokalizacje, które są ogólnodostępne i uniemożliwia użytkownikom aktywowanie pola wyboru Allow Trusted Locations on my network, pojawiającego się w graficznym interfejsie użytkownika Centrum Zaufania. Domyślnie ustawienie to nie jest włączone, co oznacza, że zaufane lokalizacje będące udziałami sieciowymi są nieaktywne, jednak użytkownicy mogą aktywować pole wyboru Allow Trusted Locations on my network w interfejsie graficznym Centrum Zaufania. Jeśli wybrane jest ustawienie Disabled, a użytkownik podejmie próbę wyznaczenia udziału sieciowego na zaufaną lokalizację, pojawi się komunikat ostrzegający użytkownika, że bieżące ustawienia zabezpieczeń nie zezwalają na tworzenie zaufanych lokalizacji ze ścieżkami zdalnymi lub sieciowymi. Jeśli administrator wyznaczy udział sieciowy na zaufaną lokalizację za pomocą Polityki Grupowej lub OCT przy wybranym ustawieniu Disabled, zaufana lokalizacja będzie nieaktywna i nie będzie rozpoznawana przez aplikacje. Nie jest to ustawienie globalne; ustawienie to należy konfigurować dla konkretnej aplikacji, tzn. dla Office Access 2007, Office Excel 2007, Office PowerPoint 2007, Office Visio 2007 lub Office Word 2007.

Uwaga:

Ustawienie Remove all trusted locations written by the OCT during installation można użyć do usuwania wszystkich zaufanych lokalizacji, które utworzono poprzez konfigurowanie OCT. Więcej informacji o tym ustawieniu można znaleźć w artykuleSecurity policies and settings in the 2007 Office system (j.ang.).

 Do początku strony Do początku strony

Microsoft Office