Надежные расположения для файлов Office
Область применения:Приложения Microsoft 365, Office LTSC 2021, Office 2019 и Office 2016
Надежные расположения — это функция Office, в которой файлы, содержащиеся в этих папках, считаются безопасными, например файлы, которые вы создаете самостоятельно или сохраняете из надежного источника. Эти файлы обходят службы защиты от угроз, обходят параметры блокировки файлов, и все активное содержимое включено. Это означает, что файлы, сохраненные в надежных расположениях, не открываются в защищенном представлении или Application Guard.
Активное содержимое может включать неподписанные надстройки, макросы VBA, подключения к внешним данным и многое другое. При сохранении файла в надежном расположении важно доверять исходному источнику файла, так как все активное содержимое будет включено, а пользователи не будут получать уведомления о потенциальных рисках безопасности. На следующей схеме показан рабочий процесс доверия для открытия файлов Office.
Как показано на шаге 2, файлы в доверенных расположениях обходят все остальные проверки безопасности и политики. Поэтому надежные расположения следует использовать редко для уникальных ситуаций и только для отдельных пользователей. В базовых планах безопасности для Приложения Microsoft 365 для предприятий рекомендуется отключить сетевые надежные расположения. Затем при необходимости централизованно управляйте доверенными расположениями с помощью политики и не разрешайте пользователям устанавливать надежные расположения самостоятельно.
Этапы планирования для надежных расположений
Доверенные расположения влияют на все содержимое файла. Сюда входят надстройки, элементы ActiveX, гиперссылки, ссылки на источники данных и мультимедиа, а также макросы VBA. Файлы, открытые из надежных расположений, пропускают проверки файлов, проверки блокировки файлов и не открываются в защищенном представлении или Application Guard. Существуют различные уровни доверия, которые можно разрешить в организации для надежных расположений:
- Разрешить конечным пользователям самостоятельно создавать надежные расположения на устройстве или в сети
- Использование политики, чтобы запретить пользователям создавать надежные расположения
- Использование политики для централизованного управления доверенными расположениями
- Отключение функции надежных расположений
Важно выбрать сценарии, которые лучше всего подходит для вашей организации и ее устойчивости к рискам безопасности.
Примечание.
Некоторые надежные расположения создаются по умолчанию при установке Office. Список этих надежных расположений см. в разделе Надежные расположения по умолчанию для приложений Office.
Чтобы реализовать функцию надежных расположений, необходимо определить следующее.
- Приложения Office, для которых требуется настроить доверенные расположения.
- Папки, которые нужно определить как надежные расположения.
- Параметры совместного использования и безопасности для папок, определяемых в качестве надежных расположений.
- Ограничения, которые нужно применить для надежных расположений.
Определение приложений Office, для которых требуется настроить доверенные расположения
Чтобы просмотреть список надежных расположений,перейдите в разделПараметры>центра управления безопасностью в разделе>Параметры центра управления безопасностью...>>Надежные расположения в следующих приложениях Office:
- Access
- Excel
- PowerPoint
- Visio
- Word
Доступны политики для управления доверенными расположениями для каждого из этих приложений Office. Дополнительные сведения см. в статье Использование политики для управления доверенными расположениями.
Примечание.
Политики также доступны для Project, но в Project нет параметров доверенных расположений в центре управления безопасностью.
Определение папок для назначения в качестве надежных расположений
Ниже приведены некоторые рекомендации, которые следует учитывать при определении папок, которые следует использовать в качестве надежных расположений.
Если это не заблокировано политикой, пользователи могут создавать и изменять доверенные расположения в центре управления безопасностью для своего приложения Office. Дополнительные сведения см. в статье Добавление, удаление и изменение доверенного расположения.
По умолчанию разрешены только надежные расположения, локальные для устройства пользователя. Сетевые расположения также можно задать в качестве надежного расположения, но это не рекомендуется.
Пользователям не рекомендуется указывать корневые папки в качестве надежных расположений. Например, диск C: или папка "Мои документы". Вместо этого создайте вложенную папку в этих папках и укажите только ее в качестве надежного расположения.
Одно или несколько приложений могут использовать одно и то же надежное расположение.
Для назначения надежных расположений для пользователей можно использовать политику Trusted Location #1 .
Определение общих папок и параметров безопасности папок для папок с доверенным расположением
Все папки, указанные в качестве надежных расположений, должны быть защищены, чтобы злоумышленники не добавляли или изменяли файлы в надежном расположении.
Если папка является общей, настройте разрешения доступа таким образом, чтобы к ней имели доступ только авторизованные пользователи.
Обязательно используйте принцип предоставления минимальных прав и предоставляйте пользователям соответствующие разрешения. То есть предоставьте разрешение на чтение тем пользователям, которым не нужно изменять файлы в доверенных расположениях, и предоставьте разрешение на полный доступ тем пользователям, которым нужно редактировать файлы.
Использование политики для управления доверенными расположениями
Существует несколько политик, которые можно использовать для управления доверенными расположениями в организации.
- Надежное расположение #1
- Разрешить надежные расположения в сети
- Отключение всех доверенных расположений
Вы можете использовать облачную политику, центр администрирования Microsoft Intune или консоль управления групповая политика для настройки и развертывания параметров политики для пользователей в организации. Дополнительные сведения см. в разделе Средства, доступные для управления политиками.
Примечание.
Для корпоративных лицензируемых версий Office 2016, таких как Office профессиональный плюс 2016, можно использовать центр развертывания Office (OCT) для настройки надежных расположений. Дополнительные сведения см. в статье Справка по центру развертывания Office (OCT) 2016: параметры безопасности Office.
Для каждого приложения Office существуют отдельные политики для надежных расположений. В следующей таблице показано, где каждую политику можно найти в консоли управления групповая политика в разделе Конфигурация пользователя\Политики\Административные шаблоны.
| Приложение | Расположение политики |
|---|---|
| Доступ | Microsoft Access 2016\Application Settings\Security\Trust Center\Trusted Locations |
| Excel | Microsoft Excel 2016\Excel Options\Security\Trust Center\Trusted Locations |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center\Trusted Locations |
| Project | Microsoft Project 2016\Project Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center\Trusted Locations |
Вы также можете настроить политику Разрешить сочетание политик и расположений пользователей , чтобы определить доверенные расположения пользователями и администраторами (например, политикой) или определить надежные расположения только политикой.
Политика "Надежное расположение 1"
Эту политику можно использовать, чтобы указать путь к надежному расположению для пользователей в организации. Существует 20 экземпляров этой политики. Например, Trusted Location #1, Trusted Location #2, Trusted Location #3 и т. д.
По умолчанию эти политики пусты. Чтобы добавить надежное расположение, включите политику и укажите путь к доверенному расположению. Убедитесь, что указанное расположение защищено, задав разрешения, чтобы только соответствующие пользователи могли добавлять файлы Office в это расположение.
Доверенные расположения, указанные с помощью этой политики, будут отображаться в разделе Расположения политики в разделеПараметры>центра управления безопасностьюдля файлов>>...>Надежные расположения.
Примечание.
- Переменные среды можно использовать при указании доверенного расположения.
- Эти 20 политик также доступны в разделе Конфигурация пользователя\Политики\Административные шаблоны\Microsoft Office 2016\Параметры безопасности\Центр управления безопасностью. Если вы используете эту версию политики, политика применяется ко всем приложениям, поддерживающим доверенные расположения.
Политика "Разрешить надежные расположения в сети"
Эта политика определяет, можно ли использовать доверенные расположения в сети.
По умолчанию доверенные расположения в сетевых расположениях отключены. Но пользователи могут изменить это, перейдя в разделПараметры>центра управления безопасностью в разделе>Параметры центра управления безопасностью...>>Надежные расположения и установите флажок Разрешить надежные расположения в сети (не рекомендуется).
То, какое состояние выбрано для политики, определяет уровень защиты, который вы предоставляете. В следующей таблице показан уровень защиты, который вы получаете с каждым состоянием.
| Значок | Уровень защиты | Состояние политики | Описание |
|---|---|---|---|
 |
Защищено [рекомендуется] | Отключено | Блокирует надежные расположения в сетевых расположениях, включая все, настроенные администратором (например, с помощью политики "Доверенное расположение No 1"). Игнорирует все сетевые расположения, заданные пользователями в качестве надежных расположений в центре управления безопасностью, и запрещает пользователям добавлять дополнительные расположения. |
 |
Не защищено | Включен | Позволяет устанавливать сетевые расположения в качестве надежных расположений как пользователями, так и политикой. |
 |
Частично защищено | Not Configured | По умолчанию пользователям запрещено добавлять сетевые расположения в качестве надежных расположений, но это можно включить, установив флажок Разрешить надежные расположения в моей сети (не рекомендуется) в центре управления безопасностью. |
Рекомендуется задать для этой политики значение Отключено в рамках базовых показателей безопасности для Приложения Microsoft 365 для предприятий. Эту политику следует отключить для большинства пользователей и делать исключения только для определенных пользователей по мере необходимости.
Вы можете указать веб-папки в качестве надежных расположений. Но только те веб-папки, которые поддерживают протоколы web Distributed Authoring and Versioning (WebDAV) или FrontPage Server Extensions Remote Procedure Call (FPRPC), распознаются как надежные расположения.
Политика "Отключить все доверенные расположения"
Эту политику можно использовать для отключения всех доверенных расположений.
По умолчанию доступны надежные расположения, и пользователи могут назначить любое расположение в качестве надежного расположения, а устройство может иметь любое сочетание созданных пользователем и настроенных администратором надежных расположений.
То, какое состояние выбрано для политики, определяет уровень защиты, который вы предоставляете. В следующей таблице показан уровень защиты, который вы получаете с каждым состоянием.
| Значок | Уровень защиты | Состояние политики | Описание |
|---|---|---|---|
|
Защищенный | Включен | Все надежные расположения заблокированы. |
|
Не защищено | Отключено | Пользователь или устройство может иметь сочетание надежных расположений, созданных пользователем или настроенных администратором (например, по политике). |
|
Не защищено | Not Configured | Это office по умолчанию. Обеспечивает то же поведение, что и Отключено. |
Организации со средой безопасности с высоким уровнем ограничений обычно устанавливают для этой политики значение Включено.
Политика "Разрешить сочетание политик и расположений пользователей"
Эта политика определяет, могут ли доверенные расположения определяться пользователями и администраторами (например, политикой) или же доверенные расположения могут быть определены только политикой.
Эту политику можно найти в разделе Конфигурация пользователя\Политики\Административные шаблоны\Microsoft Office 2016\Параметры безопасности\Центр управления безопасностью в консоли управления групповая политика.
То, какое состояние выбрано для политики, определяет уровень защиты, который вы предоставляете. В следующей таблице показан уровень защиты, который вы получаете с каждым состоянием.
| Значок | Уровень защиты | Состояние политики | Описание |
|---|---|---|---|
|
Защищено [рекомендуется] | Отключено | Разрешены только надежные расположения, определенные политикой. |
|
Не защищено | Включен | Пользователь или устройство может иметь сочетание надежных расположений, созданных пользователем или настроенных администратором (например, по политике). |
|
Не защищено | Not Configured | Это office по умолчанию. Обеспечивает то же поведение, что и включено. |
Рекомендуется задать для этой политики значение Отключено в рамках базовых показателей безопасности для Приложения Microsoft 365 для предприятий. Эту политику следует отключить для большинства пользователей и делать исключения только для определенных пользователей по мере необходимости.
Надежные расположения по умолчанию для приложений Office
Несколько папок назначаются в качестве надежных расположений по умолчанию в установке Office. Доверенные расположения по умолчанию перечислены в таблицах для следующих приложений.
По умолчанию нет надежных расположений для Project или Visio.
Эти папки можно просмотреть, перейдя в раздел Параметрыцентра управления безопасностью в разделе>Параметры>> центрауправления безопасностью...>Надежные расположения.
Надежные расположения по умолчанию для доступа
В следующей таблице перечислены доверенные расположения по умолчанию для Access и указаны ли вложенные папки также являются доверенными.
| Надежное расположение по умолчанию | Описание папки | Вложенные папки надежны? |
|---|---|---|
| Program Files\Microsoft Office\Root\Office16\ACCWIZ | Базы данных мастера | Нет (не разрешены) |
Надежные расположения по умолчанию для Excel
В следующей таблице перечислены папки, которые являются доверенными расположениями по умолчанию для Excel и являются ли вложенные папки доверенными.
| Надежные расположения по умолчанию | Описание папки | Вложенные папки надежны? |
|---|---|---|
| Program Files\Microsoft Office\Root\Templates | Шаблоны приложений | Да (разрешены) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Шаблоны пользователя | Нет (не разрешены) |
| Program Files\Microsoft Office\Root\Office16\XLSTART | Автозагрузка Excel | Да (разрешены) |
| Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART | Автозагрузка пользователя | Нет (не разрешены) |
| Program Files\Microsoft Office\Root\Office16\STARTUP | Автозагрузка Office | Да (разрешены) |
| Program Files\Microsoft Office\Root\Office16\Library | Надстройки | Да (разрешены) |
Надежные расположения по умолчанию для PowerPoint
В следующей таблице перечислены доверенные расположения по умолчанию для PowerPoint и указаны ли вложенные папки также являются доверенными.
| Надежные расположения по умолчанию | Описание папки | Вложенные папки надежны? |
|---|---|---|
| Program Files\Microsoft Office\Root\Templates | Шаблоны приложений | Да (разрешены) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Шаблоны пользователя | Да (разрешены) |
| Users\user_name\Appdata\Roaming\Microsoft\Addins | Надстройки | Нет (не разрешены) |
| Program Files\Microsoft Office\Root\Document Themes 16 | Темы приложений | Да (разрешены) |
Надежные расположения по умолчанию для Word
В следующей таблице перечислены доверенные расположения word по умолчанию и указаны ли вложенные папки также являются доверенными.
| Надежные расположения по умолчанию | Описание папки | Вложенные папки надежны? |
|---|---|---|
| Program Files\Microsoft Office\Root\Templates | Шаблоны приложений | Да (разрешены) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Шаблоны пользователя | Нет (не разрешены) |
| Users\user_name\Appdata\Roaming\Microsoft\Word\Startup | Автозагрузка пользователя | Нет (не разрешены) |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по