Планирование и настройка параметров надежных расположений для Office 2013

 

Применимо к:Office 365 ProPlus

Последнее изменение раздела:2016-12-16

Сводка. Использование функции надежных расположений в Office 2013 для различения безопасных и потенциально опасных файлов.

Аудитория: ИТ-специалисты

Если необходимо отличить безопасные файлы от потенциально вредоносных, можно использовать функцию надежных расположений в Office 2013. Функция надежных расположений позволяет назначить надежные источники файлов на жестких дисках компьютеров пользователей или на сетевом ресурсе. Когда папка обозначена как надежный источник файлов, любой файл, который сохраняется в папке, считается надежным. Когда надежный файл открыт, все содержимое этого файла включено и активно, и пользователи не оповещаются о потенциальных рисках, которые могут содержаться в файле (например, неподписанные надстройки, макросы VBA, ссылки на содержимое Интернета или соединения с базами данных).

 

Указатель для справочника по безопасности Office.

Эта статья входит в состав набора Руководство по безопасности Office 2013. Используйте этот обзор в качестве начального этапа для поиска статей, загружаемых файлов, примеров и видеозаписей, помогающих оценить совместимость Office 2013.

Вы ищете информацию о безопасности отдельных приложений Office 2013? Для этого можно выполнить поиск по словам "2013 security" (безопасность 2013) на сайте Office.com.

В этой статье

В Office 2013 есть несколько параметров, которые позволяют контролировать поведение надежных расположений. Настраивая их, можно выполнять следующие действия.

  • Определить надежные расположения глобально или по отдельным приложениям.

  • Разрешить сетевой ресурс в качестве надежного расположения.

  • Запретить пользователям назначать надежные расположения.

  • Отключить функцию надежных расположений.

Данная функция доступна в следующих приложениях: Access 2013, Excel 2013, InfoPath 2013, PowerPoint 2013, Visio 2013, а также Word 2013.

В следующем списке описываются настройки по умолчанию для функции надежных расположений.

  • Функция включена.

  • Пользователи не могут назначать сетевые ресурсы в качестве надежных расположений, но могут изменить эту настройку в центре управления безопасностью. Пользовательские инструкции по надежным расположениям и другим параметрам пользователя можно найти в статье Просмотр параметров в центре управления безопасностью.

  • Пользователи могут добавлять папки в список надежных расположений.

  • Для указания надежных расположений могут использоваться расположения, определенные как пользователями, так и политиками.

Кроме того, при стандартной установке Office 2013 в качестве надежных расположений назначается несколько папок. Список папок по умолчанию для каждого приложения содержится в следующей таблице. InfoPath 2013 и Visio 2013 не имеют надежных расположений по умолчанию.

В таблице приведен список надежных расположений по умолчанию для Access 2013.

Надежное расположение по умолчанию для Access 2013

Надежное расположение по умолчанию Описание папки Считаются ли надежными вложенные папки?

Program Files\Microsoft Office 15\Root\Office15\ACCWIZ

Базы данных мастера

Нет (не разрешены)

В таблице приведен список надежных расположений по умолчанию для Excel 2013.

Надежные расположения по умолчанию для Excel 2013

Надежные расположения по умолчанию Описание папки Считаются ли надежными вложенные папки?

Program Files\Microsoft Office 15\Root\Templates

Шаблоны приложений

Да (разрешены)

Users\user_name\Appdata\Roaming\Microsoft\Templates

Шаблоны пользователя

Нет (не разрешены)

Program Files\Microsoft Office 15\Root\Office15\XLSTART

Автозагрузка Excel

Да (разрешены)

Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART

Автозагрузка пользователя

Нет (не разрешены)

Program Files\Microsoft Office 15\Root\Office15\STARTUP

Автозагрузка Office

Да (разрешены)

Program Files\Microsoft Office 15\Root\Office15\Library

Надстройки

Да (разрешены)

В таблице приведен список надежных расположений по умолчанию для PowerPoint 2013.

Надежные расположения по умолчанию для PowerPoint 2013

Надежные расположения по умолчанию Описание папки Считаются ли надежными вложенные папки?

Program Files\Microsoft Office 15\Root\Templates

Шаблоны приложений

Да (разрешены)

Users\user_name\Appdata\Roaming\Microsoft\Templates

Шаблоны пользователя

Да (разрешены)

Users\user_name\Appdata\Roaming\Microsoft\Addins

Надстройки

Нет (не разрешены)

Program Files\Microsoft Office 15\Root\Document Themes 15

Темы приложений

Да (разрешены)

В таблице приведен список надежных расположений по умолчанию для Word 2013.

Надежные расположения по умолчанию для Word 2013

Надежные расположения по умолчанию Описание папки Считаются ли надежными вложенные папки?

Program Files\Microsoft Office 15\Root\Templates

Шаблоны приложений

Да (разрешены)

Users\user_name\Appdata\Roaming\Microsoft\Templates

Шаблоны пользователя

Нет (не разрешены)

Users\user_name\Appdata\Roaming\Microsoft\Word\Startup

Автозагрузка пользователя

Нет (не разрешены)

ПримечаниеПримечание
Сведения о настройке параметров безопасности в центре развертывания Office и в административных шаблонах Office 2013 см. в статье Настройка параметров безопасности с использованием центра развертывания Office или групповой политики Office 2013.

Чтобы реализовать функцию надежных расположений, необходимо определить следующее.

  • Приложения, для которых необходимо настроить надежные расположения.

  • Папки, которые нужно определить как надежные расположения.

  • Параметры совместного использования и безопасности для папок, определяемых в качестве надежных расположений.

  • Ограничения, которые нужно применить для надежных расположений.

Чтобы определить приложения, для которых необходимо установить надежные расположения, следуйте указаниям ниже.

  • Надежные расположения касаются всего содержимого файла, включая надстройки, элементы управления ActiveX, гиперссылки, ссылки на источники данных и мультимедиа, а также макросы VBA. Кроме того, файлы, которые открываются из надежных расположений, не проходят проверки допустимости и блокировки, а также не открываются при защищенном просмотре.

  • Каждое приложение обеспечивает одинаковые параметры для настройки надежных расположений. Благодаря этому можно настроить их отдельно для каждого приложения.

  • Вы можете отключить надежные расположения для одного или нескольких приложений и реализовать надежные расположения для других приложений.

Чтобы определить папки, которые необходимо установить в качестве надежных расположений, следуйте указаниям ниже.

  • Вы можете определить надежные расположения глобально или по отдельным приложениям.

  • Надежное расположение может использоваться одним приложением или несколькими совместно.

  • Чтобы предотвратить добавление или изменение файлов в надежных расположениях злоумышленниками, необходимо применить параметры безопасности операционной системы ко всем папкам, обозначенным в качестве надежных расположений.

  • По умолчанию допускаются только надежные расположения на жестких дисках пользователей. Чтобы разрешить надежные расположения на сетевых ресурсах, необходимо включить параметр Разрешить надежные расположения в моей сети (не рекомендуется).

  • Мы не рекомендуем указывать в качестве надежных расположений корневые папки (например, диск С) или целые папки Документы и Мои документы. Вместо этого, создайте в такой папке подчиненную и определите в качестве надежного расположения только ее.

Кроме того, следуйте указаниям ниже, если необходимо:

  • использовать для определения надежных расположений переменные среды;

  • определить в качестве надежного расположения веб-папку (http://paths).

Вы можете использовать переменные среды для определения надежных расположений с помощью групповой политики или параметров OCT. Однако для правильной работы переменных среды при использовании их с OCT необходимо изменить тип значения, который будет использоваться для хранения надежных расположений в реестре. Если вы используете переменную среды для определения надежных расположений, но в реестр не внесены необходимые изменения, надежное расположение появляется в центре управления безопасностью, но остается недоступным и помечается как относительный путь, содержащий переменные среды. После изменения типа значения в реестре надежное расположение появляется в центре управления безопасностью в качестве абсолютного пути и становится доступным.

ПримечаниеПримечание
Для работы во всех наборах Наборы приложений Office 2013 можно использовать мышь, сочетания клавиш и сенсорные жесты. Дополнительные сведения об использовании сочетаний клавиш и сенсорных жестов в службах и продуктах Office см. в следующих статьях: Сочетания клавиш, Справочник по сенсорному управлению в Office.
Чтобы использовать переменные среды для определения надежных расположений
  1. С помощью редактора реестра определите надежное расположение, представленное переменной среды.

    Чтобы открыть редактор реестра, нажмите кнопку Пуск, выберите Выполнить..., введите regedit и нажмите кнопку ОК.

    Есть другой способ: в Windows 8 или Windows 8.1 переместите курсор вправо для отображения экспресс-кнопок, выберите "Поиск" и введите regedit.

    Надежные расположения, которые настроены с помощью центра развертывания, хранятся в папке

    HKEY_CURRENT_USER/Software/Microsoft/Office/15.0/application_name/Security/Trusted Locations

    где application_name — это Access, Excel, PowerPoint, Visio или же Word.

    Надежные расположения хранятся в записях реестра под именем Path в качестве строковых параметров (REG_SZ). Убедитесь, что каждая запись Path, использующая переменные среды, определяет надежное расположение.

  2. Измените тип значения Path.

    Приложения в Office 2013 не распознают переменные среды типа строковый параметр (REG_SZ). Чтобы они распознавали переменные среды, измените тип значения записи Path на расширяемый строковый параметр (REG_EXPAND_SZ). Для этого выполните следующие действия.

    1. Введите значение записи Path. Это должен быть относительный путь, включающий одну или несколько переменных среды.

    2. Удалите запись Path.

    3. Создайте запись Pathтипа расширяемый строковый параметр (REG_EXPAND_SZ).

    4. Измените новую запись Path таким образом, чтобы она имела то же значение, которое вводилось при выполнении действия 1.

    Убедитесь, что указанное изменение внесено для каждого параметра Path, использующего переменные среды для определения надежного расположения.

Вы можете определять в качестве надежных расположений веб-папки (http://paths). Однако это касается только веб-папок, поддерживающих протоколы WebDAV или FPRPC. Если точно не известно, поддерживает ли веб-папка указанные протоколы, следуйте указаниям ниже.

  • При открытии приложения в Internet Explorer просмотрите список последних использованных файлов. Если этот список показывает, что файл размещен не в папке временных файлов Интернета, а на удаленном сервере, вероятно, веб-папка каким-то образом поддерживает протокол WebDAV. Например, если при открытии документа в Internet Explorer он открывается в Word 2013, список последних использованных файлов должен показать, что этот документ размещен на удаленном сервере, а не в локальной папке временных файлов Интернета.

  • Попробуйте перейти к веб-папке с помощью диалогового окна Открытие документа. Если путь поддерживает WebDAV, скорее всего, переход к веб-папке будет выполнен (или же потребуется ввести учетные данные). Если веб-папка не поддерживает WebDAV, произойдет ошибка навигации и диалоговое окно закроется.

ПримечаниеПримечание
Сайты, созданные с помощью SharePoint Server 2013, можно назначить в качестве надежных расположений.

Все папки, которые вы укажете в качестве надежных расположений, должны быть защищены. При определении параметров совместного использования и безопасности, которые необходимо применить для папок, назначенных в качестве надежных расположений, следуйте указаниям ниже.

  • Если папка является общей, настройте разрешения доступа таким образом, чтобы к ней имели доступ только авторизованные пользователи. Обязательно используйте принцип предоставления минимальных прав и предоставляйте пользователям соответствующие разрешения. Другими словами, предоставьте разрешение на чтение пользователям, которые не должны вносить изменения в надежные файлы, а пользователям, которые должны это делать — разрешение полного доступа.

  • Применяйте права доступа таким образом, чтобы только авторизованные пользователи могли просматривать в файлы в надежных расположениях и вносить в них изменения. Обязательно используйте принцип предоставления минимальных прав и предоставляйте пользователям соответствующие разрешения. Другими словами, предоставьте разрешение полного доступа только тем пользователям, которые должны вносить изменения в файлы. После этого предоставьте более ограничивающие разрешения тем пользователям, которым нужно только просматривать файлы.

В Office 2013 есть несколько параметров, которые позволяют ограничить или контролировать поведение надежных расположений. Чтобы определить, как настроить эти параметры, используйте следующую процедуру.

Имя параметра групповой политики. Разрешить сочетание расположений пользователя и политики

Описание. Этот параметр определяет, могут ли надежные расположения назначаться пользователями, OCT и групповой политикой, или же они должны назначаться только групповой политикой. По умолчанию пользователи могут назначать любое расположение в качестве надежного, а компьютер может иметь любое сочетание надежных расположений, созданных пользователями, OCT и групповой политикой.

Влияние. Если этот параметр отключен, отключаются все надежные расположения, созданные не сетевой политикой. Пользователи не могут создавать новые надежные расположения в центре управления безопасностью. Отключение данного параметра приводит к некоторым затруднениям в работе пользователей, которые назначили в центре управления безопасностью собственные надежные расположения. Приложения воспринимают такие расположения, как и любые другие ненадежные расположения. В результате при открытии файлов пользователи видят на панели сообщений предупреждение о таком содержимом, как элементы управления ActiveX и макросы VBA, и им необходимо выбрать, включать или не включать элементы управления и макросы. Это глобальный параметр, который применяется ко всем приложениям, для которых настраиваются надежные расположения.

Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно отключается. В организациях, которые управляют настольной конфигурацией с помощью групповой политики, этот параметр обычно отключается.

Имя параметра групповой политики. Разрешить надежные расположения в сети

Описание. Этот параметр определяет, могут ли надежные расположения использоваться в сети. По умолчанию надежные расположения, которые являются сетевыми ресурсами, отключены. Однако у пользователей остается возможность установить флажок Разрешить надежные расположения в моей сети (не рекомендуется) в центре управления безопасностью. Это позволяет пользователям назначать сетевые ресурсы в качестве надежных расположений. Данный параметр не является глобальным. Его нужно настраивать для каждого приложения: Access 2013, Excel 2013, PowerPoint 2013, Visio 2013 и Word 2013.

Влияние. Если этот параметр отключен, отключаются все надежные расположения, являющиеся сетевыми ресурсами. Пользователи не могут установить флажок Разрешить надежные расположения в моей сети (не рекомендуется) в центре управления безопасностью. Отключение данного параметра приводит к некоторым затруднениям в работе пользователей. При отключенном параметре, если пользователь пытается назначить сетевой ресурс в качестве надежного расположения, он получает предупреждение, что текущие параметры безопасности запрещают создавать надежные расположения, являющиеся удаленными или сетевыми путями. Если администратор назначает сетевой ресурс в качестве надежного расположения с помощью сетевой политики или OCT, а указанный параметр отключен, надежные расположения отключаются. Приложения воспринимают такие расположения, как и любые другие ненадежные расположения. В результате при открытии файлов пользователи видят на панели сообщений предупреждение о таком содержимом, как элементы управления ActiveX и макросы VBA, и они должны выбрать, включать или не включать элементы управления и макросы.

Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно отключается.

ПримечаниеПримечание
Вы можете использовать также параметр Удалить все надежные расположения, записанные центром развертывания Office при установке, чтобы удалить все надежные расположения, созданные при настройке OCT.

В Office 2013 есть параметр, с помощью которого отключается функция надежных расположений. Этот параметр настраивается для каждого приложения: Access 2013, Excel 2013, PowerPoint 2013, Visio 2013 и Word 2013. Чтобы определить, использовать ли данный параметр, следуйте указаниям ниже.

Имя параметра групповой политики. Отключить все надежные расположения

Описание. Этот параметр позволяет отключить функцию надежных расположений в отдельных приложениях. По умолчанию функция включена, и пользователи могут создавать надежные расположения.

Влияние. Включение этого параметра отключает все надежные расположения (см. список ниже).

  • Созданные по умолчанию во время установки.

  • Созданные с использованием OCT.

  • Созданные пользователями через центр управления безопасностью.

  • Созданные с использованием групповой политики.

Включение этого параметра также не позволяет пользователям настраивать параметры надежных расположений в центре управления безопасностью. При включении данного параметра обязательно уведомите пользователей, что им не разрешается использовать функцию надежных расположений. Если пользователи открывали файлы из надежных расположений, после включения этого параметра они могут начать получать предупреждения на панели сообщений. Система может требовать ответа на предупреждения по поводу включения содержимого (элементов управления ActiveX, надстроек и макросов VBA).

Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно включается.

ПримечаниеПримечание
Оперативную информацию о параметрах политики см. в книге Excel 2013 Office2013GroupPolicyAndOCTSettings_Reference.xlsx (включена в файлы административных шаблонов Office 2013). Дополнительные сведения см. в статье TechNet Файлы административных шаблонов Office 2013 (ADMX/ADML) и центр развертывания Office.

Показ: