• Статья

Планирование параметров режима защищенного просмотра в Office 2010

 

Применимо к: Office 2010

Последнее изменение раздела: 2011-08-05

Для управления компонентом предварительного просмотра изолированной среды в Microsoft Office 2010 можно настроить параметры режима защищенного просмотра. Режим защищенного просмотра — это новый компонент обеспечения безопасности в Office 2010, который позволяет уменьшить риск использования эксплойтов на компьютере за счет открытия файлов в среде с ограниченными разрешениями, где их можно проверить до открытия в приложениях Microsoft Excel 2010, Microsoft PowerPoint 2010 или Microsoft Word 2010.

Содержание:

  • Планирование параметров режима защищенного просмотра

  • Запрет на открытие файлов в режиме защищенного просмотра

  • Принудительное открытие файлов в режиме защищенного просмотра

  • Добавление файлов в список небезопасных файлов

Планирование параметров режима защищенного просмотра

Применение режима защищенного просмотра позволяет уменьшить риск использования различных эксплойтов за счет открытия документов, презентаций и книг в изолированной среде ("песочнице"). "Песочница" представляет собой фрагмент памяти компьютера или отдельный процесс, изолированный от определенных системных компонентов и приложений. Благодаря этому программы и процессы, выполняющиеся в изолированной среде, являются менее опасными. Изолированные среды часто применяют для тестирования новых приложений и служб, которые могут привести к нестабильной работе или сбою компьютера. Изолированные среды также позволяют защитить компьютер от вреда, который могут нанести приложения и процессы.

При открытии файла в режиме защищенного просмотра пользователи могут просматривать его контент, но не могут редактировать, сохранять или распечатывать его. Активный контент файла, например элементы управления ActiveX, надстройки, подключения к базам данных, гиперссылки и макросы Visual Basic для приложений (VBA), в этом режиме отключен. Пользователи могут скопировать контент из файла и вставить его в другой документ. Кроме того, в режиме защищенного просмотра пользователи не могут просматривать сведения о цифровых подписях, которые используются для подписания документа, презентации или книги.

Поведение режима защищенного просмотра по умолчанию

По умолчанию в приложениях Excel 2010, PowerPoint 2010 и Word 2010 режим защищенного просмотра включен. Тем не менее файл открывается в этом режиме только в определенных ситуациях. В некоторых случаях файлы открываются для редактирования в обход режима защищенного просмотра. Например, файлы, открытые из надежных расположений или являющиеся надежными документами, обходят некоторые проверки безопасности и не открываются в режиме защищенного просмотра.

По умолчанию файлы открываются в режиме защищенного просмотра при соблюдении любого из следующих условий:

  • Файл пропускается при проверке файлов Office или не проходит эту проверку.   Проверка файлов Office — это новый компонент обеспечения безопасности, который обеспечивает проверку файлов на наличие эксплойтов формата файлов. Если в результате проверки файлов Office обнаруживается потенциальный эксплойт или небезопасное повреждение файла, он открывается в режиме защищенного просмотра.

  • Файл определен как небезопасный в сведениях о зоне AES.   Служба выполнения вложений (AES) добавляет сведения о зоне к файлам, загружаемым с помощью Microsoft Outlook или Microsoft Internet Explorer. Если в сведениях о зоне загруженного файла указывается, что он получен с ненадежного веб-сайта или из Интернета, он открывается в режиме защищенного просмотра.

  • Пользователь открывает файл в режиме защищенного просмотра.   Пользователи могут сами открывать файлы в режиме защищенного просмотра. Для этого следует выбрать команду Открыть в режиме защищенного просмотра в диалоговом окне Открыть либо, удерживая нажатой клавишу SHIFT, щелкнуть файл правой кнопкой мыши и выбрать команду Открыть в режиме защищенного просмотра.

  • Файл открывается из небезопасного расположения.   По умолчанию к небезопасным расположениям относятся папка временных файлов Интернета и папка загружаемых программ. При необходимости можно назначить другие небезопасные расположения с помощью групповой политики.

В некоторых случаях режим защищенного просмотра не используется даже при соблюдении одного или нескольких из приведенных выше условий. В частности, файлы не открываются в режиме защищенного просмотра при соблюдении любого из следующих условий:

  • Файл открывается из надежного расположения.

  • Файл является надежным документом.

Изменение поведения режима защищенного просмотра

Не рекомендуется изменять поведение режима защищенного просмотра по умолчанию, поскольку этот режим является важной частью многоуровневой стратегии защиты в Office 2010 и предназначен для совместного применения с другими компонентами обеспечения безопасности, такими как проверка файлов Office и блокировка файлов. Тем не менее в некоторых организациях возможно изменение параметров режима защищенного просмотра в соответствии с особыми требованиями безопасности. Для таких случаев в Office 2010 предусмотрена возможность изменять поведение режима защищенного просмотра. С помощью этих параметров можно выполнить следующие действия:

  • Запретить открытие в режиме защищенного просмотра файлов, которые загружены из Интернета.

  • Запретить открытие в режиме защищенного просмотра файлов, которые хранятся в небезопасных расположениях.

  • Запретить открытие в режиме защищенного просмотра вложений, открываемых в Microsoft Outlook 2010.

  • Добавить расположения в список небезопасных расположений.

Кроме того, можно использовать параметры блокировки файлов и проверки файлов Office для принудительного открытия файлов в режиме защищенного просмотра. Дополнительные сведения см. в разделе Принудительное открытие файлов в режиме защищенного просмотра этой статьи.

Примечание

Дополнительные сведения о приведенных в этой статье параметрах см. в статье Security policies and settings in Office 2010. Дополнительные сведения о настройке параметров безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в статье Настройка безопасности Office 2010.

Запрет на открытие файлов в режиме защищенного просмотра

Параметры защищенного просмотра можно настроить таким образом, чтобы не использовать этот режим для определенных файлов. Для этого используются следующие параметры:


  • Не открывать файлы из зоны Интернета в режиме защищенного просмотра.   Этот параметр определяет принудительный обход режима защищенного просмотра файлами в том случае, если в сведениях о зоне AES указано, что файл загружен из зоны Интернета. Этот параметр применяется к файлам, загружаемым с помощью Internet Explorer, Outlook Express и Outlook.


  • Не открывать файлы из небезопасных расположений в режиме защищенного просмотра.   Этот параметр определяет принудительный обход режима защищенного просмотра файлами, которые открыты из небезопасных расположений. Для добавления папок в список небезопасных расположений можно использовать параметр Задать список небезопасных расположений, который рассматривается далее в этой статье.


  • Отключить режим защищенного просмотра для вложений, открытых в Outlook.   Этот параметр определяет принудительный обход режима защищенного просмотра файлами Excel 2010, PowerPoint 2010 и Word 2010, которые открыты как вложения Outlook 2010.

Эти параметры не применяются в том случае, если в параметрах блокировки файлов задано принудительное открытие файлов в режиме защищенного просмотра. Кроме того, эти параметры не применяются, если файл не прошел проверку файлов Office. Каждый из этих параметров можно настраивать отдельно для приложений Excel 2010, PowerPoint 2010 и Word 2010.

Принудительное открытие файлов в режиме защищенного просмотра

Компоненты блокировки файлов и проверки файлов Office поддерживают параметры, позволяющие настроить принудительное открытие файлов в режиме защищенного просмотра при соблюдении определенных условий. С помощью этих параметров можно задать условия, при которых файлы будут открываться в режиме защищенного просмотра.

Использование компонента блокировки файлов для принудительного открытия файлов в режиме защищенного просмотра

С помощью компонента блокировки файлов можно запретить открытие или сохранение файлов определенных типов пользователями. При настройке блокировки типа файла с помощью параметров этого компонента можно выбрать одно из трех действий блокировки файлов:

  • Заблокировано и не может открываться.

  • Заблокировано и может открываться только в режиме защищенного просмотра (редактирование недоступно).

  • Заблокировано и открывается в режиме защищенного просмотра (возможно редактирование).

При выборе второго и третьего параметров можно настроить принудительное открытие файлов заблокированных типов в режиме защищенного просмотра. Параметры блокировки файлов настраиваются только для отдельных приложений Excel 2010, PowerPoint 2010 и Word 2010. Дополнительные сведения о параметрах блокировки файлов см. в статье Планирование параметров блокировки файлов для Office 2010.

Использование параметров проверки файлов Office для принудительного открытия файлов в режиме защищенного просмотра

Проверка файлов Office — это новый компонент обеспечения безопасности, который обеспечивает проверку файлов на наличие эксплойтов формата файлов до их открытия в приложении Office 2010. По умолчанию файлы, не прошедшие проверку файлов Office, открываются в режиме защищенного просмотра с возможностью редактирования после предварительного просмотра. При необходимости можно воспользоваться параметром Поведение не прошедших проверку документов для изменения поведения по умолчанию. При использовании этого параметра можно выбрать один из следующих вариантов для файлов, не прошедших проверку файлов Office:

  • Полностью блокировать.   Файлы, не прошедшие проверку файлов Office, не могут открываться в режиме защищенного просмотра и недоступны для редактирования.

  • Открыть в режиме защищенного просмотра и запретить редактирование.   Файлы, не прошедшие проверку файлов Office, открываются в режиме защищенного просмотра, но недоступны для редактирования.

  • Открыть в режиме защищенного просмотра и разрешить редактирование.   Файлы, не прошедшие проверку файлов Office, открываются в режиме защищенного просмотра и доступны для редактирования. Это значение по умолчанию.

При выборе второго параметра можно ограничить поведение режима защищенного просмотра для файлов, не прошедших проверку файлов Office. Этот параметр проверки файлов Office настраивается только для отдельных приложений Excel 2010, PowerPoint 2010 и Word 2010. Дополнительные сведения о параметрах проверки файлов Office см. в статье Планирование параметров проверки файлов Office для Office 2010.

Добавление файлов в список небезопасных файлов

С помощью параметра Задать список небезопасных расположений можно добавить расположения в список небезопасных расположений. Находящиеся в таких расположениях файлы всегда открываются в режиме защищенного просмотра. При использовании компонента небезопасных расположений пользователи по-прежнему могут редактировать документы. В этом случае принудительно выполняется только открытие документа в режиме защищенного просмотра до его редактирования. Это глобальный параметр, который применяется к приложениям Excel 2010, PowerPoint 2010 и Word 2010.

Примечание

Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке).