Планирование и настройка параметров надежных издателей для Office 2013

  • Статья

 

Применимо к: Office 365 ProPlus

Последнее изменение раздела: 2016-12-16

Сводка. Сведения об использовании списка надежных издателей в Office 2013 для назначения издателей контента, которым можно доверять.

Аудитория: ИТ-специалисты

Список надежных издателей используется для назначения издателей контента, которым вы доверяете. Это полезно, если организация использует опубликованный контент, такой как элементы управления Microsoft ActiveX, надстройки и макросы (VBA).

Издатель — это любой разработчик, компания, выпускающая программное обеспечение, или организация, которая создала и предоставила элемент управления ActiveX, надстройку или макрос VBA с цифровой подписью. Надежный издатель — это любой издатель, который добавлен в список надежных издателей. Когда пользователь открывает файл, содержащий активный контент, созданный надежным издателем, этот контент запускается и пользователь не получает уведомления о потенциальных рисках, которые могут содержаться в файле.

Сведения о добавлении надежных издателей см. в статье Добавление, удаление и просмотр надежного издателя.

Указатель для справочника по безопасности Office.

Эта статья входит в состав набора Руководство по безопасности Office 2013. Используйте этот обзор в качестве начального этапа для поиска статей, загружаемых файлов, примеров и видеозаписей, помогающих оценить совместимость Office 2013.

Вы ищете информацию о безопасности отдельных приложений Office 2013? Для этого можно выполнить поиск по словам "2013 security" (безопасность 2013) на сайте Office.com.

В этой статье

  • Планирование параметров надежных издателей в Office 2013

  • Получение сертификатов от известных издателей

  • Определение сертификатов, которые необходимо добавить в список надежных издателей

  • Связанные параметры надежных издателей для Office 2013

Планирование параметров надежных издателей в Office 2013

Чтобы обозначить издателя как надежного, необходимо добавить его сертификат в список надежных издателей. В этом контексте сертификат издателя — это цифровой сертификат (CER-файл), используемый для цифровой подписи опубликованного контента. В большинстве случаев CER-файл можно получить у издателя или экспортировать его из CAB-, DLL-, EXE- или OCX-файлов, связанных с опубликованным контентом. Если вы не уверены в том, какой опубликованный контент использует организация, может потребоваться также определить, применяется ли любой другой опубликованный контент с приложениями Office 2013 организации, и получить сертификаты на этот контент.

Есть два способа добавления сертификата издателя в список надежных издателей: с помощью центра развертывания Office или групповой политики. В центре развертывания Office нет параметров для управления сертификатами, кроме добавления сертификата издателя в список надежных издателей. Если вам необходимо управлять доверием к сертификату или установить определенные отношения доверия для бизнес-сценариев, необходимо использовать групповую политику. Дополнительные сведения о том, как добавить издателей в список надежных издателей и как управлять доверенными корневыми сертификатами, см. в статьях Управление доверенными корневыми сертификатами и Управление надежными издателями.

Получение сертификатов от известных издателей

Как правило, вы можете получить сертификат на опубликованный контент, попросив издателя прислать его вам. Если таким образом получить сертификат не удается и вы знаете имя CAB-, DLL-, EXE- или OCX-файла с цифровой подписью, который содержит опубликованный контент, выполните следующее для экспорта файла сертификата.

ПримечаниеПримечание
Для работы во всех наборах Наборы приложений Office 2013 можно использовать мышь, сочетания клавиш и сенсорные жесты. Дополнительные сведения об использовании сочетаний клавиш и сенсорных жестов в службах и продуктах Office см. в следующих статьях: Сочетания клавиш, Справочник по сенсорному управлению в Office.
ВажноВажно!
Чтобы воспользоваться этим способом, компьютер должен работать под управлением Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2.

Экспорт сертификата из DLL-файла

  1. Выберите файл, подписанный издателем, откройте его контекстное меню (щелкните правой кнопкой мыши) и выберите Свойства.

  2. Выберите вкладку Цифровые подписи.

  3. В списке подписей выберите сертификат и нажмите кнопку Сведения.

  4. В диалоговом окне Сведения о цифровой подписи выберите Просмотр сертификата.

  5. Перейдите на вкладку Сведения и нажмите кнопку Копировать в файл.

  6. На странице приветствия мастера просмотра сертификатов нажмите Далее.

  7. На странице "Формат экспортируемого файла" выберите Файлы в DER-кодировке X.509 (.CER) и нажмите кнопку Далее.

  8. На странице "Экспортируемый файл" укажите путь и имя CER-файла и нажмите кнопку Далее. После этого нажмите Готово

Сохраните все CER-файлы на общем сетевом ресурсе, к которому клиентский компьютер может получить доступ во время установки.

Определение сертификатов, которые необходимо добавить в список надежных издателей

В некоторых случаях неизвестно, использует ли организация опубликованный контент или какой контент следует добавить в список надежных издателей. Обычно это необходимо, только если в среде применяется очень высокий уровень безопасности и весь опубликованный контент должен быть подписан. Можно проверить приложения Office 2013 на наличие контента с цифровой подписью, используя следующую процедуру.

Определение опубликованного контента и добавление издателя в список надежных издателей

  1. На тестовом компьютере или клиентском компьютере, на котором используется стандартная для организации конфигурация (включая любые необходимые пользователям надстройки), включите параметр Все надстройки приложений должны быть подписаны надежными издателями в центре управления безопасности следующим образом.

    1. Перейдите на вкладку Файл.

    2. Выберите элемент Параметры.

    3. затем — Выберите Центр управления безопасностью.

    4. Выберите Параметры центра управления безопасностью.

    5. и нажмите Надстройки.

    6. Выберите Все надстройки приложений должны быть подписаны надежными издателями.

    7. Нажмите кнопку ОК.

  2. Закройте и перезапустите приложение Office. Если надстройки установлены, на панели сообщений появится следующее сообщение: Предупреждение безопасности. Запуск активного содержимого отключен. Нажмите для получения дополнительных сведений.

  3. На панели сообщений выберите Запуск активного содержимого отключен. Щелкните для получения дополнительных сведений.

  4. Перейдите на вкладку Файл, в представлении Backstage выберите Включить содержимое и Дополнительные параметры.

  5. В диалоговом окне Оповещение системы безопасности — несколько проблем установите каждый сертификат в список надежных издателей, выполнив следующее для каждой надстройки с действительной цифровой подписью.

    1. Выберите Показать состав подписи.

    2. В окне Сведения о цифровой подписи выберите Просмотр сертификата.

    3. В окне Сертификат выберите Установить сертификат.

    4. В мастере импорта сертификата выберите Далее, Поместить все сертификаты в следующее хранилище, нажмите кнопку Обзор и щелкните Надежные издатели. Последовательно нажмите кнопки OK, Далее и Готово.

  6. Подготовьте файлы сертификатов для распространения.

    1. Перейдите на вкладку Файл и последовательно выберите Параметры, Центр управления безопасностью, Параметры центра управления безопасностью и Надежные издатели.

    2. Для каждого сертификата выберите сертификат, нажмите кнопку Просмотр, а затем выполните следующее.

      1. В окне Сертификат на вкладке Сведения выберите команду Копировать в файл.

      2. В мастере экспорта сертификатов нажмите кнопку Далее, потом снова нажмите Далее, чтобы принять формат файла по умолчанию. Введите имя файла, выберите расположение для его хранения и нажмите Готово.

Связанные параметры надежных издателей для Office 2013

С параметрами надежных издателей часто используются следующие параметры групповой политики и центра безопасности.

  • Надстройки приложений должны быть подписаны надежными издателями
Этот параметр ограничивает набор надстроек только теми, которые имеют подпись надежного издателя. Параметр необходимо устанавливать для каждого приложения отдельно.
  • Отключить уведомление панели безопасности для неподписанных надстроек приложений и заблокировать их
При включенном параметре пользователи не видят предупреждений панели безопасности, касающихся надстроек, которые не подписаны надежным издателем. Параметр необходимо устанавливать для каждого приложения отдельно.
  • Параметры уведомлений о макросах VBA
Этот параметр ограничивает набор макросов VBA только теми, которые имеют подпись надежного издателя. Параметр необходимо устанавливать для каждого приложения отдельно.
  • Отключить все элементы ActiveX
Этот параметр ограничивает набор элементов управления ActiveX только теми, которые имеют подпись надежного издателя. Это общий параметр, его не требуется устанавливать для каждого приложения отдельно.
ПримечаниеПримечание
Последние сведения о параметрах политики см. в книге Excel 2013 "Office2013GroupPolicyAndOCTSettings_Reference.xlsx", которая входит в состав файлов административных шаблонов Office 2013. Дополнительные сведения см. в статье TechNet Файлы административных шаблонов Office 2013 (ADMX/ADML) и центр развертывания Office.

См. также

Руководство по безопасности Office 2013
Обзор безопасности в Office 2013
Настройка параметров безопасности с использованием центра развертывания Office или групповой политики Office 2013
Угрозы безопасности и контрмеры для выпуска 2013 системы Microsoft Office
Планирование и настройка параметров надежных расположений для Office 2013