在 2007 Office system 中规划 Internet Explorer 功能控制设置
更新时间: 2009年2月
应用到: Office Resource Kit
上一次修改主题: 2015-03-09
通过使用 Internet Explorer 功能控制设置,可以减小应用程序以编程方式使用 Internet Explorer 功能时可能出现的威胁。减小 Internet Explorer 威胁至关重要,因为 Internet Explorer 中存在的任何威胁同样也存在于承载 Internet Explorer 的任何应用程序中。
可以在 2007 Office system 中配置 15 个 Internet Explorer 功能控制设置。有关 Internet Explorer 功能控制设置的详细信息,请参阅 Internet Explorer 功能控制设置。每个设置将限制一种特定类型的 Internet Explorer 行为或功能。若要启用特定设置的限制性行为或功能,您可以选择加入 应用程序。如果在特定 Internet Explorer 功能控制设置中选择加入应用程序,则每当该应用程序承载 Internet Explorer 时,都将强制实施该设置所指定的限制性更强的行为。相反,如果从特定设置中选择退出 应用程序,则每当该应用程序承载 Internet Explorer 时,都不会强制实施该设置所指定的限制性更强的行为。
若要设计 Internet Explorer 功能控制设置,您必须:
确定承载 Internet Explorer 的应用程序。
确定要实现的 Internet Explorer 功能控制设置。
找出与以前版本的 Office system 之间的潜在冲突。
确定承载 Internet Explorer 的应用程序。
当任何类型的活动内容(如 ActiveX 控件、加载项或 Visual Basic for Applications (VBA) 宏)以编程方式使用 Internet Explorer 功能时,应用程序将承载 Internet Explorer。一个常见的示例为用户打开包含 ActiveX 控件的 Microsoft Office Word 2007 文档时,ActiveX 控件将以编程方式调用 Internet Explorer 来呈现 HTML。在本例中,Office Word 2007 将承载 Internet Explorer。
默认情况下 Office Groove 2007、Office Outlook 2007 和 Office SharePoint Designer 2007 已选择加入到所有 15 个 Internet Explorer 功能控制设置中。Microsoft Office InfoPath 2007 以及“文档信息面板”、“工作流表单”和“第三方承载”这三个 Office InfoPath 2007 组件也已选择加入到这些 Internet Explorer 功能控制设置中。之所以选择加入这些应用程序,是因为它们承载 Internet Explorer,或者它们很有可能将承载 Internet Explorer。
使用以下准则可以帮助确定承载 Internet Explorer 或者可能承载 Internet Explorer 的其他应用程序。
允许用户运行不受信任的 ActiveX 控件、加载项或宏的应用程序可能会承载 Internet Explorer。
允许用户运行 ActiveX 控件、加载项或宏(用于呈现 HTML 或提供浏览器功能)的应用程序通常将承载 Internet Explorer。
已配置为呈现 HTML 或提供浏览器功能的应用程序通常将承载 Internet Explorer。
为用户提供 VBA 项目访问权限或允许用户创建 VBA 宏的应用程序可能会承载 Internet Explorer。
允许用户访问外部文档和数据的应用程序可能会承载 Internet Explorer。
建议您选择加入任何承载 Internet Explorer 或可能承载 Internet Explorer 的应用程序。一定要在您的安全计划文档中记录应用程序名称和相应的可执行文件名称。您将需要知道可执行文件的名称,以便使用 Office 自定义工具 (OCT) 或组策略来配置 Internet Explorer 功能控制设置。
下表列出了 2007 Office system 中可选择加入到 Internet Explorer 功能控制设置中的应用程序的可执行文件名称。
| 应用程序 | 可执行文件名称 |
|---|---|
Microsoft Office Access 2007 |
Msaccess.exe |
Microsoft Office Excel 2007 |
Excel.exe |
Microsoft Office Groove 2007(默认情况下已选择加入) |
Groove.exe |
Microsoft Office OneNote 2007 |
Onent.exe |
Microsoft Office Outlook 2007(默认情况下已选择加入) |
Outlook.exe |
Microsoft Office PowerPoint 2007 |
Powerpnt.exe |
Microsoft Office Project 2007 |
Winproj.exe |
Microsoft Office Publisher 2007 |
Mspub.exe |
Microsoft Expression Web |
Exprwd.exe |
Microsoft Office Visio 2007 |
Visio.exe |
Office SharePoint Designer 2007(默认情况下已选择加入) |
Spdesign.exe |
Office Word 2007 |
Winword.exe |
Microsoft Office PowerPoint Viewer |
Pptview.exe |
Microsoft 脚本编辑器 |
Mse7.exe |
确定要实现的 Internet Explorer 功能控制设置。
可以向 15 个 Internet Explorer 功能控制设置当中的任何设置或所有设置中选择加入应用程序,这些设置限制了许多 Internet Explorer 功能。在大多数情况下,如果应用程序承载 Internet Explorer 或者可能承载 Internet Explorer 时,则应该将该应用程序选择加入到所有 15 个 Internet Explorer 功能控制设置中。通过将应用程序选择加入到所有 15 个设置中,有助于确保每当应用程序承载 Internet Explorer 时实现限制性最强的 Internet Explorer 安全模型。
尽管建议您将应用程序选择加入到所有 15 个 Internet Explorer 功能控制设置中,但在某些情况下,您可能需要从特定设置中选择退出应用程序。在以下情况下,您可能必须从设置中选择退出应用程序:
特定设置的限制将阻止应用程序按预期方式运行。例如,如果您知道应用程序将使用 Internet Explorer 下载文件,而无需用户干预,则可能必须从“限制文件下载”设置中选择退出该应用程序。
特定设置的限制并不是必需的(因为该设置所减小的特定威胁给您的组织带来的风险很小或者不会带来风险)。例如,如果用户无法访问诸如 Internet 之类的公用网络,则可能不需要选择加入到“阻止弹出窗口”设置中。
特定设置的限制会导致性能降低。例如,“从 URL 保存”设置会导致性能降低。如果性能损失严重,则可能要从该设置中选择退出应用程序。
一定要在您的安全计划文档中记录想要选择加入到所有 15 个 Internet Explorer 功能控制设置中的应用程序。另外,一定要记录您需要从中选择退出应用程序的任何 Internet Explorer 功能控制设置。
.gif "Note") 注意 |
|---|
| Office InfoPath 2007 是一个特殊示例,不能将其选择加入到单独的 Internet Explorer 功能控制设置中,或者从单独的设置中选择退出。您只能配置可选择加入到整组 Internet Explorer 功能控制设置中或从整组设置中选择退出的 Office InfoPath 2007 组件。一定要在您的安全计划文档中记录想要选择退出的任何 Office InfoPath 2007 组件。建议您按原样保留默认设置并选择加入所有 Office InfoPath 2007 组件。有关 Office InfoPath 2007 设置的详细信息,请参阅 Internet Explorer 功能控制设置。 |
找出与以前版本的 Office 之间的冲突
虽然建议选择加入任何承载 Internet Explorer 或可能承载 Internet Explorer 的应用程序,但在某些情况下,选择加入应用程序可能会导致以前版本的 Office system 发生意外行为。之所以会发生此意外行为,是由于 Internet Explorer 功能控制设置在注册表中的存储方式引起的,只有在同时安装了 2007 Office system 和早期的 Office 版本时,才会发生此意外行为。
在应用程序选择加入或选择退出 Internet Explorer 功能控制设置时,将在注册表中存储应用程序的可执行文件名称,并为其赋予值 1(选择加入)或 0(选择退出)。例如,如果将 Office Word 2007 选择加入到“限制 ActiveX 安装”的 Internet Explorer 功能控制设置中,则将在 FEATURE_RESTRICT_ACTIVEXINSTALL 注册表项下面添加名为 Winword.exe 的注册表项,并将 Winword.exe 项设置为值 1。
每当以编程方式调用 Internet Explorer 时,将确定是否在任何进程、动态链接库 (DLL) 或可执行文件中承载了 Internet Explorer 应用程序。Internet Explorer 还将检查注册表,以查看哪些进程、DLL 或可执行文件选择加入或退出了各个 Internet Explorer 功能控制设置。如果进程、DLL 或可执行文件承载了 Internet Explorer,并且注册表设置表明该进程、DLL 或可执行文件已选择加入到 Internet Explorer 功能控制设置中,则 Internet Explorer 将启用该 Internet Explorer 功能控制设置的限制性更强的行为。例如,如果 Winword.exe 承载了 Internet Explorer,并且 FEATURE_RESTRICT_ACTIVEXINSTALL 注册表项下面的 Winword.exe 项的值为 1,则 Internet Explorer 将采用“限制 ActiveX 安装”的 Internet Explorer 功能控制设置所指定的限制性更强的行为。
但是,Winword.exe 是 Office Word 2007 和 Microsoft Office Word 2003 的可执行文件名称。因此,如果您同时安装了 Office Word 2007 和 Office Word 2003,并且将 Office Word 2007 选择加入到 Internet Explorer 功能控制设置中,则 Internet Explorer 无法确定您是想将该 Internet Explorer 功能控制设置应用于 Office Word 2007 还是应用于 Office Word 2003。与后续版本的 Office system 使用同一可执行文件名称的应用程序会出现此问题。下表列出了 2007 Office system 和早期版本的 Office system 中使用相同的可执行文件名称。
| 可执行文件名称 | 应用程序 |
|---|---|
Excel.exe |
Office Excel 2007 和 Office Excel 2003 |
Msaccess.exe |
Office Access 2007 和 Office Access 2003 |
Mspub.exe |
Office Publisher 2007 和 Publisher 2003 |
Outlook.exe |
Office Outlook 2007 和 Office Outlook 2003 |
Powerpnt.exe |
Office PowerPoint 2007 和 Office PowerPoint 2003 |
Visio.exe |
Office Visio 2007 和 Office Visio 2003 |
Winproj.exe |
Office Project 2007 和 Office Project 2003 |
Winword.exe |
Office Word 2007 和 Office Word 2003 |
若要找出并行安装的潜在问题,建议用上表中显示的早期版本的应用程序测试每个 Internet Explorer 功能控制设置。Internet Explorer 功能控制设置只在 2007 Office system 上受支持。Internet Explorer 功能控制设置在早期 Office 版本中不受支持,并且可能会导致早期 Office 版本中的应用程序发生意外行为。