在 2007 Office system 中配置 ActiveX 控件、加载项和宏的安全设置
更新时间: 2009年2月
应用到: Office Resource Kit
上一次修改主题: 2015-03-09
您可以使用 Office 自定义工具 (OCT) 和组策略对象编辑器配置 ActiveX 控件、加载项和 Visual Basic for Applications (VBA) 宏的设置。
开始之前
在开始配置设置之前,请确保满足本节中介绍的规划要求、管理要求和工具要求。
计划要求 必须先完成安全计划过程中的以下步骤,然后才能有效地配置受信任位置和受信任的发布者设置:
在 2007 Office system 中为安全设置和隐私选项选择部署工具
管理要求 下表列出了执行设置配置操作所需的管理凭据。
要执行的操作 您必须是这些组的成员 运行 OCT
本地计算机上的 Administrators 组
通过组策略对象编辑器配置本地组策略设置
本地计算机上的 Administrators 组
通过组策略对象编辑器配置基于域的组策略设置
Domain Admins、Enterprise Admins 或 Group Policy Creator Owners
工具要求 假设您已经完成以下任务:
了解如何使用 OCT 自定义 2007 Microsoft Office system。有关 OCT 的详细信息,请参阅 2007 Office system 中的 Office 自定义工具。
已创建可运行 OCT 的网络安装点。
了解什么是管理模板(即 .adm 文件)。
已将 Office 2007 管理模板加载到组策略对象编辑器中。
使用下面的部分来确定如何配置以下各项的设置:
ActiveX 控件
加载项
宏
配置 ActiveX 控件的设置
以下过程演示如何使用 OCT 和组策略对象编辑器禁用 ActiveX 控件以及更改 ActiveX 控件的初始化方式。若要了解有关 ActiveX 控件设置的更多信息,请参阅 ActiveX 控件设置和规划 ActiveX 控件的安全设置。
禁用 ActiveX 控件
您可以使用以下过程禁用 ActiveX 控件。这些过程中描述的设置仅适用于 2007 Microsoft Office system 中的应用程序;也就是说,在用 Office 的早期版本打开的文档中未禁用 ActiveX 控件。此外,即使您禁用文档中的 ActiveX 控件,但如果从受信任的位置打开文档,则仍将初始化和运行 ActiveX 控件,而不会发出通知。
使用 OCT 禁用 ActiveX 控件
在 OCT 左窗格中的“功能”下,单击“修改用户设置”。
在 OCT 的树状视图中,打开“Microsoft Office System 2007”,然后单击“安全设置”。
在细节窗格中,双击“禁用所有 ActiveX”。
单击“启用”,选中“禁用所有 ActiveX”复选框,然后单击“确定”。
.gif "Note") 注意 |
|---|
| 您还可以通过将 OCT 中的“不安全的 ActiveX 初始化”设置设为“不提示并禁用所有控件”来禁用 ActiveX 控件。 |
使用组策略对象编辑器禁用 ActiveX 控件
在组策略对象编辑器树中,导航到以下位置:
用户配置/管理模板/Microsoft Office System 2007/安全设置
在细节窗格中,双击“禁用所有 ActiveX”,单击“启用”,然后选中“禁用所有 ActiveX”复选框并单击“确定”。
更改 ActiveX 控件的初始化方式
以下过程演示如何使用 OCT 和组策略对象编辑器更改 ActiveX 控件的初始化方式。ActiveX 控件初始化取决于若干因素,其中包括文档中是否存在 VBA 项目,以及控件被标为“初始化安全 (SFI)”还是“初始化不安全 (UFI)”。
使用 OCT 更改 ActiveX 控件的初始化方式
在 OCT 的左侧窗格中,单击“Office 安全设置”。
在细节窗格的“不安全的 ActiveX 初始化”中,单击下列设置之一:
提示用户使用控件默认值。此设置使用默认值初始化 ActiveX 控件并且可能要求用户在初始化 ActiveX 控件之前输入内容。
提示用户使用持续的数据。此设置使用持续值初始化 ActiveX 控件并且可能要求用户在初始化 ActiveX 控件之前输入内容。
不提示。此设置将初始化所有控件并且不要求用户输入内容。
使用组策略对象编辑器更改 ActiveX 控件的初始化方式
在组策略对象编辑器树中,导航到以下位置:
用户配置/管理模板/Microsoft Office System 2007/安全设置
在细节窗格中,双击“ActiveX 控件初始化”,然后单击“启用”。在“ActiveX 控件初始化”中,单击所需的初始化设置。
ActiveX 控件有六个可能的初始化设置。某些设置可能要求用户在初始化 ActiveX 控件之前输入内容。
单击“确定”。
配置加载项的设置
以下过程演示如何使用 OCT 和组策略对象编辑器执行下面的操作:
禁用加载项。
要求由受信任的发布者签署加载项。
禁用未签署加载项通知。
若要了解有关加载项的安全设置的更多信息,请参阅 Office system 中的安全策略和设置和规划加载项的安全设置
禁用加载项
您可以使用以下过程禁用加载项。禁用加载项时,系统将不会通知用户加载项已被禁用。此外,只能单独对每个应用程序禁用加载项。不存在禁用加载项的全局设置。
使用 OCT 禁用加载项
在 OCT 的左侧窗格中,单击“Office 安全设置”。
在细节窗格中的“默认安全设置”下,对要配置的应用程序双击“应用程序加载项警告选项”。
在“指定安全设置”对话框中,单击“禁用所有应用程序扩展”,然后单击“确定”。
| 注意 |
|---|
| 您也可以在 OCT 中将“禁用所有应用程序加载项”设置设为“启用”来禁用加载项。 |
使用组策略对象编辑器禁用加载项
根据您要配置的应用程序,请导航到组策略对象编辑器树中的下列位置之一:
用户配置/管理模板/Microsoft Office Access 2007/应用程序设置/安全性/信任中心
用户配置/管理模板/Microsoft Office Excel 2007/Excel 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office PowerPoint 2007/PowerPoint 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Publisher 2007/安全性/信任中心
用户配置/管理模板/Microsoft Office Visio 2007/工具|选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Word 2007/Word 选项/安全性/信任中心
在细节窗格中,双击“禁用所有应用程序加载项”,单击“启用”,然后单击“确定”。
要求由受信任的发布者签署加载项
您可以使用以下过程要求由受信任的发布者签署加载项。您只能基于每个应用程序配置此设置。不存在一个要求由受信任的发布者签署加载项的全局设置。
使用 OCT 要求由受信任的发布者签署加载项
在 OCT 的左侧窗格中,单击“Office 安全设置”。
在细节窗格中的“默认安全设置”下,对要配置的应用程序双击“应用程序加载项警告选项”。
在“指定安全设置”对话框中,单击“要求由受信任发布者签署应用程序扩展”,然后单击“确定”。
使用组策略对象编辑器要求由受信任的发布者签署加载项
根据您要配置的应用程序,请导航到组策略对象编辑器树中的下列位置之一:
用户配置/管理模板/Microsoft Office Access 2007/应用程序设置/安全性/信任中心
用户配置/管理模板/Microsoft Office Excel 2007/Excel 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office PowerPoint 2007/PowerPoint 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Publisher 2007/安全性/信任中心
用户配置/管理模板/Microsoft Office Visio 2007/工具|选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Word 2007/Word 选项/安全性/信任中心
在细节窗格中,双击“要求由受信任发布者签署应用程序加载项”,单击“启用”,然后单击“确定”。
禁用未签署加载项通知
您可以使用以下过程禁用未签署加载项通知。您只能基于每个应用程序配置此设置。不存在禁用未经签署的加载项以及未经签署的加载项通知的全局设置。
使用 OCT 禁用未签署加载项通知
在 OCT 的左侧窗格中,单击“Office 安全设置”。
在细节窗格中的“默认安全设置”下,对要配置的应用程序双击“应用程序加载项警告选项”。
在“指定安全设置”对话框中,单击“要求签署扩展;并以无提示方式禁用未签署的扩展”,然后单击“确定”。
使用组策略对象编辑器禁用未签署加载项通知
根据您要配置的应用程序,请导航到组策略对象编辑器树中的下列位置之一:
用户配置/管理模板/Microsoft Office Access 2007/应用程序设置/安全性/信任中心
用户配置/管理模板/Microsoft Office Excel 2007/Excel 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office PowerPoint 2007/PowerPoint 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Publisher 2007/安全性/信任中心
用户配置/管理模板/Microsoft Office Visio 2007/工具|选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Word 2007/Word 选项/安全性/信任中心
在细节窗格中,双击“禁用针对未签署的应用程序加载项的信任栏通知”,单击“启用”,然后单击“确定”。
| 注意 |
|---|
| 您必须将“禁用针对未签署的应用程序加载项的信任栏通知”设置与“要求由受信任发布者签署应用程序加载项”设置结合使用。 |
配置宏的设置
以下过程演示如何使用 OCT 和组策略对象编辑器配置以下各项:
宏的默认安全设置。
禁用 VBA。
向自动化客户端提供对 VBA 项目的编程访问权限。
宏的自动化安全。
防止对加密的宏执行病毒扫描。
若要了解有关宏的安全设置的更多信息,请参阅 Office system 中的安全策略和设置和规划宏的安全设置
配置宏的默认安全设置
您可以使用以下过程配置宏的默认安全设置。您只能基于每个应用程序配置此设置。
使用 OCT 配置宏的默认安全设置
在 OCT 的左侧窗格中,单击“Office 安全设置”。
在细节窗格中的“默认安全设置”下,对要配置的应用程序双击“VBA 宏警告选项”。
在“指定安全设置”对话框中,单击所需的默认安全设置,然后单击“确定”。
使用组策略对象编辑器配置宏的默认安全设置
根据您要配置的应用程序,请导航到组策略对象编辑器树中的下列位置之一:
用户配置/管理模板/Microsoft Office Access 2007/应用程序设置/安全性/信任中心
用户配置/管理模板/Microsoft Office Excel 2007/Excel 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office PowerPoint 2007/PowerPoint 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Publisher 2007/安全性/信任中心
用户配置/管理模板/Microsoft Office Visio 2007/工具|选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Word 2007/Word 选项/安全性/信任中心
在细节窗格中,双击“VBA 宏警告设置”,然后单击“启用”,并选择所需的默认安全设置。
单击“确定”。
| 注意 |
|---|
| 您也可以更改 Microsoft Office Outlook 2007 中宏的默认安全设置。有关详细信息,请参阅 Office Outlook 2007 的安全文档。 |
禁用 VBA
可以使用以下过程禁用 VBA。您只能全局配置此设置。
使用 OCT 禁用 VBA
在 OCT 左窗格中的“功能”下,单击“修改用户设置”。
在 OCT 的树状视图中,打开“Microsoft Office System 2007”,然后单击“安全设置”。
在细节窗格中,双击“禁用 VBA for Office Applications”。
单击“启用”,然后单击“确定”。
使用组策略对象编辑器禁用 VBA
在组策略对象编辑器树中,导航到以下位置:
用户配置/管理模板/Microsoft Office System 2007/安全设置
在细节窗格中,双击“禁用 VBA for Office Applications”,单击“启用”,然后单击“确定”。
向自动化客户端提供对 VBA 项目的编程访问权限
可以使用以下过程向自动化客户端提供对 VBA 项目的编程访问。您只能基于每个应用程序配置此设置。
使用 OCT 向自动化客户端提供对 VBA 项目的编程访问
在 OCT 左窗格中的“功能”下,单击“修改用户设置”。
在 OCT 的树状视图中,导航到以下任一位置:
Microsoft Office Excel 2007/Excel 选项/安全性/信任中心
Microsoft Office PowerPoint 2007/PowerPoint 选项/安全性/信任中心
Microsoft Office Word 2007/Word 选项/安全性/信任中心
在细节窗格中,双击“信任对于‘Visual Basic 项目’的访问”。
单击“启用”,然后单击“确定”。
使用组策略对象编辑器向自动化客户端提供对 VBA 项目的编程访问
根据您要配置的应用程序,请导航到组策略对象编辑器树中的下列位置之一:
用户配置/管理模板/Microsoft Office Excel 2007/Excel 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office PowerPoint 2007/PowerPoint 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Word 2007/Word 选项/安全性/信任中心
在细节窗格中,双击“信任对于‘Visual Basic 项目’的访问”。
单击“启用”,然后单击“确定”。
配置宏的自动化安全
可以使用以下过程配置宏的自动化安全。您只能全局配置此设置。
使用 OCT 配置宏的自动化安全
在 OCT 左窗格中的“功能”下,单击“修改用户设置”。
在 OCT 的树状视图中,打开“Microsoft Office System 2007”,然后单击“安全设置”。
在细节窗格中,双击“自动化安全”,然后单击“启用”。
在“设置自动化安全级别”中,单击所需的设置,然后单击“确定”。
使用组策略对象编辑器配置宏的自动化安全
在组策略对象编辑器树中,导航到以下位置:
用户配置/管理模板/Microsoft Office System 2007/安全设置
在细节窗格中,双击“自动化安全”,然后单击“启用”。
在“设置自动化安全级别”中,单击所需的设置,然后单击“确定”。
防止对加密的宏执行病毒扫描
可以使用以下过程防止对加密的宏执行病毒扫描。您只能基于每个应用程序配置此设置。
使用 OCT 防止对加密的宏执行病毒扫描
在 OCT 左窗格中的“功能”下,单击“修改用户设置”。
在 OCT 的树状视图中,导航到以下任一位置:
Microsoft Office Excel 2007/Excel 选项/安全性/信任中心
Microsoft Office PowerPoint 2007/PowerPoint 选项/安全性/信任中心
Microsoft Office Word 2007/Word 选项/安全性/信任中心
在细节窗格中,根据要配置的应用程序双击下列中的一项:
确定是否在 Microsoft Excel Open XML 工作簿中强制扫描加密的宏
确定是否在 Microsoft PowerPoint Open XML 演示文稿中强制扫描加密的宏
确定是否在 Microsoft Word Open XML 文档中强制扫描加密的宏
单击“启用”,然后单击“确定”。
使用组策略对象编辑器防止对加密的宏执行病毒扫描
根据您要配置的应用程序,请导航到组策略对象编辑器树中的下列位置之一:
用户配置/管理模板/Microsoft Office Excel 2007/Excel 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office PowerPoint 2007/PowerPoint 选项/安全性/信任中心
用户配置/管理模板/Microsoft Office Word 2007/Word 选项/安全性/信任中心
在细节窗格中,根据要配置的应用程序双击下列中的一项:
确定是否在 Microsoft Excel Open XML 工作簿中强制扫描加密的宏
确定是否在 Microsoft PowerPoint Open XML 演示文稿中强制扫描加密的宏
确定是否在 Microsoft Word Open XML 文档中强制扫描加密的宏
单击“启用”,然后单击“确定”。