规划 Office 2010 的受信任位置设置
适用于: Office 2010
上一次修改主题: 2016-11-29
如果要将安全文件与可能有害的文件区分开来,您可以使用 Microsoft Office 2010 中的“受信任位置”功能。通过“受信任位置”功能可在用户计算机硬盘上或网络共享上指定受信任文件源。将文件夹指定为受信任文件源时,该文件夹中保存的任何文件都会被认为是受信任文件。打开受信任文件时,文件中所有内容都将被启用并处于活动状态,且不会向用户通知文件中可能包含的任何潜在风险,如未签名加载项、Microsoft Visual Basic for Applications (VBA) 宏、Internet 上内容的链接或数据库连接。
本文内容:
关于规划受信任位置的设置
实现受信任位置
禁用受信任位置
关于规划受信任位置的设置
Office 2010 提供了许多允许您控制“受信任位置”功能的行为的设置。通过配置这些设置,可以执行下列操作:
全局指定或按应用程序指定受信任位置。
允许受信任位置存在于远程共享上。
禁止用户指定受信任位置。
禁用“受信任位置”功能。
下列应用程序中提供了“受信任位置”功能:Microsoft Access 2010、Microsoft Excel 2010、Microsoft InfoPath 2010、Microsoft PowerPoint 2010、Microsoft Visio 2010 和 Microsoft Word 2010。
下面的列表描述了“受信任位置”功能的默认配置:
受信任位置已启用。
用户不能将网络共享指定为受信任位置。但是,用户可在信任中心中更改此设置。
用户可以将文件夹添加到受信任位置列表中。
用户定义和策略定义的受信任位置均可使用。
此外,在 Office 2010 的默认安装中会将多个文件夹指定为受信任位置。下表中列出了每个应用程序的默认文件夹。(InfoPath 2010 和 Visio 2010 没有默认的受信任位置。)
Access 2010 受信任位置
下表列出了 Access 2010 的默认受信任位置。
| 默认受信任位置 | 文件夹说明 | 受信任的子文件夹 |
|---|---|---|
Program Files\Microsoft Office\Office14\ACCWIZ |
向导数据库 |
不允许 |
Excel 2010 受信任位置
下表列出了 Excel 2010 的默认受信任位置。
| 默认受信任位置 | 文件夹说明 | 受信任的子文件夹 |
|---|---|---|
Program Files\Microsoft Office\Templates |
应用程序模板 |
允许 |
Users\user_name\Appdata\Roaming\Microsoft\Templates |
用户模板 |
不允许 |
Program Files\Microsoft Office\Office14\XLSTART |
Excel 启动 |
允许 |
Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART |
用户启动 |
不允许 |
Program Files\Microsoft Office\Office14\STARTUP |
Office 启动 |
允许 |
Program Files\Microsoft Office\Office14\Library |
加载项 |
允许 |
PowerPoint 2010 受信任位置
下表列出了 PowerPoint 2010 的默认受信任位置。
| 默认受信任位置 | 文件夹说明 | 受信任的子文件夹 |
|---|---|---|
Program Files\Microsoft Office\Templates |
应用程序模板 |
允许 |
Users\user_name\Appdata\Roaming\Microsoft\Templates |
用户模板 |
允许 |
Users\user_name\Appdata\Roaming\Microsoft\Addins |
加载项 |
不允许 |
Program Files\Microsoft Office\Document Themes 14 |
应用程序主题 |
允许 |
Word 2010 受信任位置
下表列出了 Word 2010 的默认受信任位置。
| 默认受信任位置 | 文件夹说明 | 受信任的子文件夹 |
|---|---|---|
Program Files\Microsoft Office\Templates |
应用程序模板 |
允许 |
Users\user_name\Appdata\Roaming\Microsoft\Templates |
用户模板 |
不允许 |
Users\user_name\Appdata\Roaming\Microsoft\Word\Startup |
用户启动 |
不允许 |
备注
有关如何在 Office 自定义工具 (OCT) 和 Office 2010 管理模板中配置安全设置的信息,请参阅为 Office 2010 配置安全性。
实现受信任位置
若要实现受信任位置,您必须确定下列事项:
要为其配置受信任位置的应用程序。
要指定为受信任位置的文件夹。
要应用于受信任位置的文件夹共享和文件夹安全设置。
要应用于受信任位置的限制。
确定要配置的应用程序
使用以下准则可帮助确定要为其配置受信任位置的应用程序:
受信任位置会影响文件中的所有内容,包括加载项、ActiveX 控件、超链接、指向数据源和媒体的链接以及 VBA 宏。此外,从受信任位置打开的文件将跳过文件验证检查、文件块检查,且不在受保护的视图中打开。
每个应用程序为配置受信任位置都提供相同的设置。这意味着可以独立地为每个应用程序自定义受信任位置。
可以对一个或多个应用程序禁用受信任位置,而对其他应用程序实现受信任位置。
确定要指定为受信任位置的文件夹
使用以下准则可帮助您确定要指定为受信任位置的文件夹:
可以按应用程序指定或全局指定受信任位置。
一个或多个应用程序可以共享受信任位置。
若要防止恶意用户向受信任位置添加文件或修改保存在受信任位置中的文件,必须将操作系统安全设置应用于您指定为受信任位置的所有文件夹。
默认情况下,只允许用户硬盘上的受信任位置。若要在网络共享上启用受信任位置,您必须启用“允许不在计算机上的受信任位置”设置。
建议您不要将根文件夹(如驱动器 C)或整个“文档”或“我的文档”文件夹指定为受信任位置。而是在这些文件夹中创建子文件夹,并仅指定该子文件夹作为受信任位置。
此外,如果要进行下列操作,则必须使用以下各节中的准则:
使用环境变量指定受信任位置。
指定 Web 文件夹(即 http:// 路径)作为受信任位置。
使用环境变量指定受信任位置
通过组策略和 OCT 可以使用环境变量来指定受信任位置。但是,在 OCT 中使用环境变量时,必须更改注册表中用于存储受信任位置的值类型,环境变量才能正确发挥作用。如果使用环境变量指定受信任位置,但不进行必要的注册表修改,则受信任位置会出现在信任中心,但该位置不可用,且显示为包含环境变量的相对路径。更改注册表中的值类型之后,受信任位置将以绝对路径的形式显示在信任中心,并可供使用。
使用环境变量指定受信任位置
使用注册表编辑器查找由环境变量表示的受信任位置。
要打开注册表编辑器,请依次单击“开始”、“运行”,键入 regedit,然后单击“确定”。
通过使用 OCT 配置的受信任位置存储在以下位置:
HKEY_CURRENT_USER/Software/Microsoft/Office/14.0/application_name/Security/Trusted Locations
其中 application_name 可为 Microsoft Access、Microsoft Excel、Microsoft PowerPoint、Microsoft Visio 或 Microsoft Word。
受信任位置存储在名为 Path 的注册表项中,并存储为字符串值 (REG_SZ) 值类型。确保找到每个使用环境变量指定受信任位置的 Path 项。
更改 Path 值类型。
Office 2010 中的应用程序无法识别存储为字符串值 (REG _ SZ) 值类型的环境变量。为使应用程序能识别环境变量,必须将 Path 项的值类型更改为可扩展字符串值 (REG _ EXPAND _ SZ) 值类型。为此,请执行下列步骤:
记下或复制 Path 项的值。这应该是包含一个或多个环境变量的相对路径。
删除 Path 项。
新建一个可扩展字符串值 (REG _ EXPAND _ SZ) 类型的Path 项。
修改新的 Path 项,以使它具有在第一步中记下或复制的相同值。
确保对每个使用环境变量指定受信任位置的 Path 项都做出此更改。
将 Web 文件夹指定为受信任位置
可以指定 Web 文件夹(即 http:// 路径)作为受信任位置,但是,只能将那些支持 Web 分布式创作和版本管理 (WebDAV) 或 FrontPage Server Extensions 远程过程调用 (FPRPC) 协议的 Web 文件夹识别为受信任位置。如果不能确定 Web 文件夹是否支持 WebDAV 或 FPRPC 协议,请使用以下准则:
如果由 Internet Explorer 打开应用程序,则请检查最近使用的文件列表。如果最近使用的文件列表表明文件位于远程服务器上,而非 Internet 临时文件夹中,则 Web 文件夹可能以某种形式支持 WebDAV。例如,如果在 Internet Explorer 中浏览时单击某个文档,而文档在 Word 2010 中打开,则最近使用的文件列表应显示该文档位于远程服务器上而非本地的 Internet 临时文件夹中。
尝试使用“打开”对话框浏览到 Web 文件夹。如果路径支持 WebDAV,则可能能够浏览到 Web 文件夹或提示您输入凭据。如果 Web 文件夹不支持 WebDAV,则导航失败且对话框关闭。
备注
可以将使用 Windows SharePoint Services 和 Microsoft SharePoint Server 创建的网站指定为受信任位置。
确定文件夹共享和文件夹安全设置
必须保护被指定为受信任位置的所有文件夹。使用以下准则可以确定必须向每个受信任位置应用哪些共享设置和安全设置:
如果文件夹是共享文件夹,请配置共享权限,以便只有经过授权的用户才可以访问共享文件夹。请确保使用最小特权原则,并向用户授予相应权限。也就是说,向那些不需要修改受信任文件的用户授予“读取”权限,而向那些需要修改受信任文件的用户授予“完全控制”权限。
应用文件夹安全权限,以便只有经过授权的用户才可以读取或修改受信任位置中的文件。请确保使用最小特权原则,并向用户授予相应权限。也就是说,只向那些必须修改文件的用户授予“完全控制”权限,而向那些只需读取文件的用户授予限制程度更高的权限。
确定对受信任位置的限制
Office 2010 提供了几种设置,使您可以限制或控制受信任位置的行为。使用以下准则可确定如何配置这些设置。
**设置名称:**允许混合使用策略和用户位置
**描述:**此设置控制是由用户、OCT 和组策略来定义受信任位置,还是必须由组策略单独进行定义。默认情况下,用户可以将任何位置指定为受信任位置,计算机可以组合使用用户创建的、OCT 创建的以及组策略创建的受信任位置。
**影响:**如果禁用此设置,则会禁用不是由组策略创建的所有受信任位置,用户也不能在信任中心中创建新的受信任位置。如果禁用此设置,会对在信任中心中定义了自己的受信任位置的用户造成一些中断。应用程序会像处理其他任何不受信任位置那样处理此类位置,这意味着用户在打开文件时会看到有关内容(如 ActiveX 控件和 VBA 宏)的消息栏警告,而且用户必须选择是启用控件或宏,还是将其保持禁用状态。这是适用于您要为其配置受信任位置的所有应用程序的全局设置。
**准则:**具有限制性较强的安全环境的组织通常会禁用此设置。通过组策略来管理桌面配置的组织通常会禁用此设置。
**设置名称:**允许受信任位置不在计算机上
**描述:**此设置控制是否可以使用网络上的受信任位置。默认情况下,禁用网络共享的受信任位置。但是用户仍然可以在信任中心中选中“允许网络上的受信任位置”复选框,此设置将允许用户将网络共享指定为受信任位置。这不是全局设置。您必须针对每个应用程序分别为 Access 2010、Excel 2010、PowerPoint 2010、Visio 2010 和 Word 2010 配置此设置。
**影响:**禁用此设置将禁用网络共享的所有受信任位置,并且禁止用户在信任中心中选中“允许网络上的受信任位置”复选框。如果禁用此设置,会对在信任中心中定义了自己的受信任位置的用户造成一些中断。如果禁用此设置,并且用户试图将网络共享指定为受信任位置,则会显示一条警告,通知用户当前的安全设置不允许创建属于远程路径或网络路径的受信任位置。如果管理员通过组策略或通过使用 OCT 将网络共享指定为受信任位置,同时此设置被禁用,则会禁用受信任位置。应用程序会像处理其他任何不受信任位置那样处理此类位置,这意味着用户在打开文件时会看到有关内容(如 ActiveX 控件和 VBA 宏)的消息栏警告,而且用户必须选择是启用控件和宏,还是将其保持禁用状态。
**准则:**具有限制性较强的安全环境的组织通常会禁用此设置。
备注
还可以使用“删除 OCT 在安装过程中写入的所有受信任位置”设置删除通过配置 OCT 创建的所有受信任位置。
禁用受信任位置
Office 2010 提供使您能够禁用“受信任位置”功能的设置。必须针对每个应用程序分别为 Access 2010、Excel 2010、PowerPoint 2010、Visio 2010 和 Word 2010 配置此设置。使用以下准则可确定是否应使用此设置。
**设置名称:**禁用所有受信任位置
**描述:**此设置允许管理员分别对每个应用程序禁用“受信任位置”功能。默认情况下,已启用“受信任位置”功能,用户可以创建受信任位置。
**影响:**启用此设置将禁用所有受信任位置,其中包括下列受信任位置:安装过程中默认创建的受信任位置。
使用 OCT 创建的受信任位置。
用户通过信任中心创建的受信任位置。
使用组策略创建的受信任位置。
启用此设置还会防止用户在信任中心中配置受信任位置设置。如果启用了此设置,请确保通知用户他们不能使用“受信任位置”功能。如果用户已从受信任位置打开文件,而您启用此设置,则用户可能会开始在消息栏中看到警告,并且可能要求他们对消息栏警告做出响应以启用 ActiveX 控件、加载项和 VBA 宏等内容。
**准则:**安全环境限制性较强的组织通常会启用此设置。
备注
有关策略设置的最新信息,请参考 Microsoft Excel 2010 工作簿 Office2010GroupPolicyAndOCTSettings_Reference.xls,可从 Office 2010 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x804)(该链接可能指向英文页面) 下载页上的“此下载中的文件”部分获得该工作簿。