为 2007 Office system 评估默认安全设置和隐私选项
更新时间: 2009年2月
应用到: Office Resource Kit
上一次修改主题: 2015-03-09
2007 Office system 中的默认安全和隐私设置可以帮助缓解六种主要类型的安全和隐私威胁。有些默认安全设置和隐私选项可能无法足以缓解贵组织中的威胁,而其他默认设置和选项所提供的缓解作用可能超出了贵组织的需要。无论是哪种情况,您都可能需要修改默认设置和选项,以满足贵组织的安全需要和要求。
若要确定是否需要修改任何默认设置或选项,请执行下列操作:
使用威胁评估来确定贵组织中需要缓解的威胁。如果尚未评估贵组织中的威胁,请参阅评估 2007 Office system 的安全和隐私威胁。
使用本文中提供的指南评估与贵组织相关的每个威胁的默认设置和选项,并确定默认设置和选项能否充分满足贵组织的需要。
如果给定威胁的默认设置和选项无法充分满足贵组织的需要,则可以转到安全规划过程的最后一步,来规划安全设置和隐私选项。
评估代码和应用程序威胁的默认安全设置
若要确定用于缓解代码和应用程序威胁的默认设置能否充分满足贵组织的需要,您需要评估以下各项的默认设置:
ActiveX 控件
加载项
受信任位置
受信任的发布者
Visual Basic for Applications (VBA) 宏
ActiveX 控件的默认设置
ActiveX 控件的默认设置可使 ActiveX 控件根据 ActiveX 控件本身的特征以及 ActiveX 控件所在文档的特征以四种不同的方式运行。
如果在注册表中为 ActiveX 控件设置了消除位,则不会加载该控件,并且在任何情形下都无法加载该控件。“消除位”是一项用于禁止加载存在已知漏洞的控件的功能。
如果某 ActiveX 控件包含在不含 VBA 项目的文档中,并且该 ActiveX 控件被标记为“初始化安全 (SFI)”,则该 ActiveX 控件会在安全模式下使用最小限制(即使用持续值)加载。消息栏不会出现,用户也不会收到关于其文档中存在 ActiveX 控件的任何通知。为了不生成通知,必须将文档中的所有 ActiveX 控件都标记为 SFI。
如果某 ActiveX 控件包含在不含 VBA 项目的文档中,并且该文档包含“初始化不安全 (UFI)”的 ActiveX 控件,则用户会在消息栏中收到 ActiveX 控件已被禁用的通知。如果用户单击该消息栏,则会显示一个对话框,询问用户是否要启用 ActiveX 控件。如果用户启用 ActiveX 控件,则所有 ActiveX 控件(标记为 SFI 和 UFI 的控件)都使用最小限制(即使用持续值)进行加载。
如果某 ActiveX 控件包含在同时包含 VBA 项目的文档中,则会在消息栏中显示一条通知,提示用户 ActiveX 控件已被禁用。如果用户单击该消息栏,则会显示一个对话框,询问用户是否要启用 ActiveX 控件。如果用户启用 ActiveX 控件,则所有 ActiveX 控件(标记为 SFI 和 UFI 的控件)都使用最小限制(即使用持续值)进行加载。
如果 ActiveX 控件的默认设置适合贵组织,则不需要规划 ActiveX 控件的安全设置。但是,如果要执行以下任一操作,则必须规划 ActiveX 控件的安全设置:
禁用 ActiveX 控件。
允许所有 ActiveX 控件运行,而不通知用户。
基于 SFI、UFI 和安全模式参数修改 ActiveX 控件的初始化方式。
若要了解有关 ActiveX 控件安全设置的详细信息并规划 ActiveX 控件的安全设置,请参阅规划 ActiveX 控件的安全设置。
加载项的默认设置
默认情况下,允许运行已安装和注册的任何加载项,而无需用户干预或警告。已安装和注册的加载项包括:
组件对象模型 (COM) 加载项。
智能标记。
自动化加载项。
RealTimeData (RTD) 服务器。
应用程序加载项(例如 .wll, .xll 和 .xlam 文件)。
XML 扩展包。
XML 样式表。
此默认行为与选择早期版本的 Microsoft Office system 中的“信任所有安装的加载项和模板”设置等效。
如果加载项的默认设置适合贵组织,则不需要规划加载项的安全设置。但是,如果要执行以下任一操作,则必须规划加载项的安全设置:
基于每个应用程序禁用加载项。
要求由受信任的发布者签署加载项。
禁用未签署加载项通知。
若要了解有关加载项安全设置的详细信息并规划加载项的安全设置,请参阅规划加载项的安全设置。
受信任位置的默认设置
通过受信任位置的设置,您可以将用户计算机的硬盘驱动器上或网络共享上的文件夹指定为受信任文档源。将文件夹指定为受信任文档源时,该文件夹中保存的所有文件都会被视为受信任文档。打开受信任文档时,所有内容都将被启用并处于活动状态,并且不会向用户发出有关文档中可能包含的任何潜在风险(如未签署宏、ActiveX 控件或指向 Internet 内容的链接)的通知。
.gif "Note") 注意 |
|---|
| 只能对 Microsoft Office Access 2007、Microsoft Office Excel 2007、Microsoft Office PowerPoint 2007、Microsoft Office Visio 2007 和 Microsoft Office Word 2007 配置受信任位置。 |
下面列出了受信任位置的默认设置描述:
受信任位置已启用。
用户不能将网络共享指定为受信任位置,但可以更改此设置。
用户可以将文件夹添加到受信任位置列表中。
可以混合使用用户定义的和策略定义的受信任位置。
此外,还有几个文件夹被指定为受信任位置。下表列出了每个应用程序的默认文件夹。(默认情况下,Office Visio 2007 没有任何受信任位置。)
下表列出了 Office Access 2007 的默认受信任位置。
| 默认受信任位置 | 文件夹说明 | 受信任的子文件夹 |
|---|---|---|
Program Files\Microsoft Office\Office12\ACCWIZ |
向导数据库 |
不允许 |
下表列出了 Office Excel 2007 的默认受信任位置。
| 默认受信任位置 | 文件夹说明 | 受信任的子文件夹 |
|---|---|---|
Program Files\Microsoft Office\Templates |
应用程序模板 |
允许 |
Users\用户名\Appdata\Roaming\Microsoft\Templates |
用户模板 |
不允许 |
Program Files\Microsoft Office\Office12\XLSTART |
Excel 启动 |
允许 |
Users\用户名\Appdata\Roaming \Microsoft\Excel\XLSTART |
用户启动 |
不允许 |
Program Files\Microsoft Office\Office12\STARTUP |
Office 启动 |
允许 |
Program Files\Microsoft Office\Office12\Library |
加载项 |
允许 |
下表列出了 Office PowerPoint 2007 的默认受信任位置。
| 默认受信任位置 | 文件夹说明 | 受信任的子文件夹 |
|---|---|---|
Program Files\Microsoft Office\Templates |
应用程序模板 |
允许 |
Users\用户名\Appdata\Roaming \Microsoft\Templates |
用户模板 |
允许 |
Users\用户名\Appdata\Roaming \Microsoft\Addins |
加载项 |
不允许 |
Program Files\Microsoft Office\Document Themes 12 |
应用程序主题 |
允许 |
下表列出了 Office Word 2007 的默认受信任位置。
| 默认受信任位置 | 文件夹说明 | 受信任的子文件夹 |
|---|---|---|
Program Files\Microsoft Office\Templates |
应用程序模板 |
允许 |
Users\用户名\Appdata\Roaming \Microsoft\Templates |
用户模板 |
不允许 |
Users\用户名\Appdata\Roaming \Microsoft\Word\Startup |
用户启动 |
不允许 |
如果受信任位置的默认设置适合贵组织,则不需要规划受信任位置的安全设置。但是,如果要执行以下任一操作,则必须规划受信任位置的安全设置:
关闭受信任位置。
将文件夹添加到用户计算机上的受信任位置列表中。
清除用户计算机上的受信任位置列表。
允许用户在网络共享上指定受信任位置。
阻止用户在网络共享上指定受信任位置。
阻止用户指定受信任位置,并仅通过组策略管理受信任位置。
修改任一默认受信任位置。
若要了解有关受信任位置设置的详细信息并规划受信任位置的安全设置,请参阅为 2007 Office system 规划受信任位置和受信任发布者设置。
受信任发布者的默认设置
和以前的 Office 版本一样,2007 Office system 也允许您创建受信任发布者的列表。发布者是创建并分发 ActiveX 控件、加载项或宏的任意开发人员、软件公司或组织。受信任发布者是已添加到“受信任的发布者”列表中的任何声誉良好的发布者。默认情况下,“受信任的发布者”列表中没有任何发布者。但是,一些默认设置会影响 ActiveX 控件和宏在由受信任发布者签署时的行为。
默认情况下,如果满足以下条件,当位于“受信任的发布者”列表中的发布者签署 ActiveX 控件和宏时,将会启用并运行这些控件和宏,而不显示任何警告:
ActiveX 控件或宏已使用数字签名签署。
该数字签名有效。
该数字签名没有过期。
与该数字签名关联的证书是由信誉良好的证书颁发机构 (CA) 颁发的。
如果不打算指定任何受信任发布者或使用受信任发布者功能,则不需要规划受信任发布者设置。但是,如果要将发布者添加到受信任发布者列表,则需要规划受信任发布者设置。如果要求所有加载项都由一个受信任发行者签署,也需要规划受信任发布者设置。这是因为 2007 Office system 包含几个加载项,除非将适当的 Microsoft 证书添加到受信任发布者列表,否则这些加载项无法运行。若要了解有关受信任发布者设置的详细信息并规划受信任发布者设置,请参阅为 2007 Office system 规划受信任位置和受信任发布者设置。
宏的默认设置
默认情况下,允许运行受信任的宏。受信任的宏包括保存在受信任位置的文档中的宏以及满足下列条件的宏:
开发人员已使用数字签名对这个宏进行了签名。
该数字签名有效。
该数字签名没有过期。
与该数字签名关联的证书是由信誉良好的证书颁发机构 (CA) 颁发的。
对宏进行签名的开发人员是受信任的发布者。
在用户单击消息栏并选择启用宏之前,将不允许运行不受信任的宏。在以前版本的 Office System 中,未签署的宏已被禁用,并且用户无法启用它们。但是在 2007 Office system 中,当文档包含未签署的宏时,用户会得到通知,并且可以在需要时启用该宏。
如果宏的默认设置适合贵组织,则不需要规划宏的安全设置。但是,如果要执行以下任一操作,则必须规划宏的安全设置:
禁用 VBA。
禁用宏。
允许对 VBA 项目进行编程访问。
修改将宏信息通知用户的方式。
防止在 Office Open XML 格式的文件中对加密宏进行病毒扫描。默认情况下,会在 Office Open XML 格式的文件中扫描加密宏。
更改应用程序自动启动时宏的运行方式。
若要了解有关宏安全性设置的详细信息并规划宏的安全设置,请参阅规划宏的安全设置。
评估文档威胁的默认安全设置
通过让用户使用密码保护功能来加密 Office Excel 2007、Microsoft Office OneNote 2007、Office PowerPoint 2007 和 Office Word 2007 中的文档,可以缓解文档威胁。默认情况下不加密 2007 Office system 的文档,并且没有使您能够强制用户加密文档的管理设置。但是,一些默认设置会影响文档的加密方式,如果默认设置无法满足贵组织的需要,您可以修改这些设置。
| 注意 |
|---|
| 还可以使用信息权限管理 (IRM) 来帮助缓解文档威胁。 |
默认情况下,当用户加密文档时,Office Excel 2007、Office PowerPoint 2007 和 Office Word 2007 会使用以下设置:
对于以 Office Open XML 格式保存的文档,加密服务提供程序 (CSP) 是:
Microsoft Windows XP Professional 操作系统上的 Microsoft 增强 RSA 和 AES 加密提供程序(原型)。
Windows Vista 操作系统上的 Microsoft 增强 RSA 和 AES 加密提供程序。
在这两种情况下,加密算法都是 AES-128,并且加密密钥长度都是 128 位。
对于以 Office 97-2003 格式保存的文档,使用的是与 Office 97/2000 兼容的加密方法,该方法是一种专有的加密方法。
此外,Office OneNote 2007 使用以下默认加密设置:
便笺是使用密钥长度为 192 位的三重数据加密标准 (DES) 算法加密的。不能更改 Office OneNote 2007 用于加密便笺的加密算法或密钥长度。
空闲 10 分钟的加密文本会自动锁定,除非用户输入密码并解锁该文本,否则无法查看该文本。如果用户未导航到某文本或编辑该文本,则该文本将被视为处于空闲状态。
允许加载项访问已由用户解锁的文本部分。
用户可以创建新的加密文本部分,并且可以加密现有文本部分。
如果默认加密设置适合贵组织,则不需要规划文档威胁的安全设置。但是,如果要执行以下任一操作,则必须规划文档威胁的安全设置:
更改 Office Excel 2007、Office PowerPoint 2007 和 Office Word 2007 使用的默认 CSP、加密算法或密钥长度。
更改在加密部分文本时 Office OneNote 2007 的行为方式。
若要了解有关文档威胁设置的详细信息并规划文档威胁的安全设置,请参阅在 2007 Office system 中规划文档保护设置。
评估外部威胁的默认安全设置
默认情况下,2007 Office system 按如下方式缓解外部内容威胁:
阻止用户从文档中访问外部内容。
在消息栏显示一条通知,提示用户已阻止指向外部内容的链接。
用户可以取消阻止指向外部内容的链接,方法是单击消息栏通知并启用外部内容。
如果用户取消阻止指向 Office 文档的超链接,则该文档将在 Office 应用程序中打开。
| 注意 |
|---|
| 对于存储在受信任位置中的文档,将取消阻止(即,启用)指向外部内容的链接。因此,需要评估受信任位置的默认设置,以确定这些设置是否足以抵御外部威胁。请参阅上文中的“受信任位置的默认设置”。 |
如果默认外部威胁设置适合贵组织,则不需要规划外部威胁的安全设置。但是,如果要执行以下任一操作,则必须规划外部威胁的安全设置:
禁用超链接警告。
允许在 Office PowerPoint 2007 中自动下载图像。
若要了解有关外部威胁设置的详细信息并规划外部威胁的安全设置,请参阅在 2007 Office system 中规划外部内容设置。
评估 Internet Explorer 威胁的默认安全设置
2007 Office system 包含一些可帮助缓解 Internet Explorer 威胁的设置。这些设置称为 Internet Explorer 功能控制设置,通过这些设置,您可以逐个应用程序地限制 Internet Explorer 的行为。
可以在 2007 Office system 中配置 15 个 Internet Explorer 功能控制设置。有关每个 Internet Explorer 功能控制设置的详细说明,请参阅 Internet Explorer 功能控制设置。
启用应用程序的 Internet Explorer 功能控制设置通常称为选择加入应用程序,这是因为应用程序将采用该设置指定的更为严格的 Internet Explorer 行为。同样,禁用应用程序的 Internet Explorer 功能控制通常称为选择退出应用程序,这是因为应用程序不会采用该设置指定的更为严格的 Internet Explorer 行为。
默认情况下,Microsoft Office Groove 2007 (Groove.exe)、Office Outlook 2007 (Outlook.exe) 和 Microsoft Office SharePoint Designer 2007 (Spdesign.exe) 选择加入所有 15 种 Internet Explorer 功能控制设置。Microsoft Office InfoPath 2007 (Infopath.exe) 也选择加入这些 Internet Explorer 功能控制设置,以及三个 Office InfoPath 2007 组件:文档信息面板、工作流表单和第三方宿主。
如果这些默认设置适合贵组织,则不需要规划 Internet Explorer 功能控制设置。但是,如果要执行以下任一操作,则必须规划 Internet Explorer 功能控制设置:
将 2007 Office system 的干净安装部署到运行 Office System 的早期版本的计算机。
修改默认情况下选择加入的任意应用程序的 Internet Explorer 功能控制设置。
选择加入 2007 Office system 中的其他应用程序。
修改 Office InfoPath 2007 选择加入的组件。
若要了解有关 Internet Explorer 功能控制设置的详细信息并规划 Internet Explorer 功能控制设置,请参阅在 2007 Office system 中规划 Internet Explorer 功能控制设置。
评估默认隐私选项
2007 Office system 包含一些设置,可帮助缓解隐私威胁并控制私人信息和个人信息的泄露。默认设置如下所示:
启用文档检查器。文档检查器是一个新的工具,可从文档中删除元数据、修订信息、注释、自定义 XML 标记以及其他可能存在的私人和个人内容,从而帮助用户缓解隐私威胁。文档检查器是可扩展的,并且可以通过编程方式进行修改,以满足组织的隐私需要。
加密文档中的元数据受保护。当用户使用密码保护功能加密文档时,将会加密文档中的元数据。此设置仅适用于 Office Open XML 格式的文件。
权限管理文档中的元数据不受保护。当用户使用信息权限管理 (IRM) 将受限的权限应用到文档时,这些权限不会应用于元数据,并且元数据不会被加密。此设置仅适用于 Office Open XML 格式的文件。
未选择参与客户体验改善计划选项。通过客户体验改善计划,Microsoft 可以自动以匿名方式从用户的计算机收集信息,包括由软件生成的错误消息、计算机中安装的设备种类、计算机在运行 Microsoft 软件时是否有困难,以及硬件和软件是否能够很好地响应并快速运行。
未选择有助于确定系统问题的定期下载文件选项。此设置允许计算机接收可帮助改善应用程序可靠性的更新,方法是检测计算机何时出现不稳定或崩溃,以及自动运行 Microsoft Office 诊断工具以帮助诊断和修复该问题。通过此设置,Microsoft 还可以要求用户针对可能出现的某些类型的错误消息发送错误报告。
选择了联机内容选项设置。通过此设置,当用户访问联机帮助时,帮助系统会自动搜索 Microsoft Office Online。它还允许下载更新的内容并允许用户查看指向 Web 内容的链接。注意:默认情况下,在法语、德语和意大利语版本的 2007 Office system 中,不选择此设置。
如果默认的隐私选项适合贵组织,则不需要规划隐私选项。但是,如果要执行以下任一操作,则必须规划隐私选项:
禁用文档检查器所使用的任意检查器模块。
保护权限管理文档中的元数据。
强制参与客户体验改善计划。
强制定期下载可提高可靠性的更新。
为 Office PowerPoint 2007 或 Office Word 2007 配置隐私选项。
防止用户在访问联机帮助时搜索 Microsoft Office Online 和接收帮助更新。
禁止在用户首次运行 2007 Office system 中的应用程序时显示的“隐私选项”对话框。
禁止在用户首次启动 2007 Office system 中的应用程序时显示首次运行的“注册 Microsoft Update”对话框。
若要了解有关隐私选项的详细信息并规划隐私选项,请参阅规划 2007 Office system 中的隐私选项。
评估安全漏洞的默认安全设置
2007 Office system 提供了一些设置,可帮助缓解安全漏洞带来的威胁。这些设置称为阻止文件格式设置,通过这些设置,您可以阻止用户打开或保存某些文件类型和文件格式。默认设置如下所示:
用户可以打开测试版本的 Office Open XML 格式。
用户无法打开以 Word 6.0 之前版本格式保存的文件。使用 Word 6.0 测试版本保存的文件被视为 Word 6.0 之前版本格式,默认情况下无法打开。
如果要执行以下任一操作,则必须设计阻止文件格式的安全设置:
在实现软件更新前,缓解零时差攻击 和漏洞利用。之所以称为零时差攻击,是因为这些攻击在以下两个时间之间利用安全漏洞:安全漏洞公开的时间和您执行软件更新以缓解潜在威胁的时间。针对安全漏洞的软件更新通常以安全公告或 Service Pack 形式分发。
阻止用户打开测试版本的 Office Open XML 格式。
允许用户打开以 Word 6.0 之前版本的文件格式保存的文件。
阻止用户打开或保存特定文件类型,如 .htm, .rtf 和 .doc 文件。
阻止用户打开与以前版本的 Office Excel 2007、Office PowerPoint 2007 和 Office Word 2007 兼容的文件。
阻止用户通过外部转换器打开文档,如随 2007 Office system 安装的 WordPerfect 转换器。
若要了解有关阻止文件格式设置的详细信息并规划阻止文件格式的安全设置,请参阅在 2007 Office system 中规划阻止文件格式设置。