在 2007 Office system 中为安全设置和隐私选项选择部署工具

更新时间: 2009年2月

应用到: Office Resource Kit

 

上一次修改主题: 2015-03-09

若要为 2007 Microsoft Office system 创建一个有效的安全计划,必须先确定打算用于配置、部署和管理组织中的安全设置的工具。有些情况下,一个工具便足以配置、部署和管理设置。而有些情况下,您可能必须结合使用多个工具:一个工具用于配置和部署初始配置,另一个工具用于管理后续设置。在安全规划过程中,选择正确的工具是至关重要的一步,因为它有助于确保真正在组织中部署和执行了您规划的安全设置。它还有助于确保您可以在初始部署完成之后修改安全设置,从而使您能够应对突发性安全威胁。

虽然您可以使用大量工具和方法在企业环境中部署和管理桌面应用程序,但我们建议您仅使用 Office 自定义工具 (OCT) 和 2007 Office system 组策略管理模板(.adm 文件),来配置、部署和管理 2007 Office system 中的安全设置。每个工具都有不同的要求和限制,并提供不同的特性和功能。选择正确的工具需要仔细评估贵组织的现有部署和管理基础结构、安全体系结构和安全需求。若要确定哪个工具适合贵组织,请使用以下各部分中提供的最佳方案和建议来评估每个工具。

OCT 是一个新的图形用户界面工具,可帮助您创建配置 (.msp) 文件。配置文件可以包含大量信息,其中包括安装说明、授权信息和应用程序设置(如安全设置和隐私选项)。可以通过以下两种方式使用配置文件:

  • 结合安装程序使用,在大型部署期间自定义安装过程。

  • 结合 Windows Installer 3.1 使用,在软件生命周期的操作阶段更新或维护配置设置。

若要使用配置文件来自定义安装过程,应执行以下任务:

  1. 使用 OCT 图形用户界面来配置安装选项和应用程序设置。

  2. 将设置和选项保存到 .msp 文件。

  3. 使用命令行参数指定希望安装程序使用的 .msp 文件,以便在客户端计算机上运行安装程序。

若要使用配置文件更新或维护现有安装,应执行以下任务:

  1. 使用 OCT 图形用户界面在现有的或新的 .msp 文件中配置应用程序设置。

  2. 将新应用程序设置保存到 .msp 文件中。

  3. 使用命令行参数指定希望 Windows Installer 使用的 .msp 文件,以便在客户端计算机上运行 Windows Installer。

有关使用 OCT 的详细信息,请参阅 2007 Office system 中的 Office 自定义工具自定义 2007 Office system

虽然 OCT 是新工具,但它并不需要对基础结构进行任何特殊增强。例如,不需要修改现有硬件、软件、网络拓扑结构或安全体系结构即可使用 OCT。尽管如此,OCT 还是具有以下要求:

  • 必须将 OCT 与 Office 安装程序结合使用。OCT 只生成 .msp 文件。它不会将安全设置应用于计算机。必须使用安装程序安装 2007 Office system 并应用保存在 .msp 文件中的安全设置。

  • 必须使用 2007 Office system 中包含的安装程序,因为它是唯一一个既可读取 OCT 生成的 .msp 文件中的数据、又可将安全设置(和其他设置)添加到注册表的受支持安装程序。

  • 运行安装程序和 OCT 的计算机必须安装 Windows Installer 3.1。

  • 必须是本地计算机上的 Administrators 组成员才能运行 OCT 和 Office 安装程序。

在决定是否使用 OCT 来配置和管理安全设置时,应考虑 OCT 具有以下两个限制:

  • 无法使用 OCT 锁定或强制执行安全设置。这是因为 OCT 可以配置注册表的可公开访问部分(如 HKEY_CURRENT_USER/Software/Microsoft/Office/12.0)中的应用程序设置。如果使用 OCT 来配置或管理 2007 Office system 的安全设置,则用户可以修改您部署的安全设置。这些设置将被视为用户首选项而非受管理设置,因为用户可以更改它们。如果要强制执行安全设置,请使用组策略。

  • 使用 OCT 只能配置一个阻止文件格式设置。通过阻止文件格式设置,您可以防止用户打开或保存特定文件类型或文件格式。当您要防止用户使用旧文件格式或者要缓解零时差攻击时,这些设置很有用。

可以使用 OCT 和安装程序来配置、部署和管理许多 IT 环境中的安全设置。以下各部分介绍了 OCT 和安装程序特别适用的应用场景。

OCT 通常由不集中管理其桌面应用程序或不远程管理其桌面环境的组织使用。在这些情况下,可以使用 OCT 和安装程序来配置、部署和管理安全设置,而无需使用远程管理工具(如 Microsoft Systems Management Server 2003)或基于策略的工具(如组策略)。

OCT 通常用于建立初始安全配置,即使使用组策略来锁定或强制执行安全设置时也是如此。这有助于确保安全设置是在初始部署期间、第一次策略更新发生之前配置的。通过使用 OCT 创建初始安全配置,还可以重新应用该初始配置文件以重置计算机上的安全设置。

特别是在部分锁定的环境中,OCT 非常有用,在这些环境中,一部分关键的安全设置已通过组策略锁定,但其他安全设置未锁定并且可以由用户配置。在此情形下,大部分安全设置是在初始安装期间使用 OCT 生成的配置文件(.msp 文件)配置的,而关键安全设置是在初始安装完成后通过组策略部署和管理的。

2007 Office system 包括 15 个管理模板,使用这些模板,您可以通过本地或基于域的组策略来管理安全设置。管理模板是 Unicode 文本文件,组策略使用这些文件来描述基于注册表的策略设置在注册表中的存储位置。所有基于注册表的策略设置都显示在组策略对象编辑器中的“管理模板”节点下,并在此处进行配置。管理模板不应用策略设置,而是使您能够查看组策略对象编辑器中的策略设置。然后,管理员可以创建包含要使用的策略设置的组策略对象 (GPO)。例如,您可能有一个 GPO,其中包含用于管理 ActiveX 控件、加载项和宏的各种策略设置。

用于组策略设置的注册表值存储在组策略的已批准注册表项下。用户无法 更改或禁用这些设置。管理员可以完全管理的组策略设置称为“真策略”。真组策略设置具有 ACL 限制,可防止用户更改这些设置。已批准的组策略注册表项包括:

对于计算机策略设置:

  • HKEY_LOCAL_MACHINE\Software\Policies(首选位置)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

对于用户策略设置:

  • HKEY_CURRENT_USER\Software\Policies(首选位置)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

有关管理模板、组策略和 OCT 的详细信息,请参阅组策略概述 (2007 Office system) 中的管理模板扩展Office 自定义工具和组策略。有关使用管理模板配置、部署和管理安全设置的详细信息,请参阅使用 2007 Office system 中的组策略强制执行设置

如果要在运行 Microsoft Windows XP、Microsoft Windows Server 2003 或 Windows Vista 操作系统的计算机上安装 2007 Office system,必须符合以下要求才能使用管理模板。

  • 必须在贵组织中部署 Active Directory 目录服务,才能通过基于域的组策略设置配置、部署和管理安全设置。

  • 必须是本地计算机上的 Administrators 组成员,才能通过本地组策略设置来配置、部署和管理安全设置。

在决定是否使用管理模板来配置和管理安全设置时,应考虑管理模板具有以下限制:

  • 组策略不提供将设置回滚到初始配置的机制。如果使用组策略来部署初始配置设置,并对组策略设置进行后续更改,则必须重新配置每个后续更改才能恢复到初始配置。如果禁用或删除您的设置所在的组策略对象,则会将所有设置更改为“未配置”。

  • 不能使用组策略配置受信任发布者的设置。只能使用 OCT 将数字证书添加到受信任发布者的列表。

  • 如果贵组织是小型组织,并且您尚未使用 Active Directory,则为了解和实现 Active Directory 环境中的组策略而必需的管理成本可能会阻碍实现基于域的组策略。

组策略可用于配置、部署和管理许多 IT 环境中的安全设置。以下各部分介绍了管理模板特别适用的应用场景。

对于使用组策略来管理其桌面环境的组织,管理模板非常有用。无论您是已部署了 Active Directory 并使用基于域的组策略管理桌面环境,或者还是未安装 Active Directory,而使用本地组策略来管理桌面环境,管理模板都非常有用。

在用户对其桌面配置的控制程度很低的锁定环境中,管理模板非常有用。在这种应用场景中,所有安全设置都是通过组策略部署和管理的。在初始安装期间配置的任何安全设置都将替代为组策略设置。

管理模板是有效实现阻止文件格式设置的唯一方法,通过阻止文件格式设置,您可以防止用户打开特定文件格式或文件类型。如果您知道特定文件类型或文件格式会给组织带来风险,则可以使用这些设置来缓解零时差攻击。这些设置还可用于防止用户使用旧文件格式或用于强制用户使用相同的文件格式。

下表比较了可用于配置 2007 Office system 中的安全设置的两个推荐工具的特性和功能。使用该表中的信息可评估每个工具,并确定哪个工具最适合贵组织。

 

特性和功能 管理模板 OCT + 安装程序

需要 Active Directory。

有(基于域的组策略)

无(本地组策略)

需要 Windows Installer 3.1。

需要客户端计算机上的管理凭据。

有(本地组策略)

无(基于域的组策略)

可用于锁定安全设置。

可用于在初始安装后管理安全设置。

可用于建立初始安全配置。

有(不理想)

可用于配置阻止文件格式设置。

有(所有设置)

有(但只能配置一个设置)

可用于将发布者添加到受信任发布者列表。

本主题包含在以下可下载书籍内,以方便您阅读和打印:

有关可下载书籍的完整列表,请参阅 2007 Office Resource Kit 的可下载内容

显示: