规划和配置 Office 2013 受信任的发布者设置

  • 项目

 

适用于: Office 365 ProPlus

上一次修改主题: 2016-12-16

摘要:说明如何使用 Office 2013 中“受信任的发布者”列表指定您信任的内容发布者。

目标用户: IT 专业人员

您可以使用“受信任的发布者”列表指定您信任的内容发布者。如果您的组织使用已发布内容,例如 Microsoft ActiveX 控件、外接程序和 Visual Basic for Applications (VBA) 宏,这将很有用。

发布者可以是任何已创建和发行的经过数字签名的 ActiveX 控件、外接程序或 VBA 宏的开发者、软件公司或者组织。受信任的发布者是任何添加到“受信任的发布者”列表中的发布者。用户打开文件并且文件包含由受信任的发布者创建的活动内容时,会启用受信任的发布者的内容,并且不会通知用户文件中可能包含的任何潜在风险。

有关如何添加受信任的发布者的信息,请参阅添加、删除或查看受信任的发布者

引向 Office 安全的路线图箭头。

本文是 Office 2013 安全性指南的一部分。可以使用该指南作为起点来获取可帮助您评估 Office 2013 安全的文章、下载、海报和视频。

您是否要查找有关单独的 Office 2013 应用程序的安全信息?您可以通过在 Office.com 上搜索“2013 安全”来查找此信息。

本文内容:

  • 规划 Office 2013 中的“受信任的发布者”设置

  • 从已知发行者获取证书

  • 确定哪些证书必须添加到“受信任的发布者”列表

  • Office 2013 相关“受信任的发布者”设置

规划 Office 2013 中的“受信任的发布者”设置

要将发布者指定为受信任的发布者,您必须将发布者证书添加到“受信任的发布者”列表。在此上下文中,发布者的证书是发布者用来对其发布的内容进行数字签名的数字证书(.cer 文件)。大多数情况下,您可以从发布者获取 .cer 文件,或者您可以从与已发布内容相关联的 .cab, .dll, .exe 或 .ocx 文件导出证书。如果您不确定组织使用的是哪些已发布的内容,可能还需要确定是否还有其他已发布内容在使用组织的 Office 2013 应用程序运行,然后获取该已发布内容的证书。

将发布者的证书添加到“受信任的发布者”列表可以使用两种方法:Office 自定义工具 (OCT) 或者组策略。除了将受信任的发布者的证书添加到“受信任的发布者”列表外,OCT 没有提供管理证书的设置。如果希望管理证书信任,或者如果想建立具体的信任关系,以满足企业的情况,必须使用组策略。有关如何将受信任的发布者添加到“受信任的发布者”列表以及如何管理受信任的根证书的详细信息,请参阅管理受信任的根证书管理受信任的发布者

从已知发行者获取证书

通常,您可以通过要求发布者将证书发送给您来获得证书。如果您无法通过此方法获得证书,而且您知道经过数字签名的包含已发布内容的 .cab, .dll, .exe 或 .ocx 文件的名称,您可以按照以下步骤导出证书文件。

注意注意:
可以使用鼠标、键盘快捷方式或触摸完成所有 Office 2013 套件中的任务。若要了解如何结合使用 Office 产品和服务与键盘快捷方式和触摸,请参阅 Keyboard shortcuts(键盘快捷方式)和 Office 触摸指南
重要说明重要说明:
要使用此过程,您的计算机必须运行 Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 或 Windows Server 2012 R2 操作系统。

从 .dll 文件导出证书

  1. 选择发布者已签名的文件,打开其快捷菜单(右键单击),然后选择“属性”。

  2. 选择“数字签名”选项卡。

  3. 在“签名列表”中,选择该证书,然后选择“详细信息”。

  4. 在“数字签名详细信息”对话框中,选择“查看证书”。

  5. 选择“详细信息”选项卡,然后单击“复制到文件”。

  6. 在“证书浏览向导”欢迎页上,选择“下一步”。

  7. 在“导出文件格式”页上,选择“DER 编码二进制 X.509 (.CER)”,然后选择“下一步”。

  8. 在“要导出的文件”页上,键入 .cer 文件的路径和文件名,选择“下一步”,然后选择“完成”。

确保已将所有 .cer 文件保存在安装过程中客户端计算机可以访问的网络共享上。

确定哪些证书必须添加到“受信任的发行者”列表

在某些情况下,您可能不知道组织是否使用已发布内容或者不知道要将哪些已发布内容添加到“受信任的发布者”列表。通常只要您有较高的限制性环境且需要所有的已发布内容都经过签名,这就是相关的。您可以按照以下过程测试 Office 2013 应用程序,获取已经过数字签名的内容。

确定已发布的内容并将内容发布者添加到“受信任的发行者”列表

  1. 在运行组织标准配置的测试计算机或者客户端计算机(包括用户需要的任何外接程序)上按照以下步骤在信任中心启用“要求受信任的发布者签署应用程序加载项”设置:

    1. 选择“文件”选项卡。

    2. 选择“选项”。

    3. 选择“信任中心”。

    4. 选择“信任中心设置”。

    5. 选择“外接程序”。

    6. 选择“要求受信任的发布者签署应用程序加载项”。

    7. 选择“确定”。

  2. 退出并重新启动 Office 应用程序。如果已安装外接程序,则消息栏将显示以下消息:“安全警告已禁用某些活动内容。单击此处获取详细信息。”

  3. 在消息栏中,选择“已禁用某些活动内容。单击此处获取详细信息。”

  4. 选择“文件”选项卡,在 Backspace 视图中,选择“启用内容”,然后选择“高级选项”。

  5. 在“安全警告 - 多个问题”对话框中,按照以下针对每个显示有效数字签名的外接程序的步骤将每个证书安装到受信任的发布者列表:

    1. 选择“显示签名详细信息”。

    2. 在“数字签名详细信息”窗口中,选择“查看证书”。

    3. 在“证书”窗口中,选择“安装证书”。

    4. 在证书导入向导中,选择“下一步”,选择“将所有的证书放入下列存储”,选择“浏览”。选择“受信任的发布者”,选择“确定”,选择“下一步”,然后选择“完成”。

  6. 准备用于发布的证书文件:

    1. 选择“文件”选项卡,选择“选项”,选择“信任中心”,选择“信任中心设置”,然后选择“受信任的发布者”。

    2. 对于每个证书,选择证书,选择“查看”,然后按照下列步骤操作:

      1. 在“证书”窗口中,在“详细信息”选项卡上,选择“复制到文件”。

      2. 在证书导出向导中,选择“下一步”,然后再选择“下一步”以接受默认文件格式,输入文件名,选择存储文件的位置,然后选择“完成”。

Office 2013 相关的受信任发布者设置

以下组策略和信任中心设置通常与受信任的发布者设置一起使用:

  • 要求由受信任发布者签署应用程序加载项
此设置将外接程序限制在由受信任的发布者签署的范围内。这是基于每个应用程序的设置。
  • 禁用未签名应用程序外接程序的信任栏通知,并阻止它们
此设置阻止用户看到有关未由受信任发布者签署的外接程序的消息栏警告。这是基于每个应用程序的设置。
  • VBA 宏通知设置
此设置将 VBA 宏限制在由受信任的发布者签署的范围内。这是基于每个应用程序的设置。
  • 禁用所有 ActiveX
此设置将 ActiveX 控件限制在由受信任的发布者签署的范围内。这是全局设置,而非基于每个应用程序的设置。
注意注意:
有关策略设置的最新信息,请参阅 Excel 2013 工作簿 Office2013GroupPolicyAndOCTSettings_Reference.xlsx,该工作簿包含在 Office 2013 管理模板文件中。有关详细信息,请参阅 Office 2013 管理模板文件 (ADMX/ADML) 和 Office 自定义工具 TechNet 文章。

另请参阅

Office 2013 安全性指南
Office 2013 中的安全概述
使用 OCT 或组策略为 Office 2013 配置安全性
了解 Office 2013 的安全威胁和对策
规划和配置 Office 2013 的受信任位置设置