规划 Office 2010 的 Office 文件验证设置
适用于: Office 2010
上一次修改主题: 2016-11-29
如果要更改 Microsoft Office 2010 对以 Microsoft Office 二进制文件格式存储的文件进行验证的方式,可以配置 Office 文件验证设置。Office 文件验证是 Office 2010 的一项新增安全功能,在 Microsoft Excel 2010、Microsoft PowerPoint 2010 或 Microsoft Word 2010 中打开以 Office 二进制文件格式存储的文件之前,该功能会对文件进行扫描,以帮助阻止文件格式攻击。
本文内容:
关于规划 Office 文件验证设置
关闭 Office 文件验证
更改 Office 文件验证的行为
关闭 Office 文件验证的报告功能
关于规划 Office 文件验证设置
Office 文件验证可帮助检测并阻止一种称为文件格式攻击或文件模糊化攻击的攻击。文件格式攻击可破坏文件的完整性,在有人为了添加恶意代码而修改文件结构时会发生文件格式攻击。恶意代码通常远程运行,并且用于提升受限帐户在计算机上的权限。因此,攻击者可以访问以前无权访问的计算机。这使得攻击者可以从计算机的硬盘驱动器读取敏感信息,或安装蠕虫病毒或击键记录程序等恶意软件。Office 文件验证功能可在打开文件之前对文件进行扫描和验证,从而帮助阻止文件格式攻击。为了对文件进行验证,Office 文件验证可将文件的结构与预定义文件架构进行比较,预定义文件架构是用于确定可读文件显示效果的一组规则。如果 Office 文件验证检测到文件的结构并未遵循架构中说明的所有规则,则该文件不能通过验证。
文件格式攻击经常发生在以 Office 二进制文件格式存储的文件中。因此,Office 文件验证对以下类型的文件进行扫描和验证:
Excel 97-2003 工作簿文件。此类文件的扩展名为 .xls,并且包含所有二进制交换文件格式 8 (BIFF8) 文件。
Excel 97-2003 模板文件。此类文件的扩展名为 .xlt,并且包含所有 BIFF8 文件。
Microsoft Excel 5.0/95 文件。此类文件的扩展名为 .xls,并且包含所有 BIFF5 文件。
PowerPoint 97-2003 演示文稿文件。此类文件的扩展名为 .ppt。
PowerPoint 97-2003 放映文件。此类文件的扩展名为 .pps。
PowerPoint 97-2003 模板文件。此类文件的扩展名为 .pot。
Word 97-2003 文档文件。此类文件的扩展名为 .doc。
Word 97-2003 模板文件。此类文件的扩展名为 .dot。
Office 2010 提供了一些相关设置,允许您更改 Office 文件验证功能的行为方式。您可以使用这些设置执行下列操作:
禁用 Office 文件验证。
指定文件未通过验证时的文档行为。
禁止 Office 2010 将 Office 文件验证信息发送给 Microsoft。
备注
有关本文中讨论的设置的详细信息,请参阅 Security policies and settings in Office 2010。有关如何在 Office 自定义工具 (OCT) 和 Office 2010 管理模板中配置安全设置的信息,请参阅为 Office 2010 配置安全性。
默认情况下,Office 文件验证在 Excel 2010、PowerPoint 2010 和 Word 2010 中处于启用状态。未通过验证的任何文件都将在受保护的视图中打开,并且对于未通过验证但在受保护的视图中打开的文件,用户可以选择允许进行编辑。此外,会提示用户将 Office 文件验证信息发送给 Microsoft。仅收集未通过验证的文件的信息。
建议不要更改 Office 文件验证的默认设置。不过,一些组织可能必须对 Office 文件验证设置进行配置才能满足特殊安全性要求。具体地说,具有以下安全性要求的组织可能必须更改 Office 文件验证功能的默认设置:
限制访问 Internet 的组织。Office 文件验证大约每隔两周就会提示用户将验证错误信息发送给 Microsoft。这可能与组织的 Internet 访问策略冲突。在这种情况下,您可能需要禁止 Office 文件验证将信息发送给 Microsoft。有关详细信息,请参阅下文中的关闭 Office 文件验证的报告功能。
对安全环境的限制非常严格的组织。可以配置 Office 文件验证,以便无法打开未通过验证的文件或者只能在受保护的视图中打开。此设置比 Office 文件验证的默认设置限制更加严格,可能适用于具有锁定安全环境的组织。有关如何更改文档行为的详细信息,请参阅下文中的更改未通过验证时的文档行为。
不希望将其文件发送给 Microsoft 的组织。在用户允许的情况下,Office 文件验证会将未通过验证的所有文件的副本发送给 Microsoft。您可以配置 Office 文件验证,以便不提示用户将验证信息发送给 Microsoft。
关闭 Office 文件验证
您可以通过“禁用文件验证”设置禁用 Office 文件验证。必须基于每个应用程序分别为 Excel 2010、PowerPoint 2010 和 Word 2010 配置此设置。此设置禁止对以 Office 二进制文件格式存储的文件进行扫描和验证。例如,如果为 Excel 2010 启用了“禁用文件验证”设置,则 Office 文件验证将不扫描或验证 Excel 97-2003 工作簿文件、Excel 97-2003 模板文件或 Microsoft Excel 5.0/95 文件。如果用户打开其中一种文件类型的文件,并且该文件包含文件格式攻击,则不会检测或阻止攻击,除非一些其他安全控制检测到并阻止此类攻击。
建议不要关闭 Office 文件验证。Office 文件验证是 Office 2010 中分层防御策略的一个主要部分,应该在整个组织内的所有计算机上启用此功能。如果要禁止 Office 文件验证功能对文件进行验证,建议使用受信任位置功能。从受信任位置打开的文件将跳过 Office 文件验证检查。还可以使用受信任的文档功能来禁止 Office 文件验证对文件进行验证。被视为受信任文档的文件不执行 Office 文件验证检查。
更改未通过验证时的文档行为
您可以使用“文件验证失败时设置文档行为”设置来更改文档未通过验证时的行为方式。启用此设置后,可以选择下列三个选项之一:
完全阻止文件:未通过验证的文件不在受保护的视图中打开,用户不能打开这些文件进行编辑。
在受保护视图中打开文件但不允许编辑:在受保护的视图中打开文件,以便用户可以查看文件的内容,但用户无法打开文件进行编辑。
在受保护视图中打开文件并允许编辑:在受保护的视图中打开文件,并且用户可以选择打开文件进行编辑。此选项代表 Office 文件验证功能的默认行为。
如果选择“在受保护视图中打开文件但不允许编辑”选项,在文件未通过验证时消息栏中会显示以下文本:
受保护的视图 Office 已检测到此文件存在问题。编辑此文件可能会损害您的计算机。请单击查看详细信息。
如果用户单击消息栏,则会显示 Microsoft Office Backstage 视图,该视图提供了有关该问题的更详细说明,并且允许用户启用文件编辑功能。
如果选择“完全阻止文件”,则文件未通过验证时将在对话框显示以下文本:
Office 检测到此文件存在一个问题。要帮助保护您的计算机,不能打开此文件。
用户可以展开该对话框,以查看对为什么不能打开文件的详细解释,或者可以通过单击“确定”关闭该对话框。
关闭 Office 文件验证的报告功能
您可以使用“禁用文件验证失败时的错误报告”设置来禁止显示用于提示用户将信息发送给 Microsoft 的对话框。此设置还禁止将验证信息发送给 Microsoft。
每次文件未通过验证时,Office 2010 都会收集文件未通过验证的原因的相关信息。文件未通过验证后大约两周,Office 2010 会提示用户将 Office 文件验证信息发送给 Microsoft。验证信息包含文件类型、文件大小、打开文件所需的时间以及验证文件所需时间等内容。未通过验证的文件的副本也会发送给 Microsoft。提示用户将验证信息发送给 Microsoft 时会显示文件列表。用户可以拒绝将验证信息发送给 Microsoft,这样做意味着不会将有关未通过验证的信息发送给 Microsoft,也不会将任何文件发送给 Microsoft。如果组织限制访问 Internet、具有严格的 Internet 访问策略或者不希望将文件发送给 Microsoft,则可能必须启用“禁用文件验证失败时的错误报告”设置。
重要
Office 文件验证功能有时可能会在文件实际上有效时显示文件未通过验证。验证报告功能有助于 Microsoft 改进 Office 文件验证功能并尽可能减少误报。
备注
有关策略设置的最新信息,请参考 Microsoft Excel 2010 工作簿 Office2010GroupPolicyAndOCTSettings_Reference.xls,可从 Office 2010 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x804)(该链接可能指向英文页面) 下载页上的“此下载中的文件”部分获得该工作簿。