了解 Office 2013 的安全性威脅與計數器測量

 

適用版本:Office client

上次修改主題的時間:2016-12-16

摘要:說明 Office 2013 安全性功能如何減輕您組織的 Office 資產、文件及程序所面臨的風險和威脅。

對象:IT 專業人員

對於任何組織來說,安全的桌面組態都是其深度防禦策略中的重要一環。本文一開始先簡述貴組織商務文件和資產的各種一般安全性風險和弱點,然後概要說明 Office 2010 和 Office 2013 中可協助減輕這些威脅的可用安全性功能。請務必檢閱這些設定,以確定貴組織應該使用哪些預設和選擇性的 Office 安全性功能。

 

Office 安全性之指南的藍圖箭號

本文為<Office 2013 安全性的內容藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 安全性之文章、下載檔、海報及影片的起點。

您在尋找有關個別 Office 2013 應用程式的安全性資訊嗎?您可在 Office.com 上搜尋「2013 安全性」,即可找到此資訊。

本文內容:

大多數 IT 專業人員及 IT 安全性專家將資訊安全性風險分成三大類:

  • 機密性風險 這些風險代表組織智慧財產所受到的威脅。其來源為未經授權的使用者及惡意程式碼,因為它們可能會嘗試存取組織裡曾說過、寫下及建立的內容。

  • 完整性風險 這些風險代表商務資源所受到的威脅。其來源為未經授權的使用者及惡意程式碼,因為它們可能會嘗試損毀貴組織所仰賴的商務資料。完整性風險會危及所有包含組織重要資訊的商務資產,例如資料庫伺服器、資料檔案及電子郵件伺服器。

  • 可用性風險 這些風險代表商業程序所受到的威脅。其來源為未經授權的使用者及惡意程式碼,因為它們可能會嘗試中斷您執行業務的方式及使用者完成工作的方式。商務智慧程序、應用程式特性與功能以及文件工作流程處理,全都會受到可用性風險的威脅。

為協助確保貴組織不受上述三種風險類別的威脅,建議您採用深度防禦安全性策略。此策略中應包含多層重疊的防禦機制來防範未經授權的使用者及惡意程式碼。這些防禦層一般會包括下列項目:

  • 周邊網路防護,例如防火牆及 Proxy 伺服器。

  • 實體安全性措施,例如實體安全的資料中心及伺服器室。

  • 桌面安全性工具,例如個人防火牆、病毒掃描程式及間諜軟體偵測。

Office 2013 安全性模型預設會協助組織減輕上述所有三種風險。但每家組織都有不同的基礎結構功能、不同的生產力需求,以及不同的桌面安全性需求。若要精確決定組織如何減輕這些商務風險,您必須評估這些威脅以及造成這些風險的弱點。

和 Office 2010 一樣,Office 2013 的安全性模型可協助您減輕五種生產力軟體的安全性威脅。這些威脅類型每一種都包含可發動各種安全性攻擊的弱點。下圖說明安全性威脅及最常見的威脅來源範例。

安全性威脅類型


大部分組織都會面臨這些安全性威脅所造成的某些潛在風險。但是,大部分組織也都要應付只有自己才會面臨的弱點和潛在安全性攻擊或利用的獨特組合。因此,請務必要了解這些風險,並做出符合貴組織情況的相應減輕計劃。

Office 2013 提供的許多對策,有助於減輕對商務資產及商業程序的威脅。對策是可以減輕一或多項安全性威脅的安全性功能或安全性控制。通常設定 Office 自訂工具 (OCT) 的設定,或使用 Office 2013系統管理範本透過 [群組原則],即可變更對策的行為。

Office 2013 的許多對策可減輕特定應用程式中的特定威脅類型。例如,InfoPath 2013 有一項對策,會向使用者提出表單中可能出現網路信標的警告。只要設定 OCT 的 [在 InfoPath 開啟之表單的指標 UI] 設定或透過 [群組原則],即可變更此對策的行為。

其他對策會減輕數種應用程式常見的更多威脅類型。例如,[受保護的檢視] 功能可讓使用者檢視不受信任之文件、簡報及活頁簿的內容,而不會讓不安全的內容或惡意的程式碼傷害到電腦。當您預覽 Excel 2013、PowerPoint 2013、Visio 2013 及 Word 2013 的附件時,Excel 2013、PowerPoint 2013、Word 2013 及 Outlook 2013 會使用此項對策。只要設定 OCT 中的數項設定或透過 [群組原則],即可變更其行為。如需詳細資料,請參閱規劃 Office 2013 受保護的檢視設定這篇文章。

以下各節會說明 Office 2013 中最常使用的對策。

您可以使用 ActiveX 控制項設定停用 ActiveX 控制項,以及變更將 ActiveX 控制項載入 Office 2013 應用程式的方式。預設會在安全模式中以固定值載入受信任的 ActiveX 控制項,而且不通知使用者已載入 ActiveX 控制項。至於不受信任的 ActiveX 控制項載入,則隨 ActiveX 控制項標示的方式,以及檔案中是否有 VBA 專案及 ActiveX 控制項同時存在而異。不受信任的 ActiveX 控制項的預設行為如下:

  • ActiveX 控制項若標示為安全的初始化 (SFI),且包含在不附 VBA 專案的文件中,即會在安全模式中以固定值載入此 ActiveX 控制項。系統不會顯示訊息列,而且不會通知使用者有該 ActiveX 控制項。該文件中所有 ActiveX 控制項都必須標示為 SFI,才會發生此行為。

  • ActiveX 控制項若標示為不安全的初始化 (UFI),且包含在不附 VBA 專案的文件中,即會在訊息列中通知使用者已停用該 ActiveX 控制項。但使用者可以選取訊息列以啟用 ActiveX 控制項。使用者若啟用 ActiveX 控制項,即會在安全模式中以固定值載入所有的 ActiveX 控制項 (包括標示為 UFI 及 SFI 的控制項)。

  • 若標示為 UFI 或 SFI 的 ActiveX 控制項,包含在附有 VBA 專案的文件中,即會在訊息列中通知使用者已停用該 ActiveX 控制項。但使用者可以選取訊息列以啟用 ActiveX 控制項。使用者若啟用 ActiveX 控制項,即會在安全模式中以固定值載入所有的 ActiveX 控制項 (包括標示為 SFI 及 UFI 的控制項)。

重要事項重要事項:
若在登錄中有設定 ActiveX 控制項的刪除位元,則不會載入控制項,而且在任何情況下都無法載入。系統不會顯示訊息列,而且不會通知使用者有該 ActiveX 控制項。如果您想要更加廣泛地了解有關刪除位元的主題,請參閱分成三個部分的 TechNet 部落格刪除位元常見問題集

若要變更 ActiveX 控制項的預設行為,請參閱為 Office 2013 規劃 ActiveX 控制項的安全性設定

您可以使用增益集設定停用增益集、要求增益集由受信任的發行者簽署,以及停用增益集的通知。預設不需要使用者介入或也不會出現警告,即可執行已安裝及登錄的增益集。若要變更此預設行為,請參閱<規劃 Office 2013 增益集的安全性設定>。

使用 [群組原則] 或 [信任中心] 來限制或拒絕組織中的使用者存取Office市集或公司的 Office 應用程式目錄中的應用程式。這些 Office 應用程式是 Web 延伸模組,可延伸 Office 用戶端應用程式以增強 Office 內容,並提供新的互動式內容類型和功能。

以密碼保護文件或試算表等方式一直是很好的安全性預防措施,直到擁有者忘記密碼或離開公司。現在 IT 系統管理員可以將組織的用戶端電腦設定為在這些受密碼保護的 Office 文件中包含憑證中繼資料。之後,當擁有者遺失或忘記密碼時,您就可以使用 DocRecrypt 工具移除或變更文件的密碼。如需詳細資訊,請參閱在 Office 2013 中移除或重設檔案密碼這篇文章。

您可以使用 OCT 中的數位簽章設定來設定簽章的 XML 進階電子簽章 (XAdES) 層級。根據預設,Office 2013 會建立 XAdES 明確原則電子簽章 (EPES) 簽章。IT 系統管理員也可以根據簽發者名稱限制簽署憑證。IT 系統管理員也可以設定有效的數位簽章中允許使用的雜湊演算法和公用金鑰大小。請在 OCT 工具中進行這些設定。如需詳細資訊,請參閱規劃 Office 2013 的數位簽章設定這篇文章。

您可以使用外部內容設定變更 Office 2013 應用程式存取外部內容的方式。凡從遠端存取的任何內容類型都是外部內容,例如資料連線及活頁簿連結、網站及文件的超連結,以及映像及媒體的連結。當使用者開啟包含外部內容連結的檔案時,[訊息列] 預設會通知使用者已停用連結。使用者可以按一下或點選 [訊息列] 啟用該連結。建議您不要變更這些預設設定。如需封鎖或解除封鎖 Office 文件中的外部內容的詳細資訊,請參閱<封鎖或解除封鎖 Office 文件中的外部內容>。

您可以使用檔案封鎖設定,防止開啟或儲存特定檔案類型;也可以使用這些設定,防止特定檔案類型在 [受保護的檢視] 中開啟,或強制特定檔案類型在 [受保護的檢視] 中開啟。根據預設,Excel 2013、PowerPoint 2013 及 Word 2013 會強制數種檔案類型只能在 [受保護的檢視] 中開啟。使用者無法開啟這些檔案類型進行編輯。如需詳細資料,請參閱規劃 Office 2013 的檔案封鎖設定

您可以使用 Office 檔案驗證設定停用 Office 檔案驗證功能,以及變更 Office 檔案驗證功能處理未通過驗證之檔案的方式;也可以使用這些設定防止 Office 檔案驗證功能提示使用者向 Microsoft 傳送驗證資訊。預設會啟用 Office 檔案驗證功能。未通過驗證的檔案會在 [受保護的檢視] 中開啟,使用者可在檔案於 [受保護的檢視] 中開啟後進行編輯。如需 Office 檔案驗證設定的詳細資訊,請參閱規劃 Office 2013 的 Office 檔案驗證設定

您可以使用密碼複雜性設定,強制執行 [以密碼加密] 功能所用密碼的長度及複雜性。組織若是透過網域型 [群組原則] 建立密碼複雜性規則,密碼複雜性設定可讓您在網域層級強制執行密碼長度及複雜性;若未實作網域型密碼複雜性 [群組原則],則可在本機層級執行。當使用者使用 [以密碼加密] 功能加密檔案時,Office 2013 應用程式預設不會檢查密碼長度或複雜性。如需詳細資訊,請參閱規劃 Office 2013 的密碼複雜性設定這篇文章。

您可以使用隱私權選項,讓 [歡迎使用 Microsoft Office 2013] 對話方塊在使用者第一次啟動 Office 2013 時不出現。此對話方塊可讓使用者註冊各種網際網路服務,協助保護及改進 Office 2013 應用程式。您也可以使用隱私權選項,啟用出現在 [歡迎使用 Microsoft Office 2013] 對話方塊中的網際網路服務。當使用者第一次啟動 Office 2013 時,預設會顯示 [歡迎使用 Microsoft Office 2013] 對話方塊,使用者可以啟用建議的網際網路服務、啟用這些服務的子集,或不變更任何設定。使用者若不變更任何設定,下列預設設定即會生效:

  • Office 2013 應用程式不會下載協助診斷問題的小型程式,因此不會將錯誤訊息資訊傳送給 Microsoft。

  • 使用者不會註冊客戶經驗改進計畫。

若要變更此預設行為,或隱藏 [歡迎使用 Microsoft Office 2013] 對話方塊,請參閱規劃 Office 2013 的隱私權選項

您可以使用受保護的檢視設定,防止或強制在 [受保護的檢視] 中開啟檔案;也可以指定是否以 [受保護的檢視] 開啟在工作階段 0 中執行的指令碼及程式。預設會啟用 [受保護的檢視],而且所有不受信任的檔案都會在 [受保護的檢視] 中開啟。在工作階段 0 中執行的指令碼及程式,不會在 [受保護的檢視] 中開啟。

此外,[受保護的檢視] 的改進項目包括了新的「沙箱」技術可用在搭配 Windows 8 作業系統使用 Office 2013 時。[受保護的檢視] 是這些改進項目的其中一部分,現在可在 Windows 8 的 RunAs 或 remoteApp 案例中運作。

如需「受保護的檢視」設定的詳細資訊,請參閱規劃 Office 2013 受保護的檢視設定

注意事項附註:
您也可以使用檔案封鎖設定,防止或強制特定的檔案類型在 [受保護的檢視] 中開啟。

您可以使用 [信任的文件] 設定停用 [信任的文件] 功能,以及防止使用者信任儲存在網路共用中的文件。開啟信任的文件時,會略過大部分的安全性檢查,並啟用所有主動式內容。請注意,防毒檢查及 ActiveX 刪除位元檢查這兩項不會略過。預設會啟用 [信任的文件] 功能,表示使用者可將安全檔案指定為信任的文件。此外,使用者也可以將網路共用中的檔案指定為信任的文件。建議您不要變更這些預設設定。

您可以使用 [信任位置] 設定為檔案指定安全的位置。開啟儲存在信任位置的檔案時,會略過大部分的安全性檢查,並啟用檔案中的所有內容 (防毒檢查及 ActiveX 刪除位元檢查這兩項不會略過)。預設會將幾個位置指定為信任位置。此外,會停用網路上的信任位置,例如共用資料夾。若要變更此預設行為,並了解預設指定為信任位置的位置,請參閱規劃及設定 Office 2013 的信任位置設定

您可以使用 [受信任的發行者] 設定,將特定類型的主動式內容指定為安全,例如 ActiveX 控制項、增益集及 VBA 巨集。當發行者以數位憑證簽署主動式內容,而您將該發行者的數位憑證新增至 [受信任的發行者] 清單時,此主動式內容即視同受到信任。[受信任的發行者] 清單中預設沒有任何發行者。您必須將發行者新增至 [受信任的發行者] 清單,以實作此安全性功能。若要實作 [受信任的發行者] 功能,請參閱<規劃和配置 Office 2013 信任的發行者設定>。

您可以使用 VBA 巨集設定變更 VBA 巨集的行為方式、停用 VBA,以及變更 VBA 巨集在以程式設計方式啟動之應用程式中的行為方式。預設會啟用 VBA,並可不經通知便執行信任的 VBA 巨集。受信任的 VBA 巨集包括信任的發行者所簽署的 VBA 巨集、儲存在信任文件中的 VBA 巨集,或儲存在位於信任位置之文件中的 VBA 巨集。不受信任的 VBA 巨集會停用,但 [訊息列] 中的通知可讓使用者啟用不受信任的 VBA 巨集。此外,VBA 巨集可在以程式設計方式啟動之應用程式中執行。

若要變更此項預設行為,請參閱規劃 Office 2013 VBA 巨集的安全性設定

顯示: