• 發行項

規劃 Office 2010 信任位置設定

 

適用版本: Office 2010

上次修改主題的時間: 2016-11-29

如果想將安全檔案與可能有害檔案作區隔,您可以使用 Microsoft Office 2010 的 [信任位置] 功能。[信任位置] 功能可讓您指定使用者電腦硬碟上或是網路共用上的信任檔案來源。只要將某個資料夾指定為信任的檔案來源,任何儲存在該資料夾中的檔案都會假設為信任的檔案。當開啟信任的檔案時,檔案中的所有內容都會予以啟用並且為使用中,而且系統不會通知使用者在檔案中可能含有任何潛在的風險,例如未簽署的增益集、Microsoft Visual Basic for Applications (VBA) 巨集、連至網際網路內容的連結或資料庫連線。

本文內容:

  • 關於規劃信任位置設定

  • 實作信任位置

  • 停用信任位置

關於規劃信任位置設定

Office 2010 提供一些設定,可讓您控制 [信任位置] 功能的行為。藉由這些設定,您可以執行下列動作:

  • 以全域方式或是針對每個應用程式指定信任位置。

  • 允許信任位置存在於遠端共用上。

  • 防止使用者指定信任位置。

  • 停用 [信任位置] 功能。

下列應用程式均有提供 [信任位置] 功能:Microsoft Access 2010、Microsoft Excel 2010、Microsoft InfoPath 2010、Microsoft PowerPoint 2010、Microsoft Visio 2010 及 Microsoft Word 2010。

下列各項說明 [信任位置] 功能的預設設定:

  • 啟用 [信任位置]。

  • 使用者無法將網路共用指定為信任位置。不過,使用者可以在 [信任中心] 中變更此設定。

  • 使用者可以將資料夾新增至 [信任位置] 清單。

  • 無論是使用者定義的信任位置,或是以原則定義的信任位置,您都可使用。

此外,在 Office 2010 的預設安裝中,已有數個資料夾指定為信任位置。下表列出每個應用程式的預設資料夾 (InfoPath 2010 和 Visio 2010 沒有預設信任位置)。

Access 2010 信任位置

下表列出 Access 2010 的預設信任位置。

預設的信任位置 資料夾描述 信任的子資料夾

Program Files\Microsoft Office\Office14\ACCWIZ

精靈資料庫

不允許

Excel 2010 信任位置

下表列出 Excel 2010 的預設信任位置。

預設的信任位置 資料夾描述 信任的子資料夾

Program Files\Microsoft Office\Templates

應用程式範本

允許

Users\user_name\Appdata\Roaming\Microsoft\Templates

使用者範本

不允許

Program Files\Microsoft Office\Office14\XLSTART

Excel 啟動

允許

Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART

使用者啟動

不允許

Program Files\Microsoft Office\Office14\STARTUP

Office 啟動

允許

Program Files\Microsoft Office\Office14\Library

增益集

允許

PowerPoint 2010 信任位置

下表列出 PowerPoint 2010 的預設信任位置。

預設的信任位置 資料夾描述 信任的子資料夾

Program Files\Microsoft Office\Templates

應用程式範本

允許

Users\user_name\Appdata\Roaming\Microsoft\Templates

使用者範本

允許

Users\user_name\Appdata\Roaming\Microsoft\Addins

增益集

不允許

Program Files\Microsoft Office\Document Themes 14

應用程式佈景主題

允許

Word 2010 信任位置

下表列出 Word 2010 的預設信任位置。

預設的信任位置 資料夾描述 信任的子資料夾

Program Files\Microsoft Office\Templates

應用程式範本

允許

Users\user_name\Appdata\Roaming\Microsoft\Templates

使用者範本

不允許

Users\user_name\Appdata\Roaming\Microsoft\Word\Startup

使用者啟動

不允許

注意

如需如何在 Office 自訂工具 (OCT) 和 Office 2010 系統管理範本中設定安全性設定的相關資訊,請參閱<設定 Office 2010 的安全性>。

實作信任位置

若要實作 [信任位置],必須決定下列各項:

  • 哪些應用程式要設定 [信任位置]。

  • 哪些資料夾要指定為信任位置。

  • 哪些資料夾共用和資料夾安全性設定要套用至您信任位置。

  • 哪些限制要套用至信任位置。

決定要設定的應用程

請運用下列指導方針,協助您決定哪些應用程式要設定 [信任位置]:

  • [信任位置] 會影響檔案中的所有內容,包括增益集、ActiveX 控制項、超連結、連至資料來源和媒體的連結以及 VBA 巨集。此外,從信任位置開始的檔案將會略過檔案驗證檢查、[檔案封鎖] 檢查,且不會以 [受保護的檢視] 開啟。

  • 每個應用程式對於設定 [信任位置] 所提供的設定都相同,這表示,您可以針對每個應用程式單獨自訂 [信任位置]。

  • 您可以停用一或多個應用程式的 [信任位置],而實作其他應用程式的 [信任位置]。

決定哪些資料夾要指定為信任位置

請運用下列指導方針,協助您決定哪些資料夾要指定為信任位置:

  • 您可以針對每個應用程式或以全域方式指定信任位置。

  • 一或多個應用程式可以共用一個信任位置。

  • 為了防止惡意使用者將檔案新增至信任位置,或修改儲存在信任位置中的檔案,您必須將作業系統安全性設定套用至指定為信任位置的任何資料夾。

  • 根據預設,只允許信任位置位於使用者硬碟上。若要啟用網路共用上的信任位置,您必須啟用 [允許不在電腦中的信任位置]。

  • 我們不建議您將根資料夾 (如 C 磁碟機) 或整個 [文件] 或 [我的文件] 資料夾指定為信任位置。請改成在這些資料夾內建立子資料夾,並僅將該資料夾指定為信任位置。

除此之外,如果您想要執行下列動作,請使用下列各節中的指導方針:

  • 使用環境變數來指定信任位置。

  • 將 Web 資料夾 (也就是,http://路徑) 指定為信任位置。

使用環境變數來指定信任位置

您可以在群組原則和 OCT 中使用環境變數來指定信任位置。但是,如果是在 OCT 中使用環境變數,您必須變更在登錄中用以儲存信任位置的值類型,這樣環境變數才能正確運作。如果使用環境變數以指定信任位置,但未做必需的登錄修改,則信任位置會出現在 [信任中心] 內。但是如此一來,您便無法使用該位置,並且該位置會顯示成含有環境變數的相對路徑。只要變更登錄中的值類型之後,信任位置就會在 [信任中心] 內顯示成絕對路徑,而且可供使用。

使用環境變數來指定信任位置

  1. 使用「登錄編輯程式」找出以環境變數所表示的信任位置。

    若要開啟 [登錄編輯程式],請按一下 [開始],接下來按一下 [執行],輸入regedit,再按一下 [確定]。

    使用 OCT 所設定的信任位置會儲存在下列位置:

    HKEY_CURRENT_USER/Software/Microsoft/Office/14.0/application_name/Security/Trusted Locations

    其中 application_name 可以是 Microsoft Access、Microsoft Excel、Microsoft PowerPoint、Microsoft Visio 或 Microsoft Word。

    信任位置是儲存在名為 Path 的登錄項目中,而且會將它們儲存為 String 值 (REG_SZ) 值類型。請務必找出每個 Path 項目以使用環境變數來指定信任位置。

  2. 變更 Path 值類型。

    Office 2010 中的應用程式無法辨識儲存為字串值 (REG_SZ) 值類型的環境變數。若希望應用程式辨識環境變數,您必須變更 Path 項目的值類型,使它成為可擴充字串值 (REG_EXPAND_SZ) 值類型。若要執行這項操作,請執行下列步驟:

    1. 寫下或複製 Path 項目的值。這應該是含有一或多個環境變數的相對路徑。

    2. 刪除 Path 項目。

    3. 建立可擴充字串值 (REG_EXPAND_SZ) 類型的新 Path 項目。

    4. 修改新的 Path 項目,使它具有在第一個步驟中寫下或複製的相同值。

    請務必為每個使用環境變數來指定信任位置的 Path 項目進行這項變更。

指定 Web 資料夾做為信任位置

您可以指定 Web 資料夾 (也就是,http://路徑) 做為信任位置。但是只有支援網頁分工編寫及版本管理 (WebDAV) 或 FrontPage Server Extensions 遠端程序呼叫 (FPRPC) 通訊協定的 Web 資料夾,才會被認為是信任位置。如果您不確定 Web 資料夾是否支援 WebDAV 或 FPRPC 通訊協定,請運用下列指導方針:

  • 如果應用程式是由 Internet Explorer 開啟,請檢查最近使用的檔案清單。如果最近使用的檔案清單指出檔案位於遠端伺服器上,而非在 [Temporary Internet Files] 資料夾中,很可能該 Web 資料夾以某種形式支援 WebDAV。例如,如果在 Internet Explorer 中瀏覽時按一下文件,而且文件在 Word 2010 中開啟,最近使用的檔案清單應該會顯示該文件位於遠端伺服器上,而不在本機 [Temporary Internet Files] 資料夾中。

  • 請試著使用 [開啟] 對話方塊瀏覽至 Web 資料夾。如果路徑支援 WebDAV,您可能可以瀏覽至 Web 資料夾,或是系統會提示您輸入憑證。如果 Web 資料夾不支援 WebDAV,瀏覽會失敗,而且對話方塊會關閉。

注意

使用 Windows SharePoint Services 與 Microsoft SharePoint Server 所建立的網站可以指定為信任位置。

決定資料夾共用及資料夾的安全性設定

所有指定為信任位置的資料夾都必須受到保護。請運用下列指導方針,決定您必須將哪些共用設定和安全性設定套用至每個信任位置:

  • 如果資料夾為共用性質,請設定共用權限,以便只有取得授權的使用者可以存取共用資料夾。請務必使用最低權限的原則及授與適用於使用者的權限,也就是,將「讀取」權限授與不必修改信任檔案的使用者,將「完全控制」權限授與必須修改信任檔案的使用者。

  • 套用資料夾安全性權限,如此便只有授權的使用者可以讀取或修改信任位置中的檔案。請務必使用最低權限原則並授與適用於使用者的權限,也就是,將「完全控制」權限授與必須修改檔案的使用者;並將較嚴格的權限授與只需要讀取檔案的使用者。

決定信任位置的限制

Office 2010 中有一些設定可以讓您限制或控制信任位置的行為。請運用下列指導方針,決定如何設定這些設定。

**設定名稱:**允許混合原則及使用者位置


  • **描述:**此設定可控制信任位置可否由使用者、OCT 及群組原則定義,或是否必須只能由群組原則定義。根據預設,使用者可以指定任何位置做為信任位置,而電腦上也可以同時有由使用者、OCT 及群組原則建立的信任位置任意組合。


  • **影響:**如果停用此設定,則所有不是由群組原則建立的信任位置,都會停用,使用者也無法在 [信任中心] 建立信任位置。對於使用者已在 [信任中心] 定義自己的信任位置來說,停用此設定會帶來中斷情況。因為應用程式會將這些位置當成其他任何不受信任的位置來看待,這表示,使用者就會在開啟檔案時,看到關於 ActiveX 控制項和 VBA 巨集之類內容的訊息列警告,而使用者必須選擇是否啟用控制項和巨集,或是選擇讓這些項目保持停用。這是個全域設定,它會套用至您設定信任位置的所有應用程式。


  • **指導方針:**組織若有限制極為嚴格的安全性環境,通常會停用此設定。組織若透過群組原則管理其桌面設定,通常也會停用此設定。

**設定名稱:**允許不在電腦中的信任位置


  • **描述:**此設定可控制是否可使用網路上的信任位置。根據預設,會停用屬於網路共用的信任位置。但是,使用者仍然可以選取 [信任中心] 中的 [允許我的網路上之信任位置] 核取方塊,這可讓使用者指定網路共用做為信任位置。這不是全域設定。您必須為 Access 2010、Excel 2010、PowerPoint 2010、Visio 2010 和 Word 2010 這些應用程式個別完成此設定。


  • **影響:**停用此設定即會停用所有屬於網路共用的信任位置,並且會防止使用者選取 [信任中心] 的 [允許我的網路上之信任位置] 核取方塊。對於使用者已在 [信任中心] 定義自己的信任位置來說,停用此設定會帶來中斷情況。如果您停用此設定,但使用者嘗試指定網路共用做為信任位置,就會出現警告,通知使用者目前的安全性設定不允許建立遠端路徑或網路路徑的 [信任位置]。如果系統管理員透過群組原則或使用 OCT 指定網路共用做為信任位置,且此設定已停用,則信任位置也會停用。因為應用程式會將這些位置當成其他任何不受信任的位置來看待,這表示,使用者就會在開啟檔案時,看到關於 ActiveX 控制項和 VBA 巨集之類內容的訊息列警告,而使用者必須選擇是否啟用控制項和巨集,或是選擇讓這些項目保持停用。


  • **指導方針:**組織若有限制極為嚴格的安全性環境,通常會停用此設定。

注意

您也可以使用 [移除所有安裝時由 OCT 寫入的信任位置] 設定來刪除由設定 OCT 所建立的所有信任位置。

停用信任位置

Office 2010 提供了一個可讓您停用 [信任位置] 功能的設定。您必須為 Access 2010、Excel 2010、PowerPoint 2010、Visio 2010 及 Word 2010 這些應用程式個別完成此設定。請運用下列指導方針,決定是否應使用此設定。

**設定名稱:**停用所有信任位置


  • **描述:**此設定可讓系統管理員在每個應用程式中個別停用 [信任位置] 功能。系統預設會啟用 [信任位置] 功能,且使用者可建立信任位置。


  • **影響:**啟用此設定會停用所有的信任位置,包括下列信任位置:

    • 預設在安裝期間建立的信任位置。

    • OCT 建立的信任位置。

    • 使用者透過 [信任中心] 建立的信任位置。

    • 群組原則建立的信任位置。

    若啟用這個設定,也會防止使用者在 [信任中心] 中設定 [信任位置] 設定。如果啟用此設定,請確定已通知使用者無法使用 [信任位置] 功能。如果使用者已從信任位置開啟檔案,而您停用信任位置,則使用者可能會在訊息列中開始看到警告,而且他們可能需要回應訊息列警告,才能啟用內容,例如 ActiveX 控制項、增益集及 VBA 巨集。


  • **指導方針:**安全性環境十分嚴格的組織通常會啟用此設定。

注意

如需原則設定的最新資訊,請參閱 Microsoft Excel 2010 活頁簿 Office2010GroupPolicyAndOCTSettings_Reference.xls (位於 Office 2010 系統管理範本檔案 (ADM、ADMX、ADML) 及 Office 自訂工具(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x404)(可能為英文網頁) 下載頁面的<此下載中的檔案>區段中)。