規劃及設定 Office 2013 的信任位置設定

  • 發行項

 

適用版本: Office 365 ProPlus

上次修改主題的時間: 2016-12-16

摘要 說明如何使用 Office 2013 中的「信任位置」功能,將安全的檔案從可能有害的檔案當中區分出來。

對象: IT 專業人員

如果您想要將安全的檔案從可能有害的檔案中區分出來,可以使用 Office 2013 中的「信任位置」功能。「信任位置」功能可讓您指定使用者電腦硬碟上或網路共用上可信任的檔案來源。當資料夾被指定為信任的檔案來源時,系統會假設所有儲存在該資料夾中的檔案都是信任的檔案。開啟信任的檔案時,檔案中的所有內容都會啟用並作用中,而且使用者不會收到關於檔案中可能包含潛在風險的通知。這些風險包括像是未經簽署的增益集和 Microsoft Visual Basic for Applications (VBA) 巨集、網際網路內容的連結,或是資料庫連線等。

Office 安全性之指南的藍圖箭號

本文為<Office 2013 安全性的內容藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 安全性之文章、下載檔、海報及影片的起點。

您在尋找有關個別 Office 2013 應用程式的安全性資訊嗎?您可在 Office.com 上搜尋「2013 安全性」,即可找到此資訊。

本文內容:

  • 規劃 Office 2013 中的信任位置設定

  • 在 Office 2013 中實作信任位置

  • 停用信任位置

規劃 Office 2013 中的信任位置設定

Office 2013 提供數項設定,可讓您控制「信任位置」功能的行為。藉由修改這些設定,您可以執行下列動作:

  • 全面或以個別應用程式為單位來指定信任位置。

  • 讓網路共用能夠做為信任位置。

  • 讓使用者無法指定信任位置。

  • 停用「信任位置」功能。

「信任位置」功能適用於下列應用程式:Access 2013、Excel 2013、InfoPath 2013、PowerPoint 2013、Visio 2013 及 Word 2013。

下列清單說明「信任位置」功能的預設組態:

  • 啟用「信任位置」。

  • 使用者無法指定網路共用做為信任位置。但是,使用者可以在 [信任中心] 變更此設定。如需使用者在 [信任中心] 裡使用信任位置與其他使用者選項的指示,請參閱<在信任中心檢視我的選項和設定>。

  • 使用者可以新增資料夾到 [信任位置] 清單。

  • 使用者定義的信任位置及原則定義的信任位置都可以用來指定信任位置。

此外,在預設的 Office 2013 安裝中,有幾個資料夾已被指定為信任的位置。以下各表會列出每個應用程式的預設資料夾。(InfoPath 2013 及 Visio 2013 沒有預設的信任位置。)

Access 2013 信任位置

下表列出 Access 2013 的預設信任位置。

Access 2013 的預設信任位置

預設信任位置 資料夾說明 子資料夾也受信任嗎?

Program Files\Microsoft Office 15\Root\Office15\ACCWIZ

精靈資料庫

否 (不允許)

Excel 2013 信任位置

下表列出 Excel 2013 的預設信任位置。

Excel 2013 的預設信任位置

預設信任位置 資料夾說明 子資料夾也受信任嗎?

Program Files\Microsoft Office 15\Root\Templates

應用程式範本

是 (允許)

Users\user_name\Appdata\Roaming\Microsoft\Templates

使用者範本

否 (不允許)

Program Files\Microsoft Office 15\Root\Office15\XLSTART

Excel 啟動

是 (允許)

Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART

使用者啟動

否 (不允許)

Program Files\Microsoft Office 15\Root\Office15\STARTUP

Office 啟動

是 (允許)

Program Files\Microsoft Office 15\Root\Office15\Library

增益集

是 (允許)

PowerPoint 2013 信任位置

下表列出 PowerPoint 2013 的預設信任位置。

PowerPoint 2013 的預設信任位置

預設信任位置 資料夾說明 子資料夾也受信任嗎?

Program Files\Microsoft Office 15\Root\Templates

應用程式範本

是 (允許)

Users\user_name\Appdata\Roaming\Microsoft\Templates

使用者範本

是 (允許)

Users\user_name\Appdata\Roaming\Microsoft\Addins

增益集

否 (不允許)

Program Files\Microsoft Office 15\Root\Document Themes 15

應用程式佈景主題

是 (允許)

Word 2013 信任位置

下表列出 Word 2013 的預設信任位置。

Word 2013 的預設信任位置

預設信任位置 資料夾說明 子資料夾也受信任嗎?

Program Files\Microsoft Office 15\Root\Templates

應用程式範本

是 (允許)

Users\user_name\Appdata\Roaming\Microsoft\Templates

使用者範本

否 (不允許)

Users\user_name\Appdata\Roaming\Microsoft\Word\Startup

使用者啟動

否 (不允許)
注意事項附註:
如需如何在 Office 自訂工具 (OCT) 和 Office 2013 系統管理範本中進行安全性設定的詳細資訊,請參閱<使用 OCT 或群組原則設定 Office 2013 的安全性>。

在 Office 2013 中實作信任位置

若要實作信任位置,您必須決定下列項目:

  • 您要為其設定信任位置的應用程式。

  • 您要指定為信任位置的資料夾。

  • 您要套用到信任位置的資料夾共用與資料夾安全性設定。

  • 您要套用到信任位置的限制。

決定您要為其設定信任位置的應用程式

請使用下列方針來協助決定要為其設定信任位置的應用程式:

  • 信任位置會影響檔案中的所有內容。這包括增益集、ActiveX 控制項、超連結、資料來源與媒體的連結,以及 VBA 巨集。此外,從信任位置開啟的檔案會略過檔案驗證檢查、檔案區塊檢查,且不會在受保護的檢視中開啟。

  • 每個應用程式都提供相同的設定來設定信任位置。這表示您可以獨立針對每個應用程式來自訂信任位置。

  • 您可以對一或多個應用程式停用信任位置,並對其他應用程式實作信任位置。

決定要指定做為信任位置的資料夾

請根據下列方針來決定要指定做為信任位置的資料夾:

  • 您可以以個別應用程式為單位或是全面地指定信任位置。

  • 一或多個應用程式可以共用信任位置。

  • 若要避免惡意使用者新增檔案到信任位置,或是避免他們修改儲存在信任位置的檔案,您必須套用作用系統安全性設定到任何指定做為信任位置的資料夾。

  • 預設只會允許使用者硬碟上的信任位置。若要啟用網路共用上的信任位置,您必須啟用 [允許我的網路上之信任位置 (不建議使用)] 設定。

  • 我們不建議您指定根資料夾,例如 C 磁碟機,或是整個 Documents 或 My Documents 資料夾做為信任位置。請改為在那些資料夾裡建立子資料夾,並且只指定該資料夾做為信任位置。

此外,如果您想要進行下列動作,則必須遵照接下來幾節裡的方針:

  • 使用環境變數指定信任位置。

  • 指定 Web 資料夾 (亦即 http://paths) 做為信任位置。

使用環境變數指定信任位置

您可以透過群組原則和 OCT,使用環境變數來指定信任位置。但是當您在 OCT 內使用環境變數時,必須在登錄中變更用來儲存信任位置的值類型,環境變數才能正確運作。如果您使用環境變數指定信任位置,但沒有進行必要的登錄修改,信任位置會出現在 [信任中心] 裡,卻無法使用,且會以包含環境變數的相對路徑形式列出。在登錄中變更值類型之後,信任位置就會在 [信任中心] 裡以絕對路徑的形式出現,且可以使用。

注意事項附註:
您可以使用滑鼠、快速鍵或觸控等方式完成所有 Office 2013 套裝軟體 中的工作。如需如何使用 Office 產品與服務中的快速鍵和觸控功能的詳細資訊,請參閱<快速鍵>與<Office 觸控指南>。

使用環境變數指定信任位置

  1. 使用 [登錄編輯程式] 找到環境變數所代表的信任位置。

    若要開啟 [登錄編輯程式],請依序按一下 [開始] 與 [執行],然後輸入 regedit,再按一下 [確定]。

    或者,如果您使用 Windows 8 或 Windows 8.1,請從右邊往左撥動叫出常用鍵、選擇 [搜尋] 常用鍵,然後輸入 regedit

    以 OCT 設定的信任位置儲存在下列位置:

    HKEY_CURRENT_USER/Software/Microsoft/Office/15.0/application_name/Security/Trusted Locations

    其中 application_name 可能是 Access、Excel、PowerPoint、Visio 或 Word。

    信任位置儲存在名為 Path 的登錄項目,且儲存為 [字串值] (REG_SZ) 值類型。請務必找到每個使用環境變數來指定信任位置的 Path 項目。

  2. 變更 Path 值類型。

    Office 2013 中的應用程式無法辨識儲存為 [字串值] (REG_SZ) 值類型的環境變數。若要讓應用程式能辨識環境變數,您必須變更 Path 項目的值類型,讓它成為 [可擴充字串值] (REG_EXPAND_SZ) 值類型。若要執行這項操作,請遵循下列步驟:

    1. 寫下或複製 Path 項目的值。這應該是包含一或多個環境變數的相對路徑。

    2. 刪除 Path 項目。

    3. 建立類型為 [可擴充字串值] (REG_EXPAND_SZ) 的 Path項目。

    4. 變更新的 Path 項目,讓它的值與您在第一個步驟寫下或複製的值一樣。

    請務必對每個使用環境變數來指定信任位置的 Path 項目進行此項變更。

指定 Web 資料夾做為信任位置

您可以指定 Web 資料夾 (亦即 http://paths) 做為信任位置。但只有支援網頁分工編寫及版本管理 (WebDAV) 或 FrontPage Server Extensions 遠端程序呼叫 (FPRPC) 通訊協定的 Web 資料夾會被辨識為信任位置。如果您不確定 Web 資料夾是否支援 WebDAV 或 FPRPC 通訊協定,請遵照下列方針:

  • 如果您在 Internet Explorer 開啟應用程式,請檢查最近使用的檔案清單。如果最近使用的檔案清單指出檔案位於遠端伺服器,而不是位於 Temporary Internet Files 資料夾,則 Web 資料夾很可能以某種形式支援 WebDAV。例如,如果您在瀏覽 Internet Explorer 時開啟文件,而該文件在 Word 2013 中開啟,則最近使用的檔案清單應該會顯示該文件位於遠端伺服器,而不是位於本機的 Temporary Internet Files 資料夾。

  • 嘗試使用 [開啟] 對話方塊瀏覽到 Web 資料夾。如果路徑支援 WebDAV,您應該可以瀏覽到 Web 資料夾,或是看到認證輸入提示。如果 Web 資料夾不支援 WebDAV,則瀏覽會失敗,且對話方塊會關閉。

注意事項附註:
您能將以 SharePoint Server 2013 建立的網站指定做為信任位置。

判斷信任位置資料夾所需的資料夾共用與資料夾安全性設定

您指定做為信任位置的所有資料夾都必須受保護。請遵照下列方針,決定您必須套用到每個信任位置的共用設定和安全性設定:

  • 如果資料夾已共用,請設定共用權限,以便只有經過授權的使用者能存取共用資料夾。請務必遵照最低權限的原則,授與適當的權限給使用者。亦即,授與讀取權限給不需要變更信任檔案的使用者,並授與完全控制權限給需要變更信任檔案的使用者。

  • 套用資料夾安全性權限,以便只有經過授權的使用者可以讀取或變更信任位置中的檔案。請務必遵照最低權限的原則,授與適當的權限給使用者。亦即,只授與完全控制權限給需要變更檔案的使用者。然後授與限制較多的權限給只需要讀取檔案的使用者。

決定信任位置的限制

Office 2013 提供數項設定,讓您能限制或控制信任位置的行為。請遵照下列方針來決定如何進行這些設定。

**群組原則設定名稱:**允許混合使用原則與使用者位置

  • **描述:**此設定控制信任位置是否可以由使用者、OCT 及群組原則來定義,還是必須只由群組原則來定義。依預設,使用者可以指定任何位置做為信任位置,且一台電腦可以有使用者建立、OCT 建立及群組原則建立之信任位置的任何組合。

  • **影響:**如果停用此設定,則所有不是由群組原則建立的信任位置都會停用,且使用者不能在 [信任中心] 裡建立新的信任位置。停用此設定會對已經在 [信任中心] 裡自行定義信任位置的使用者造成一些干擾。應用程式看待這種位置,就如同看待任何其他未信任的位置,也就是說,使用者在開啟檔案時,會看到關於 ActiveX 控制項和 VBA 巨集等內容的訊息列警告,且必須選擇是要啟用控制項和巨集,還是維持停用。這是全域設定,會套用於您為其設定信任位置的所有應用程式。

  • **指導方針:**具有高度限制之安全性環境的組織,通常會停用此設定。透過群組原則來管理桌面組態的組織,通常會停用此設定。

**群組原則設定名稱:**允許網路上的信任位置

  • **描述:**此設定控制能否使用網路上的信任位置。預設會停用本身為網路共用的信任位置。但使用者仍然可以在 [信任中心] 選取 [允許我的網路上之信任位置 (不建議使用)] 核取方塊,這會讓使用者能指定網路共用做為信任位置。這不是全域設定。您必須在 Access 2013、Excel 2013、PowerPoint 2013、Visio 2013 及 Word 2013 等個別應用程式上進行此設定。

  • **影響:**停用此設定會停用所有本身為網路共用的信任位置,並讓使用者無法在 [信任中心] 選取 [允許我的網路上之信任位置 (不建議使用)] 核取方塊。停用此設定會對已經在 [信任中心] 裡自行定義信任位置的使用者造成一些干擾。如果您停用此設定,且使用者嘗試指定網路共用做為信任位置,則會有警告通知使用者,目前的安全性設定不允許他們建立本身為遠端路徑或網路路徑的信任位置。如果系統管理員透過群組原則或 OCT 來指定網路共用做為信任位置,但此設定已停用,則信任位置會停用。應用程式看待這種位置,就如同看待任何其他未信任的位置,也就是說,使用者在開啟檔案時,會看到關於 ActiveX 控制項和 VBA 巨集等內容的訊息列警告。他們必須選擇是要啟用控制項和巨集,還是維持停用。

  • **指導方針:**具有高度限制之安全性環境的組織,通常會停用此設定。

注意事項附註:
您也可以使用 [移除所有安裝時由 OCT 寫入的信任位置] 設定,刪除所有透過設定 OCT 來建立的信任位置。

在 Office 2013 中停用信任位置

Office 2013 提供一項設定,讓您能停用信任位置功能。您必須在 Access 2013、Excel 2013、PowerPoint 2013、Visio 2013 及 Word 2013 等個別應用程式上進行此設定。請遵照下列方針來決定是否應該使用此設定。

**群組原則設定名稱:**停用所有信任位置

  • **描述:**此設定讓您以個別應用程式為單位來停用信任位置。預設會啟用信任位置功能,且使用者可以建立信任位置。

  • **影響:**啟用此設定會停用所有信任位置。這包括下列類型的信任位置:

    • 安裝期間預設所建立的信任位置。

    • 使用 OCT 所建立的信任位置。

    • 使用者透過 [信任中心] 所建立的信任位置。

    • 使用群組原則所建立的信任位置。

啟用此設定也會導致使用者無法在 \[信任中心\] 裡進行信任位置設定。如果啟用此設定,請務必通知使用者,他們不能使用「信任位置」功能。如果使用者正在開啟信任位置中的檔案,而您啟用了此設定,則使用者可能會開始在訊息列看到警告,且可能必須回應訊息列警告來啟用 ActiveX 控制項、增益集和 VBA 巨集等內容。
  • **指導方針:**安全性環境十分嚴格的組織通常會啟用此設定。
注意事項附註:
如需原則設定的最新資訊,請參閱 Excel 2013 活頁簿 Office2013GroupPolicyAndOCTSettings_Reference.xlsx (包含在 Office 2013 系統管理範本檔案中)。如需詳細資訊,請參閱<Office 2013 系統管理範本檔案 (ADMX/ADML) 與 Office 自訂工具>TechNet 文章。

另請參閱

Office 2013 安全性的內容藍圖
Office 2013 安全性概觀
使用 OCT 或群組原則設定 Office 2013 的安全性
了解 Office 2013 的安全性威脅與計數器測量
規劃和配置 Office 2013 信任的發行者設定
使用 OCT 或群組原則設定 Office 2013 的安全性