Office 檔案的信任位置

  • 發行項

適用于:Microsoft 365 Apps、Office LTSC 2021、Office 2019 和 Office 2016

信任位置是 Office 的一項功能,其中包含在這些資料夾中的檔案會假設為安全,例如您自行建立或從可信任的來源儲存的檔案。 這些檔案會略過威脅防護服務、略過檔案區塊設定,並啟用所有使用中內容。 這表示儲存在信任位置中的檔案不會在受保護的檢視或應用程式防護中開啟。

使用中內容 可以包含未簽署的增益集、VBA 宏、外部資料的連線等等。 當您將檔案儲存至信任位置時,請務必信任檔案的原始來源,因為所有使用中的內容都會啟用,而且使用者不會收到任何潛在安全性風險的通知。 下圖顯示開啟 Office 檔案的信任工作流程。

顯示 Office 決定是否要顯示使用中內容的流程圖,並醒目提示 [信任的位置] 步驟

如步驟 2 所示,信任位置中的檔案會略過所有其他安全性和原則檢查。 因此,受信任的位置應該很少用於唯一的情況,且僅適用于選取的使用者。 在Microsoft 365 Apps 企業版的安全性基準中,指導方針是停用以網路為基礎的信任位置。 然後,視需要透過原則集中控制信任的位置,而且不允許使用者自行設定信任的位置。

信任位置的規劃步驟

信任位置會影響檔案中的所有內容。 這包括增益集、ActiveX 控制項、超連結、資料來源與媒體的連結,以及 VBA 巨集。 從信任位置開啟的檔案會略過檔案驗證檢查、檔案封鎖檢查,且未在受保護的檢視或應用程式防護中開啟。 您可以在組織中允許信任位置的不同信任層級:

  • 允許終端使用者在其裝置或網路本身建立信任的位置
  • 使用原則防止使用者建立信任的位置
  • 使用原則集中管理信任的位置
  • 停用信任位置

請務必選擇最適合您組織及其安全性風險承受度的案例。

注意事項

安裝 Office 時,預設會建立一些信任的位置。 如需這些信任位置的清單,請參閱 Office 應用程式的預設信任位置

若要實作信任位置,您必須決定下列項目:

  • 您要設定信任位置的 Office 應用程式。
  • 您要指定為信任位置的資料夾。
  • 您要套用到信任位置的資料夾共用與資料夾安全性設定。
  • 您要套用到信任位置的限制。

判斷您要設定信任位置的 Office 應用程式

您可以移至檔案選項>信任中心信任中心> 設定來 > 檢視信任位置清單...>下列 Office 應用程式中的信任位置

  • Access
  • Excel
  • PowerPoint
  • Visio
  • Word

原則可用來管理每個 Office 應用程式的信任位置。 如需詳細資訊,請 參閱使用原則來管理信任的位置

注意事項

原則也適用于 Project,但 Project 在信任中心沒有 [信任位置 ] 設定。

決定要指定做為信任位置的資料夾

以下是決定要使用哪些資料夾作為信任位置時要牢記在心的一些考慮:

  • 除非遭到原則封鎖,否則使用者可以在信任中心為其 Office 應用程式建立和修改信任位置。 如需詳細資訊,請 參閱新增、移除或變更信任的位置

  • 根據預設,只允許使用者裝置的本機信任位置。 網路位置也可以設定為信任的位置,但不建議使用。

  • 我們不建議使用者將根資料夾指定為信任的位置。 例如,C: 磁片磁碟機或 [我的文件] 資料夾。 相反地,請在這些資料夾中建立子資料夾,並只將該資料夾指定為 [信任的位置]。

  • 一或多個應用程式可以使用相同的信任位置。

  • 您可以使用 信任位置 #1 原則為您的使用者指定信任的位置。

判斷信任位置資料夾的資料夾共用和資料夾安全性設定

您指定為 [信任位置] 的所有資料夾都必須受到保護,以防止惡意使用者新增或修改信任位置中的檔案。

如果資料夾已共用,請設定共用權限,以便只有經過授權的使用者能存取共用資料夾。

請務必遵照最低權限的原則,授與適當的權限給使用者。 也就是說,將 [讀取] 許可權授與不需要變更 [信任位置] 中檔案的使用者,並將 [完全控制] 許可權授與必須編輯檔案的使用者。

使用原則來管理信任的位置

有數個原則可用來管理組織中的信任位置。

您可以使用雲端原則、Microsoft Intune系統管理中心或群組原則管理主控台來設定原則設定,並將原則設定部署給組織中的使用者。 如需詳細資訊,請參閱 可用來管理原則的工具

注意事項

針對大量授權版本的 Office 2016,例如 Office 專業增強版 2016,您可以使用 Office 自訂工具 (OCT) 來設定信任的位置。 如需詳細資訊,請 參閱 OFFICE 自訂工具 (OCT) 2016 說明:Office 安全性設定

每個 Office 應用程式的受信任位置都有個別的原則。 下表顯示在 [使用者設定\原則\系統管理範本] 底下的 [群組原則 管理主控台] 中找到每個原則的位置。

應用程式 原則位置
Access Microsoft Access 2016\Application Settings\Security\Trust Center\Trusted Locations
Excel Microsoft Excel 2016\Excel Options\Security\Trust Center\Trusted Locations
PowerPoint Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center\Trusted Locations
Project Microsoft Project 2016\Project Options\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word Options\Security\Trust Center\Trusted Locations

您也可以設定 [ 允許混合使用原則和使用者位置 ] 原則,以控制是否可以由使用者和系統管理員定義信任的位置,例如,由 (、原則) ,或信任的位置是否只能由原則定義。

「信任的位置 #1」原則

您可以使用此原則為組織中的使用者指定信任位置的路徑。 此原則有 20 個實例。 例如,信任的位置 #1、信任的位置 #2、信任的位置 #3 等。

根據預設,這些原則是空白的。 若要新增信任的位置,請啟用原則,並指定 [信任的位置] 的路徑。 藉由設定許可權,確定您指定的位置受到保護,讓只有適當的使用者可以將 Office 檔案新增至該位置。

您使用此原則指定的信任位置會出現在 [檔案>選項>信任中心信任中心>設定]下的 [原則位置] 區段下。 >信任的位置

注意事項

  • 您可以在指定信任的位置時使用環境變數。
  • 這 20 個原則也適用于使用者設定\原則\系統管理範本\Microsoft Office 2016\安全性設定\信任中心。 如果您使用此版本的原則,此原則會套用至支援信任位置的所有應用程式。

「允許網路上的信任位置」原則

此原則可控制是否可以使用網路上的信任位置。

根據預設,會停用網路位置上的信任位置。 但使用者可以移至[檔案>選項>信任中心信任中心> 設定] 來變更此設定...>[信任的位置] 並選取 [不建議在我的網路上允許信任的位置 () ] 核取方塊。

您為原則選擇的狀態會決定您所提供的保護層級。 下表顯示您針對每個狀態所取得的保護層級。

圖示 保護層級 原則狀態 描述
具有白色核取記號的綠色圓形 受保護 [建議] 已停用 封鎖網路位置上的信任位置,包括系統管理員 (所設定的任何位置,例如使用「信任的位置 #1」原則) 。

忽略使用者在信任中心設定為信任位置的任何網路位置,並防止使用者新增更多位置。
紅色圓圈與白色 X 未受保護 Enabled 允許使用者和原則將網路位置設定為信任的位置。
帶有白色核取記號的橙色圓形 部分保護 未設定 根據預設,系統會封鎖使用者將網路位置新增為信任的位置,但可藉由在信任中心選取 [ 允許我網路上的受信任位置 (不建議) ] 複 選框來啟用此功能

建議您將此原則設定為 [停用],作為Microsoft 365 Apps 企業版安全性基準的一部分。 您應該針對大部分的使用者停用此原則,並只視需要對特定使用者進行例外狀況。

您可以將 Web 資料夾指定為 [信任的位置]。 但是,只有支援 Web Distributed Authoring 和 Versioning (WebDAV) 或 FrontPage Server Extensions 遠端程序呼叫 (FPRPC) 通訊協定的 Web 資料夾,才會辨識為信任的位置。

「停用所有信任的位置」原則

此原則可用來停用所有信任的位置。

根據預設,可以使用信任的位置,而且使用者可以將任何位置指定為信任的位置,而裝置可以擁有使用者建立和系統管理員設定的信任位置的任何組合。

您為原則選擇的狀態會決定您所提供的保護層級。 下表顯示您針對每個狀態所取得的保護層級。

圖示 保護層級 原則狀態 描述
具有白色核取記號的綠色圓形 受保護 Enabled 所有信任的位置都會遭到封鎖。
紅色圓圈與白色 X 未受保護 已停用 使用者或裝置可以結合使用者建立的信任位置,或由系統管理員 (設定,例如原則) 。
紅色圓圈與白色 X 未受保護 未設定 這是 Office 預設值。 提供與 Disabled 相同的行為。

具有高度限制安全性環境的組織通常會將此原則設定為 [已啟用]

「允許混合原則和使用者位置」原則

此原則可控制使用者和系統管理員是否可以定義信任的位置 (例如,由原則) 定義,或者信任的位置是否只能由原則定義。

您可以在 群組原則 管理主控台的 [使用者設定\原則\系統管理範本\Microsoft Office 2016\安全性設定\信任中心] 下找到此原則。

您為原則選擇的狀態會決定您所提供的保護層級。 下表顯示您針對每個狀態所取得的保護層級。

圖示 保護層級 原則狀態 描述
具有白色核取記號的綠色圓形 受保護 [建議] 已停用 只允許原則所定義的信任位置。
紅色圓圈與白色 X 未受保護 Enabled 使用者或裝置可以結合使用者建立的信任位置,或由系統管理員 (設定,例如原則) 。
紅色圓圈與白色 X 未受保護 未設定 這是 Office 預設值。 提供與 Enabled相同的行為。

建議您將此原則設定為 [停用],作為Microsoft 365 Apps 企業版安全性基準的一部分。 您應該針對大部分的使用者停用此原則,並只視需要對特定使用者進行例外狀況。

Office 應用程式的預設信任位置

在 Office 安裝中,有數個資料夾被指定為預設信任的位置。 下列應用程式的資料表中會列出預設的信任位置。

Project 或 Visio 沒有預設的信任位置。

您可以前往[檔案>選項>信任中心信任中心>設定]來查看這些資料夾... >信任的位置

存取的預設信任位置

下表列出 Access 的預設信任位置,以及子資料夾是否也受信任。

預設信任位置 資料夾說明 受信任的子資料夾?
Program Files\Microsoft Office\Root\Office16\ACCWIZ 精靈資料庫 否 (不允許)

Excel 的預設信任位置

下表列出哪些資料夾是 Excel 的預設信任位置,以及子資料夾是否也受信任。

預設信任的位置 資料夾說明 受信任的子資料夾?
Program Files\Microsoft Office\Root\Templates 應用程式範本 是 (允許)
Users\user_name\Appdata\Roaming\Microsoft\Templates 使用者範本 否 (不允許)
Program Files\Microsoft Office\Root\Office16\XLSTART Excel 啟動 是 (允許)
Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART 使用者啟動 否 (不允許)
Program Files\Microsoft Office\Root\Office16\STARTUP Office 啟動 是 (允許)
Program Files\Microsoft Office\Root\Office16\Library 增益集 是 (允許)

PowerPoint 的預設信任位置

下表列出 PowerPoint 的預設信任位置,以及子資料夾是否也受信任。

預設信任的位置 資料夾說明 受信任的子資料夾?
Program Files\Microsoft Office\Root\Templates 應用程式範本 是 (允許)
Users\user_name\Appdata\Roaming\Microsoft\Templates 使用者範本 是 (允許)
Users\user_name\Appdata\Roaming\Microsoft\Addins 增益集 否 (不允許)
Program Files\Microsoft Office\Root\Document Themes 16 應用程式佈景主題 是 (允許)

Word 的預設信任位置

下表列出 Word 的預設信任位置,以及子資料夾是否也受信任。

預設信任的位置 資料夾說明 受信任的子資料夾?
Program Files\Microsoft Office\Root\Templates 應用程式範本 是 (允許)
Users\user_name\Appdata\Roaming\Microsoft\Templates 使用者範本 否 (不允許)
Users\user_name\Appdata\Roaming\Microsoft\Word\Startup 使用者啟動 否 (不允許)