2007 Office system 的安全性概觀
更新日期: 2009年2月
適用於: Office Resource Kit
上次修改主題的時間: 2015-03-09
組織的財務成功通常取決於其資訊工作者的產能以及智慧財產的完整性與機密性。在過去,對於 IT 專業人員而言,要滿足這些業務需求是很困難的,因為保護通常會犧牲產能。透過重新設計的安全性模型和許多全新及增強的安全性功能,2007 Microsoft Office 系統 讓 IT 專業人員設計桌面設定,以減輕安全性威脅並同時維持資訊工作者的產能。
基礎安全性原則
在 2007 Office System 之前,設計安全的桌面設定通常是保護和產能之間的妥協結果。一方面,您可以停用潛在有風險的功能 (例如 ActiveX 控制項、增益集以及 Visual Basic for Applications (VBA) 巨集) 來將桌面設定的攻擊面減到最小,但功能方面的損失通常會轉換為資訊工作者產能的損失,這對於組織的財務表現有不利的影響。另一方面,您可以允許資訊工作者自由使用高風險的工具和應用程式功能,來最大化資訊工作者的產能並加強組織的財務表現,但攻擊面的增加會因為持續的安全性攻擊,對智慧財產帶來更大的風險以及更高的擁有權總成本 (TCO)。
面對此情形,大部分的 IT 專業人員都會選擇中間立場,即強制資訊工作者做出重大安全性決策。如果文件包含 ActiveX 控制項或是來自不明來源的巨集,將會詢問使用者是否希望啟用 ActiveX 控制項或巨集。使用者必須回答問題才能存取文件。雖然這不是一個最理想的解決方案,但它確實提供減輕安全性威脅的機制,卻又不會對產能有太多的干擾。主要的問題在於大部分的使用者面對安全性警告時,會關閉該警告以存取文件和完成工作。這對於不太可能包含惡意內容的低風險內部文件是可接受的,但是對於透過網際網路傳遞且可能包含惡意內容的高風險外部文件,是無法接受的。不幸的是,使用者通常無法分辨高風險和低風險的檔案,並以相同的方式來處理檔案,也就是,他們接受風險並啟用 ActiveX 控制項和巨集。
若要克服先前所述的問題,2007 Office System 的整體安全性模型是使用下列四個主要原則來設計:
預設會保護應用程式功能的安全。
避免提出使用者可能無法回答的問題。
減輕威脅以維護使用者產能,但不限制應用程式的功能。
提供可以修改的彈性安全性模型,以符合特定的情況。
這些原則結合起來可提供 2007 Office System 的安全性目標基礎,以獲得最大的保護和最高的生產力並降低 TCO。
預設會保護安全
2007 Office System 安全性模型的其中一個主要原則與先前的 Microsoft Office 版本一樣保持不變:預設會保護系統和資料的安全性。這個原則包含的事實為,有些功能雖然有用,但是原本就有很有可能遭受攻擊 (例如,巨集)。在許多情況下,已設定這些功能,好讓保護至上而功能次要。
例如,文件及電子郵件訊息通常包含儲存在遠端電腦上的圖像連結。這使得更新圖像變得很容易,並使文件和電子郵件訊息較小,從而降彽對磁碟空間和網路頻寬的要求。但是垃圾郵件發信者和惡意的攻擊者可以使用連結的圖像,以確認電子郵件地址是有效的或是取得電腦的 IP 位址。為了處理這個問題,預設會封鎖 2007 Office System 的連結圖像,但是使用者仍然可以開啟電子郵件訊息和包含連結圖像的文件,以提供使用者完整的文字存取權。因此,可獲得最大的保護和最高的產能。
避免提出問題
雖然先前的安全性模型依賴使用者評估風險並降低潛在的安全性威脅,不過,2007 Office System 採用的原則是,使用者不必回應他們可能無法回答的問題。這個原則改變使用者和應用程式處理安全性威脅的方式。首先,使用者必須回答的問題數目及問題頻率已減少。第二,在安全性威脅有較高的風險以及使用者意見反應是絕對必要的情況下,警告訊息提供使用者做決策所需的詳細資料。第三,在使用者意見反應是必要的情況下,會在對使用者而言較合理的某個時間和環境下要求使用者的意見反應。
例如,使用者不再需要於每次開啟包含不受信任或未知來源的巨集之文件時,回應安全性提示。雖然預設會停用來自不受信任或未知來源的巨集,通知程序不需要使用者在處理文件之前先做出安全性決策。相反地,巨集通知會包含在顯示於文件頂端的通知列。使用者可以按一下通知列來讀取通知和啟用巨集。此外,通知現在提供風險為何、為什麼風險對於安全性是威脅,以及使用者可以執行哪些動作以降低威脅的相關資訊。
維持使用者產能
維持使用者產能是 2007 Office System 安全性模型中的另一項重要原則。在過去,如果使用者嘗試開啟的文件,其中包含潛在的安全性威脅,例如巨集或 ActiveX 控制項,使用者必須回應安全性警告,才能處理該檔案。現在只要一開啟文件,使用者即可立即存取文件內容並處理文件。只有在維護安全的工作環境需要使用者介入時,才會提示使用者輸入。
例如,稱為「信任位置」的新安全性功能可讓您區分低風險文件與高風險文件,因此可最大化產能。低風險文件的範例是來自同事或企業夥伴的文件。高風險文件的範例如來自未知人員的文件或是透過不安全的網際網路連線傳遞的文件。
儲存在信任位置的文件會視為安全的,而且會啟用信任文件中的所有內容。使用者不必回應任何安全性警告,而且他們不需要啟用信任文件中的任何內容,即可完成工作。在這個情況下,產能不會降低。
未儲存在信任位置的文件會被視為高風險,而且預設會停用不信任文件中的所有內容。使用者可以開啟並處理高風險的文件,但是他們必須回應通知,以啟用文件中的高風險內容。在這種情況下,只有在使用者要啟用文件中的高風險內容時,才會影響產能。
提供彈性的安全性模型
這個最後的原則是預設的安全性模型並不適用於每個電腦環境或每個使用者。儘管有前三個原則,仍會有使用者必須回應安全性通知或警告,才能存取低風險內容的情況。為了更加瞭解前三個原則的目標,2007 Office System 提供一套安全性設定,可讓您修改預設的安全性模型。
新功能和變更
透過使用先前所述的四個原則,已為 2007 Office System 開發新的安全性模型。新的安全性模型包含新功能、新設定以及新功能。除此之外,新的安全性模型可能會影響使用者在其個別工作環境中回應風險的方法,並改變系統管理員降低和管理整個組織安全性威脅的方法。新安全性模型的主要變更包括:
使用者介面 這些變更可協助使用者以更好的方式檢視和設定安全性設定,以回應安全性警告和通知。
系統管理設定和功能 這些變更可協助 IT 專業人員設計和實作安全的桌面設定,以大幅降低安全性威脅。
預設功能 這些變更可協助提升使用者的產能,同時還可幫助保護企業資源並降低安全性威脅。
使用者介面的變更
2007 Office System 的使用者介面已做了三項變更。首先,大部分的應用程式特定安全性和隱私設定會出現在稱為「信任中心」的單一位置中。第二,有些文件保護設定現在會與其他文件準備設定一起出現,例如 [儲存] 和 [列印]。第三,大部分的安全性警告和通知現在會出現在稱為 [訊息列] 的新通知區域中。這些使用者介面變更透過協助使用者尋找、檢視和設定安全性設定,以及協助使用者在面對安全性威脅時,仍能保持產能,來增強使用者經驗。
信任中心
「信任中心」是可讓使用者檢視和設定安全性設定及隱私權選項的中央主控台。下圖說明「信任中心」。
.gif "信任中心")
使用者可以在「信任中心」中設定下列設定:
受信任的發行者及信任的位置 這些設定是用以指定安全的內容。
ActiveX 控制項、增益集和巨集 這些設定可用來控制高風險內容的行為,例如 ActiveX 控制項、增益集和巨集。
訊息列和隱私權選項 這些設定是用來控制通知行為以及應用程式處理個人或私人資訊的方法。
對於 Microsoft Office Access 2007、Microsoft Office Excel 2007、Microsoft Office PowerPoint 2007 和 Microsoft Office Word 2007,使用者存取「信任中心」的方式是按一下[Microsoft Office 按鈕],然後按一下 Program 的 [選項],其中 Program 是您正在執行的程式。對於 Microsoft Office InfoPath 2007、Microsoft Office Outlook 2007、Microsoft Office Publisher 2007 和 Microsoft Office Visio 2007,使用者可以按一下 [工具] 功能表上的 [信任中心]。
文件保護控制項
雖然「信任中心」包含大部分的應用程式特定安全性和隱私權設定,不過某些文件特定的安全性設定已刻意從「信任中心」剔除:最明顯的是,可讓使用者加密文件的文件保護設定。因為文件保護設定通常是在使用者儲存或傳送文件時使用,所以設定是位於其他文件準備設定中。使用者可以按一下 [Microsoft Office 按鈕],然後按一下 [準備],以存取文件準備設定。
訊息列
[訊息列] 是一項新的使用者介面功能,當開啟可能包含有害內容的文件時,會提供使用者通知和警告。下圖顯示 [訊息列]。
.gif "訊息列")
.gif "Note") 附註: |
|---|
| 在 Office Outlook 2007 和 Office Publisher 2007 中,安全性提醒會出現在對話方塊中,而非出現在 [訊息列] 中。 |
[訊息列] 會通知使用者已封鎖文件中的某些功能。就某方面而言,[訊息列] 取代使用者開啟包含巨集的不受信任文件時所出現的警告。在過去,除非使用者回應警告以及啟用或停用巨集,警告才不會防止使用者存取文件。另一方面,透過使用 [訊息列],文件開啟時使用者可以在文件中工作,而不必回應 [訊息列] 提示。不受信任的 ActiveX 控制項、巨集及其他可能有害的內容會先停用,使用者必須按一下 [訊息列] 以回應通知或警告才能啟用。下圖顯示使用者按一下 [訊息列] 時,會顯示使用者收到警告。
.gif "訊息列警告")
新增和增強的設定及功能
2007 Office System 包含許多全新及增強的設定和功能,包括:
稱為「信任位置」設定的新設定群組。
稱為封鎖檔案格式設定的新設定群組。
變更管理 ActiveX 控制項、增益集和巨集的方式。
下列各節說明新增及增強的設定和功能。
信任位置設定
信任位置設定可讓您區分安全文件與不安全的文件。當您指定信任位置 (例如使用者硬碟上的資料夾),以及使用者開啟儲存在信任位置中的文件時,會啟用和初始化文件中的所有內容,包括 ActiveX 控制項、外部連結和巨集。此外,從信任位置開啟文件時,在 [訊息列] 或是在使用者介面中不會出現提示或警告。
為了降低某人基於惡意而建立信任位置並藉此執行有害程式碼的風險,在 2007 Office System 中的預設設定,不允許您將遠端資料夾指定為信任位置。根據預設,信任位置只能存在於本機使用者硬碟上。再者,在安全性攻擊事件中可以很輕易地撤銷信任位置。此外,2007 Office System 會永久防止您將某些高風險的資料夾指定為信任位置,例如 Office Outlook 2007 附件快取、Temp 資料夾以及有時暫時儲存文件的其他資料夾。
ActiveX 控制項、增益集及巨集的設定
在 2007 Office System 中,您可以設定全域設定或應用程式特定設定以管理 ActiveX 控制項、增益集和巨集的行為。在過去,您只能選擇四個全域設定之一來降低巨集的安全性威脅:[低]、[中]、[高] 和 [更高]。這些設定都對應至逐漸更嚴格的情況。[低] 設定允許使用者執行所有的巨集,[高] 設定只允許使用者執行由受信任的發行者所簽署的巨集。除此之外,沒有管理 ActiveX 控制項的全域或應用程式特定設定 (變更登錄除外),而且沒有管理增益集的應用程式特定安全性設定。
ActiveX 控制項設定
數個新的設定可控制 ActiveX 控制項的行為。您可以選取下列選項:
停用所有的 ActiveX 控制項 防止所有的 ActiveX 控制項載入,而且不會通知使用者已停用 ActiveX 控制項。唯一的例外是包含在信任位置中文件的 ActiveX 控制項。
設定 ActiveX 控制項初始化 指定如何根據安全的初始化 (SFI) 和不安全的初始化 (UFI) 參數來載入 ActiveX 控制項。在過去,必須變更登錄才能完成此設定。現在可以使用系統管理範本 (.adm 檔案) 或是透過 Office 設定工具 (OCT) 來完成此設定。
設定 ActiveX 提示 指定載入 ActiveX 控制項時提示使用者的方式。您可以完成這項設定,以便在 ActiveX 控制項嘗試載入時提示或不提示使用者。
增益集設定
2007 Office System 並沒有 [信任所有已安裝的增益集和範本] 設定。但是有幾項可控制增益集行為的新設定,包括:
停用所有的應用程式增益集 防止所有的增益集執行。不會通知使用者增益集已停用。
需要受信任的發行者簽署應用程式增益集 檢查包含增益集的檔案上之數位簽章。如果不信任發行者,程式不會載入增益集,而且 [訊息列] 會顯示增益集已停用的通知。
停用未簽署的應用程式增益集之訊息列通知 只有在要求增益集具有數位簽章時才相關。在某些情況下,包含增益集的檔案可能是未簽署的。在這些情況下,會啟用受信任的發行者所簽署的增益集,但是會停用未簽署的增益集,而不會提供使用者任何通知。
巨集
控制巨集的行為有數個新的設定。設定可讓您以下列方式控制巨集:
停用 Visual Basic for Applications 為所有 Office 應用程式停用 Visual Basic for Applications。
設定巨集警告設定 指定通知使用者有關巨集的條件。有下列四個選項可以使用:
永遠提供有關巨集的通知。
永遠只提供經過數位簽章之巨集的通知。
不要提供通知並停用所有巨集。
不要執行任何安全性檢查並允許所有巨集執行。
強制掃描 Microsoft Office Open XML 格式文件中的加密巨集 指定在使用新 Office Open XML 格式的加密檔案中執行巨集安全性檢查。這個設定無法在圖形化使用者介面中設定;您只能使用系統管理範本 (.adm 檔案) 或是使用 OCT 來設定它。此外,預設會啟用此設定,也就是說,預設會掃描 Office Open XML 格式文件中加密的巨集。
下表摘要在 Microsoft Office 2003 中各種安全性設定組合與 2007 Office System 中的新安全性設定之比較。
| Office 2003 設定 | 2007 Office System 設定 |
|---|---|
更高 (啟用) 信任所有已安裝的增益集和範本 (啟用)。 |
所有巨集都不會顯示警告,但停用所有巨集 (啟用)。 |
更高 (啟用) 信任所有已安裝的增益集和範本 (停用)。 |
所有巨集都不會顯示警告,但停用所有巨集 (啟用)。 停用所有增益集 (啟用)。 |
高 (啟用) 信任所有已安裝的增益集和範本 (啟用)。 |
只有經過數位簽章的巨集會顯示警告 (啟用)。 |
高 (啟用) 信任所有已安裝的增益集和範本 (停用)。 |
只有經過數位簽章的巨集會顯示警告 (啟用)。 需要受信任的發行者簽署所有的增益集 (啟用)。 停用未簽署增益集的通知 (啟用)。 停用所有信任位置,只信任由受信任的發行者簽署的檔案 (啟用)。 |
中 (啟用) 信任所有已安裝的增益集和範本 (啟用)。 |
不要在 2007 Office System 中設定任何安全性設定。根據預設,當文件中包含巨集時會通知使用者,而且會信任增益集和範本。 |
中 (啟用) 信任所有已安裝的增益集和範本 (停用)。 |
需要受信任的發行者簽署所有的增益集 (啟用)。 停用所有的信任位置 (啟用)。 |
低 (啟用) |
不對巨集進行安全性檢查 (啟用)。 |
封鎖檔案的格式設定
一些新的設定可讓您防止在 Office Excel 2007、Office PowerPoint 2007 和 Office Word 2007 中開啟或儲存特定類型的檔案。如果您要強制組織使用特定的檔案格式或是要降低零天攻擊和惡意探索,直到實作修正程式為止,這些設定將會很有用。透過使用封鎖檔案格式設定,您可以:
降低零天攻擊和惡意探索,直到您實作修正程式為止。
防止使用者開啟或儲存特定檔案類型。
防止使用者開啟與 Office Excel 2007、Office PowerPoint 2007 和 Office Word 2007 的舊版相容的檔案。
防止使用者透過外部轉換程式開啟文件。
防止使用者開啟發行前 (Beta) 版本的檔案。
文件檢查
文件檢查是一項新的隱私權工具,可協助使用者從文件移除個人資訊和隱藏的資訊。雖然每個程式都使用不同組的檢查模組來移除不同類型的內容,不過預設在 Office Excel 2007、Office PowerPoint 2007 和 Office Word 2007 中都有提供文件檢查。例如,Office Excel 2007 有檢查模組,可讓使用者移除隱藏的工作表。相反的,Office Word 2007 沒有檢查模組,因為它與 Office Word 2007 文件不相關。
使用者可以指定要從檔案移除的內容類型,包括:
來自追蹤修訂、版本和筆跡標註的註解及修訂標記。
文件屬性和個人資訊 (中繼資料)。
頁首、頁尾以及浮水印。
隱藏文字。
隱藏的列、欄和工作表。
隱藏的內容。
投影片外的內容。
簡報備忘稿
文件伺服器內容。
自訂 XML 資料。
您可以啟用和停用檢查模組,但是沒有系統管理設定可讓您管理每個檢查模組的行為方式。不過,您可以用程式設計的方式建立自訂檢查模組。
新的預設行為和功能
在 2007 Office System 中已變更一些預設的安全性設定。下列各節說明新的預設設定。
永遠開啟的文件
當使用者嘗試開啟含有可能有害內容的文件時,例如不受信任的 ActiveX 控制項和巨集或不受信任的外部資料來源連結,永遠允許開啟。不過,不允許執行不受信任的內容,而且會通知使用者已封鎖某些內容。
永遠封鎖外部內容
使用者將永遠無法存取外部內容。這包括透過資料連線、超連結、圖像及連結的媒體存取的外部內容。當使用者開啟含有外部內容的文件時,文件會開啟且使用者可以在文件中工作,但是會停用外部內容 (不可存取),而且通知會出現在訊息列中,以通知使用者已封鎖某些內容。如果使用者按一下訊息列,會出現對話方塊,詢問使用者是否要啟用外部內容。
| 附註: |
|---|
| 在信任位置中的文件已啟用所有的外部內容。 |
允許在某些情況下執行 ActiveX 控制項
ActiveX 控制項有四個可能的預設行為。預設行為須視 ActiveX 控制項本身的特性以及包含 ActiveX 控制項之文件的特性而定。
如果 ActiveX 控制項在登錄中有設定「Kill Bit (刪除位元)」,則不會載入控制項,而且在任何情況下都無法載入。Kill Bit (刪除位元) 這項功能可防止載入有已知惡意探索的控制項。
如果 ActiveX 控制項包含在不含 VBA 專案的文件中,而且 ActiveX 控制項是標示為安全的初始化 (SFI),會以最少的限制來載入 ActiveX 控制項。[訊息列] 不會出現,而且使用者不會收到在其文件中出現 ActiveX 控制項的任何通知。必須將文件中的 ActiveX 控制項全部都標示為 SFI 才不會產生通知。
如果 ActiveX 控制項是包含在不含 VBA 專案的文件中,而且 ActiveX 控制項是標示為不安全的初始化 (UFI),會在 [訊息列] 中通知使用者已停用 ActiveX 控制項。如果使用者按一下 [訊息列],會出現對話方塊詢問使用者是否要啟用 ActiveX 控制項。如果使用者啟用 ActiveX 控制項,會以最少的限制載入所有 ActiveX 控制項 (那些標示為 SFI 和 UFI 的控制項)。
如果 ActiveX 控制項是包含在也含 VBA 專案的文件中,會在 [訊息列] 中出現通知,來通知使用者已停用 ActiveX 控制項。如果使用者按一下 [訊息列],會出現對話方塊詢問使用者是否要啟用 ActiveX 控制項。如果使用者啟用 ActiveX 控制項,會以最少的限制載入所有 ActiveX 控制項 (那些標記為 SFI 和 UFI 的控制項)。
| 附註: |
|---|
| 如果 ActiveX 控制項是包含在儲存於信任位置的文件中,預設會啟用 ActiveX 控制項,而且不會提示使用者啟用 ActiveX 控制項。 |
允許執行已安裝和登錄的增益集
根據預設,會允許執行任何已安裝和登錄的增益集,而不需要使用者介入或警告。已安裝和登錄的增益集可能包括:
元件物件模型 (COM) 增益集。
智慧標籤。
自動化增益集。
RealTimeData (RTD) 伺服器。
應用程式增益集 (例如,.wll, .xll 和.xlam 檔案)。
XML 擴充套件。
XML 樣式表。
這個預設行為相當於選取舊版 Microsoft Office system 中的 [信任所有已安裝的增益集和範本] 設定。
只允許執行信任的巨集
根據預設,允許執行信任的巨集。這包括儲存在信任位置中的文件所含的巨集,以及符合下列準則的巨集:
巨集已經由開發人員利用數位簽章完成簽署。
數位簽章有效。
這是現用的數位簽章 (尚未過期)。
與此數位簽章相關聯的憑證是由有信譽的憑證授權單位 (CA) 所發行。
簽署該巨集的開發人員為受信任的發行者。
不信任的巨集將不允許執行,使用者必須按一下 [訊息列] 並選擇啟用巨集才能執行。在過去,會停用未簽署的巨集,而且使用者沒有選項可以啟用它們。這項行為在 2007 Office System 中已改變。現在當文件包含未簽署的巨集時,會通知使用者,而且如果他們想要的話,可以啟用該巨集。