Office 2010 安全性概觀
適用版本: Office 2010
上次修改主題的時間: 2016-11-29
Microsoft Office 2010 有數項新的安全性控制,可讓 IT 專業人員輕鬆建立完備的防禦剋制威脅,並同時維持資訊工作者的產能。組織的財務成功通常取決於其資訊工作者的產能,以及智慧財產的完整性與機密性。但對許多 IT 部門而言,要滿足這些業務需求是很困難的,因為保護通常會犧牲產能。實作過多的安全性控制,會降低工作者的產能。實作過少的安全性控制,雖可提高工作者的產能,但同時也會增加攻擊層面,導致不得不投入較高的修復成本及擁有權總成本 (TCO)。本文說明新的安全性控制如何幫助您提供所需的保護而不會削弱員工產能。
以下四種新的控管功能有助於強化及減少攻擊層面,並協助減輕入侵的狀況。這些新的控管功能包括:
Office 應用程式的資料執行防止 (DEP) 支援 此為硬體和軟體技術,協助保護惡意程式碼的破壞,藉此強化攻擊層面。
Office 檔案驗證 此為軟體元件,旨在辨識不遵守有效檔案格式定義的檔案,藉此協助減少攻擊層面。
擴充檔案封鎖設定 此為在 [信任中心] 內透過 [群組原則] 管理的設定,旨在更具體地控制應用程式所能存取的檔案類型,藉此協助減少攻擊層面。
受保護的檢視 此功能可在沙箱環境中,讓使用者預覽未受信任或可能有害的檔案,藉此協助避免攻擊。
除了這些新控管功能以外,Office 2010 還提供數項安全性改良功能,協助確保資料的完整性和機密性,以進一步強化攻擊層面。這些安全性增強功能包括:
加密彈性
對數位簽章的信任時間戳記支援
網域型密碼複雜性檢查和強制執行
加密增強功能
[以密碼加密] 功能的改善
加密檔案的完整性檢查
此外,Office 2010 還提供數項安全性改良功能,對資訊工作者的產能具有直接影響力。舉例來說,[訊息列] 使用者介面、[信任中心] 使用者介面設定,以及保留使用者信任決策的信任模型等改良,就是這些新功能當中,可降低安全性決策和行動對資訊工作者工作造成影響的幾項功能。此外,許多新的和增強的安全性控管功能都可以透過群組原則設定加以管理。如此,您就可以輕鬆地強制執行並維護組織的安全性架構。
本文內容:
分層防禦是關鍵
協助使用者制訂較佳的安全性決策
授與管理員完整控制權
移轉 Office 2003 的安全性與隱私權設定
分層防禦是關鍵
任何有效安全性架構的中心要旨都是深度防禦,這是針對未經授權的使用者以及惡意程式碼實作多層重疊防禦的安全性策略。在中大型組織中,防禦層一般包括:
周邊網路防護,例如防火牆及 Proxy 伺服器
實體安全性措施,例如受到限制的資料中心及伺服器室
桌上型電腦的安全性工具,例如個人防火牆、病毒掃描程式及間諜軟體偵測程式
深度防禦策略有助於確保以多重與重複的安全性控制,應付安全性威脅。例如,當蠕蟲侵害周邊防火牆並可存取內部網路時,它仍必須通過病毒掃描程式及個人防火牆,才可破壞桌上型電腦。Office 2010 的安全性架構內建有類似的機制。
四層方法
Office 2010 的安全性架構藉由提供分層防禦對策,協助您將深度防禦策略擴展至桌上型電腦安全性工具之外。實作時,這些對策會在使用者嘗試使用 Office 2010 應用程式開啟檔案時發生作用,並持續提供多層防禦,直到檔案開啟並準備編輯為止。下圖顯示 Office 2010 安全性架構內建的四層防禦層,也顯示每一層可實作的一些對策。
.gif "四層安全性防禦")
強化攻擊層面
此防禦層使用已知為資料執行防止 (DEP) 的對策,協助強化 Office 2010 應用程式的攻擊層面。DEP 透過辨識從專為資料保留的記憶體嘗試執行程式碼的檔案,協助防止緩衝區溢位入侵。預設會在 Office 2010 中啟用 DEP。您可以在 [信任中心] 內透過 [群組原則] 設定管理 DEP 設定。
減少攻擊層面
此防禦層藉由限制應用程式可開啟的檔案類型,以及防止應用程式執行內嵌在檔案中的特定程式碼類型,協助減少 Office 2010 應用程式的攻擊層面。Office 應用程式使用下列三項對策執行此作業:
Office 檔案驗證 此軟體元件會掃描檔案是否有格式差異,並根據實作的設定,在格式無效時,防止開啟檔案進行編輯。包含針對 Office 2010 應用程式之檔案格式入侵程式的檔案,即為無效檔案之一例。Office 檔案驗證預設為啟用,且主要是透過 [群組原則] 設定管理。
檔案封鎖設定 在 2007 Microsoft Office 系統 中引入以有助於減少攻擊層面,這些設定可讓您防止應用程式開啟及儲存特定的檔案類型。此外,您還可以指定允許開啟某檔案類型之後會發生的狀況。例如,您可以指定是否在 [受保護的檢視] 中開啟某檔案類型,以及是否允許編輯。Office 2010 中已新增數項新的檔案封鎖設定。您可以在 [信任中心] 內透過 [群組原則] 設定管理檔案封鎖設定。
Office ActiveX 刪除位元 此項新的 Office 2010 功能可讓您防止特定的 ActiveX 控制項在 Office 2010 應用程式中執行,但卻不會影響這些控制項在 Microsoft Internet Explorer 中執行的方式。預設不會設定 Office ActiveX 刪除位元,但您可以透過修改登錄,設定此對策。
減輕入侵的狀況
此防禦層藉由在隔離的沙箱環境中開啟可能有害的檔案,協助減輕入侵的狀況。此沙箱環境稱為 [受保護的檢視],可讓使用者預覽檔案,再於應用程式中開啟檔案進行編輯。預設會啟用 [受保護的檢視],但您可以予以關閉,並在 [信任中心] 內透過 [群組原則] 設定加以管理。
改善使用經驗
此防禦層會藉由減少使用者制訂的安全性決策數目,以及改善使用者制訂安全性決策的方式,減輕入侵的狀況。例如,凡被視為不可信任的文件,不需要任何的使用者意見反應,即會在 [受保護的檢視] 中自動開啟。使用者可以讀取及關閉這些文件,而不需要制訂任何安全性決策;這表示在大多數情況下,使用者不必面對安全性提示,即可有效完成工作。使用者若想編輯 [受保護的檢視] 中的文件,可以選取允許編輯的選項。一旦允許編輯,該文件即不會再於 [受保護的檢視] 中開啟。該文件若包含主動式內容 (例如 ActiveX 控制項及巨集),即會出現 [訊息列] 提示使用者是否要啟用主動式內容。一旦啟用主動式內容,使用者即不會再看到主動式內容的 [訊息列] 提示。您可以在 [信任中心] 內透過 [群組原則] 設定,設定 [訊息列] 及 [信任的文件] 設定。
改善的強化對策
除了上一節所述的對策之外,Office 2010 還提供數項新的增強對策,以進一步強化攻擊層面。這些對策藉由保護資料的完整性與機密性,以協助強化攻擊層面。
完整性對策
完整性設定有助於減輕對商務資料或商業程序完整性的威脅。惡意使用者會破壞文件、簡報及試算表,藉以攻擊這些資產的完整性。例如,惡意使用者可能會利用包含已毀損資料或資訊的類似檔案取代檔案,藉以攻擊商務資料或商業程序的完整性。已加密檔案的數位簽章及完整性檢查等兩項對策已經過改良及增強,可協助您減輕完整性的威脅。
數位簽章改良
數位簽章現在支援受信任的時間戳記,讓 Office 文件與 W3C XML 進階電子簽章 (XAdES) 標準相容。受信任的時間戳記有助於確保數位簽章保持有效且合法的防禦,即使簽署文件所使用的憑證逾期亦然。僅 Microsoft Excel 2010、Microsoft Access 2010、Microsoft PowerPoint 2010 及 Microsoft Word 2010 提供受信任的時間戳記支援。若要利用此功能,即必須使用時間戳記授權。
除了時間戳記支援之外,Office 2010 在使用者介面還有數項改良,讓使用者更容易管理及實作數位簽章。您也可以透過數項新的 [群組原則] 設定,設定及管理受信任的時間戳記。
加密檔案的完整性檢查
管理員現在可以決定是否要在檔案加密時,實作雜湊式訊息驗證碼 (HMAC),這有助於判斷檔案是否遭人篡改。HMAC 與 Windows CNG API (新一代密碼編譯) 完全相容,讓管理員可以設定用於產生 HMAC 的密碼編譯提供者、雜湊及內容。這些參數都可透過 [群組原則] 設定予以設定。
機密性對策
機密性設定有助於減輕對您不欲公開或私下揭露之資訊的威脅,例如電子郵件通聯、專案規劃資訊、設計規格、財務資訊、客戶資料,以及個人與私人資訊。其中有多項對策已獲改善及增強,以協助您減輕機密性威脅。
密碼編譯加強
現有數種 Office 2010 應用程式具備加密彈性,並支援 CNG,這表示管理員可指定任何密碼編譯演算法,用於加密及簽署文件。此外,現有數種 Office 2010 應用程式支援 Suite B 密碼編譯。
以密碼加密功能的改良
[以密碼加密] 功能現與 ISO/IEC 29500 及 ISO/IEC 10118-3:2004 需求相容。但唯有在主機作業系統支援相同的密碼編譯提供者時,此功能方可在 Office 2010 與 2007 Office System Service Pack 2 (SP2) 之間交互作用。此外,Office 2010 在使用者介面中包含數項變更,讓使用者更容易了解與實作 [以密碼加密] 功能。
密碼複雜性檢查和強制執行
[以密碼加密] 功能所用的密碼現在可以檢查長度及複雜性,並可由網域型的密碼原則強制執行。這只適用於使用 [以密碼加密] 功能所建立的密碼。您可以使用數項新的 [群組原則] 設定,管理密碼複雜性檢查及強制執行。
加密加強
加密機制已加強,此有助於確保絕不在檔案中以純文字儲存加密/解密金鑰。一般而言,這些加密加強都會讓使用者及管理員清楚知道。
協助使用者制訂較佳的安全性決策
分層防禦的好處之一,是能夠逐步削弱及減緩安全性攻擊,讓您有更多的時間識別攻擊媒介並部署備用對策 (如有)。分層防禦的另一項好處,是它原本就能夠減少使用者必須制訂的安全性決策數目。在其預設的安全性設定中,大多數的安全性決策是由 Office 2010 所制訂,而不是使用者。因此,使用者比較少有機會做出不正確的安全性決策,因而更有效率。
下圖說明當使用者以 Excel 2010、PowerPoint 2010 或 Word 2010 開啟檔案時,所實作之主要安全性控制的高階檢視。不需要使用者輸入的安全性控制為黃色,需要使用者輸入的安全性控制為淺藍色。此圖說明 Office 2010 的預設行為。您可以變更預設行為,以適合組織的安全性需求及架構。此外,此圖未顯示可實作的所有安全性控制,例如 DEP、加密或「資訊版權管理」。
.gif "信任決策的流程圖")
如上圖所示,文件必須先通過數層防禦層,使用者才需要制訂安全性決策。若使用者不需要編輯文件,即可在 [受保護的檢視] 中閱讀文件,然後再予以關閉,而不需要制訂任何安全性決策。以下幾個主要功能使這個有效率的工作流程成為可能。
改良的信任模型 當使用者嘗試開啟檔案時,Office 2010 會評估該檔案的信任狀態。受到信任的檔案預設會略過大部分的安全性檢查,開啟以供編輯,而不需要使用者制訂任何安全性決策。不受信任的檔案則必須經過分層防禦的層層安全性檢查。凡被視為不可信任的文件,不需要任何的使用者意見反應,會在 [受保護的檢視] 中自動開啟。使用者若想編輯 [受保護的檢視] 中的文件,可以選取允許編輯的選項。一旦允許編輯,該文件即不會再於 [受保護的檢視] 中開啟。該文件若包含主動式內容 (例如 ActiveX 控制項及巨集),即會出現 [訊息列] 提示使用者是否要啟用主動式內容。一旦啟用主動式內容,使用者即不會再看到主動式內容的 [訊息列] 提示。在 2007 Office System 中,您可以使用信任位置及受信任的發行者功能,指定信任的檔案及信任的內容。在 Office 2010 中,您也可以使用稱之為「信任的文件」的新功能。「信任的文件」可讓使用者在 [受保護的檢視] 中檢視檔案後,將檔案指定為信任。當使用者將檔案指定為受到信任時,此信任決策會一直跟隨著檔案,讓使用者下次開啟該檔案時,不必再制訂信任決策。
注意
信任的檔案不會略過防毒檢查或 ActiveX 刪除位元檢查。檔案若是受到信任,就會由本機防毒掃描程式掃描 (若有),所有設有刪除位元的 ActiveX 控制項都會停用。
透明的對策 Office 2010 中有數項新的對策是使用者看不到,也不需要任何使用者互動的。例如,Office 2010 應用程式會使用稱為 Office 檔案驗證的新技術,評估不受信任檔案的檔案格式差異。此項技術會在使用者開啟不受信任的檔案時,自發性的執行。若偵測不到任何可能的檔案格式差異,使用者根本不知道此項技術掃描過檔案。
注意
在某些情況下,[Office 檔案驗證] 功能可能會要求使用者同意將檔案掃描資訊傳送給 Microsoft,協助改善此功能偵測入侵程式的能力。只要設定 [群組原則] 設定,即可讓這些提示不再出現。
沙箱預覽環境 不受信任的檔案會在稱之為 [受保護的檢視] 的沙箱預覽環境中開啟。使用者可在此沙箱環境中閱讀檔案,再將內容複製到剪貼簿。但無法列印或編輯檔案。在大多數的情況下,預覽文件對使用者而言即已足夠,他們不用回答任何安全性問題,只要關閉檔案即可。例如,即使檔案包含不受信任的 Visual Basic for Applications (VBA) 巨集,使用者也不必啟用 VBA 巨集,即可在 [受保護的檢視] 中預覽內容。
Office 2010 的預設安全性設定是適合大部分案例的深度防禦解決方案,因為它提供多層防禦,對使用者產能卻不多加侵擾。不過,某些組織可能仍必須修改預設的安全性設定,以符合更嚴苛的安全性需求,或是降低安全性並提供使用者更高的彈性。例如,若組織成員大多為不必在沙箱環境中預覽檔案的專家使用者,您就可以停用 [受保護的檢視]。我們不建議此項操作 (它的風險可能很高),但它有助於減少使用者制訂的安全性決策數目。同樣地,組織若需要封閉性的安全性環境,您可以修改安全性設定,令所有不受信任的文件都必須在 [受保護的檢視] 中開啟,而且絕對不能離開 [受保護的檢視]。這或許能夠提供較多的保護,但也會妨礙使用者編輯檔案的能力。無論組織的特定安全性需求為何,Office 2010 的多層次對策都可讓您有效平衡安全性及產能;亦即增加或減少使用者必須制訂安全性決策的頻率及類型,卻不必犧牲安全性架構。
授與管理員完整控制權
多數大型及中型的組織都是使用一些集中管理的工具 (例如網域型的 [群組原則] 設定),部署及管理其安全性設定。使用網域型的 [群組原則] 設定有助於確保組織內的電腦設定一致,並可讓您強制執行安全性設定 (有效安全性策略的兩項需求)。為達此目的,Office 2010 提供了 [群組原則] 設定的擴充套件,協助您有效部署及管理安全性設定。
下表說明管理 Office 2010 新安全性控制的不同方式,也說明支援新安全性功能的應用程式。
| 安全性功能 | 可否在 [信任中心] 內設定? | 可否透過 [群組原則] 設定配置? | 適用的應用程式為何? |
|---|---|---|---|
資料執行防止 |
可以 |
可以 |
|
Office 檔案驗證 |
不可以 |
可以 |
|
檔案封鎖設定 |
可以 |
可以 |
|
Office ActiveX 刪除位元 |
不可以 |
不可以 (必須在登錄中設定) |
|
受保護的檢視 |
可以 |
可以 |
|
信任的文件 |
可以 |
可以 |
|
加密 (加密彈性) 設定 |
不可以 |
可以 |
|
數位簽章的時間戳記 |
不可以 |
可以 |
|
加密檔案的完整性檢查 |
不可以 |
可以 |
|
密碼複雜性和強制執行 |
不可以 |
可以 |
|
移轉 Office 2003 的安全性與隱私權設定
Office 2010 包含許多安全性功能,可協助保護文件並讓桌面更安全。這些安全性功能有一部分最早出現在 2007 Office System,並在 Office 2010 中獲得增強。其他安全性功能則是 Office 2010 的新功能。您若要從 Microsoft Office 2003 或舊版的 Office 移轉至 Office 2010,了解各種 Office 2010 安全性及隱私權功能何時採用,可能有所助益。
下表說明 2007 Office System 及 Office 2010 中新增或增強的主要安全性及隱私權功能。
| 安全性功能 | 描述 | 2007 Office System 的功能狀態 | Office 2010 的功能狀態 | 如需詳細資訊,請參閱… |
|---|---|---|---|---|
信任中心 |
可讓使用者檢視及設定安全性設定及隱私選項的使用者介面中心主控台。 |
最早出現在 2007 Office System |
Office 2010 中加強及延伸的設定 |
|
訊息列 |
當使用者開啟可能包含有害內容的文件時,可通知及警告使用者的使用者介面元素。 |
最早出現在 2007 Office System |
增強的 Office 2010 訊息列使用者介面 |
|
信任位置 |
可讓您區別安全與不安全文件的安全性功能。 |
最早出現在 2007 Office System |
Office 2010 中沒有重要的變更 |
|
檔案封鎖設定 |
可讓您防止使用者開啟或儲存特定檔案類型的安全性設定套件。 |
最早出現在 2007 Office System |
Office 2010 中加強及延伸的設定 |
|
文件檢查 |
可協助使用者從文件移除個人資訊和隱藏資訊的隱私權工具。 |
最早出現在 2007 Office System |
增強的 Office 2010 使用者介面 |
|
ActiveX 控制項的通用設定及應用程式特定設定 |
讓您停用所有的 ActiveX 控制項、設定 ActiveX 控制項初始化及設定 ActiveX 控制項提示。 |
最早出現在 2007 Office System |
Office 2010 中沒有重要的功能變更 |
|
增強的 VBA 巨集通用設定及應用程式特定設定 |
讓您停用 VBA 及設定巨集警告設定。 |
最早出現在 2007 Office System |
Office 2010 中沒有重要的功能變更 |
|
增益集的應用程式特定設定 |
讓您停用增益集、要求增益集由受信任的發行者簽署,以及設定增益集警告。 |
最早出現在 2007 Office System |
Office 2010 中沒有重要的功能變更 |
|
資料執行防止 (DEP) |
防止病毒和蠕蟲入侵緩衝區溢位弱點,藉此協助強化攻擊層面的硬體和軟體技術。 |
在 2007 Office System 應用程式中無法使用 |
最早出現在 Office 2010 |
|
Office 檔案驗證 |
掃描檔案是否有格式差異,並在格式無效時防止開啟檔案進行編輯的對策。 |
在 2007 Office System 應用程式中無法使用 |
最早出現在 Office 2010 |
|
Office ActiveX 刪除位元 |
管理員可用來防止特定 ActiveX 控制項在 Office 應用程式內執行的 Office 功能。 |
2007 Office System 應用程式提供為 Internet Explorer ActiveX 刪除位元 |
Office 2010 採用為 Office ActiveX 刪除位元 |
|
受保護的檢視 |
讓使用者在沙箱環境中預覽未受信任或可能有害的檔案,藉以協助減輕攻擊的 Office 功能。 |
在 2007 Office System 應用程式中無法使用 |
最早出現在 Office 2010 |
|
信任的文件 |
讓使用者指定安全文件的安全性工具。 |
在 2007 Office System 應用程式中無法使用 |
最早出現在 Office 2010 |
|
數位簽章的信任時間戳記 |
有助於確保數位簽章保持有效且合法的防禦,即使簽署文件所使用的憑證逾期亦然。 |
在 2007 Office System 應用程式中無法使用 |
最早出現在 Office 2010 |
|
加密檔案的完整性檢查 |
讓您在加密檔案之後,實作雜湊式訊息驗證碼 (HMAC)。 |
在 2007 Office System 應用程式中無法使用 |
最早出現在 Office 2010 |
|
密碼複雜性檢查和強制執行 |
讓您使用網域型密碼原則,檢查並強制執行密碼的長度及複雜性。 |
在 2007 Office System 應用程式中無法使用 |
最早出現在 Office 2010 |
|
加密彈性 |
讓您指定密碼編譯設定以加密文件。 |
在 2007 Office System 應用程式中無法使用 |
最早出現在 Office 2010 |