為 Office 2013 規劃 ActiveX 控制項的安全性設定

 

適用版本:Office 365 ProPlus

上次修改主題的時間:2016-12-16

摘要:說明如何變更設定讓 Office 2013 中的 Microsoft ActiveX 控制項更安全,以及如何使用 Office 2013 遙測儀表板調查 ActiveX 控制項警告。

對象:IT 專業人員

主動式內容威脅是常見的安全性威脅。典型的威脅風險包括 ActiveX 控制項、增益集和 VBA 巨集。程式設計人員可以利用這些威脅弱點撰寫惡意程式碼或建立惡意程式,然後在使用者的電腦上執行。主動式內容威脅會對各種規模的組織造成潛在風險。本文說明 Office 2013 如何幫助您讓 ActiveX 控制項變得更加安全。至於增益集和 VBA 巨集的安全性則是在其他文章中說明。

Office 2013 提供數個安全性設定,可讓您變更 ActiveX 控制項運作的方式,以及變更通知使用者有關可能不安全 ActiveX 控制項的方法。藉由這些設定,您可以執行下列動作:

  • 停用 ActiveX 控制項

  • 根據安全模式參數、安全的初始化 (SFI) 及不安全的初始化 (UFI) 參數,來變更初始化 ActiveX 控制項的方式。

如需如何在 Office 自訂工具 (OCT) 和 Office 2013 系統管理範本中進行安全性設定的詳細資訊,請參閱<Configure security by using OCT or Group Policy for Office 2013>。

 

Office 安全性之指南的藍圖箭號

本文為<Office 2013 安全性的內容藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 安全性之文章、下載檔、海報及影片的起點。

您在尋找有關個別 Office 2013 應用程式的安全性資訊嗎?您可在 Office.com 上搜尋「2013 安全性」,即可找到此資訊。

本文內容:

受信任的 ActiveX 控制項,係指任何經過受信任發行者簽署的 ActiveX 控制項,或是從受信任位置所開啟之文件或認為是受信任之文件內含的 ActiveX 控制項。預設會在安全模式中以固定值載入受信任的 ActiveX 控制項,而且不通知使用者已載入 ActiveX 控制項。至於不受信任的 ActiveX 控制項載入,則隨 ActiveX 控制項標示的方式,以及檔案中是否有 VBA 專案及 ActiveX 控制項同時存在而異。不受信任的 ActiveX 控制項的預設行為如下:

  • ActiveX 控制項若標示為安全的初始化 (SFI),且包含在不附 VBA 專案的文件中,即會在安全模式中以固定值載入此 ActiveX 控制項。系統不會顯示訊息列,而且不會通知使用者有該 ActiveX 控制項。該文件中所有 ActiveX 控制項都必須標示為 SFI,才會發生此行為。

  • ActiveX 控制項若標示為不安全的初始化 (UFI),且包含在不附 VBA 專案的文件中,即會在訊息列中通知使用者已停用該 ActiveX 控制項。但使用者可以按一下或點選訊息列以啟用 ActiveX 控制項。使用者若啟用 ActiveX 控制項,即會在安全模式中以固定值載入所有的 ActiveX 控制項 (包括標示為 UFI 及 SFI 的控制項)。

  • 若標示為 UFI 或 SFI 的 ActiveX 控制項,包含在附有 VBA 專案的文件中,即會在訊息列中通知使用者已停用該 ActiveX 控制項。但使用者可以選取訊息列以啟用 ActiveX 控制項。使用者若啟用 ActiveX 控制項,即會在安全模式中以固定值載入所有的 ActiveX 控制項 (包括標示為 SFI 及 UFI 的控制項)。

重要事項重要事項:
若 ActiveX 控制項在登錄中有設定「刪除位元」,則不會載入控制項,而且在任何情況下都無法載入。此外,系統不會顯示訊息列,而且不會通知使用者有該 ActiveX 控制項。

您可以在 Office 2013遙測儀表板中檢閱資料,輕鬆瞭解組織中使用 ActiveX 控制項的情況。名為「庫存」的內建報告會收集並顯示每一個受監視 Office 解決方案的唯一執行個體資料。其中包括 Office 文件的 ActiveX 控制項使用情況。

下列程序假設您已部署和設定 Office遙測儀表板。如需 Office遙測儀表板 的概觀資訊,請參閱 Office 遙測概觀。如需如何部署 Office 遙測的詳細資訊,請參閱部署遙測儀表板

在 Office 2013 遙測儀表板報告中檢視 ActiveX 控制項使用狀況
  1. 開啟 [遙測儀表板],並連線至遙測資料庫。

  2. 在 遙測儀表板的功能窗格中,選取 [自訂報告]。

  3. [自訂報告] 頁面開啟時,選擇 [建立自訂報告]

  4. 在 [樞紐分析表欄位] 清單的 [庫存] 區段中,尋找並選取 [具有 ActiveX]。檢閱報告中是否有任何 ActiveX 相關警告。如需進一步調查,請在 [庫存] 表格選取其他欄位。

  5. 儲存資料,然後關閉 遙測儀表板。

Office 2013 中有個設定可讓您停用 ActiveX 控制項。停用 ActiveX 控制項可防止在開啟檔案時,初始化 (也就是,載入) 檔案中的所有 ActiveX 控制項,也可防止使用者對文件新增 ActiveX 控制項。在某些情況下,停用的 ActiveX 控制項可能在檔案中顯示成紅色的 x 或是某些其他符號,即使使用者選取該符號,該控制項仍為停用且不會發生任何動作。當您停用 ActiveX 控制項時,系統不會通知使用者已停用控制項。

請運用下列指導方針,決定是否停用 ActiveX 控制項。

群組原則設定名稱:停用所有 ActiveX

描述:此設定會控制是否在 Office 2013 中停用 ActiveX 控制項。此為全域設定,您無法為每個應用程式個別完成此設定。

影響:如果您啟用此設定,ActiveX 控制項就不會初始化,也不會通知使用者已停用 ActiveX 控制項。此外,使用者將無法對文件插入 ActiveX 控制項。由於 ActiveX 控制項可讓文件提供額外功能,因此停用 ActiveX 控制項會讓使用者減少可用的功能。您應確定使用者均了解已啟用此設定,因為應用程式不會通知使用者已停用 ActiveX 控制項。此外,在啟用此設定之前,請務必決定 ActiveX 控制項是否用以提供重要商務功能。

指導方針:安全性環境十分嚴格的組織通常會啟用此設定。

注意事項附註:
如果啟用此設定,則儲存在信任位置的檔案就會停用 ActiveX 控制項。

您也可以使用 Office 2013 新加入的 Office COM 刪除位元功能,防止特定 COM 物件 (包括 ActiveX 控制項) 在 Office 2013 應用程式中執行。2007 Office System 也有此功能,但相依於 Internet Explorer ActiveX 刪除位元設定。現在,您可以在 Office 2013 中使用登錄,獨立控制要讓哪些 COM 物件無法在使用 Office 2013 時執行。例如,如果 Office 和 Internet Explorer 同時都對同一 ActiveX 控制項設定刪除位元,但彼此設定卻有衝突,則 Office COM 刪除位元具有優先權。設定 Office COM 刪除位元的常見情況是,當您套用的是 Microsoft 資訊安全佈告欄中用以處理特定 Office 2013 安全性問題的更新時。

警告警告:
不建議您對 COM 物件「復原刪除」。如果復原刪除動作,可能會造成安全性弱點。刪除位元通常是因為某些重大原因而設定,因此,在您復原刪除 ActiveX 控制項時,請務必特別謹慎小心。

若需要關聯新 ActiveX 控制項的 CLSID,您可以新增 AlternateCLSID (亦稱為「Phoenix 位元」)。若您已對 ActiveX 控制項的 CLSID 套用 Office COM 刪除位元以減輕安全性威脅,就必須這麼做。Office 2013 對於 AlternateCLSID 的使用支援僅限於 ActiveX 控制項 COM 物件。如需刪除位元行為的詳細資訊 (包括 AlternateCLSID),請參閱如何阻止 ActiveX 控制項在 Internet Explorer 中執行

重要事項重要事項:
請勿變更登錄設定,除非您經驗豐富並了解相關後果。如果您未正確變更登錄,可能會發生嚴重問題。為多一層保障,請先備份登錄再行變更。如此一來,就可以在發生問題時還原登錄。

在登錄中,要設定 Office COM 刪除位元的位置是在 HKLM/Software/Microsoft/Office/Common/COM Compatibility/{CLSID},其中 CLSID 為 COM 物件的類別識別碼。若要啟用 Office COM 刪除位元,則必須新增登錄機碼,包括 ActiveX 控制項的 CLSID,並對「相容性旗標」REG_DWORD 新增值 0x00000400。

注意事項附註:
該刪除位元的行為 (包括 Internet Explorer 和 Office COM 在內) 會受到 Office 2013 啟用 COM 分類的影響。如需詳細資訊,請參閱為 Office 2013 規劃 COM 物件分類的設定

您可能會考慮放入 Office 拒絕清單的控制項:

Microsoft HTA Document 6.0 - 3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

htmlfile - 25336920-03F9-11CF-8FD0-00AA00686F13

htmlfile_FullWindowEmbed - 25336921-03F9-11CF-8FD0-00AA00686F13

mhtmlfile - 3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

網頁瀏覽器控制項 - 8856F961-340A-11D0-A96B-00C04FD705A2

DHTMLEdit - 2D360200-FFF5-11d1-8d03-00a0c959bc0a

Office 2013 中有個設定,可讓您根據 SFI、UFI 和安全模式參數來控制初始化 ActiveX 控制項的方式。SFI、UFI 和安全模式是在建立 ActiveX 控制項時,開發人員可以設定的參數。標示為 SFI 的 ActiveX 控制項會在初始化時使用安全的資料來源。安全的資料來源是一個受信任和已知的來源,而且不會造成安全性缺口。不是標示為 SFI 的控制項會視為 UFI。

安全模式是另一種安全性機制,開發人員可以用來確保 ActiveX 控制項的安全性。當開發人員建立實作安全模式的 ActiveX 控制項時,可以使用兩種方式來初始化控制項:以安全模式或以不安全模式。當在安全模式中初始化 ActiveX 控制項時,會對控制項強制某些限制功能的限制。反之,在不安全模式中初始化 ActiveX 控制項時,對其功能並沒有任何限制。例如,有讀取和寫入檔案功能的ActiveX 控制項在安全模式中初始化時,可能只可以讀取檔案,但在不安全模式中初始化該控制項時,卻可能可以讀取及寫入檔案。只有 SFI 類型的 ActiveX 控制項,可以在安全模式中初始化。UFI 類型的 ActiveX 控制項永遠都會在不安全模式中初始化。

如果 ActiveX 控制項的預設初始化方式,對您的組織來說仍有不足之處,但您不希望停用 ActiveX 控制項,請運用下列指導方針,決定如何變更初始化 ActiveX 控制項的方式。

群組原則設定名稱:ActiveX 控制項初始化

描述:此設定指定所有 Office 2013 應用程式初始化 ActiveX 控制項的方式。此為全域設定,您無法為每個應用程式個別完成此設定。您可以從此設定的六種初始化安全性層級中,選取其中一種:

  • 安全性層級 1   無論控制項的標示為何,一律載入該控制項,並使用固定值 (如果有)。此設定可免於對使用者發出任何提示。

  • 安全性層級 2   如果控制項標示為 SFI,則在安全模式中載入該控制項,且使用固定值 (如果有)。如果控制項不是標示為 SFI,則在不安全模式中載入該控制項,且使用固定值 (如果有) 或使用預設 (初次初始化) 設定。此層級類似預設設定,但與預設設定不同的是,此設定可免於對使用者發出任何提示。

  • 安全性層級 3   如果控制項標示為 SFI,則在不安全模式中載入該控制項,且使用固定值 (如果有)。如果控制項不是標示為 SFI,則提示使用者,告知使用者該控制項標示為不安全。如果使用者在出現提示時,決定選擇「」,便不會載入該控制項,否則,就會以預設 (初次初始化) 設定載入該控制項。

  • 安全性層級 4   如果控制項標示為 SFI,則在安全模式中載入該控制項,且使用固定值 (如果有)。如果控制項不是標示為 SFI,則提示使用者,告知使用者該控制項標示為不安全。如果使用者在出現提示時,決定選擇「」,便不會載入該控制項,否則,就會以預設 (初次初始化) 設定載入該控制項。

  • 安全性層級 5   如果控制項標示為 SFI,則在不安全模式中載入該控制項,且使用固定值 (如果有)。如果控制項不是標示為 SFI,則提示使用者,告知使用者該控制項標示為不安全。如果使用者在出現提示時,決定選擇「」,便不會載入該控制項,否則,就會以固定值載入該控制項。

  • 安全性層級 6   如果控制項標示為 SFI,則在安全模式中載入該控制項,且使用固定值 (如果有)。如果控制項不是標示為 SFI,則提示使用者,告知使用者該控制項標示為不安全。如果使用者在出現提示時,決定選擇「」,便不會載入該控制項,否則,就會以固定值載入該控制項。

影響:如果控制項不是標示為 SFI,則可能會對電腦造成不良影響,或可能表示開發人員測試該控制項的環境並未涵蓋所有情況,所以無法肯定該控制項是否會在日後帶來風險。此外,部分 ActiveX 控制項並不以安全模式登錄設定為準,因此即使您設定此設定,但這些控制項仍可能載入固定值。在此情況下,ActiveX 控制項會以安全模式進行初始化。若您啟用此設定且選取安全性層級 2、4 或 6,僅可讓正確標示為 SFI 的 ActiveX 控制項提高其安全性。若是環境中有惡意程式碼或程式碼設計不良,ActiveX 控制項可能會誤標為 SFI。

指導方針:大部分組織會啟用此設定,且選取安全性層級 2,也就是使用與預設設定相同的初始化準則,但不在訊息列中對使用者發出通知。組織若有限制極為嚴格的安全性環境,通常會停用此設定。預設設定是 [停用]。

Office 2013 應用程式中另有數項設定會影響 ActiveX 控制項的運作方式。若是因為特殊的安全性環境而要變更 ActiveX 控制項設定,您可能需要評估下列設定:

載入 Forms3 的控制項   此設定可決定在 UserForms 中初始化 ActiveX 控制項的方式。

停用安全性問題的所有信任列通知   此設定可讓使用者不看到訊息列警告,包括關於不安全 ActiveX 控制項的警告。

注意事項附註:
如需原則設定的最新資訊,請參閱 Office 2013 系統管理範本檔案中包含的 Excel 2013 活頁簿 Office2013GroupPolicyAndOCTSettings_Reference.xls。如需詳細資訊,請參閱<Office 2013 系統管理範本檔案 (ADMX/ADML) 與 Office 自訂工具>TechNet 文章。

顯示: