規劃 Office 2010 的 Office 檔案驗證設定
適用版本: Office 2010
上次修改主題的時間: 2016-11-29
若要變更 Microsoft Office 2010 驗證儲存為 Microsoft Office 二進位檔案格式之檔案的方式,可以設定 [Office 檔案驗證] 設定。[Office 檔案驗證] 是 Office 2010 的新安全性功能,其藉由在 Microsoft Excel 2010、Microsoft PowerPoint 2010 或 Microsoft Word 2010 中開啟 Office 二進位檔案格式之前先進行掃描,協助遏止檔案格式攻擊。
本文內容:
關於規劃 Office 檔案驗證設定
關閉 Office 檔案驗證
變更 Office 檔案驗證行為
關閉 Office 檔案驗證報告
關於規劃 Office 檔案驗證設定
「Office 檔案驗證」有助於偵測及遏止所謂檔案格式攻擊或檔案模糊測試攻擊。檔案格式攻擊針對檔案的完整性而來,會藉由嘗試新增惡意程式碼而修改檔案的結構進行。惡意的程式碼通常會從遠端執行,藉此提升電腦上受限帳戶的權限。攻擊者將可從電腦的硬碟機讀取機密資訊,或安裝蠕蟲或按鍵記錄程式等惡意軟體。「Office 檔案驗證」功能會在開啟檔案之前,先掃描及驗證檔案,以避免檔案格式攻擊。在驗證檔案時,「Office 檔案驗證」會比較檔案的結構與預先定義的檔案結構描述;檔案結構描述是一組規則,可指定可讀取之檔案外觀。若「Office 檔案驗證」偵測到不符合結構描述所述之各項規則的檔案結構,則檔案不會通過驗證。
由於檔案格式攻擊最常發生在儲存為 Office 二進位檔案格式的檔案中,因此「Office 檔案驗證」會掃描及驗證下列檔案類型:
Excel 97-2003 活頁簿檔案。這些檔案的副檔名為 .xls,並且包括所有 Binary Interchange File Format 8 (BIFF8) 檔案。
Excel 97-2003 範本檔案。這些檔案的副檔名為 .xlt,並且包括所有 BIFF8 檔案。
Microsoft Excel 5.0/95 檔案。這些檔案的副檔名為 .xls,並且包括所有 BIFF5 檔案。
PowerPoint 97-2003 簡報檔案。這些檔案的副檔名為 .ppt。
PowerPoint 97-2003 播放檔案。這些檔案的副檔名為 .pps。
PowerPoint 97-2003 範本檔案。這些檔案的副檔名為 .pot。
Word 97-2003 文件檔案。這些檔案的副檔名為 .doc。
Word 97-2003 範本檔案。這些檔案的副檔名為 .dot。
Office 2010 提供數種設定,可讓您變更「Office 檔案驗證」功能的行為方式。您可以使用這些設定執行下列動作:
停用 [Office 檔案驗證]。
指定檔案驗證失敗時的文件行為
禁止 Office 2010 將 [Office 檔案驗證] 資訊傳送給 Microsoft。
注意
如需本文所討論之設定的詳細資訊,請參閱<Security policies and settings in Office 2010>。如需如何在 Office 自訂工具 (OCT) 和 Office 2010 系統管理範本中設定安全性設定的相關資訊,請參閱<設定 Office 2010 的安全性>。
預設會在 Excel 2010、PowerPoint 2010 及 Word 2010 中啟用 [Office 檔案驗證]。所有驗證失敗的檔案會在 [受保護的檢視] 中開啟,而使用者則可選擇是否要啟用在 [受保護的檢視] 中開啟的檔案的編輯。此外,系統會提示使用者將「Office 檔案驗證」資訊傳送給 Microsoft。此動作只會收集驗證失敗之檔案的資訊。
建議您不要變更 [Office 檔案驗證] 的預設設定。但一些組織可能會因為特殊的安全性需求,而必須設定 [Office 檔案驗證] 設定。特別是因為下列安全性需求,而必須變更「Office 檔案驗證」功能之預設設定的組織:
限制網際網路存取的組織。「Office 檔案驗證」大約每隔兩週即會提示使用者將驗證錯誤資訊傳送給 Microsoft。此舉可能違反組織的網際網路存取原則。因此,您必須禁止「Office 檔案驗證」將資訊傳送給 Microsoft。如需詳細資訊,請參閱本文稍後的<關閉 Office 檔案驗證報告>。
安全性環境十分嚴格的組織。您可以設定「Office 檔案驗證」,禁止開啟驗證失敗的檔案,或只允許在 [受保護的檢視] 中開啟這些檔案。此設定比 [Office 檔案驗證] 的預設設定更為嚴格,適合具有封鎖式安全性環境的組織。如需如何變更文件行為的詳細資訊,請參閱本文稍後的<變更驗證失敗時的文件行為>。
不希望將檔案傳送給 Microsoft 的組織。只要使用者允許,「Office 檔案驗證」即會將所有驗證失敗的檔案複本傳送給 Microsoft。您可以將 [Office 檔案驗證] 設定成不提示使用者將驗證資訊傳送給 Microsoft。
關閉 Office 檔案驗證
您可以使用 [關閉檔案驗證] 設定停用 [Office 檔案驗證]。您必須對 Excel 2010、PowerPoint 2010 及 Word 2010 的每一個應用程式逐一設定此功能。設定此設定後,即不會掃描及驗證以 Office 二進位檔案格式儲存的檔案。例如,若啟用 Excel 2010 的 [關閉檔案驗證] 設定,「Office 檔案驗證」即不會掃描或驗證 Excel 97-2003 活頁簿檔案、Excel 97-2003 範本檔案或 Microsoft Excel 5.0/95 檔案。若使用者開啟這些檔案類型,且該檔案包含檔案格式攻擊,除非其他安全性控制偵測這類攻擊並加以遏止,否則將無法偵測或抵禦這類攻擊。
建議您不要關閉「Office 檔案驗證」。「Office 檔案驗證」是 Office 2010 分層防禦策略十分重要的一環,因此組織內的所有電腦均應啟用。若要避免「Office 檔案驗證」功能驗證檔案,建議使用 [信任位置] 功能。如此一來,只有從信任位置開啟的檔案可以略過「Office 檔案驗證」檢查。您也可以使用 [信任的文件] 功能避免「Office 檔案驗證」驗證檔案。「Office 檔案驗證」不會檢查認定為信任文件的檔案。
變更驗證失敗時的文件行為
您可以使用 [設定檔案驗證失敗時的文件行為] 設定,變更驗證失敗時的文件行為。啟用此設定時,可以選取下列三個選項之一:
完全封鎖檔案 驗證失敗的檔案不會在 [受保護的檢視] 中開啟,且使用者無法開啟檔案進行編輯。
在受保護檢視中開啟檔案並禁止編輯 檔案會在 [受保護的檢視] 中開啟,讓使用者可以檢視檔案內容,但使用者無法開啟檔案進行編輯。
在受保護檢視中開啟檔案並允許編輯 檔案會在 [受保護的檢視] 中開啟,且使用者可以選擇開啟檔案進行編輯。此選項是「Office 檔案驗證」功能的預設行為。
若選取 [在受保護檢視中開啟檔案並禁止編輯] 選項,使用者會在檔案驗證失敗時,於 [訊息列] 中看到下列文字:
受保護的檢視 Office 已偵測到檔案有問題。若編輯檔案,可能會危害您的電腦。按一下即可取得詳細資料。
若使用者按一下 [訊息列],會顯示 Microsoft Office 的 [Backstage] 檢視,提供更詳盡的問題描述,以及讓使用者編輯檔案。
若選取 [完全封鎖檔案] 選項,會在檔案驗證失敗時,於對話方塊中顯示下列文字:
Office 偵測到此檔案有問題。為了協助保護您的電腦,因此無法開啟此檔案。
使用者可以展開對話方塊,檢視有關為何無法開啟檔案之更詳細的說明;也可以按一下 [確定] 關閉對話方塊。
關閉 Office 檔案驗證報告
您可以使用 [關閉未通過檔案驗證的檔案之錯誤報告] 設定,隱藏提示使用者將資訊傳送給 Microsoft 的對話方塊。此設定也可避免將驗證資訊傳送給 Microsoft。
Office 2010 會在每次檔案驗證失敗時,收集有關檔案驗證失敗原因的資訊。檔案驗證失敗後約過兩週,Office 2010 會再提示使用者將 [Office 檔案驗證] 資訊傳送給 Microsoft。驗證資訊內容包括檔案類型、檔案大小、開啟檔案所花費的時間,以及驗證檔案所花費的時間封。此外,還會將驗證失敗的檔案複本傳送給 Microsoft。當提示使用者將驗證資訊傳送給 Microsoft 時,會顯示檔案清單供使用者參考。使用者可拒絕將驗證資訊傳送給 Microsoft,亦即不將任何與驗證失敗相關的資訊及檔案傳送給 Microsoft。若組織限制網際網路存取、設有嚴格的網際網路存取原則,或不想將檔案傳送給 Microsoft,您可能必須啟用 [關閉未通過檔案驗證的檔案之錯誤報告] 設定。
重要
「Office 檔案驗證」功能偶爾會表示檔案驗證失敗,但實際上檔案有效。驗證報告功能有助於 Microsoft 改善「Office 檔案驗證」功能,減少誤判結果的發生。
注意
如需原則設定的最新資訊,請參閱 Microsoft Excel 2010 活頁簿 Office2010GroupPolicyAndOCTSettings_Reference.xls (位於 Office 2010 系統管理範本檔案 (ADM、ADMX、ADML) 及 Office 自訂工具(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x404)(可能為英文網頁) 下載頁面的<此下載中的檔案>區段中)。