規劃 Office 2013 增益集的安全性設定

 

適用版本:Office 365 ProPlus, Office client

上次修改主題的時間:2016-12-16

摘要:說明如何控制 Office 2013 中增益集的行為方式,以及如何防止使用者執行增益集。

對象:IT 專業人員

修改 Office 2013 增益集設定,以降低未知或未受信任的增益集對 Office 2013 應用程式所造成的潛在安全性風險。

 

Office 安全性之指南的藍圖箭號

本文為<Office 2013 安全性的內容藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 安全性之文章、下載檔、海報及影片的起點。

您在尋找有關個別 Office 2013 應用程式的安全性資訊嗎?您可在 Office.com 上搜尋「2013 安全性」,即可找到此資訊。

本文內容:

Office 2013 提供數種設定,可讓您控制增益集的行為。藉由這些設定,您可以執行下列動作:

  • 針對每一個應用程式逐一停用增益集。

  • 要求增益集必須經過受信任的發行者簽署。

  • 停用未簽署之增益集的通知。

您只可以針對每一個應用程式逐一進行增益集設定,而無通用性的增益集設定。

如需如何在 Office 自訂工具 (OCT) 和 Office 2013 系統管理範本中進行安全性設定的詳細資訊,請參閱<Configure security by using OCT or Group Policy for Office 2013>。

預設不需要使用者介入或警告,即會執行所有安裝及登錄的增益集。所安裝及登錄的增益集可能有:

  • 元件物件模型 (COM) 增益集

  • Visual Studio Tools for Office (VSTO) 增益集

  • 自動化增益集

  • RealTimeData (RTD) 伺服器

  • 應用程式增益集 (如 .wll, .xll 及.xlam 檔案)

  • XML 擴充套件

  • XML 樣式表

此預設行為相當於選取 Office 2003 或舊版 Office 系統中的 [信任所有已安裝的增益集和範本] 設定。

Office 2013 的設定可讓您停用增益集。請使用下列準則指定是否要使用此設定。

群組原則設定名稱:停用所有應用程式增益集

描述:此設定會停用所有的增益集。預設會執行所有安裝及登錄的增益集。

影響:若啟用此設定,將會停用增益集,且不會通知使用者已停用增益集。啟用此設定會對使用增益集的使用者造成莫大干擾。若使用者安裝有攸關業務的增益集,可能無法啟用此設定。

指導方針:大多數組織會使用此設定的預設組態,而不會加以變更。

Office 2013 的設定可讓您要求所有增益集皆必須經過受信任的發行者簽署。請使用下列準則指定是否要使用此設定。

群組原則設定名稱:應用程式增益集必須經過受信任的發行者簽署

描述:此設定可控制增益集是否必須經過受信任之發行者的數位簽署。預設增益集發行者未必非得列名在 [受信任的發行者] 清單中才可執行增益集。

影響:當您啟用此設定時,由 [受信任的發行者] 清單上之發行者所簽署的增益集,會直接執行而不提供通知。未簽署的增益集及不是 [受信任的發行者] 清單之列名發行者所簽署的增益集會予以停用,但會提示使用者啟用增益集,即使他們根本無法啟用未簽署和未受信任的增益集。啟用 [應用程式增益集必須經過受信任的發行者簽署] 設定會對使用未經受信任發行者簽署之增益集的使用者造成干擾。這些使用者必須取得這類增益集的簽署版本,或停止使用這類增益集。

指導方針:安全性環境十分嚴格的組織通常會啟用此設定。

Office 2013 的設定可讓您禁止在無法執行未簽署的增益集時,對使用者顯示 [訊息列] 警告。請使用下列準則指定是否要使用此設定。

群組原則設定名稱:停用未簽署應用程式增益集的信任列通知

描述:此設定可控制是否要在載入未簽署應用程式增益集時通知使用者,或不通知而自動停用這類增益集。嘗試執行未簽署增益集時,預設會在訊息列中顯示警告。

影響:若啟用此設定,使用者將不會在未簽署的增益集嘗試執行時,於 [訊息列] 中顯示警告。使用者無法啟用未簽署的增益集。啟用此設定會對使用未經受信任發行者簽署之增益集的使用者造成干擾。這些使用者必須取得這類增益集的簽署版本,或停止使用這類增益集。

指導方針:安全性環境十分嚴格的組織若要求所有增益集皆必須經過受信任的發行者簽署,通常會啟用此設定。

注意事項附註:
如需原則設定的最新資訊,請參閱<Office 2013 系統管理範本檔案 (ADM、ADMX、ADML) 與 Office 自訂工具>TechNet 文章。

顯示: