使用 Office 2016 的受保護檢視來設定安全的檔案開啟環境

總結： 說明如何使用受保護的檢視設定，在 Office 2016 的沙箱環境中開啟檔、簡報和活頁簿。

設定受保護的檢視設定，以變更 Office 2016 中的沙盒預覽功能運作方式。 Office 2016 中受保護的檢視是一項安全性功能，旨在將計算機的風險降至最低。 它會在受限制的環境中開啟檔案，讓您在編輯 Excel 2016、PowerPoint 2016 或 Word 2016 之前先進行檢查。

在 Office 2016 中規劃受保護的檢視設定

受保護的檢視可藉由在沙盒環境中開啟檔、簡報和活頁簿，協助防止數種惡意探索。 沙箱是計算機記憶體的片段，或與特定操作系統元件和應用程式隔離的特定計算機進程。 由於這種隔離，在沙盒環境中執行的程式和程式會被視為較不危險。 沙箱環境經常用來測試可能讓計算機不穩定或失敗的新應用程式和服務。 沙箱環境也可用來防止應用程式和進程損害計算機。

當您在受保護的檢視中開啟檔案時，可以檢視其內容。 不過，無法編輯、儲存、列印或檢視檔案中任何數位簽名的詳細數據。 未啟用 ActiveX 控件、載入宏、資料庫連結、超連結和 Visual Basic for Applications (VBA) 宏等使用中檔案內容。 不過，使用者可以從檔案複製內容，並將它貼到另一份檔。

Office 2016 中受保護檢視的默認行為

根據預設，受保護的檢視會在 Excel 2016、PowerPoint 2016 和 Word 2016 中啟用，但只有在特定情況下才會在受保護的檢視中開啟檔案。 在某些情況下，檔案甚至可以略過 [受保護的檢視] 逕自開啟供您編輯。 例如，從受信任位置開啟的檔案和受信任檔的檔案會略過數個安全性檢查，而且未在受保護的檢視中開啟。

根據預設，如果下列任一條件成立，檔案會在受保護的檢視中開啟：

• 檔案略過或失敗 Office 檔案驗證 Office 檔案驗證是一項安全性功能，可掃描檔案中是否有檔格式惡意探索。 如果 Office 檔案驗證偵測到可能的惡意探索或其他不安全的檔案損毀，檔案會在受保護的檢視中開啟。

• 區域信息會判斷檔案不安全 附件執行服務 (AES) 會將區域資訊新增至 Microsoft Outlook、Internet Explorer 和其他一些應用程式所下載的檔案。 此外，在 Windows 8.1 和更新版本中，Windows 會將區域資訊新增至使用 Microsoft Store 應用程式編輯的檔案。 如果檔案的區域資訊指出檔案源自不受信任的網站或因特網，檔案會在受保護的檢視中開啟。

• 使用者在受保護的檢視中開啟檔案使用者可以在 [開啟] 對話框中選擇 [在受保護的檢視中開啟]，或按住 SHIFT 鍵、選擇檔名，以及從快捷方式功能表 (以滑鼠右鍵按兩下 [) ]，選擇 [在受保護的檢視中開啟]，以開啟受保護的檢視。

• 檔案是從不安全的位置開啟 根據預設，不安全的位置包括使用者的 [暫時因特網檔案] 資料夾和下載的程式檔案資料夾。 您也可以使用 群組原則 設定來指定其他不安全的位置。

在某些情況下，即使符合一或多個先前列出的條件，也會略過受保護的檢視。 具體而言，檔案會在受保護的檢視外部開啟，這些案例如下：

• 檔案會從信任的位置開啟。

• 檔案會被視為受信任的檔。

• 系統會使用受信任的 Microsoft Store 應用程式來編輯檔案。

變更 Office 2016 中受保護的檢視行為

建議您不要變更受保護檢視的預設行為。 受保護的檢視是 Office 2016 分層防禦策略的重要部分，其設計目的是要使用其他安全性功能，例如 Office 檔案驗證和檔案封鎖。 我們瞭解某些組織可能必須變更受保護的檢視設定，以符合特殊安全性需求。 如果這適用於您，您可以使用這些設定來變更受保護檢視的運作方式：

• 禁止在 [受保護的檢視] 中開啟從網際網路下載的檔案。

• 禁止在 [受保護的檢視] 中開啟儲存在不安全位置的檔案。

• 防止 Outlook 2016 中開啟的附件在受保護的檢視中開啟。

• 新增位置至不安全的位置清單。

• 新增受信任的 Microsoft Store 應用程式。

此外，您可以使用 [檔案封鎖設定] 和 [Office 檔案驗證] 設定，強制檔案在 [受保護的檢視] 中開啟。 如需詳細資訊，請參閱本文稍後 在 Office 2016 的受保護檢視中強制開啟檔案 。

防止檔案在 Office 2016 的受保護檢視中開啟

您可以變更受保護的檢視設定，讓特定檔案略過受保護的檢視。 若要這樣做，您必須在信任中心停 用 某些設定。 如果 [檔案封鎖] 設定強制檔案在 [受保護的檢視] 中開啟，則不適用這些設定。 此外，如果檔案無法通過 Office 檔案驗證，則不適用這些設定。 您可以根據每個應用程式設定每個設定，以 Excel 2016、PowerPoint 2016 和 Word 2016。

防止檔案在 Office 2016 的受保護檢視中開啟

1. 從任何 Office 應用程式，移至 [檔案>選項>信任中心信任中心>設定]。

2. 從下列選項中選擇要停用的受保護檢視設定：

   • 針對源自因特網的檔案啟用受保護的檢視 如果區域資訊指出檔案是從因特網區域下載，請停用此設定以強制檔案略過受保護的檢視。 此設定適用於使用 Internet Explorer 和 Outlook 下載的檔案，或由 Microsoft Store 應用程式編輯的檔案。

   • 針對位於潛在不安全位置的檔案啟用受保護 的檢視如果檔案是從不安全的位置開啟，請停用此設定以強制檔案略過受保護的檢視。 您可以使用本文稍後討論 的 [指定不安全的位置清單 ] 設定，將資料夾新增至不安全的位置清單。

   • 啟用受保護的檢視 Outlook 附件停用此設定，以強制 Excel 2016、PowerPoint 2016 和 Word 2016 開啟為 Outlook 2016 附件的檔案，以略過受保護的檢視。

在 Office 2016 的受保護檢視中強制開啟檔案

[檔案封鎖] 和 [Office 檔案驗證] 功能具有設定，可讓您在符合特定條件時，強制檔案在受保護的檢視中開啟。 您可以使用這些設定來判斷在受保護的檢視中開啟檔案的情況。

使用 [檔案封鎖] 強制 Office 2016 檔案在受保護的檢視中開啟

[檔案封鎖] 功能可讓您防止使用者開啟或儲存特定文件類型。 當您使用 [檔案區塊] 設定來封鎖檔案類型時，您可以選擇三個檔案區塊動作的其中一個：

• 已封鎖且不允許開啟。

• 僅在受保護的檢視中封鎖和開啟 (用戶無法啟用編輯) 。

• 在受保護的檢視中封鎖和開啟 (用戶可以啟用編輯) 。

藉由選取第二個或第三個選項，您可以強制封鎖的檔類型在受保護的檢視中開啟。 您只能針對每個應用程式設定檔案區塊設定，以 Excel 2016、PowerPoint 2016 和 Word 2016。 如需檔案區塊設定的詳細資訊，請參閱 在 Office 2016 中封鎖特定檔格式類型。

使用 Office 檔案驗證設定強制 Office 2016 檔案在受保護的檢視中開啟

Office 檔案驗證是一項安全性功能。 它會在 Office 2016 應用程式開啟檔案之前，先掃描檔案中是否有格式惡意探索。 根據預設，未通過 Office 檔案驗證的檔案會在受保護的檢視中開啟，而且使用者可以在 [受保護的檢視] 中預覽檔案之後啟用編輯。 如果檔案驗證無法變更此預設行為，您可以使用 [群組原則 受保護的檢視] 設定設定文件行為。 您可以使用此設定，針對無法透過 Office 檔案驗證的檔案選取兩個可能選項之一：

• 完全封鎖 無法在受保護的檢視中開啟或開啟無法編輯 Office 檔案驗證的檔案。

• 在受保護的檢視中開啟 無法驗證 Office 檔案的檔案會在受保護的檢視中開啟。 此為預設值。

藉由選取第二個選項，您可以限制未通過 Office 檔案驗證之檔案的受保護檢視行為。 您只能針對每個應用程式針對 Excel 2016、PowerPoint 2016 和 Word 2016 設定此 Office 檔案驗證設定。 如需 Office 檔案驗證設定的詳細資訊，請參閱 在 Office 2016 中使用 Office 檔案驗證防止檔格式攻擊。

將檔案新增至不安全的檔案清單

您可以使用 [指定不安全的位置清單 ] 設定，將位置新增至不安全的位置清單。 從不安全的位置開啟的檔案一律會在受保護的檢視中開啟。 不安全的位置功能不會防止使用者編輯檔。 它只會強制檔在編輯之前，於 [受保護的檢視] 中開啟。 這是通用設定，適用於 Excel 2016、PowerPoint 2016 及 Word 2016。

新增受信任的 Microsoft Store 應用程式

在 Windows 8.1 和更新版本的 Windows 中，操作系統會自動將因特網區域標識元新增至 Microsoft Store 應用程式所編輯的檔案。 因此，這類檔案在 Office 2016 中開啟時會在受保護的檢視中開啟。

在 Office 2016 中，您可以指定受信任的 Microsoft Store 應用程式。 這可讓這些應用程式編輯的特定檔案在 Office 2016 中開啟時略過受保護的檢視。 根據預設，此受信任的 Microsoft Store 應用程式清單包含 Word Mobile、Excel Mobile 和 PowerPoint Mobile。 具有本機系統管理員許可權或企業系統管理員的使用者可以藉由將 Microsoft Store 套件系列名稱 (PFN) 新增至下列登錄機碼，將更多 Microsoft Store 應用程式新增至此清單：

HKEY_CURRENT_USER\Software\Microsoft\Office\Common\Security\TrustedStoreApps\

請連絡應用程式的開發人員，以取得您想要新增至受信任 Microsoft Store 應用程式之應用程式的 PFN。 這是通用設定，適用於 Excel 2016、PowerPoint 2016 及 Word 2016。

相關文章

• 在 Office 2016 中封鎖特定的檔案格式類型
• 在 Office 2016 中使用 Office 檔案驗證，以避免檔案格式攻擊