Microsoft Office XP\安全設置
請使用組策略對象編輯器在位於以下位置的管理模板中配置 Office XP 計算機設置:
計算機配置\管理模板\Microsoft Office XP\安全設置
Office XP 的一項關鍵功能是宏安全性。為環境中的客戶端設置宏安全性時,有幾點需要考慮。宏安全性取決於與 Office 數據文件關聯的證書,或者附加到文檔、工作簿、演示文稿或電子郵件中的可執行代碼。要驗證證書,需要驗證在證書中簽名的作者的身份,以及為作者創建的數字簽名。真品證書會附加到可執行代碼、Microsoft ActiveX控件或動態鏈接庫 (DLL) 文件中。作者必須從證書頒發機構獲取證書。證書頒發機構既可以是組織設立的內部頒發機構,也可以是由其他公司管理的外部頒發機構。
術語“宏”還暗示使用了 ActiveX 控件、組件對象模型 (COM) 對象、OLE 對象以及可以附加到文檔、工作表或電子郵件中的其他可執行程序。本模塊上下文中的術語“宏”明確用於 Microsoft Visual Basicfor Applications (VBA) 使用的宏。
宏安全級決定了 Office 應用程序如何響應宏。現將宏類別的安全級別歸納如下:
未簽名的宏。
高:當打開文檔、工作簿、演示文稿或電子郵件時,禁用宏。
中:提示用戶啟用或禁用宏。
來自具有有效證書的可靠來源的已簽名宏。
高和中:當打開文檔、工作簿、演示文稿或電子郵件時,啟用宏。
來自具有有效證書的未知源的已簽名宏。
高和中:出現包含證書信息的對話框。然後,用戶必須基於證書的內容決定是否啟用宏。要啟用宏,用戶必須接受證書。
來自具有無效證書的任何來源的已簽名宏。
高和中:警告用戶可能有病毒。宏被禁用。
當無法驗證證書時來自任何來源的已簽名宏。
當缺少公鑰或者使用了不兼容的加密方法時,會出現這種情況。
高:警告用戶無法驗證證書。宏被禁用。
中:警告用戶無法驗證證書。允許用戶選擇啟用還是禁用宏。
來自證書已到期、且已被證書頒發機構吊銷的任何來源的已簽名宏。
高:警告用戶證書已到期或者已被吊銷。宏被禁用。
中:警告用戶證書已到期或者已被吊銷。允許用戶選擇啟用還是禁用宏。
表 4.27:Microsoft Office XP 計算機安全設置
Access: 信任所有安裝的加載項和模板
表 4.28:設置
可以將 Office XP 中的所有產品配置為自動信任安裝的 COM 加載項。禁用“Access: 信任所有安裝的加載項和模板”設置會導致 Access 確信所有加載項都經過可靠來源的數字簽名。然後,可以在任何安全級別加載已簽名的組件。未簽名的組件或不可靠來源簽名的組件會導致 Access 基於“安全級”對話框中當前的宏安全級對其進行響應,宏安全級的值如下:
高:無法加載加載項和模板組件。
中:警告用戶使用未簽名的組件所具有的潛在安全風險。
低:在無用戶交互的情況下加載並運行加載項和模板組件。
因此,在本指南定義的兩種環境中,應將“Access: 信任所有安裝的加載項和模板”設置配置為“禁用”。
注意:如果將“Access: 信任所有安裝的加載項和模板”設置配置為“禁用”,將導致 Access 從安全的角度將加載項和模板作為宏處理。
對 Office 應用程序禁用 VBA
表 4.29:設置
VBA 通常被錯誤地認為是 Office 應用程序中所有安全風險的根源。但是,認為禁用 VBA 可完全防止應用程序安全缺口是一種常見的錯誤觀念。這不完全正確,因為 ActiveX 控件在沒有 VBA 的情況下仍然可以運行。
啟用“對 Office 應用程序禁用 VBA”設置會禁用 Office XP 內部許多有用的功能。這些功能包括網上 Office 工具、許多向導、COM 加載項和宏。任何依賴於宏的自定義項目(如按鈕或菜單命令)都將不再起作用。如果文檔包含宏或 ActiveX 控件,用戶必須首先在只讀的基礎上將其打開,然後將對它的更改保存到新文檔中。但是,啟用此設置確實會使 Office 應用程序更安全一些。
因此,只有在“高安全級”環境中,才應當將“對 Office 應用程序禁用 VBA”設置配置為“啟用”。但是,Microsoft 建議在“企業客戶端”環境中,將此設置配置為“禁用”。
要點:禁用 VBA 會導致用戶無法打開包含宏的 Office 數據文件。有關如何處理包含宏的 Office 數據文件的詳細信息,請參閱上述有關宏安全性的討論。
Excel: 宏安全級
表 4.30:設置
永久地禁用環境中的所有宏功能可能是一件很有誘惑的事情。雖然您可以在 Office XP 中做到這一點,但由於 Office 中宏的管理和安全性得到了改善,從而使得這樣做沒有必要。如果將“Excel: 宏安全級”設置配置為“中”安全級別,用戶將可以選擇是否運行可能不安全的宏。此設置的“高”安全級別只允許運行來自可靠來源的已簽名宏,並自動禁用未簽名的宏。
因此,在本指南定義的兩種環境中,應將“Excel: 宏安全級”設置在“企業客戶端”環境中配置為“中”;在本指南定義的“高安全級”環境中則配置為“高”。
Excel: 信任對於“Visual Basic 項目”的訪問
表 4.31:設置
使用“Excel: 信任對於‘Visual Basic 項目’的訪問”設置可以控制是否信任 Excel 對文檔所附的 VBA 代碼進行訪問。對此設置強制采用“禁用”默認值,以確保附加到您打開的任何文件或文檔中的宏無法訪問核心 Visual Basic 對象、方法和屬性。默認情況下,此設置的宏安全級配置為“高”。默認設置以這種方式消除了可能的安全風險。
因此,在本指南定義的兩種環境中,應將“Excel: 信任對於‘Visual Basic 項目’的訪問”設置配置為“禁用”。
Excel: 信任所有安裝的加載項和模板
表 4.32:設置
可以將 Office XP 中所有產品配置為自動信任所安裝的 COM 加載項。禁用“Excel: 信任所有安裝的加載項和模板”設置將導致 Excel 保證加載項由可靠來源進行數字簽名。然後,被信任的組件和模板可以以任何安全級別加載到計算機中。未簽名的組件或者不可靠來源簽名的組件將導致 Excel 基於“安全級”對話框中當前的宏安全級對其進行響應,宏安全級的值如下:
高:無法加載加載項和模板組件。
中:警告用戶使用不安全的組件所具有的潛在安全風險。
低:在無用戶提示的情況下加載並運行加載項和模板組件。
因此,在本指南定義的兩種環境中,應將“Excel: 信任所有安裝的加載項和模板”設置配置為“禁用”。
注意:如果“Excel: 信任所有安裝的加載項和模板”設置配置為“禁用”,將導致 Excel 從安全的角度將加載項和模板作為宏處理。
Outlook: 宏安全級
表 4.33:設置
永久禁用環境中的所有宏可能是一件很有誘惑的事情。雖然您可以在 Office XP 中做到這一點,但由於 Office 中宏的管理和安全性得到了改善,因此這樣做沒有必要。“Outlook: 宏安全級”設置的“高”安全級別只允許運行來自可靠來源的已簽名宏,並自動禁用未簽名的宏。通過電子郵件附件將惡意代碼引入環境中的風險是非常高的。因此,Microsoft Outlook推薦的宏安全級比其他 Office 應用程序更高。
因此,在本指南定義的兩種環境中,應將“Outlook: 宏安全級”設置配置為“高”。
PowerPoint: 宏安全級
表 4.34:設置
永久禁用環境中的所有宏可能是一件很有誘惑的事情。雖然您可以在 Office XP 中做到這一點,但由於 Office 中宏的管理和安全性得到了改善,因此這樣做沒有必要。如果將“PowerPoint: 宏安全級”設置配置為“中”安全級別,用戶可以選擇是否運行可能不安全的宏。此設置的“高”安全級別只允許運行來自可靠來源的已簽名宏,並自動禁用未簽名的宏。
因此,“PowerPoint: 宏安全級”設置在“企業客戶端”環境中配置為“中”;在本指南定義的“高安全級”環境中則配置為“高”。
PowerPoint: 信任對於“Visual Basic 項目”的訪問
表 4.35:設置
“PowerPoint: 信任對於‘Visual Basic 項目’的訪問”設置使您可以控制是否允許 PowerPoint 訪問附加到文件和文檔中的 VBA 代碼。如果將此設置配置為默認的“禁用”,將防止任何打開文件和文檔中的宏訪問核心 Visual Basic 對象、方法和屬性。默認設置以這種方式消除了可能的安全風險。
因此,在本指南定義的兩種環境中,應將“PowerPoint: 信任對於‘Visual Basic 項目’的訪問”設置配置為“禁用”。
PowerPoint: 信任所有安裝的加載項和模板
表 4.36:設置
可以將 Microsoft Office XP 中的所有產品配置為自動信任安裝的 COM 加載項。將“PowerPoint: 信任所有安裝的加載項和模板”設置配置為“禁用”將要求 PowerPoint 確保所有加載項都由可靠來源進行數字簽名。然後,已簽名的組件可以以任何安全級別加載到計算機中。未簽名的組件或者不可靠來源簽名的組件將導致 PowerPoint 基於“安全級”對話框中當前的宏安全級對其進行響應,宏安全級的值如下:
高:無法加載加載項和模板組件。
中:警告用戶使用不安全的組件所具有的潛在安全風險。
低:在無用戶交互的情況下加載並運行加載項和模板組件。
因此,在本指南定義的兩種環境中,應將“PowerPoint: 信任所有安裝的加載項和模板”設置配置為“禁用”。
注意:如果將“PowerPoint: 信任所有安裝的加載項和模板”設置配置為“禁用”,將使 PowerPoint 從安全角度視加載項和模板為宏。
Publisher: 宏安全級
表 4.37:設置
永久禁用環境中的所有宏可能是一件很有誘惑的事情。雖然您可以在 Office XP 中做到這一點,但由於 Office 中宏的管理和安全性得到了改善,因此這樣做沒有必要。如果將“Publisher: 宏安全級”設置配置為“中”安全級別,用戶可以選擇是否運行可能不安全的宏。此設置的“高”安全級別只允許運行來自可靠來源的已簽名宏,並自動禁用未簽名的宏。
因此,在本指南定義的兩種環境中,應將“Publisher: 宏安全級”設置在“企業客戶端”環境中配置為“中”;在本指南定義的“高安全級”環境中則配置為“高”。
Publisher: 信任所有安裝的加載項和模板
表 4.38:設置
可以將 Office XP 中的所有產品配置為自動信任安裝的 COM 加載項。如果禁用“Publisher: 信任所有安裝的加載項和模板”設置,將要求 Publisher 確保所有加載項都由可靠來源進行數字簽名。然後,已簽名的組件可以以任何安全級別加載到計算機中。未簽名的組件或者不可靠來源簽名的組件將導致 Publisher 基於“安全級”對話框中當前的宏安全級對其進行響應,宏安全級的值如下:
高:無法加載加載項和模板組件。
中:警告用戶使用不安全的組件所具有的潛在安全風險。
低:在無用戶交互的情況下加載並運行加載項和模板組件。
因此,在本指南定義的兩種環境中,應將“Publisher: 信任所有安裝的加載項和模板”設置配置為“禁用”。
注意:如果將“Publisher: 信任所有安裝的加載項和模板”設置配置為“禁用”,將使 Publisher 從安全角度視加載項和模板為宏。
不安全的 ActiveX 初始化
表 4.39:設置
ActiveX 控件在 Office XP 和 Internet Explorer 內部提供了大量有用的功能。ActiveX 控件實際是可執行的代碼片段,惡意開發人員可以用它來竊取或破壞您環境計算機上的信息。為了提供必要的安全性,以防止惡意使用 ActiveX 控件,Office XP 允許您指定最終用戶只能使用經過創建人數字簽名的 ActiveX 控件,從而使您可以在一定程度上確信其來源和安全性。
啟用“不安全的 ActiveX 初始化”設置可能導致在查看或使用包含 ActiveX 控件的文檔或表單時出現問題,因為它去掉了控件所存儲的數據,並強制控件在每次激活時都重新初始化自身。因此,最佳的做法是,在為環境中計算機部署 Office XP 之前,先測試早期版本 Office 所使用的所有應用程序和表單。
可以對此設置使用下列選項:
使用控件默認值進行初始化
詢問用戶: 持久性數據或控件默認值
因此,在本指南定義的兩種環境中,應將“不安全的 ActiveX 初始化”設置配置為“啟用”,並設置為“使用控件默認值進行初始化”選項。建議設置“使用控件默認值進行初始化”選項,以阻止 ActiveX 控件使用可能用於攻擊您的客戶端的持久性數據。
Word: 宏安全級
表 4.40:設置
永久禁用環境中的所有宏可能是一件很有誘惑的事情。雖然您可以在 Office XP 中做到這一點,但由於 Office XP 中宏的管理和安全性得到了改善,因此這樣做沒有必要。如果將“Word: 宏安全級”設置配置為“中”安全級別,用戶可以選擇是否運行可能不安全的宏。此設置的“高”安全級別只允許運行來自可靠來源的已簽名宏,並自動禁用未簽名的宏。
因此,在本指南定義的兩種環境中,應將“Word: 宏安全級”設置在“企業客戶端”環境中配置為“中”;在本指南定義的“高安全級”環境中則配置為“高”。
Word: 信任對於“Visual Basic 項目”的訪問
表 4.41:設置
“Word: 信任對於‘Visual Basic 項目’的訪問”設置使您可以控制是否允許 Word 訪問附加到文檔中的 VBA 代碼。如果將此設置配置為“禁用”,將防止任何打開文檔中的宏訪問核心 Visual Basic 對象、方法和屬性。禁用此設置將消除可能的安全風險。
因此,在本指南定義的兩種環境中,應將“Word: 信任對於‘Visual Basic 項目’的訪問”設置配置為“禁用”。
Word: 信任所有安裝的加載項和模板
表 4.42:設置
可以將 Microsoft Office XP 中的所有產品配置為自動信任安裝的 COM 加載項。禁用“Word: 信任所有安裝的加載項和模板”設置,將要求 Word 確保所有加載項都由可靠來源進行數字簽名。然後,已簽名的組件可以以任何安全級別加載到計算機中。未簽名的組件或來自不可靠來源的組件將導致 Word 基於“安全級”對話框中當前的宏安全級對其進行響應,宏安全級的值如下:
高:無法加載加載項和模板組件。
中:警告用戶使用不安全的組件所具有的潛在安全風險。
低:在無用戶交互的情況下加載並運行加載項和模板組件。
因此,在本指南定義的兩種環境中,應將“Word: 信任所有安裝的加載項和模板”設置配置為“禁用”。
注意:如果將“Word: 信任所有安裝的加載項和模板”設置配置為“禁用”,將使 Word 從安全角度視加載項和模板為宏。
系統
請使用組策略對象編輯器在位於以下位置的管理模板中配置“系統”計算機設置:
計算機配置\管理模板\系統
表 4.43:系統計算機設置
關閉“自動播放”
表 4.44:設置
將媒體插入驅動器之後,“自動播放”便開始讀取驅動器中的內容,從而導致程序或音頻媒體的設置文件立即啟動。攻擊者可以借此功能啟動程序,以破壞客戶端或計算機上的數據。啟用“關閉自動播放”設置將關閉“自動播放”功能。默認情況下,在可移動驅動器(如軟盤和網絡驅動器)上禁用“自動播放”。但在 CD — ROM 驅動器上例外。如果啟用此設置,那麼最佳的做法是,禁用環境中計算機所有驅動器的“自動播放”功能。
因此,只有在“高安全級”環境中,才將“關閉自動播放”設置配置為“啟用”。但是,Microsoft 建議在本指南定義的“企業客戶端”環境中,將“關閉自動播放”設置為“未配置”。
注意:您不能使用此設置在默認禁用此設置的計算機驅動器(如軟盤和網絡驅動器)上啟用“自動播放”。
系統\登錄
請使用組策略對象編輯器在位於以下位置的管理模板中配置“登錄”計算機設置:
計算機配置\管理模板\系統\登錄
表 4.45:系統\計算機登錄安全設置
