Pianificare impostazioni relative a percorsi ed editori attendibili per Office System 2007
Aggiornamento: dicembre 2009
Si applica a: Office Resource Kit
Ultima modifica dell'argomento: 2015-03-09
Contenuto dell'articolo:
Pianificare percorsi attendibili
Pianificare editori attendibili
La caratteristica percorsi attendibili di Microsoft Office System 2007 consente di designare cartelle sui dischi rigidi dei computer degli utenti o su una condivisione di rete come fonti di file attendibili. Quando una cartella viene designata come fonte di file attendibile, qualsiasi file salvato in essa viene considerato attendibile. Quando si apre un file attendibile, tutto il relativo contenuto viene attivato e gli utenti non vengono informati tramite notifica di potenziali rischi presenti nel file, quali, ad esempio, macro non firmate, controlli ActiveX o collegamenti a contenuto in Internet.
Oltre ai percorsi attendibili, è possibile utilizzare l'elenco Editori attendibili per designare editori di contenuto considerati attendibili. Un editore è uno sviluppatore, una società software o un'organizzazione che ha creato e distribuito un controllo ActiveX, un componente aggiuntivo o una macro. Un editore attendibile è un editore che è stato aggiunto all'elenco Editori attendibili. Quando si apre un file con contenuto creato da un editore attendibile, tutto il contenuto viene attivato e gli utenti non vengono informati tramite notifica di eventuali rischi presenti nel file.
Per pianificare percorsi ed editori attendibili, utilizzare le procedure e le linee guida consigliate riportate nelle sezioni seguenti.
Pianificare percorsi attendibili
Office System 2007 include diverse impostazioni che consentono di controllare il comportamento dei percorsi attendibili. Configurando queste impostazioni è possibile:
Disattivare tutti i percorsi attendibili.
Specificare percorsi attendibili su base globale o applicazione per applicazione.
Consentire la presenza di percorsi attendibili su condivisioni remote.
Impedire agli utenti di creare percorsi attendibili.
Per informazioni dettagliate su ogni impostazione relativa ai percorsi attendibili, vedere Criteri e impostazioni di protezione di Office System 2007.
Sebbene sia possibile configurare percorsi attendibili per un'ampia serie di scenari, gli scenari più comuni includono:
Disattivazione della caratteristica dei percorsi attendibili per impedire agli utenti di creare percorsi attendibili e impedire alle applicazioni di riconoscere percorsi attendibili.
Implementazione della caratteristica dei percorsi attendibili con percorsi attendibili personalizzati.
Disattivazione dei percorsi attendibili
Per disattivare i percorsi attendibili, configurare le relative impostazioni come consigliato nella tabella seguente.
Nome impostazione | Configurazione consigliata | Descrizione |
---|---|---|
Disattiva tutti i percorsi attendibili |
Selezionare questa opzione: Disattivato |
Per impostazione predefinita, i percorsi attendibili sono attivati. Selezionando questa opzione si attivano tutti i percorsi attendibili, inclusi quelli che sono stati:
L'attivazione di questa opzione impedisce agli utenti di configurare impostazioni dei percorsi attendibili in Centro protezione. Questa non è un'impostazione globale ed è quindi necessario selezionarla singolarmente per Microsoft Office Access 2007, Microsoft Office Excel 2007, Microsoft Office PowerPoint 2007, Microsoft Office Visio 2007 e Microsoft Office Word 2007. |
Se si disattivano i percorsi attendibili, assicurarsi di:
Inviare una notifica agli utenti per informarli che non possono utilizzare la caratteristica dei percorsi attendibili. Se gli utenti hanno aperto file da percorsi attendibili e si disattivano i percorsi attendibili, potrebbero cominciare a essere visualizzati avvisi sulla barra dei messaggi e agli utenti potrebbe essere richiesto di rispondere agli avvisi sulla barra dei messaggi per abilitare un contenuto attivo, quale ad esempio un controllo ActiveX o una macro di Visual Basic, Applications Edition (VBA).
Registrare le impostazioni nei documenti di pianificazione della protezione e in quelli sulle operazioni di protezione.
Implementazione di percorsi attendibili
Per implementare percorsi attendibili, è necessario determinare:
Per quali applicazioni si desidera configurare percorsi attendibili.
Quali cartelle si desidera utilizzare per i percorsi attendibili.
Quali impostazioni di condivisione e protezione di cartelle si desidera applicare ai percorsi attendibili.
Quali restrizioni si desidera applicare ai percorsi attendibili.
Determinare per quali applicazioni si desidera configurare percorsi attendibili
È possibile configurare percorsi attendibili per Office Access 2007, Office Excel 2007, Office PowerPoint 2007, Office Visio 2007 e Office Word 2007. Quando si determina per quali applicazioni si desidera configurare percorsi attendibili, tenere presente quanto segue:
I percorsi attendibili hanno effetti su tutto il contenuto attivo di un file, inclusi controlli ActiveX, collegamenti ipertestuali, collegamenti a origini dati e contenuti multimediali e macro VBA.
Ogni applicazione prevede le stesse impostazioni per la configurazione di percorsi attendibili. Questo significa che è possibile personalizzare in modo indipendente percorsi attendibili per ogni applicazione.
È possibile disattivare i percorsi attendibili per una o più applicazioni e implementare percorsi attendibili per altre applicazioni.
Determinare quali cartelle si desidera utilizzare per i percorsi attendibili
Se le cartelle di percorsi attendibili predefinite non sono adeguate all'organizzazione, è possibile creare proprie cartelle e designarle come percorsi attendibili. Per ulteriori informazioni sui percorsi attendibili predefiniti, vedere Valutare le impostazioni di protezione predefinite e le opzioni relative alla privacy di Office System 2007.
Quando si determina quali cartelle si desidera specificare come percorsi attendibili, tenere presente quanto segue:
È possibile specificare percorsi attendibili applicazione per applicazione o globalmente.
Una o più applicazioni possono condividere un percorso attendibile.
Per impedire che utenti malintenzionati aggiungano file nel percorso attendibile o modifichino file salvati nel percorso attendibile, è necessario proteggere tutte le cartelle designate come percorsi attendibili.
Non è consigliabile specificare condivisioni di rete come percorsi attendibili. Per impostazione predefinita sono consentiti solo percorsi attendibili presenti sui dischi rigidi degli utenti. Per attivare percorsi attendibili su condivisioni di rete, è necessario attivare l'impostazione Consenti percorsi attendibili non presenti nel computer.
Non è consigliabile specificare l'intera cartella Documenti come percorso attendibile. Creare invece una sottocartella al suo interno e specificare quella come percorso attendibile.
È inoltre necessario utilizzare le linee guida riportate nelle sezioni seguenti se si desidera:
Utilizzare variabili di ambiente per specificare percorsi attendibili.
Specificare cartelle Web, ovvero percorsi http://, come percorsi attendibili.
Utilizzo di variabili di ambiente per specificare percorsi attendibili
È possibile utilizzare variabili di ambiente per specificare percorsi attendibili, ma è necessario modificare il tipo di valore utilizzato per memorizzare i percorsi attendibili nel Registro di sistema, per fare in modo che le variabili di ambiente funzionino correttamente. Se si utilizza una variabile di ambiente per specificare un percorso attendibile e non si esegue la necessaria modifica del Registro di sistema, il percorso attendibile verrà visualizzato in Centro protezione, ma non sarà disponibile e verrà visualizzato come percorso relativo contenente le variabili di ambiente. Dopo aver modificato il tipo di valore nel Registro di sistema, il percorso attendibile verrà visualizzato in Centro protezione come percorso assoluto e sarà disponibile.
Importante: |
---|
Non è possibile utilizzare variabili di ambiente quando si specificano percorsi attendibili utilizzando Criteri di gruppo. È possibile utilizzare variabili di ambiente per specificare percorsi attendibili solo quando si utilizza lo Strumento di personalizzazione di Office. |
Per utilizzare variabili di ambiente per specificare percorsi attendibili, eseguire le operazioni seguenti:
Utilizzare l'Editor del Registro di sistema per individuare il percorso attendibile rappresentato da una variabile di ambiente.
I percorsi attendibili configurati utilizzando lo Strumento di personalizzazione di Office vengono memorizzati nel percorso seguente:
HKEY_CURRENT_USER/Software/Microsoft/Office/12.0/nome_applicazione/Protezione/Percorsi attendibili
In cui nome_applicazione può essere Access, Excel, PowerPoint, Visio o Word.
I percorsi attendibili vengono memorizzati in voci del Registro di sistema denominate Path come tipo di valore String Value (REG_SZ). Assicurarsi di individuare ogni voce Path che utilizza variabili di ambiente per specificare un percorso attendibile.
Modificare il tipo di valore Path.
Le applicazioni presenti in Office System 2007 non possono riconoscere variabili di ambiente memorizzate come tipi di valore String Value (REG_SZ). Per fare in modo che le applicazioni riconoscano le variabili di ambiente, è necessario modificare il tipo di valore della voce Path in Expandable String Value (REG_EXPAND_SZ). A questo scopo, eseguire la procedura seguente:
[!NOTA] La modifica incorretta del Registro di sistema potrebbe danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, si consiglia di effettuare il backup di qualsiasi dati importanti sul computer.
Annotare o copiare il valore della voce Path. Dovrebbe trattarsi di un percorso relativo contenente una o più variabili di ambiente.
Eliminare la voce Path.
Creare una nuova vocePathdi tipo Expandable String Value (REG_EXPAND_SZ).
Modificare la nuova voce Path in modo che abbia lo stesso valore annotato o copiato nel primo passaggio.
Assicurarsi si eseguire questa modifica per ogni voce Path che utilizza variabili di ambiente per specificare un percorso attendibile.
Designazione di cartelle Web come percorsi attendibili
È possibile specificare cartelle Web, ovvero percorsi http://, come percorsi attendibili. Tuttavia, solo le cartelle Web che supportano il protocollo WebDAV (Web Distributed Authoring and Versioning) o FPRPC (FrontPage Server Extensions Remote Procedure Call) verranno riconosciute come percorsi attendibili. Utilizzare le linee guida seguenti se non si è certi che una cartella Web supporti il protocollo WebDAV o FPRPC:
Se un'applicazione viene aperta da Internet Explorer, verificare l'elenco dei file utilizzati più di recente. Se l'elenco dei file utilizzati più di recente indica che il file si trova su un server remoto, invece che nella cartella File temporanei Internet, è probabile che la cartella Web supporti in qualche modo WebDAV. Ad esempio, se si fa clic su un documento mentre si utilizza Internet Explorer e il documento si apre in Office Word 2007, l'elenco dei file utilizzati più di recente dovrebbe mostrare che il documento si trova sul server remoto e non nella cartella locale File temporanei Internet.
Tentare di utilizzare la finestra di dialogo Apri per passare alla cartella Web. Se il percorso supporta WebDAV, dovrebbe essere possibile passare alla cartella Web o dovrebbero venire richieste le credenziali. Se la cartella Web non supporta WebDAV, lo spostamento avrà esito negativo e la finestra di dialogo si chiuderà.
[!NOTA] I siti creati con Windows SharePoint Services 3,0 e Microsoft Office SharePoint Server 2007 possono essere designati come percorsi attendibili.
Determinare le impostazioni di condivisione e protezione delle cartelle
Tutte le cartelle designate come percorsi attendibili devono essere condivise e protette. Utilizzare le linee guida seguenti per determinare quali impostazioni di condivisione e protezione devono essere applicate a ogni percorso attendibile:
Condividere ogni cartella designata come percorso attendibile, in modo che gli utenti possano accedere ai file salvati nel percorso attendibile.
Configurare autorizzazioni di condivisione, in modo che solo gli utenti autorizzati abbiano accesso alla cartella condivisa. Assicurarsi di utilizzare il principio dei privilegi minimi e concedere autorizzazioni che siano appropriate all'utente. In altre parole, concedere autorizzazioni di lettura agli utenti che non hanno la necessità di modificare file attendibili e concedere, invece, autorizzazioni di controllo completo agli utenti che hanno la necessità di modificare file attendibili.
Applicare autorizzazioni di protezione delle cartelle, in modo che solo gli utenti autorizzati possano leggere o modificare i file nei percorsi attendibili. Assicurarsi di utilizzare il principio dei privilegi minimi e concedere autorizzazioni che siano appropriate all'utente. In altre parole, concedere autorizzazioni di controllo completo solo agli utenti che hanno la necessità di modificare file e concedere, invece, autorizzazioni più restrittive agli utenti che devono solo leggere i file.
Determinare le restrizioni per i percorsi attendibili
Esistono diverse impostazioni che è possibile utilizzare per limitare o controllare il comportamento dei percorsi attendibili. Utilizzare i suggerimenti nella tabella seguente per determinare come configurare queste impostazioni.
Nome impostazione | Configurazione consigliata | Descrizione |
---|---|---|
Consenti criteri e percorsi definiti dall'utente |
Selezionare questa opzione: Disattivato |
Per impostazione predefinita, un computer può includere una combinazione di percorsi attendibili creati dall'utente, mediante lo Strumento di personalizzazione di Office e mediante Criteri di gruppo. Selezionando questa opzione si disattivano tutti i percorsi attendibili che non sono stati creati con Criteri di gruppo e si impedisce agli utenti di creare nuovi percorsi attendibili tramite l'interfaccia utente grafica di Centro protezione. L'impostazione è di tipo globale e viene quindi applicata a tutte le applicazioni per cui si configurano percorsi attendibili. |
Consenti percorsi attendibili non presenti nel computer |
Selezionare questa opzione: Disattivato |
Per impostazione predefinita, i percorsi attendibili che coincidono con condivisioni di rete sono disattivati, ma gli utenti possono comunque selezionare la casella di controllo Consenti percorsi attendibili di questa rete nell'interfaccia utente grafica di Centro protezione. Selezionando questa opzione si disattivano i percorsi attendibili che coincidono con condivisioni di rete e si impedisce agli utenti di selezionare la casella di controllo Consenti percorsi attendibili di questa rete nell'interfaccia utente grafica di Centro protezione. Se si specifica Disattivato e un utente tenta di designare una condivisione di rete come percorso attendibile, un avviso informerà l'utente che le impostazioni di protezione correnti non consentono la creazione di percorsi attendibili con percorsi remoti o di rete. Se un amministratore designa una condivisione di rete come percorso attendibile tramite Criteri di gruppo o utilizzando lo Strumento di personalizzazione di Office e l'impostazione attiva è Disattivato, il percorso attendibile verrà disattivato e non sarà riconosciuto da alcuna applicazione. Questa non è un'impostazione globale ed è quindi necessario configurarla singolarmente per Office Access 2007, Office Excel 2007, Office PowerPoint 2007, Office Visio 2007 e Office Word 2007. |
[!NOTA] È inoltre possibile utilizzare l'impostazione Rimuovi tutti i percorsi attendibili scritti dallo Strumento di personalizzazione di Office durante l'installazione per eliminare tutti i percorsi attendibili che sono stati creati configurando lo Strumento di personalizzazione di Office. Per ulteriori informazioni su questa impostazione, vedere Criteri e impostazioni di protezione di Office System 2007.
Pianificare editori attendibili
In Office System 2007, i certificati per gli editori attendibili vengono memorizzati nell'archivio degli editori attendibili di Internet Explorer. Nelle versioni precedenti di Office, le informazioni dei certificati degli editori attendibili, e in particolare l'identificazione digitale dei certificati, vengono invece memorizzate in uno speciale archivio di editori attendibili di Office. Office System 2007 continua a leggere le informazioni dei certificati degli editori attendibili dall'archivio degli editori attendibili di Office, ma non scrive informazioni in tale archivio. Pertanto, se è stato creato un elenco di editori attendibili in una versione precedente di Office e si esegue l'aggiornamento a Office System 2007, l'elenco degli editori attendibili verrà comunque riconosciuto. Tuttavia, tutti i certificati degli editori attendibili aggiunti all'elenco verranno memorizzati nell'archivio degli editori attendibili di Internet Explorer. Questo comportamento vale per tutte le applicazioni che utilizzano l'elenco degli editori attendibili, tra cui:
Office Access 2007
Office Excel 2007
Microsoft Office InfoPath 2007
Microsoft Office Outlook 2007
Office PowerPoint 2007
Microsoft Office Publisher 2007
Office Visio 2007
Office Word 2007
Non è possibile utilizzare i modelli amministrativi di Office 2007 per aggiungere certificati all'elenco degli editori attendibili; tuttavia, è possibile utilizzare lo Strumento di personalizzazione di Office. A questo scopo, è necessario ottenere il certificato digitale (file con estensione cer) dall'editore attendibile. Se non è possibile ottenere un certificato direttamente dall'editore, è possibile esportare un certificato da un file firmato dall'editore in questione, ad esempio un file DLL (Dynamic-Link Library (con estensione dll) o un file eseguibile (con estensione exe). Nella procedura seguente viene illustrato come fare.
Esportare un certificato da un file con estensione dll
Fare clic con il pulsante destro del mouse sul file con estensione dll firmato dall'editore e quindi scegliere Proprietà.
Fare clic sulla scheda Firme digitali.
Nell'elenco Firma fare clic sul certificato e quindi su Dettagli.
Nella finestra di dialogo dei dettagli sulla firma digitale fare clic su Visualizza certificato.
Fare clic sulla scheda Dettagli e quindi su Copia su file.
Nella pagina di benvenuto dell'Esplorazione guidata certificati fare clic su Avanti.
Nella pagina Formato file di esportazione fare clic su X.509 binario codificato DER (.CER) e quindi su Avanti.
Nella pagina File da esportare digitare un percorso e il nome del file con estensione cer, fare clic su Avanti e quindi su Fine.
In alternativa, è possibile utilizzare questa procedura per determinare i certificati necessari e quindi crearli in Microsoft Office Word 2007.
Determinare i certificati necessari
In un computer di prova o un computer client che esegue la configurazione standard per l'organizzazione (inclusi i componenti aggiuntivi necessari per gli utenti) attivare l'opzione Richiedi che i componenti aggiuntivi di applicazioni siano firmati da un editore attendibile:
- Fare clic sul pulsante Microsoft Office, su Opzioni di Word, su Centro protezione, su Impostazioni Centro protezione, su Componenti aggiuntivi, su Richiedi che i componenti aggiuntivi di applicazioni siano firmati da un editore attendibile e quindi su OK.
Uscire e riavviare Word. Se sono installati componenti aggiuntivi, sulla barra Avviso di protezione verrà visualizzato il messaggio seguente: I componenti aggiuntivi dell'applicazione sono stati disattivati.
Disattivare temporaneamente gli smart tag:
Fare clic sul pulsante Microsoft Office, su Opzioni di Word e quindi su OK. Sulla barra Avviso di protezione verrà visualizzato il messaggio seguente: Il contenuto attivo è stato in parte disattivato.
[!NOTA] Gli smart tag verranno nuovamente attivati dopo aver chiuso e riavviato Word.
Fare clic su Opzioni sulla barra Avviso di protezione.
Nella finestra Avviso di protezione – Molteplici problemi installare ogni certificato nell'elenco Editori attendibili eseguendo la procedura seguente per ogni componente aggiuntivo con una firma digitale valida:
[!NOTA] Se nel passaggio precedente non sono stati disattivati gli smart tag, verrà visualizzata una finestra diversa in cui non è possibile installare certificati.
Fare clic su Mostra dettagli firma.
Nella finestra Dettagli firma digitale fare clic su Visualizza certificato.
Nella finestra Certificato fare clic su Installa certificato.
Nell'Importazione guidata certificati fare clic su Avanti, su Mettere tutti i certificati nel seguente archivio, su Sfoglia, su Editori attendibili, su OK, su Avanti e quindi su Fine.
Preparare i file dei certificati per la distribuzione:
Visualizzare i certificati installati nella casella Editori attendibili (fare clic sul pulsante Microsoft Office, su Opzioni di Word, su Centro protezione, su Impostazioni Centro protezione e quindi su Editori attendibili).
Per ogni certificato disponibile fare doppio clic sul certificato e quindi eseguire la procedura seguente:
Nella scheda Dettagli della finestra Certificato fare clic su Copia su file.
Nell'Esportazione guidata certificati fare clic su Avanti, di nuovo su Avanti per accettare il formato di file predefinito, specificare un nome di file, selezionare un percorso per il file e quindi fare clic su Fine.
Scaricare il manuale
Questo argomento è incluso nel manuale seguente, che può essere scaricato per una lettura e una stampa più agevoli:
Per un elenco completo dei manuali disponibili, vedere la pagina di informazioni sul contenuto scaricabile di Office Resource Kit 2007 (informazioni in lingua inglese).