Планирование параметров надежных расположений в Office 2010

 

Применимо к: Office 2010

Последнее изменение раздела: 2015-03-09

Чтобы отделить безопасные файлы от потенциально вредоносных, можно использовать функцию "Надежные расположения" приложения Microsoft Office 2010. Эта функция позволяет указать на жестких дисках компьютеров пользователей или на общем сетевом ресурсе надежные источники файлов. Если папка помечена как надежный источник файлов, то все файлы, сохраненные в этой папке, считаются надежными файлами. При открытии надежного файла все содержимое этого файла включено и активно, а пользователи не оповещаются о потенциальных рисках, связанных с данным файлом (например, о неподписанных надстройках и макросах Microsoft Visual Basic для приложений (VBA), ссылках на контент из Интернета или о подключениях к базе данных).

Содержание:

  • Планирование параметров надежных расположений

  • Реализация надежных расположений

  • Отключение надежных расположений

Планирование параметров надежных расположений

Пакет Office 2010 предусматривается несколько параметров, позволяющих управлять поведением надежных расположений. Настройка этих параметров позволяет выполнить следующие действия.

  • Определить надежные расположения глобально или по отдельным приложениям.

  • Разрешить существование надежных расположений на удаленных общих ресурсах.

  • Запретить пользователям создание надежных расположений.

  • Отключение функции надежных расположений.

Функция надежных расположений доступна в следующих приложениях: Microsoft Access 2010, Microsoft Excel 2010, Microsoft InfoPath 2010, Microsoft PowerPoint 2010, Microsoft Visio 2010 и Microsoft Word 2010.

В следующем списке перечислены параметры настройки по умолчанию для функции надежных расположений:

  • Надежные расположения включены.

  • Пользователи не могут назначать сетевые папки в качестве надежных расположений, однако данный параметр можно изменить в центре управления безопасностью.

  • Пользователи могут добавлять папки к списку надежных расположений.

  • Возможно использование пользовательских надежных расположений и расположений, определенных политикой.

Кроме того, в качестве надежных расположений в установке по умолчанию Office 2010 назначаются несколько папок. Папки по умолчанию для каждого приложения перечислены в следующих таблицах. InfoPath 2010 и Visio 2010 не имеют надежных расположений по умолчанию.

Надежные расположения Access 2010

В таблице далее перечислены надежные расположения по умолчанию для Access 2010.

Надежные расположения по умолчанию Описание папки Надежные подпапки

Program Files\Microsoft Office\Office14\ACCWIZ

Базы данных мастеров

Не разрешено

Надежные расположения Excel 2010

В таблице далее перечислены надежные расположения по умолчанию для Excel 2010.

Надежные расположения по умолчанию Описание папки Надежные подпапки

Program Files\Microsoft Office\Шаблоны

Шаблоны приложений

Разрешено

Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны

Шаблоны пользователя

Не разрешено

Program Files\Microsoft Office\Office14\XLSTART

Автозагрузка Excel

Разрешено

Users\имя_пользователя\Appdata\Roaming\Microsoft\Excel\XLSTART

Автозагрузка пользователя

Не разрешено

Program Files\Microsoft Office\Office14\STARTUP

Автозагрузка Office

Разрешено

Program Files\Microsoft Office\Office14\Library

Надстройки

Разрешено

Надежные расположения PowerPoint 2010

В таблице далее перечислены надежные расположения по умолчанию для PowerPoint 2010.

Надежные расположения по умолчанию Описание папки Надежные подпапки

Program Files\Microsoft Office\Шаблоны

Шаблоны приложений

Разрешено

Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны

Шаблоны пользователя

Разрешено

Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны

Надстройки

Не разрешено

Program Files\Microsoft Office\Document Themes 14

Темы приложений

Разрешено

Надежные расположения Word 2010

В таблице далее перечислены надежные расположения по умолчанию для Word 2010.

Надежные расположения по умолчанию Описание папки Надежные подпапки

Program Files\Microsoft Office\Шаблоны

Шаблоны приложений

Разрешено

Users\имя_пользователя\Appdata\Roaming\Microsoft\Шаблоны

Шаблоны пользователя

Не разрешено

Users\имя_пользователя\Appdata\Roaming\Microsoft\Word\Startup

Автозагрузка пользователя

Не разрешено

Примечание

Сведения о настройке параметров безопасности в центре развертывания Office и административных шаблонах Office 2010 см. в разделе Настройка безопасности Office 2010.

Реализация надежных расположений

Для реализации надежных расположений необходимо определить следующие компоненты.

  • Приложения, для которых должны быть настроены надежные расположения.

  • Папки, которые предполагается использовать в качестве надежных расположений.

  • Параметры предоставления доступа к папкам и их безопасности, которые предполагается применить к надежным расположениям.

  • Ограничения, которые предполагается применить к надежным расположениям.

Определение настраиваемых приложений

Следуйте рекомендациям ниже для определения приложений, для которых необходимо настроить надежные расположения.

  • Надежные расположения влияют на весь активный контент файла, в том числе надстройки, элементы управления ActiveX, гиперссылки, ссылки на источники данных и мультимедиа и макросы VBA. Кроме того, для файлов, открытых из надежных расположений, пропускаются проверки действительности, блокировки файлов, а также к ним не применяется защищенное представление.

  • В приложениях существуют одинаковые параметры для настройки надежных расположений. Это означает, что для каждого приложения можно настаивать надежные расположения независимо.

  • Надежные расположения можно отключить для одного или нескольких приложений и реализовать их для других приложений.

Определение папок, используемых в качестве надежных расположений

Следуйте рекомендациям ниже для определения папок, которые следует указать в качестве надежных расположений.

  • Надежные расположения можно определять для каждого приложения в отдельности или глобально.

  • Одно или несколько приложений могут иметь общее надежное расположение.

  • Чтобы исключить для злоумышленников возможность добавления файлов в надежные расположения или изменения файлов, сохраняемых в надежном расположении, необходимо применить параметры безопасности операционной системы ко всем папкам, установленным в качестве надежного расположения.

  • По умолчанию допустимыми в качестве надежных расположений являются только папки, размещенные на жестких дисках пользователей. Чтобы разрешить использование сетевых общих папок как надежных расположений, необходимо включить параметр Разрешить надежные расположения не на компьютере.

  • Не рекомендуется определять в качестве надежных расположений корневые папки (например, диск С) или все папки "Документы" или "Мои документы". Лучше создать внутри этих папок вложенную папку и определить только эту папку как надежное расположение.

Кроме того, необходимо использовать инструкции, приведенные в следующих разделах, если предполагается:

  • использовать переменные среды для определения надежных расположений;

  • указывать интернет-папки (т.е. пути http://) в качестве надежных расположений;

использовать переменные среды для определения надежных расположений;

Переменные среды можно использовать для определения надежных расположений в групповой политике и в центре развертывания Office, но для правильной работы переменных среды в центре развертывания необходимо изменить тип значения, используемый для хранения надежных расположений в реестре. Если для определения надежного расположения используется переменная среды и при этом не производится необходимое изменение реестра, надежное расположение появляется в "Центре управления безопасностью", но оно недоступно и появляется как относительный путь, содержащий переменные среды. После изменения типа значения в реестре надежное расположение появится в "Центре управления безопасностью" как абсолютный путь и будет доступно.

Использование переменные среды для определения надежных расположений

  1. Используйте редактор реестра для указания надежного расположения, представленного переменной среды.

    Чтобы открыть редактор реестра, нажмите кнопку Пуск, выберите Выполнить..., введите regedit и нажмите OK.

    Надежные расположения, настраиваемые с помощью центра развертывания Office, хранятся в следующем разделе:

    HKEY_CURRENT_USER/Software/Microsoft/Office/14.0/имя_приложения/Security/Trusted Locations

    Где имя_приложения может быть приложениями Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Visio или Microsoft Word.

    Надежные расположения хранятся в записях реестра под именем Path, и они хранятся как типы значений "Строковый параметр" (REG_SZ). Убедитесь, что найдены все записи Path, в которых используются переменные среды для определения надежного расположения.

  2. Измените тип значения Path.

    Приложения в пакете Office 2010 не могут распознать переменные среды, хранящиеся как типы значений "Строковый параметр" (REG_SZ). Чтобы приложения могли распознать переменные среды, необходимо изменить тип значения записи Path на "Расширяемый строковый параметр" (REG_EXPAND_SZ). Для этого выполните следующие операции.

    1. Запишите или скопируйте значение записи Path. Это должен быть относительный путь, содержащий одну или несколько переменных среды.

    2. Удалите запись Path.

    3. Создайте новую записьPathтипа "Расширяемый строковый параметр" (REG_EXPAND_SZ).

    4. Измените новую запись Path так, чтобы она имела такое же значение, как то, которое было записано или скопировано на первом шаге.

    Проделайте это изменение для каждой записи Path, в которой используются переменные среды для определения надежного расположения.

Определение веб-папок в качестве надежных расположений

Пользователь может определить веб-папки (т.е. пути http://) как надежные расположения, но в качестве надежных расположений будут распознаваться только те веб-папки, которые поддерживают протоколы WebDAV или FPRPC. Если нет уверенности в том, поддерживает ли веб-папка протоколы WebDAV или FPRPC, воспользуйтесь следующими инструкциями.

  • Если приложение открывается браузером Internet Explorer, проверьте список последних использованных файлов. Если из этого списка следует, что указанные файлы размещены на удаленном сервере, а не в папке временных файлов Интернета, это означает, что, вероятно, веб-папка поддерживает протокол WebDAV в той или иной форме. Например, если щелкнуть документ во время просмотра в Internet Explorer и документ открывается в Word 2010, список последних использованных файлов показывает, что документ расположен на удаленном сервере, а не в папке временных файлов Интернета.

  • Попытайтесь использовать диалоговое окно Открыть, чтобы перейти в веб-папку. Если эта папка поддерживает протокол WebDAV, такой переход произойдет сразу или программа попросит учетные данные. Если же веб-папка не поддерживает WebDAV, переход прекращается и диалоговое окно закрывается.

Примечание

Сайты, создаваемые с помощью Windows SharePoint Services и Microsoft SharePoint Server, могут быть обозначены как надежные расположения.

Определение параметров общего доступа к папкам и их безопасности

Все папки, определяемые как надежные расположения, должны быть защищены. Выполните следующие действия, чтобы определить параметры общего доступа и безопасности, которые необходимо применить для каждого из надежных расположений.

  • Если папка является общей, следует настраивать разрешения на совместное использование таким образом, чтобы доступ к общей папке имели только авторизованные пользователи. Старайтесь придерживаться принципа минимальных привилегий и предоставлять разрешения строго в объеме, необходимом пользователю. Это означает, в частности, что разрешение "Чтение" следует предоставлять пользователям, у которых нет необходимости изменять надежные файлы, а разрешение "Полный доступ" — пользователям, у которых есть такая необходимость.

  • Применяйте разрешения системы безопасности папок таким образом, чтобы читать или изменять файлы из надежных расположений могли только авторизованные пользователи. Старайтесь придерживаться принципа минимальных привилегий и предоставлять разрешения строго в объеме, необходимом пользователю. Это означает, в частности, что разрешения "Полный доступ" следует предоставлять только пользователям, которые должны изменять файлы, а пользователям, которым требуется только читать файлы, будет достаточно более ограниченных прав.

Определение ограничений для надежных расположений

Office 2010 содержит несколько параметров, которые можно использовать для ограничения доступа к надежным расположениям или контроля за поведением при их использовании. В следующей таблице приведены рекомендации по настройке этих параметров.

Имя параметра. Разрешить расположения, создаваемые пользователями и определяемые политиками


  • Описание. Этот параметр определяет возможность определения надежных расположений пользователями, центром развертывания Office и групповой политикой или только групповой политикой. По умолчанию пользователи могут указать любое расположение в качестве надежного расположения, а компьютер может иметь любое сочетание надежных расположений созданных пользователями, центром развертывания Office и групповой политикой.


  • Влияние. Если этот параметр отключен, то запрещаются все надежные расположения, не созданные групповой политикой. При этом пользователи не смогут создавать новые расположения в центре управления безопасностью. Отключение этого параметра вызовет неполадки для пользователей, определивших собственные надежные расположения в центре управления безопасностью. Приложения обрабатывают эти расположения как другие ненадежные расположения, то есть при открытии файлов на панели сообщений отображается предупреждение об элементах управления ActiveX и макросах VBA. Пользователи должны будут подтвердить необходимость включения элементов управления или макросов или оставить их в отключенном состоянии. Этот глобальный параметр применяется ко всем приложениями, для которых настраиваются надежные расположения.


  • Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно включается. Если в организации поддерживается собственная конфигурация с помощью групповой политики, то этот параметр обычно отключается.

Имя параметра. Разрешить надежные расположения, находящиеся не на компьютере


  • Описание. Этот параметр определяет возможность использования надежных расположений в сети. По умолчанию отключаются надежные расположения, являющиеся общими сетевыми ресурсами. При этом пользователи также могут установить флажок Разрешить надежные расположения в моей сети в центре управления безопасностью, который позволит пользователям указать сетевые ресурсы в качестве надежных расположений. Этот параметр не является глобальным. Этот параметр настраивается отдельно для приложений Access 2010, Excel 2010, PowerPoint 2010, Visio 2010 и Word 2010.


  • Влияние. Отключение этого параметра приведет к отключению всех надежных расположений, являющихся общими сетевыми ресурсами, а также запретит пользователям устанавливать флажок Разрешить надежные расположения в моей сети в центре управления безопасностью. Отключение этого параметра вызовет неполадки для пользователей, определивших собственные надежные расположения в центре управления безопасностью. Если этот параметр отключен, а пользователь пытается указать общий сетевой ресурс в качестве надежного расположения, то будет выведено предупреждение о том, что текущие параметры безопасности не разрешают создание надежных расположений, являющихся удаленными или сетевыми путями. Если администратор указывает общий сетевой ресурс в качестве надежного расположения через групповую политику или с помощью центра развертывания Office, а этот параметр отключен, то будет отключено и надежное расположение. Приложения обрабатывают эти расположения как другие ненадежные расположения, то есть при открытии файлов на панели сообщений отображается предупреждение об элементах управления ActiveX и макросах VBA.


  • Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно отключается.

Примечание

Можно также использовать параметр Удалить все надежные расположения, записанные центром развертывания Office при установке, чтобы удалить все надежные расположения, которые были созданы путем настройки центра развертывания Office.

Отключить надежные расположения

Office 2010 позволяет отключить функцию надежных расположений с помощью особого параметра. Этот параметр необходимо настроить отдельно для приложений Access 2010, Excel 2010, PowerPoint 2010, Visio 2010 и Word 2010. Следуйте указанным ниже рекомендациям для определения необходимости использования этого параметра.

Имя параметра. Отключить все надежные расположения


  • Описание. Этот параметр позволяет администраторам отключать функцию надежных расположений для отдельных приложений. По умолчанию функция надежных расположений включена, а пользователи могут создавать надежные расположения.


  • Влияние. Включение этого параметра отключает все надежные расположения, в том числе надежные расположения, которые:

    • созданы по умолчанию во время установки;

    • созданы с помощью центра развертывания Office;

    • созданы пользователями с помощью центра управления безопасностью;

    • созданы с помощью групповой политики;

    Включение этого параметра также запрещает пользователям настраивать параметры надежных расположений в центре управления безопасностью. При включении этого параметра убедитесь в том, что пользователи оповещены о том, что использование функции надежных расположений невозможно. Если пользователи открывали файлы из надежных расположений, то после включения данного параметра пользователям будет необходимо включать содержимое на панели сообщений (например, элементы управления ActiveX, надстройки и макросы VBA).


  • Рекомендации. В организациях со строгими требованиями к безопасности среды этот параметр обычно включается.

Примечание

Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке).