• Статья

Планирование параметров надежных издателей в Office 2010

 

Применимо к: Office 2010

Последнее изменение раздела: 2011-07-08

Если организация использует опубликованный контент (например, элементы управления Microsoft ActiveX, надстройки и макросы Visual Basic для приложений (VBA)), то для указания доверенных поставщиков контента можно использовать список надежных издателей. Издателем является любой разработчик, компания, разрабатывающая программное обеспечение, или организация, разрабатывающая и распространяющая подписанные элементы управления ActiveX, надстройки или макросы. Надежным издателем является любой издатель, внесенный в список надежных издателей. При открытии файла, содержимое которого создано надежным издателем, оно активируется, а пользователи не оповещаются о потенциальных рисках, которые могут быть связаны с данным файлом.

Содержание:

  • Планирование параметров надежных издателей

  • Получение сертификатов от известных издателей

  • Определение сертификатов, которые необходимо добавить в список надежных издателей

  • Связанные параметры надежных издателей

Планирование параметров надежных издателей

Чтобы указать издателя в качестве надежного издателя, следует добавить сертификат издателя в список надежных издателей. В данном случае сертификат издателя представляет собой цифровой сертификат (CER-файл), использованный для подписания контента. В большинстве случаев CER-файл можно получить от издателя или экспортировать его из файлов с расширениями CAB, DLL, EXE или OCX, связанного с опубликованным контентом. Если используемый опубликованный контент неизвестен, то следует определить другой опубликованный контент, выполняемый в приложениях Microsoft Office 2010 организации, а затем получить сертификаты для данного контента.

Существует два способа добавления сертификата издателя в список "Надежные издателя": через центр развертывания Office или с помощью групповой политики. Центр развертывания Office не содержит параметров для управления сертификатами за исключением добавления сертификата надежного издателя в список надежных издателей. Чтобы управлять сертификатами или устанавливать особые отношения доверия в соответствии с бизнес-сценариями, необходимо использовать групповую политику. Дополнительные сведения о добавлении надежных издателей в список, а также об управлении корневыми сертификатами см. в разделах Управление доверенными корневыми сертификатами (https://go.microsoft.com/fwlink/?linkid=164939\&clcid=0x419) и Управление надежными издателями (https://go.microsoft.com/fwlink/?linkid=164941\&clcid=0x419).

Получение сертификатов от известных издателей

Чтобы получить сертификат на опубликованный контент, следует попросить издателя контента отправить его. Если получение сертификата таким способом невозможно, но известно имя подписанного файла с расширением CAB, DLL, EXE или OCX с опубликованным контентом, то для экспорта файла сертификата следует выполнить следующие действия.

Важно!

В данном примере подразумевается, что компьютер работает под управлением операционной системы Windows Vista.

Экспорт сертификата из DLL-файла

  1. Щелкните правой кнопкой мыши DLL-файл, подписанный издателем, и выберите команду Свойства.

  2. Перейдите на вкладку Цифровые подписи.

  3. В Списке подписей выберите сертификат, а затем щелкните элемент Состав.

  4. В диалоговом окне Состав цифровой подписи щелкните Показать сертификат.

  5. Перейдите на вкладку Состав и выберите Копировать в файл.

  6. На начальной странице мастера по работе с сертификатами нажмите Далее.

  7. На странице "Формат экспортируемого файла" выберите элемент Файлы в DER-кодировке X.509 (CER) и нажмите кнопку Далее.

  8. На странице "Имя экспортируемого файла" введите путь и имя CER-файла, а затем нажмите кнопки Далее и Готово.

Убедитесь в том, что все CER-файлы сохранены на общем сетевом ресурсе, который будет доступен с клиентских компьютеров во время установки.

Определение сертификатов, добавляемых в список надежных издателей

В некоторых случаях организация может использовать опубликованный контент по случайности, а определение опубликованного контента для добавления в список также может оказаться невозможным. Это обычно справедливо только в среде с высоким уровнем безопасности при необходимости подписания всего опубликованного контента. Чтобы протестировать приложения Office 2010 на наличие подписанного контента, необходимо выполнить следующие действия:

Важно!

В следующем примере описывается использование приложения Word 2010, но эти же действия можно выполнить и в других приложениях Office 2010.

Определение опубликованного контента и добавление издателя контента в список надежных издателей

  1. Не тестовом компьютере или на компьютере клиента со стандартной для организации конфигурацией (включающей все используемые пользователями надстройки) выберите параметр "Требовать подпись надежных издателей для надстроек приложений" в центре управления безопасностью. Для этого выполните следующие действия:

    • Последовательно щелкните вкладку Файл, Параметры, Центр управления безопасностью, Параметры центра управления безопасностью, Надстройки, Требовать подпись надежных издателей для надстроек приложений, а затем нажмите кнопку ОК.

  2. Выйдите из приложения Word и перезапустите его. Если надстройки установлены, то на панели сообщений отобразится следующее сообщение: Предупреждение безопасности: запуск активного контента отключен. Щелкните для получения дополнительных сведений..

  3. >Щелкните сообщение Запуск активного контента отключен. Щелкните для получения дополнительных сведений. на панели сообщений.

  4. Щелкните вкладку Файл, перейдите в представление Backstage, щелкните команду Включить контент, а затем щелкните элемент Дополнительные параметры.

  5. В окне Оповещение системы безопасности — несколько проблем установите все сертификаты в список надежных издателей, выполнив следующие действия для каждой надстройки, снабженной действительной цифровой подписью:

    1. Щелкните команду Показать состав подписи.

    2. В окне Состав цифровой подписи щелкните команду Показать сертификат.

    3. В окне Сертификат щелкните команду Установить сертификат.

    4. В мастере импорта сертификатов последовательно щелкните элементы Далее, Поместить все сертификаты в следующее хранилище, Обзор, Надежные издатели, ОК, Далее, Готово.

  6. Подготовка файлов сертификатов к распространению

    1. Перейдите на вкладку Файл, щелкните элементы Параметры, Центр управления безопасностью, Параметры центра управления безопасностью, а затем щелкните элемент Надежные издатели.

    2. Выберите каждый сертификат, нажмите кнопку Просмотр и выполните следующие действия:

      1. В окне Сертификат на вкладке Состав щелкните команду Копировать в файл.

      2. В мастере экспорта сертификатов щелкните Далее и еще раз Далее, чтобы принять формат файла по умолчанию, введите имя файла, выберите расположение для его сохранения и нажмите кнопку Готово.

Связанные параметры надежных издателей

Вместе с параметрами надежных издателей часто используются следующие параметры:


  • Надстройки приложений должны быть подписаны надежными издателями

    Этот параметр ограничивает число надстроек только теми надстройками, которые подписаны надежным издателем.


  • Отключить уведомление панели безопасности для неподписанных надстроек приложений

    Этот параметр скрывает от пользователей предупреждения панели сообщений о надстройках, не подписанных надежным издателем.


  • Параметры предупреждений макроса VBA

    Этот параметр ограничивает число макросов VBA только теми надстройками, которые подписаны надежным издателем.


  • Отключить все элементы управления ActiveX

    Этот параметр ограничивает число элементов управления ActiveX только теми надстройками, которые подписаны надежным издателем.

Примечание

Последние сведения о параметрах политики см. в книге Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, которую можно найти в разделе Файлы, включенные в данную загрузку страницы загрузки Файлы административных шаблонов Office 2010 (ADM, ADMX, ADML) и центр развертывания Office (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x419) (Возможно, на английском языке).