Percorsi attendibili per i file di Office
Si applica a:Microsoft 365 Apps, Office LTSC 2021, Office 2019 e Office 2016
Posizioni attendibili è una funzionalità di Office in cui i file contenuti in queste cartelle vengono considerati sicuri, ad esempio i file creati manualmente o salvati da un'origine attendibile. Questi file ignorano i servizi di protezione dalle minacce, ignorano le impostazioni dei blocchi di file e tutto il contenuto attivo è abilitato. Ciò significa che i file salvati in Percorsi attendibili non vengono aperti in Visualizzazione protetta o in Application Guard.
Il contenuto attivo può includere componenti aggiuntivi non firmati, macro VBA, connessioni a dati esterni e altro ancora. Assicurarsi di considerare attendibile l'origine originale del file prima di salvarlo in un percorso attendibile. È importante che tutto il contenuto attivo sia abilitato e che gli utenti non ricevano notifiche sui potenziali rischi per la sicurezza. Il diagramma seguente mostra il flusso di lavoro di attendibilità per l'apertura di file di Office.
Come illustrato nel passaggio 2, i file in Percorsi attendibili ignorano tutti gli altri controlli di sicurezza e criteri. Pertanto, i percorsi attendibili devono essere usati raramente, per situazioni univoche e solo per utenti selezionati. Nella baseline di sicurezza per Microsoft 365 Apps for enterprise, le indicazioni consentono di disabilitare i percorsi attendibili basati sulla rete. Quindi, se necessario, controllare centralmente i percorsi attendibili tramite i criteri e non consentire agli utenti di impostare autonomamente posizioni attendibili.
Passaggi di pianificazione per i percorsi attendibili
I percorsi attendibili abilitano tutto il contenuto all'interno di un file, inclusi componenti aggiuntivi, controlli ActiveX, collegamenti ipertestuali, collegamenti a origini dati e supporti e macro VBA. I file aperti da Percorsi attendibili ignorano i controlli di convalida dei file, i controlli dei blocchi di file e non si aprono in Visualizzazione protetta o in Application Guard. Esistono diversi livelli di attendibilità che è possibile consentire nell'organizzazione per le posizioni attendibili:
- Consentire agli utenti finali di creare autonomamente posizioni attendibili nel dispositivo o nella rete
- Usare i criteri per impedire agli utenti di creare percorsi attendibili
- Usare i criteri per gestire centralmente i percorsi attendibili
- Disabilitare i percorsi attendibili
È importante scegliere gli scenari migliori per l'organizzazione e la relativa tolleranza ai rischi per la sicurezza.
Nota
Alcuni percorsi attendibili vengono creati per impostazione predefinita quando Office è installato. Per un elenco di tali percorsi attendibili, vedere Percorsi attendibili predefiniti per le app di Office.
Per implementare percorsi attendibili, è necessario determinare:
- Le app di Office per cui si vogliono configurare i percorsi attendibili.
- Cartelle da designare come posizioni attendibili.
- Le impostazioni di sicurezza della condivisione delle cartelle e delle cartelle che si desidera applicare ai percorsi attendibili.
- Restrizioni che si desidera applicare ai percorsi attendibili.
Determinare le app di Office per cui si vogliono configurare i percorsi attendibili
È possibile visualizzare l'elenco dei percorsi attendibili passando aOpzioni>file> Impostazionicentro>protezione...>Percorsi attendibili nelle app di Office seguenti:
- Access
- Excel
- PowerPoint
- Visio
- Word
I criteri sono disponibili per gestire i percorsi attendibili per ognuna di queste app di Office. Per altre informazioni, vedere Usare i criteri per gestire i percorsi attendibili.
Nota
I criteri sono disponibili anche per Project, ma In Project non sono disponibili impostazioni di percorsi attendibili nel Centro protezione.
Determinare le cartelle da designare come percorsi attendibili
Di seguito sono riportate alcune considerazioni da tenere presenti quando si determinano le cartelle da usare come percorsi attendibili:
A meno che non venga bloccato dai criteri, gli utenti possono creare e modificare percorsi attendibili nel Centro protezione per l'app di Office. Per altre informazioni, vedere Aggiungere, rimuovere o modificare un percorso attendibile.
Per impostazione predefinita, sono consentiti solo i percorsi attendibili locali del dispositivo dell'utente. I percorsi di rete possono anche essere impostati come percorso attendibile, ma non consigliati.
Non è consigliabile che gli utenti specifichino le cartelle radice come percorsi attendibili. Ad esempio, l'unità C: o la cartella Documenti. Creare invece una sottocartella all'interno di tali cartelle e specificare solo tale cartella come percorso attendibile.
Una o più applicazioni possono usare lo stesso percorso attendibile.
È possibile usare i criteri Percorso attendibile n. 1 per designare i percorsi attendibili per gli utenti.
Determinare le impostazioni di condivisione cartelle e sicurezza delle cartelle per le cartelle percorso attendibile
Tutte le cartelle specificate come percorsi attendibili devono essere protette per impedire agli utenti malintenzionati di aggiungere o modificare file in un percorso attendibile.
Se una cartella è condivisa, configurare le autorizzazioni di condivisione in modo che sia accessibile solo agli utenti autorizzati.
Assicurarsi di utilizzare il principio dei privilegi minimi e concedere autorizzazioni che siano appropriate all'utente. Concedere l'autorizzazione lettura agli utenti che non devono modificare i file in Percorsi attendibili. Concedere l'autorizzazione Controllo completo agli utenti che devono modificare i file.
Usare i criteri per gestire i percorsi attendibili
Esistono diversi criteri che è possibile usare per gestire i percorsi attendibili nell'organizzazione.
- Percorso attendibile n. 1
- Consenti percorsi attendibili nella rete
- Disattiva tutti i percorsi attendibili
È possibile usare Criteri cloud, l'interfaccia di amministrazione Microsoft Intune o Criteri di gruppo Management Console per configurare e distribuire le impostazioni dei criteri agli utenti dell'organizzazione. Per altre informazioni, vedere Strumenti disponibili per gestire i criteri.
Nota
Per le versioni con contratti multiuso di Office 2016, ad esempio Office Professional Plus 2016, è possibile usare lo Strumento di personalizzazione di Office per configurare i percorsi attendibili. Per altre informazioni, vedere Office Customization Tool (OCT) 2016 Help: Office security settings (Strumento di personalizzazione di Office 2016: impostazioni di sicurezza di Office).
Esistono criteri separati per i percorsi attendibili per ogni applicazione di Office. La tabella seguente mostra dove è possibile trovare ogni criterio nella console di gestione Criteri di gruppo in Configurazione utente\Criteri\Modelli amministrativi.
| Applicazione | Percorso dei criteri |
|---|---|
| Access | Microsoft Access 2016\Application Settings\Security\Trust Center\Trusted Locations |
| Excel | Microsoft Excel 2016\Opzioni di Excel\Sicurezza\Centro protezione\Percorsi attendibili |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center\Trusted Locations |
| Project | Microsoft Project 2016\Project Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center\Trusted Locations |
Configurare i criteri Consenti combinazione di criteri e percorsi utente per determinare se sia gli utenti che gli amministratori, o solo gli amministratori, possono definire percorsi attendibili.
Criterio "Percorso attendibile #1"
È possibile usare questo criterio per specificare il percorso di un percorso attendibile per gli utenti dell'organizzazione. Esistono 20 istanze di questo criterio. Ad esempio, Percorso attendibile #1, Percorso attendibile #2, Percorso attendibile #3 e così via.
Per impostazione predefinita, questi criteri sono vuoti. Per aggiungere un percorso attendibile, abilitare il criterio e specificare il percorso del percorso attendibile. Assicurarsi che il percorso specificato sia protetto impostando le autorizzazioni in modo che solo gli utenti appropriati possano aggiungere file di Office a tale percorso.
I percorsi attendibili specificati con questo criterio vengono visualizzati nella sezione Percorsi dei criteri inOpzioni>file> Impostazionicentro>protezione...>Percorsi attendibili.
Nota
- È possibile usare le variabili di ambiente quando si specifica un percorso attendibile.
- Questi 20 criteri sono disponibili anche in Configurazione utente\Criteri\Modelli amministrativi\Microsoft Office 2016\Impostazioni di sicurezza\Centro protezione. Se si usa questa versione dei criteri, i criteri si applicano a tutte le app che supportano i percorsi attendibili.
Criterio "Consenti percorsi attendibili nella rete"
Questo criterio controlla se è possibile usare percorsi attendibili nella rete.
Per impostazione predefinita, i percorsi attendibili nei percorsi di rete sono disabilitati. Ma gli utenti possono modificare questa impostazione passando aOpzioni>file> Impostazionicentro>protezione...>Percorsi attendibili e selezionando la casella di controllo Consenti percorsi attendibili nella rete (non consigliata).
Lo stato scelto per i criteri determina il livello di protezione fornito. La tabella seguente illustra il livello di protezione ottenuto con ogni stato.
| Icona | Livello di protezione | Stato dei criteri | Descrizione |
|---|---|---|---|
|
Protetto [consigliato] | Disabilitato | Blocca i percorsi attendibili nei percorsi di rete, inclusi quelli configurati dall'amministratore (ad esempio, usando il criterio "Percorso attendibile #1").
Ignora tutti i percorsi di rete impostati dagli utenti come percorsi attendibili nel Centro protezione e impedisce agli utenti di aggiungerne altri. |
|
Non protetto | Abilitato | Consente ai percorsi di rete come percorsi attendibili di essere impostati sia dagli utenti che dai criteri. |
|
Parzialmente protetto | Not Configured | Per impostazione predefinita, agli utenti viene impedito di aggiungere percorsi di rete come percorsi attendibili, ma è possibile abilitare questa impostazione selezionando la casella di controllo Consenti percorsi attendibili nella rete (non consigliata) nel Centro protezione |
È consigliabile impostare questo criterio su Disabilitato come parte della baseline di sicurezza per Microsoft 365 Apps for enterprise. È consigliabile disabilitare questo criterio per la maggior parte degli utenti e fare eccezioni solo per determinati utenti in base alle esigenze.
È possibile specificare cartelle Web come percorsi attendibili. Ma solo le cartelle Web che supportano i protocolli Web Distributed Authoring and Versioning (WebDAV) o FPRPC (FrontPage Server Extensions Remote Procedure Call) vengono riconosciute come percorsi attendibili.
Criterio "Disabilita tutte le posizioni attendibili"
Questo criterio può essere usato per disabilitare tutti i percorsi attendibili.
Per impostazione predefinita, sono disponibili percorsi attendibili e gli utenti possono designare qualsiasi posizione come posizione attendibile e un dispositivo può avere qualsiasi combinazione di percorsi attendibili creati dall'utente e configurati dall'amministratore.
Lo stato scelto per i criteri determina il livello di protezione fornito. La tabella seguente illustra il livello di protezione ottenuto con ogni stato.
| Icona | Livello di protezione | Stato dei criteri | Descrizione |
|---|---|---|---|
|
|
Protetto | Abilitato | Tutti i percorsi attendibili sono bloccati. |
|
|
Non protetto | Disabilitato | Un utente o un dispositivo può avere una combinazione di percorsi attendibili creati dall'utente o configurati dall'amministratore (ad esempio, in base ai criteri). |
|
|
Non protetto | Not Configured | Questa impostazione è l'impostazione predefinita di Office. Fornisce lo stesso comportamento di Disabled. |
Le organizzazioni con un ambiente di sicurezza altamente restrittivo in genere impostano questo criterio su Abilitato.
Criterio "Consenti combinazione di criteri e posizioni degli utenti"
Questo criterio controlla se i percorsi attendibili possono essere definiti dagli utenti e dagli amministratori (ad esempio, in base ai criteri) o se i percorsi attendibili possono essere definiti solo dai criteri.
Questo criterio è disponibile in Configurazione utente\Criteri\Modelli amministrativi\Microsoft Office 2016\Impostazioni di sicurezza\Centro protezione nella console di gestione Criteri di gruppo.
Lo stato scelto per i criteri determina il livello di protezione fornito. La tabella seguente illustra il livello di protezione ottenuto con ogni stato.
| Icona | Livello di protezione | Stato dei criteri | Descrizione |
|---|---|---|---|
|
|
Protetto [consigliato] | Disabilitato | Sono consentiti solo i percorsi attendibili definiti dai criteri. |
|
|
Non protetto | Abilitato | Un utente o un dispositivo può avere una combinazione di percorsi attendibili creati dall'utente o configurati dall'amministratore (ad esempio, in base ai criteri). |
|
|
Non protetto | Not Configured | Questa impostazione è l'impostazione predefinita di Office. Fornisce lo stesso comportamento di Enabled. |
È consigliabile impostare questo criterio su Disabilitato come parte della baseline di sicurezza per Microsoft 365 Apps for enterprise. È consigliabile disabilitare questo criterio per la maggior parte degli utenti e fare eccezioni solo per determinati utenti in base alle esigenze.
Percorsi attendibili predefiniti per le app di Office
Diverse cartelle sono designate come percorsi attendibili predefiniti in un'installazione di Office. I percorsi attendibili predefiniti sono elencati nelle tabelle per le applicazioni seguenti.
Non sono presenti percorsi attendibili predefiniti per Project o per Visio.
È possibile visualizzare queste cartelle passando aOpzioni>file> Impostazionicentro>protezione...>Percorsi attendibili.
Percorsi attendibili predefiniti per l'accesso
La tabella seguente elenca i percorsi attendibili predefiniti per Access e indica se anche le sottocartelle sono attendibili.
| Percorso attendibile predefinito | Descrizione cartella | Sottocartelle attendibili? |
|---|---|---|
| Programmi\Microsoft Office\Root\Office16\ACCWIZ | Database procedure guidate | No (non consentito) |
Percorsi attendibili predefiniti per Excel
Nella tabella seguente sono elencati quali cartelle sono i percorsi attendibili predefiniti per Excel e se anche le sottocartelle sono attendibili.
| Percorsi attendibili predefiniti | Descrizione cartella | Sottocartelle attendibili? |
|---|---|---|
| Programmi\Microsoft Office\Root\Templates | Modelli dell'applicazione | Sì (consentito) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Modelli utente | No (non consentito) |
| Programmi\Microsoft Office\Root\Office16\XLSTART | Cartella di avvio di Excel | Sì (consentito) |
| Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART | Cartella di avvio dell'utente | No (non consentito) |
| Programmi\Microsoft Office\Root\Office16\STARTUP | Cartella di avvio di Office | Sì (consentito) |
| Programmi\Microsoft Office\Root\Office16\Library | Componenti aggiuntivi | Sì (consentito) |
Percorsi attendibili predefiniti per PowerPoint
La tabella seguente elenca i percorsi attendibili predefiniti per PowerPoint e indica se anche le sottocartelle sono attendibili.
| Percorsi attendibili predefiniti | Descrizione cartella | Sottocartelle attendibili? |
|---|---|---|
| Programmi\Microsoft Office\Root\Templates | Modelli dell'applicazione | Sì (consentito) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Modelli utente | Sì (consentito) |
| Users\user_name\Appdata\Roaming\Microsoft\Addins | Componenti aggiuntivi | No (non consentito) |
| Programmi\Microsoft Office\Root\Document Themes 16 | Temi dell'applicazione | Sì (consentito) |
Percorsi attendibili predefiniti per Word
La tabella seguente elenca i percorsi attendibili predefiniti per Word e indica se anche le sottocartelle sono attendibili.
| Percorsi attendibili predefiniti | Descrizione cartella | Sottocartelle attendibili? |
|---|---|---|
| Programmi\Microsoft Office\Root\Templates | Modelli dell'applicazione | Sì (consentito) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Modelli utente | No (non consentito) |
| Users\user_name\Appdata\Roaming\Microsoft\Word\Startup | Cartella di avvio dell'utente | No (non consentito) |