Localizações Fidedignas para ficheiros do Office
Aplica-se a:Microsoft 365 Apps, Office LTSC 2021, Office 2019 e Office 2016
As Localizações Fidedignas são uma funcionalidade do Office em que os ficheiros contidos nestas pastas são considerados seguros, como ficheiros criados por si ou guardados a partir de uma origem fidedigna. Estes ficheiros ignoram os serviços de proteção contra ameaças, ignoram as definições de bloqueio de ficheiros e todo o conteúdo ativo está ativado. Isto significa que os ficheiros guardados em Localizações Fidedignas não são abertos na Vista Protegida ou Application Guard.
O conteúdo ativo pode incluir suplementos não assinados, macros VBA, ligações a dados externos e muito mais. Certifique-se de que confia na origem original do ficheiro antes de guardá-lo numa Localização Fidedigna. É importante porque todo o conteúdo ativo está ativado e os utilizadores não recebem notificações sobre potenciais riscos de segurança. O diagrama seguinte mostra o fluxo de trabalho de confiança para abrir ficheiros do Office.
Conforme mostrado no Passo 2, os ficheiros em Localizações Fidedignas ignoram todas as outras verificações de segurança e política. Por conseguinte, as Localizações Fidedignas devem ser utilizadas raramente, para situações exclusivas e apenas para utilizadores selecionados. Na linha de base de segurança do Microsoft 365 Apps para Grandes Empresas, a orientação é desativar as Localizações Fidedignas baseadas na rede. Em seguida, se necessário, controle as Localizações Fidedignas centralmente através da política e não permita que os utilizadores definam as Próprias Localizações Fidedignas.
Passos de planeamento para Localizações Fidedignas
As Localizações Fidedignas ativam todo o conteúdo num ficheiro, incluindo suplementos, controlos ActiveX, hiperligações, ligações para origens de dados e multimédia e macros VBA. Os ficheiros abertos a partir de Localizações Fidedignas ignoram verificações de validação de ficheiros, verificações de Bloqueio de Ficheiros e não abrem na Vista Protegida ou Application Guard. Existem diferentes níveis de confiança que pode permitir na sua organização para Localizações Fidedignas:
- Permitir que os utilizadores finais criem Localizações Fidedignas no respetivo dispositivo ou rede
- Utilizar a política para impedir que os utilizadores criem Localizações Fidedignas
- Utilizar a política para gerir centralmente localizações fidedignas
- Desabilitação do recurso Locais Confiáveis
É importante escolher os cenários mais adequados para a sua organização e a respetiva tolerância a riscos de segurança.
Observação
Algumas Localizações Fidedignas são criadas por predefinição quando o Office é instalado. Para obter uma lista dessas Localizações Fidedignas, consulte Localizações Fidedignas Predefinidas para aplicações do Office.
Para implementar Localizações Fidedignas, tem de determinar:
- As aplicações do Office para as quais pretende configurar Localizações Fidedignas.
- As pastas que devem ser designadas como Locais Confiáveis.
- O compartilhamento de pasta e as configurações de segurança de pasta que você deseja aplicar aos seus Locais Confiáveis.
- As restrições que você deseja aplicar aos Locais Confiáveis.
Determinar as aplicações do Office para as quais pretende configurar Localizações Fidedignas
Pode ver a lista de Localizações Fidedignas ao aceder às Definiçõesdo Centro> de Confiança dasOpções> de Ficheiros>...>Localizações Fidedignas nas seguintes aplicações do Office:
- Access
- Excel
- PowerPoint
- Visio
- Word
As políticas estão disponíveis para gerir Localizações Fidedignas para cada uma destas aplicações do Office. Para obter mais informações, veja Utilizar a política para gerir Localizações Fidedignas.
Observação
As políticas também estão disponíveis para o Project, mas o Project não tem definições de Localizações Fidedignas no Centro de Confiança.
Determinação das pastas que devem ser designadas como Locais Confiáveis
Seguem-se algumas considerações a ter em conta ao determinar quais as pastas a utilizar como Localizações Fidedignas:
A menos que seja bloqueado pela política, os utilizadores podem criar e modificar Localizações Fidedignas no Centro de Confiança para a respetiva aplicação do Office. Para obter mais informações, consulte Adicionar, remover ou alterar uma localização fidedigna.
Por predefinição, só são permitidas Localizações Fidedignas locais para o dispositivo do utilizador. As localizações de rede também podem ser definidas como uma Localização Fidedigna, mas não recomendadas.
Não recomendamos que os utilizadores especifiquem pastas raiz como Localizações Fidedignas. Por exemplo, a unidade C: ou a pasta Os Meus Documentos. Em vez disso, crie uma subpasta nessas pastas e especifique apenas essa pasta como uma Localização Fidedigna.
Uma ou mais aplicações podem utilizar a mesma Localização Fidedigna.
Pode utilizar a política Localização Fidedigna n.º 1 para designar Localizações Fidedignas para os seus utilizadores.
Determinar as definições de segurança de pastas e partilha de pastas para pastas de Localização Fidedigna
Todas as pastas que especificar como Localizações Fidedignas têm de estar protegidas para impedir que utilizadores maliciosos adicionem ou modifiquem ficheiros numa Localização Fidedigna.
Se uma pasta for compartilhada, configure as permissões de compartilhamento de modo que apenas usuários autorizados tenham acesso à pasta compartilhada.
Certifique-se de usar o princípio de privilégios mínimos e conceder permissões que sejam adequadas a cada usuário. Conceda permissão de Ler aos utilizadores que não precisam de modificar ficheiros em Localizações Fidedignas. Conceder permissão de Controlo Total aos utilizadores que têm de editar ficheiros.
Utilizar a política para gerir Localizações Fidedignas
Existem várias políticas que pode utilizar para gerir Localizações Fidedignas na sua organização.
- Local confiável nº 1
- Permitir Localizações Fidedignas na rede
- Desabilitar todos os locais confiáveis.
Pode utilizar a Política de Cloud, o centro de administração do Microsoft Intune ou a Consola de Gestão do Política de Grupo para configurar e implementar definições de política para os utilizadores na sua organização. Para obter mais informações, veja Ferramentas disponíveis para gerir políticas.
Observação
Para versões licenciadas em volume do Office 2016, como Office Professional Plus 2016, pode utilizar a Ferramenta de Personalização do Office (OCT) para configurar Localizações Fidedignas. Para obter mais informações, consulte Ajuda da Ferramenta de Personalização do Office (OCT) 2016: definições de segurança do Office.
Existem políticas separadas para Localizações Fidedignas para cada aplicação do Office. A tabela seguinte mostra onde cada política pode ser encontrada na Consola de Gestão do Política de Grupo em Configuração do Utilizador\Políticas\Modelos Administrativos.
Application | Localização da política |
---|---|
Access | Microsoft Access 2016\Application Settings\Security\Trust Center\Trusted Locations |
Excel | Microsoft Excel 2016\Opções do Excel\Segurança\Centro de Confiança\Localizações Fidedignas |
PowerPoint | Microsoft PowerPoint 2016\Opções do PowerPoint\Segurança\Centro de Confiança\Localizações Fidedignas |
Project | Microsoft Project 2016\Project Options\Security\Trust Center |
Visio | Microsoft Visio 2016\Opções do Visio\Segurança\Central de Confiabilidade |
Word | Microsoft Word 2016\Word Options\Security\Trust Center\Trusted Locations |
Configure a política Permitir combinação de políticas e localizações de utilizador para determinar se os utilizadores e administradores, ou apenas os administradores, podem definir Localizações Fidedignas.
Política "Localização Fidedigna n.º 1"
Pode utilizar esta política para especificar o caminho para uma Localização Fidedigna para os utilizadores na sua organização. Existem 20 instâncias desta política. Por exemplo, Localização Fidedigna n.º 1, Localização Fidedigna n.º 2, Localização Fidedigna n.º 3, etc.
Por predefinição, estas políticas estão em branco. Para adicionar uma Localização Fidedigna, ative a política e especifique o caminho para a Localização Fidedigna. Certifique-se de que a localização especificada está protegida ao definir permissões para que apenas os utilizadores adequados possam adicionar ficheiros do Office a essa localização.
As Localizações Fidedignas que especificar com esta política são apresentadas na secção Localizações da Política emOpções> de Ficheiros>Definições do Centro de Confiança do Centro> deConfiança...>Localizações Fidedignas.
Observação
- Pode utilizar variáveis de ambiente ao especificar uma Localização Fidedigna.
- Estas 20 políticas também estão disponíveis em Configuração do Utilizador\Políticas\Modelos Administrativos\Microsoft Office 2016\Definições de Segurança\Centro de Confiança. Se utilizar esta versão da política, a política aplica-se a todas as aplicações que suportam Localizações Fidedignas.
Política "Permitir Localizações Fidedignas na rede"
Esta política controla se as Localizações Fidedignas na rede podem ser utilizadas.
Por predefinição, as Localizações Fidedignas nas localizações de rede estão desativadas. No entanto, os utilizadores podem alterar esta definição ao aceder às Definiçõesdo Centro de Confiança do Centro> de Confiança dasOpções> de Ficheiros>...>Localizações Fidedignas e selecionar a caixa de verificação Permitir Localizações Fidedignas na minha rede (não recomendado).
O estado que você escolhe para a apólice determina o nível de proteção que você oferece. A tabela a seguir mostra o nível de proteção que você obtém em cada estado.
Ícone | Nível de Proteção | Estado da política | Descrição |
---|---|---|---|
Proteção [recomendada] | Desabilitado | Bloqueia Localizações Fidedignas em localizações de rede, incluindo as configuradas pelo administrador (por exemplo, utilizando a política "Localização Fidedigna n.º 1").
Ignora quaisquer localizações de rede definidas pelos utilizadores como Localizações Fidedignas no Centro de Confiança e impede que os utilizadores adicionem mais. |
|
Não protegido | Habilitado | Permite que as localizações de rede como Localizações Fidedignas sejam definidas pelos utilizadores e pela política. | |
Parcialmente protegido | Não Configurado | Por predefinição, os utilizadores são impedidos de adicionar localizações de rede como Localizações Fidedignas, mas podem ativar esta definição ao selecionar a caixa de verificação Permitir Localizações Fidedignas na minha rede (não recomendado) no Centro de Confiança |
Recomendamos que defina esta política como Desativada como parte da linha de base de segurança para Microsoft 365 Apps para Grandes Empresas. Deve desativar esta política para a maioria dos utilizadores e criar apenas exceções para determinados utilizadores, conforme necessário.
Pode especificar pastas Web como Localizações Fidedignas. No entanto, apenas as pastas Web que suportam os protocolos Web Distributed Authoring and Versioning (WebDAV) ou FrontPage Server Extensions Remote Procedure Call (FPRPC) são reconhecidas como Localizações Fidedignas.
Política "Desativar todas as localizações fidedignas"
Esta política pode ser utilizada para desativar todas as Localizações Fidedignas.
Por predefinição, as Localizações Fidedignas estão disponíveis e os utilizadores podem designar qualquer localização como Uma Localização Fidedigna e um dispositivo pode ter qualquer combinação de Localizações Fidedignas criadas pelo utilizador e configuradas pelo administrador.
O estado que você escolhe para a apólice determina o nível de proteção que você oferece. A tabela a seguir mostra o nível de proteção que você obtém em cada estado.
Ícone | Nível de Proteção | Estado da política | Descrição |
---|---|---|---|
Protegido | Habilitado | Todas as Localizações Fidedignas estão bloqueadas. | |
Não protegido | Desabilitado | Um utilizador ou dispositivo pode ter uma combinação de Localizações Fidedignas criadas pelo utilizador ou configuradas pelo administrador (por exemplo, por política). | |
Não protegido | Não Configurado | Esta definição é a predefinição do Office. Fornece o mesmo comportamento que Desativado. |
Normalmente, as organizações que têm um ambiente de segurança altamente restritivo definem esta política como Ativada.
Política "Permitir combinação de políticas e localizações de utilizador"
Esta política controla se as Localizações Fidedignas podem ser definidas pelos utilizadores e pelos administradores (por exemplo, por política) ou se as Localizações Fidedignas só podem ser definidas pela política.
Esta política pode ser encontrada em Configuração do Utilizador\Políticas\Modelos Administrativos\Microsoft Office 2016\Security Settings\Trust Center na Consola de Gestão do Política de Grupo.
O estado que você escolhe para a apólice determina o nível de proteção que você oferece. A tabela a seguir mostra o nível de proteção que você obtém em cada estado.
Ícone | Nível de Proteção | Estado da política | Descrição |
---|---|---|---|
Proteção [recomendada] | Desabilitado | Só são permitidas Localizações Fidedignas definidas pela política. | |
Não protegido | Habilitado | Um utilizador ou dispositivo pode ter uma combinação de Localizações Fidedignas criadas pelo utilizador ou configuradas pelo administrador (por exemplo, por política). | |
Não protegido | Não Configurado | Esta definição é a predefinição do Office. Fornece o mesmo comportamento que Ativado. |
Recomendamos que defina esta política como Desativada como parte da linha de base de segurança para Microsoft 365 Apps para Grandes Empresas. Deve desativar esta política para a maioria dos utilizadores e criar apenas exceções para determinados utilizadores, conforme necessário.
Localizações Fidedignas Predefinidas para aplicações do Office
Várias pastas são designadas como Localizações Fidedignas predefinidas numa instalação do Office. As Localizações Fidedignas predefinidas estão listadas em tabelas para as seguintes aplicações.
Não existem Localizações Fidedignas predefinidas para o Project ou para o Visio.
Pode ver estas pastas ao aceder às Definiçõesdo Centro de Confiança do Centro> de Confiança dasOpções> de Ficheiros>...>Localizações Fidedignas.
Localizações Fidedignas Predefinidas para o Access
A tabela seguinte lista as Localizações Fidedignas predefinidas para o Access e se as subpastas também são fidedignas.
Local confiável padrão | Descrição da pasta | Subpastas fidedignas? |
---|---|---|
Programas\Microsoft Office\Root\Office16\ACCWIZ | Bancos de dados de assistente | Não (Não permitido) |
Localizações Fidedignas Predefinidas para Excel
A tabela seguinte lista as pastas que são as Localizações Fidedignas predefinidas para o Excel e se as subpastas também são fidedignas.
Locais confiáveis padrão | Descrição da pasta | Subpastas fidedignas? |
---|---|---|
Programas\Microsoft Office\Root\Templates | Modelos do aplicativo | Sim (Permitido) |
Utilizadores\user_name\Appdata\Roaming\Microsoft\Templates | Modelos do usuário | Não (Não permitido) |
Programas\Microsoft Office\Root\Office16\XLSTART | Inicialização do Excel | Sim (Permitido) |
Utilizadores\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART | Inicialização do usuário | Não (Não permitido) |
Programas\Microsoft Office\Root\Office16\STARTUP | Inicialização do Office | Sim (Permitido) |
Programas\Microsoft Office\Root\Office16\Library | Suplementos | Sim (Permitido) |
Localizações Fidedignas Predefinidas para o PowerPoint
A tabela seguinte lista as Localizações Fidedignas predefinidas para o PowerPoint e se as subpastas também são fidedignas.
Locais confiáveis padrão | Descrição da pasta | Subpastas fidedignas? |
---|---|---|
Programas\Microsoft Office\Root\Templates | Modelos do aplicativo | Sim (Permitido) |
Utilizadores\user_name\Appdata\Roaming\Microsoft\Templates | Modelos do usuário | Sim (Permitido) |
Utilizadores\user_name\Appdata\Roaming\Microsoft\Addins | Suplementos | Não (Não permitido) |
Programas\Microsoft Office\Root\Temas do Documento 16 | Temas do aplicativo | Sim (Permitido) |
Localizações Fidedignas Predefinidas para Word
A tabela seguinte lista as Localizações Fidedignas predefinidas para Word e se as subpastas também são fidedignas.
Locais confiáveis padrão | Descrição da pasta | Subpastas fidedignas? |
---|---|---|
Programas\Microsoft Office\Root\Templates | Modelos do aplicativo | Sim (Permitido) |
Utilizadores\user_name\Appdata\Roaming\Microsoft\Templates | Modelos do usuário | Não (Não permitido) |
Utilizadores\user_name\Appdata\Roaming\Microsoft\Word\Startup | Inicialização do usuário | Não (Não permitido) |