Планирование параметров безопасности для элементов управления ActiveX, надстроек и макросов в выпуске 2007 системы Microsoft Office
Обновлено: Февраль 2009
Назначение: Office Resource Kit
Последнее изменение раздела: 2015-03-09
В Выпуск 2007 системы Microsoft Office поддерживается несколько параметров, которые позволяют изменять поведение элементов управления ActiveX, надстроек и макросов Visual Basic for Applications (VBA). При планировании элементов управления ActiveX, надстроек и макросов используйте рекомендации и указания, представленные в следующих разделах:
Планирование параметров безопасности для элементов управления ActiveX
Планирование параметров безопасности для надстроек
Планирование параметров безопасности для макросов
Планирование параметров безопасности для элементов управления ActiveX
В Выпуск 2007 системы Office поддерживается несколько параметров безопасности, позволяющих управлять поведением элементов управления ActiveX и способом уведомления пользователей о потенциально небезопасных элементах управления. Подобные параметры обычно используются для выполнения следующих действий:
Отключение элементов управления ActiveX во всех документах.
Разрешение на инициализацию и запуск всех элементов управления ActiveX без уведомления.
Изменение способа инициализации элементов управления ActiveX на основании параметров "Безопасно для инициализации" (SFI) и "Небезопасно для инициализации" (UFI).
При планировании параметров безопасности для элементов управления ActiveX воспользуйтесь рекомендациями и указаниями, представленными в следующих разделах. Эти рекомендации основаны на среде EC (Enterprise Client), а не SSLF (Specialized Security Limited Functionality). Среда EC прекрасно подходит для организаций среднего и крупного размера, которые предъявляют типичные требования к предоставляемым функциям и системе безопасности. В среде SSLF основное внимание уделено защите системы безопасности, поэтому она оптимально подходит для тех организаций среднего и крупного размеров, в которых используются строгие стандарты и акцент ставится на безопасности системы, а не функциональных возможностях.
Отключение элементов управления ActiveX во всех документах
В средах со строгими требованиями можно отключить элементы управления ActiveX, чтобы минимизировать возможный риск от их использования. Это позволит предотвратить инициализацию элементов управления (загрузку) при открытии файлов. В некоторых случаях отключенный элемент управления ActiveX может присутствовать в файле в виде красного значка "x" или другого символа, однако это означает, что элемент отключен и какие-либо действия с ним возможны только после нажатия пользователем этого значка. Также пользователи не уведомляются об отключении элемента управления ActiveX.
Чтобы отключить элементы управления ActiveX, настройте один из следующих параметров в соответствии с рекомендациями в таблице далее.
| Имя параметра | Рекомендуемая конфигурация | Описание |
|---|---|---|
Отключить все элементы управления ActiveX |
Не настроено |
По умолчанию пользователям предлагается включить элементы управления ActiveX. При включении данного параметра все элементы управления ActiveX отключаются и не запускаются при открытии пользователем файла, содержащего эти элементы управления. Пользователи не уведомляются об отключении элементов управления ActiveX. Настроить данный параметр можно в центре развертывания Office (OCT), а также с помощью Выпуск 2007 системы Officeадминистративных шаблонов (файлы ADM). Параметр применяется только к приложениям в Выпуск 2007 системы Office. Он не отключает элементы управления ActiveX в файлах, которые открываются в более ранних версиях Office. |
Небезопасная инициализация ActiveX |
Выбрать данную конфигурацию: не запрашивать и отключить все элементы управления |
По умолчанию параметр Небезопасная инициализация ActiveX имеет значение Запрашивать использование постоянных данных. При выборе значения Не запрашивать и отключить все элементы управления все элементы управления ActiveX отключаются и не запускаются при открытии пользователем файла, содержащего подобные элементы управления. Кроме того, пользователи не уведомляются об отключении элементов управления ActiveX. Данный параметр поддерживается только в центре развертывания Office и применяется только к приложениям в Выпуск 2007 системы Office. Элементы управления в файлах, запущенных в более ранних версиях Office, не отключаются. |
.gif "Note") Примечание: |
|---|
| Элементы управления ActiveX нельзя отключить в файлах, сохраненных в надежных расположениях. Если файл открывается из надежного расположения, все активное содержимое в файле инициализируется и может выполняться без уведомления даже при отключении элементов управления ActiveX. |
При отключении элементов управления ActiveX необходимо выполнить следующие действия:
Уведомить пользователей об отключении элементов управления ActiveX и отсутствии предупреждений при открытии файлов, содержащих отключенные элементы управления ActiveX.
Проверить последствия отключения элементов управления ActiveX в организации. Поскольку многие решения Office основаны на элементах управления ActiveX, отключение таких элементов может привести к непредсказуемым последствиям и неправильной работе приложений.
Записать параметры в документы планирования безопасности и в документы операций по безопасности.
Разрешение на инициализацию и запуск всех элементов управления ActiveX без уведомления
Можно настроить Выпуск 2007 системы Office таким образом, чтобы элементы управления ActiveX запускались и выполнялись без уведомлений. Это может оказаться полезным в некоторых тестовых средах и средах разработки, а также в изолированных средах, в которых отсутствие вредоносного содержимого контролируются такими дополнительными механизмами обеспечения безопасности, как брандмауэры, программы обнаружения вирусов и атак.
.gif "Important") Важно: |
|---|
| Не рекомендуется разрешать инициализацию и выполнение элементов управления ActiveX без предупреждений в производственной среде: это может существенно повысить опасность атак и ослабить систему защиты организации. |
Чтобы разрешить инициализацию и выполнение элементов управления ActiveX без предупреждений, настройте один из следующих параметров в соответствии с рекомендациями в таблице далее.
| Имя параметра | Рекомендуемая конфигурация | Описание |
|---|---|---|
Небезопасная инициализация ActiveX |
Выбрать данную конфигурацию: не запрашивать |
По умолчанию параметр Небезопасная инициализация ActiveX имеет значение Запрашивать использование постоянных данных. При выборе значения Не запрашивать все элементы управления ActiveX включаются и запускаются с минимальными ограничениями (т.е., с постоянными данными) при открытии пользователем файла, содержащего подобные элементы управления. Кроме того, пользователи не уведомляются о включении элементов управления ActiveX, а элементы управления в режиме SFI не включаются в безопасном режиме. Данный параметр поддерживается только в центре развертывания Office и применяется только к приложениям в Выпуск 2007 системы Office и более ранних версиях Office. |
Инициализация элементов управления ActiveX |
Выбрать данную конфигурацию: 2 |
По умолчанию данный параметр имеет значение 6. При изменении значения на 2, элементы управления в режимах SFI и UFI запускаются с минимальными ограничениями (т.е. с постоянными значениями). Если постоянные значения недоступны, инициализация элементов управления происходит со значениями по умолчанию с помощью метода InitNew. Элементы управления SFI запускаются в безопасном режиме и пользователи не уведомляются о включении элементов управления ActiveX. Настройка данного параметра возможна только с использованием административных шаблонов Выпуск 2007 системы Office (файлы ADM). Параметр применяется к Выпуск 2007 системы Office и более ранним версиям Office. |
При изменении данного параметра элементы управления в режимах SFI и UFI запускаются с минимальными ограничениями (т.е. с постоянными значениями). Если постоянные значения недоступны, инициализация элементов управления происходит со значениями по умолчанию с помощью метода InitNew. Элементы управления SFI запускаются в безопасном режиме и пользователи не уведомляются о включении элементов управления ActiveX. Настройка данного параметра возможна только с использованием административных шаблонов Выпуск 2007 системы Office (файлы ADM). Параметр применяется к Выпуск 2007 системы Office и более ранним версиям Office.
Полный список конфигураций представлен в статье Руководство по обеспечению безопасности Microsoft Office 2007 (Threats and Countermeasures: Security Settings in the 2007 Office System) (на английском языке) (https://technet.microsoft.com/ru-ru/library/cc500475.aspx) (на английском языке) .
В случае разрешения инициализации и выполнения элементов управления ActiveX без уведомлений необходимо выполнить следующие действия:
Уведомить пользователей о включении элементов управления ActiveX и отсутствии предупреждений при открытии файлов, содержащих элементы управления ActiveX.
Записать параметры в документы планирования безопасности и в документы операций по безопасности.
Изменить способ инициализации элементов управления ActiveX на основании параметров SFI и UFI.
В Выпуск 2007 системы Office поддерживается несколько параметров безопасности, позволяющих контролировать инициализацию элементов управления ActiveX на основании параметров SFI, UFI и безопасного режима. SFI, UFI и безопасный режим представляют собой параметры, настраиваемые разработчиками при создании элементов управления ActiveX. Если элементы управления ActiveX помечены, как SFI, для инициализации используются безопасные источники данных. Безопасным источником данных является надежный известный источник, который не приводит к нарушению безопасности. Элементы управления, не помеченные SFI, считаются UFI.
Безопасный режим — это еще один механизм, с помощью которого разработчики могут обеспечить безопасность элементов управления ActiveX. Если разработчик создает элемент управления ActiveX, реализующий безопасный режим, такой элемент управления может быть инициализирован двумя способами: в безопасном и небезопасном режиме. Если элемент управления запускается в безопасном режиме, используются некоторые ограничения функциональных возможностей элемента управления. Если же используется небезопасный режим инициализации, ограничения на функциональные возможности элемента управления не налагаются. Например, если элемент управления ActiveX, предназначенный для чтения и записи файлов, запущен в безопасном режиме, он поддерживает только операции чтения, а в небезопасном режиме — как чтение, так и запись файлов. В безопасном режиме могут быть инициализированы только элементы управления ActiveX, помеченные как SFI. Элементы управления ActiveX в режиме UFI всегда запускаются в небезопасном режиме.
По умолчанию элементы управления ActiveX инициализируются в Выпуск 2007 системы Office следующим образом:
Если файл содержит проект VBA, пользователей просят включить или отключить элементы управления ActiveX, находящиеся в файле. Если пользователи включают элементы управления, все элементы, помеченные как SFI и UFI, инициализируются с минимальными ограничениями (т.е. с постоянными значениями). Если постоянные значения недоступны, элементы управления инициализируются с использованием значений по умолчанию с помощью метода InitNew. Элементы управления SFI инициализируются в безопасном режиме.
Если файл не содержит проект VBA и в нем присутствуют только элементы управления SFI, элементы управления инициализируются с минимальными ограничениями (т.е. с постоянными значениями). Если постоянные значения недоступны, элементы управления инициализируются с использованием значений по умолчанию с помощью метода InitNew. Элементы управления SFI инициализируются в безопасном режиме.
Если файл не содержит проект VBA и в нем присутствуют элементы управления SFI и UFI, пользователей просят включить или отключить элементы управления ActiveX, находящиеся в файле. Если пользователи включают элементы управления, элементы, помеченные как SFI, инициализируются с минимальными ограничениями (т.е. с постоянными значениями), а элементы UFI инициализируются с использованием значений по умолчанию с помощью метода InitNew. Элементы управления SFI инициализируются в безопасном режиме.
Если данное поведение по умолчанию не соответствует требованиям организации, но отключение элементов управления ActiveX необходимо, можно повысить защиту инициализации элементов управления ActiveX, используя значения по умолчанию при инициализации элементов управления UFI вместо минимальных ограничений, если файл содержит проект VBA. Для этого необходимо настроить один из следующих параметров в соответствии с указаниями в таблице далее.
| Имя параметра | Рекомендуемая конфигурация | Поведение инициализации при наличии проекта VBA | Поведение инициализации при отсутствии проекта VBA |
|---|---|---|---|
Небезопасная инициализация ActiveX |
Выбрать данную конфигурацию: запрашивать использование элементов управления по умолчанию |
Предлагает пользователю включить или отключить элементы управления. При включении элементы управления SFI инициализируются с минимальными ограничениями (т.е. с постоянными значениями), а элементы управления UFI инициализируются со значениями по умолчанию с помощью метода InitNew. Элементы управления SFI инициализируются в безопасном режиме. Данный параметр поддерживается только в центре развертывания Office и применяется к Выпуск 2007 системы Office и более ранним версиям Office. |
Если файл содержит только элементы управления SFI, они инициализируются с минимальными ограничениями (т.е. с постоянными значениями). Если постоянные значения недоступны, элементы управления SFI инициализируются с использованием значений по умолчанию с помощью метода InitNew. Элементы управления SFI инициализируются в безопасном режиме. Запрос на включение элементов управления не выдается. Если в файле содержатся элементы управления UFI, появляется запрос на включение или отключение элементов управления. Если пользователи включают элементы управления, элементы, помеченные как SFI, инициализируются с минимальными ограничениями, а элементы UFI инициализируются с использованием значений по умолчанию с помощью метода InitNew. Элементы управления SFI инициализируются в безопасном режиме. |
Инициализация элементов управления ActiveX |
Выбрать данную конфигурацию: 4 |
Соответствует поведению для параметра инициализации небезопасного элемента управления ActiveX. |
Соответствует поведению для параметра инициализации небезопасного элемента управления ActiveX. |
Параметры элементов управления ActiveX можно настроить таким образом, чтобы получить доступ к ряду других сценариев безопасности. Дополнительные сведения о параметрах элементов управления ActiveX в Выпуск 2007 системы Office, включая описания всех параметров и сравнение параметров центра развертывания Office, групповой политики и центра управления безопасностью, см. в статье Политика и параметры безопасности в версии 2007 системы Office. Дополнительные сведения о настройке параметров элементов управления ActiveX см. в статье Настройка параметров безопасности для элементов управления ActiveX, надстроек и макросов в выпуске 2007 системы Microsoft Office.
Планирование параметров безопасности для надстроек
В пакете Выпуск 2007 системы Office предусматривается несколько параметров, позволяющих изменять поведение надежных расположений. Надстройки, которые также известны, как сопоставления расширений, являются дополнительными программами или компонентами, расширяющими функциональные возможности приложений. Надстройки должны быть установлены и зарегистрированы и могут включать в себя следующее:
Надстройки для модели компонентных объектов (COM).
Смарт-теги.
Надстройки автоматизации.
Серверы RealTimeData (RTD).
Надстройки приложений (например, файлы WLL, XLL и XLAM).
Пакеты расширений XML.
Таблицы стилей XML.
По умолчанию установленные и зарегистрированные надстройки разрешено выполнять без уведомлений. Чтобы сменить данное поведение, воспользуйтесь параметрами безопасности. В частности, поддерживаются следующие возможности:
Отключение надстроек для отдельных приложений.
Требование подписания надстроек доверенным издателем.
Отключение уведомлений для неподписанных надстроек.
Отключение надстроек для отдельных приложений.
В средах со строгими требованиями можно отключить надстройки, чтобы минимизировать возможный риск от их использования. При отключении надстроек их выполнение невозможно; пользователей не уведомляют об отключении надстроек.
Надстройки нельзя отключить глобально, возможно отключение только для отдельных приложений из следующего списка:
Microsoft Office Access 2007
Microsoft Office Excel 2007
Microsoft Office PowerPoint 2007
Microsoft Office Publisher 2007
Microsoft Office Visio 2007
Microsoft Office Word 2007
Чтобы отключить надстройки, настройте один из следующих параметров в соответствии с рекомендациями в таблице далее.
| Имя параметра | Рекомендуемая конфигурация | Описание |
|---|---|---|
Отключить все надстройки приложений. |
Не настроено |
Надстройки включены по умолчанию. При выборе данного параметра надстройки отключаются, а пользователи не уведомляются об этом. Реализация параметра возможна в центре развертывания Office и с помощью административных шаблонов Выпуск 2007 системы Office (файлы ADM). Настройка данного параметра осуществляется для отдельных приложений. |
Параметры предупреждений о надстройках приложений |
Выбрать данную конфигурацию: отключить все сопоставления расширений |
По умолчанию параметру Параметры предупреждений о надстройках приложений присваивается значение Включить все установленные надстройки приложений. При выборе параметра Отключить все сопоставления расширений все надстройки будут отключены; пользователи не уведомляются об отключении надстроек. Данный параметр поддерживается только в центре развертывания Office; настройка параметра осуществляется для отдельных приложений. |
При отключении надстроек необходимо выполнить следующие действия:
Уведомить пользователей об отключении надстроек.
Записать параметры в документы планирования безопасности и в документы операций по безопасности.
Потребовать подписания надстроек доверенным издателем
Чтобы повысить безопасность надстроек без их отключения, потребуйте, чтобы надстройки были подписаны доверенным издателем. При этом происходит следующее:
Надежные надстройки выполняются без уведомлений. Надежной является надстройка, сохраненная в надежном расположении или подписанная издателем, входящим в список доверенных издателей.
Надежные надстройки отключены, однако пользователям предоставляется возможность включить или отключить такие надстройки.
Надстройки, подписанные издателем, не входящим в список доверенных издателей, отключены, однако пользователям позволяется включить или отключить их.
Параметры, для которых необходимы надстройки, подписанные доверенным издателем, нельзя настроить глобально. Это необходимо сделать для отдельных приложений из следующего списка:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
Чтобы потребовать подписания надстроек доверенным издателем, настройте один из следующих параметров в соответствии с рекомендациями в таблице далее.
| Имя параметра | Рекомендуемая конфигурация | Описание |
|---|---|---|
Потребовать подписания надстроек приложений доверенным издателем |
Не настроено |
Надстройки включены по умолчанию. При выборе данного параметра надстройки, подписанные издателем из списка доверенных издателей, выполняется без уведомления. Неподписанные надстройки и надстройки, подписанные издателем, не входящим в список доверенных издателей, отключены. Пользователям позволяется включать или отключать такие надстройки. Реализация параметра возможна в центре развертывания Office и с помощью административных шаблонов Выпуск 2007 системы Office (файлы ADM). Настройка данного параметра осуществляется для отдельных приложений. |
Параметры предупреждений о надстройках приложений |
Выбрать данную конфигурацию: требовать, чтобы сопоставления расширений были подписаны доверенным издателем |
По умолчанию параметру Параметры предупреждений о надстройках приложений присваивается значение Включить все установленные надстройки приложений. При выборе параметра Требовать, чтобы сопоставления расширений были подписаны доверенным издателем, надстройки, подписанные издателем из списка доверенных издателей, будут выполнены без уведомлений. Неподписанные надстройки и надстройки, подписанные издателем, не входящим в список доверенных издателей, отключены. Пользователям позволяется включать или отключать такие надстройки. Реализация параметра возможна в центре развертывания Office. Настройка данного параметра осуществляется для отдельных приложений. |
Необходимо записать данные параметры в документы планирования безопасности и в документах операций по безопасности.
Отключение уведомлений для неподписанных надстроек
Даже при наличии требования о подписании надстроек доверенным издателем пользователи могут включать неподписанные надстройки с помощью панели сообщений. Чтобы запретить пользователям включение неподписанных надстроек, можно отключить уведомления для неподписанных надстроек; это можно сделать только для отдельных приложений из следующего списка:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
Для этого необходимо настроить один из следующих параметров в соответствии с указаниями в таблице далее.
| Имя параметра | Рекомендуемая конфигурация | Описание |
|---|---|---|
Отключить уведомления панели безопасности для неподписанных надстроек приложений |
Не настроено |
Надстройки включены по умолчанию. При выборе данного параметра ненадежные подписанные надстройки отключаются, однако пользователям позволяется включать или отключать подобные надстройки. Неподписанные надстройки также отключены, но пользователей не уведомляют об этом и им не позволяется включать или отключать такие надстройки. Данный параметр необходимо использовать совместно с параметром Потребовать подписания надстроек приложений доверенным издателем. Настроить данный параметр можно в центре развертывания Office и с помощью административных шаблонов Выпуск 2007 системы Office (файлы ADM) только для отдельных приложений. |
Параметры предупреждений о надстройках приложений |
Требовать, чтобы расширения были подписаны, и без предупреждения отключать неподписанные расширения |
По умолчанию параметру Параметры предупреждений о надстройках приложений присваивается значение Включить все установленные надстройки приложений. При выборе параметра Требовать, чтобы расширения были подписаны, и без предупреждения отключать неподписанные расширения все подписанные ненадежные надстройки будут отключены; пользователям позволяется включать или отключать такие надстройки. Неподписанные надстройки также отключаются, однако пользователи не уведомляются об этом и не могут подключить или отключить неподписанные надстройки. Данный параметр поддерживается только в центре развертывания Office; настройка параметра осуществляется для отдельных приложений. |
При отключении уведомлений для неподписанных надстроек необходимо выполнить следующие действия:
Уведомить пользователей об отключении неподписанных надстроек без предупреждения.
Записать параметры в документы планирования безопасности и в документы операций по безопасности.
Дополнительные сведения о параметрах надстроек в Выпуск 2007 системы Office, включая описания всех параметров и сравнение параметров центра развертывания Office, групповой политики и центра управления безопасностью см. в статье Политика и параметры безопасности в версии 2007 системы Office. Дополнительные сведения о настройке параметров надстроек см. в статье Настройка параметров безопасности для элементов управления ActiveX, надстроек и макросов в выпуске 2007 системы Microsoft Office.
Планирование параметров безопасности для макросов
В Выпуск 2007 системы Office поддерживается несколько параметров безопасности, которые позволяют управлять поведением макросов и VBA. Данные параметры используются для выполнения следующих действий:
Изменение параметров безопасности по умолчанию для макросов. Данный параметр позволяет отключать макросы, включать все макросы и изменять способ оповещения пользователей о макросах.
Изменение поведения VBA. Данный параметр позволяет отключать VBA и получать доступ к проектам VBA программным способом для клиентов автоматизации.
Изменение поведения макросов в приложениях, запускаемых программным способом через средство автоматизации.
Отказ от проверки зашифрованных макросов на наличие вирусов.
Чтобы спланировать параметры безопасности для макросов, используйте рекомендации и инструкции, приведенные в следующих разделах.
Изменение параметров безопасности по умолчанию для макросов
В Выпуск 2007 системы Office поддерживается несколько параметров для изменения поведения макросов по умолчанию. Надежные макросы могут выполняться без уведомлений по умолчанию. Надежными считаются макросы в документах, сохраняемых в надежном расположении, и макросы, удовлетворяющие следующим критериям:
макрос должен быть удостоверен цифровой подписью разработчика;
цифровая подпись должна быть действительной;
цифровая подпись должна быть действующей (не просроченной);
сертификат цифровой подписи должен быть выдан общепризнанным центром сертификации;
разработчик, удостоверивший макрос, должен быть надежным.
Не разрешается выполнять ненадежные макросы до тех пор, пока пользователь не подтвердит решение запустить макрос на панели сообщений (в некоторых приложениях панель сообщений отсутствует, поэтому уведомления появляются в диалоговых окнах).
| Примечание: |
|---|
| В Microsoft Office Outlook 2007 используется другой параметр безопасности для макросов по умолчанию. Дополнительные сведения см. в документации по вопросам безопасности Office Outlook 2007. |
Если параметры безопасности для макросов по умолчанию не соответствуют требованиям организации, можно выполнить одно из следующих действий:
Отключить ненадежные макросы без уведомления.
Отключить уведомления для неподписанных макросов и разрешить уведомления для подписанных макросов.
Отключение ненадежных макросов без уведомления
В случае отключения ненадежных макросов без уведомления ненадежные макросы не загружаются и пользователи не оповещаются об их отключении. Надежные макросы могут выполняться без уведомления. Данный параметр рекомендуется для организаций со строгой моделью безопасности, в которых пользователи не должны запускать ненадежные макросы.
Чтобы отключить ненадежные макросы без уведомлений, настройте один из параметров, представленных в таблице далее. Данные параметры должны быть настроены для отдельных приложений из следующего списка:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
| Имя параметра | Рекомендуемая конфигурация | Описание |
|---|---|---|
Параметры предупреждений макроса VBA |
Выберите параметр: включено Выбрать данную конфигурацию: предупреждения для каких-либо макросов отсутствуют, но отключить все макросы |
По умолчанию пользователи предупреждаются о наличии ненадежных макросов в файле, которые можно включить или отключить. При выборе параметров Отключение всех макросов VBA и Предупреждения для каких-либо макросов отсутствуют, но отключить все макросы макросы отключаются, пользователи не оповещаются об отключении ненадежных макросов и не могут включить их. Надежные макросы могут выполняться без уведомления. Настройка данного параметра возможна только с помощью административных шаблонов Выпуск 2007 системы Office (файлы ADM). |
Отключение уведомлений для неподписанных макросов
При отключении уведомлений для неподписанных макросов отключение выполняется без предупреждения. В то же время пользователи оповещаются о наличии подписанных макросов, которые они могут включить или отключить. Надежные макросы могут выполняться без уведомления. Использование данного параметра рекомендуется в тех случаях, когда необходима защита от неподписанных макросов.
Чтобы отключить уведомления для неподписанных макросов, настройте один из параметров, представленных в таблице далее. Данные параметры должны быть настроены для отдельных приложений из следующего списка:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
| Имя параметра | Рекомендуемая конфигурация | Описание |
|---|---|---|
Параметры предупреждений макроса VBA |
Выберите параметр: включено Выбрать данную конфигурацию: предупреждение панели безопасности только для макросов с цифровой подписью (неподписанные макросы будут отключены) |
По умолчанию пользователи предупреждаются о наличии в файле ненадежных макросов, которые можно включить или отключить. При выборе параметра Предупреждение панели безопасности только для макросов с цифровой подписью (неподписанные макросы будут отключены) происходит следующее:
Настройка данного параметра возможна только с помощью административных шаблонов Выпуск 2007 системы Office (файлы ADM). При выборе параметра Отключение предупреждения панели безопасности для неподписанных макросов VBA (неподписанный код будет отключен) происходит следующее:
Данный параметр можно настроить только в центре развертывания Office. |
Управление поведением VBA
В Выпуск 2007 системы Office поддерживается два параметра, которые позволяют управлять поведением VBA. По умолчанию VBA включен, если установлен, и клиенты автоматизации не обладают доступом к проектам VBA. Данное поведение можно изменить несколькими способами:
Можно предоставить клиентам автоматизации программный доступ к проектам VBA.
VBA можно отключить.
В дополнение к этим параметрам безопасности в Выпуск 2007 системы Office, Office Visio 2007 предусмотрено несколько параметров управления поведением VBA в Office Visio 2007. Дополнительные сведения см. в статье Политика и параметры безопасности в версии 2007 системы Office.
Предоставление программного доступа клиентам автоматизации к проектам VBA
При предоставлении программного доступа клиентам автоматизации к проектам VBA клиенты автоматизации могут использовать модель объекта VBA.
Для предоставления программного доступа клиентам автоматизации к проектам VBA настройте параметры в соответствии с указаниями в таблице далее. Данный параметр должен быть настроен для отдельных приложений из следующего списка:
Office Excel 2007
Office PowerPoint 2007
Office Word 2007
| Имя параметра | Рекомендуемая конфигурация | Описание |
|---|---|---|
Доверять доступ к проекту Visual Basic. |
Выберите вариант: отключено |
По умолчанию у клиентов автоматизации отсутствует программный доступ к проектам VBA. При выборе данного параметра клиенты автоматизации могут получать доступ к модели объекта VBA программным способом. Параметр может быть настроен в центре развертывания Office и с помощью административных шаблонов Выпуск 2007 системы Office (файлы ADM). |
| Важно: |
|---|
| В случае предоставления клиентам автоматизации программного доступа к проектам VBA может повыситься риск атаки несанкционированных программ, создающих самореплицирующийся код. |
Отключение VBA
При отключении VBA макросы и другое программное содержимое не будут работать. Данный параметр рекомендуется для организаций со строгой моделью безопасности, в которых пользователи не должны запускать макросы, а также в случае атаки на систему безопасности для временного отключения макросов.
Чтобы отключить VBA, настройте параметр в соответствии с таблицей далее. Данный параметр является глобальным и применяется к следующим приложениям:
Office Excel 2007
Office Outlook 2007
Office PowerPoint 2007
Office Publisher 2007
Microsoft Office SharePoint Designer 2007
Office Word 2007
| Имя параметра | Рекомендуемая конфигурация | Описание |
|---|---|---|
Отключение VBA для приложений Office |
Не настроено |
По умолчанию VBA подключается при установке. Данный параметр позволяет отключить VBA и препятствует выполнению макросов и другого программного содержимого пользователями. Настроить параметр можно в центре развертывания Office и с помощью административных шаблонов Выпуск 2007 системы Office (файлы ADM). |
При отключении VBA макросы и другое содержимое не будут выполняться. Дополнительные сведения о последствиях отключения VBA см. в следующей статье базы знаний Майкрософт: Рекомендации по отключению VBA в Microsoft Office (на английском языке) (https://go.microsoft.com/fwlink/?linkid=85867\&clcid=0x419) (на английском языке) (на английском).
При отключении VBA необходимо выполнить следующие действия:
Уведомить пользователей об отключении VBA.
Записать параметры в документы планирования безопасности и в документы операций по безопасности.
В дополнение к этим параметрам безопасности в Выпуск 2007 системы Office, Office Visio 2007 предусмотрено несколько параметров управления поведением VBA в Office Visio 2007. Дополнительные сведения см. в статье Политика и параметры безопасности в версии 2007 системы Office.
Изменение поведения макросов в приложениях, запускаемых программным способом через средство автоматизации
В Выпуск 2007 системы Office поддерживается единственный параметр, позволяющий управлять поведением макросов в приложениях, запускаемых программным способом через средство автоматизации. Автоматизация — это средство программирования, которое позволяет разработчикам получать доступ к функциональным возможностям одного приложения через возможности другого. Например, разработчик может создать приложение управления проектами, в котором используются возможности электронной почты и функция расписания решения Office Outlook 2007. По умолчанию макросы запускаются и выполняются без проверок безопасности при использовании средства автоматизации для запуска приложения в Выпуск 2007 системы Office. Существует два способа изменения поведения макросов:
Макросы можно отключить в приложении, запущенном программным образом. При этом пользователи не оповещаются об отключении макросов и не могут включать или отключать их. Данный параметр рекомендуется для организаций со строгой моделью безопасности, в которых пользователи не должны запускать макросы.
Макросы можно выполнять на основании параметров безопасности, настроенных в приложениях, запущенных программным образом. При этом поведение макросов определяется этими параметрами безопасности. Например, если все макросы должны быть удостоверены цифровой подписью в Office Excel 2007, а в приложении используется средство автоматизации для запуска Office Excel 2007, макросы не будут выполняться без цифровой подписи. Данный параметр рекомендуется в тех случаях, когда требуется применить параметры безопасности для макросов для приложений, запущенных с помощью средства автоматизации.
Чтобы изменить поведение макросов по умолчанию в приложениях, запускаемых программным способом через средство автоматизации, используйте любой из параметров, представленных в таблице далее. Данные параметры можно настроить в центре развертывания Office, а также с помощью административных шаблонов Выпуск 2007 системы Office (файлы ADM). Параметры являются глобальными и применяются к следующим приложениям:
Office Excel 2007
Office PowerPoint 2007
Office Word 2007
| Имя параметра | Рекомендуемая конфигурация | Описание |
|---|---|---|
Безопасность средства автоматизации |
Выберите параметр: включено Выбрать данную конфигурацию: использовать уровень безопасности макросов приложения |
По умолчанию параметр Безопасность средства автоматизации имеет значение Макросы включены. При выборе параметра Использовать уровень безопасности макросов приложения макросы будут выполняться в соответствии с параметрами безопасности приложения, запущенного программным способом через средство автоматизации. При выборе параметра Отключение макросов по умолчанию макросы отключаются в приложениях Выпуск 2007 системы Office, запускаемых через средство автоматизации. Пользователи не оповещаются об отключении макросов и не могут включать их. |
При отключении параметров безопасности средства автоматизации необходимо выполнить следующие действия:
Выполните тщательную проверку всех приложений, чтобы убедиться, что сделанные изменения не привели к непредсказуемым последствиям или ограничению функциональных возможностей приложения. В некоторых приложениях средство автоматизации используется для запуска приложений в Выпуск 2007 системы Office без предупреждений.
Запишите параметры конфигурации в документы планирования безопасности и в документы операций по безопасности.
В дополнение к этим параметрам безопасности в Выпуск 2007 системы Office, Office Publisher 2007предусмотрен параметр настройки безопасности средства автоматизации для макросов в Office Publisher 2007. Дополнительные сведения см. в статье Политика и параметры безопасности в версии 2007 системы Office.
Отказ от проверки зашифрованных макросов на наличие вирусов
В Выпуск 2007 системы Office поддерживается несколько параметров для отказа от проверки зашифрованных макросов на наличие вирусов. Рекомендуется применять данные параметры, если антивирусная программа не поддерживает программный интерфейс (API) средства Microsoft Antivirus.
По умолчанию макросы зашифровываются при шифровании и сохранении файлов в форматах Office Open XML. Если антивирусная программа не поддерживает Microsoft Antivirus API, она не сможет проверить зашифрованные макросы. Как следствие, зашифрованные макросы будут отключены. Чтобы отключить проверку зашифрованных макросов с помощью антивирусной программы, настройте параметры в соответствии с рекомендациями в таблице далее.
| Имя параметра | Рекомендуемая конфигурация | Описание |
|---|---|---|
Определить необходимость проверки зашифрованных макросов на наличие вирусов в книгах Microsoft Excel Open XML |
Выберите вариант: отключено |
По умолчанию зашифрованные макросы проверяются антивирусной программой при открытии зашифрованной книги с макросами. Данный параметр позволяет отменить проверку, в результате чего зашифрованные макросы выполняются в соответствии с настроенными параметрами безопасности макросов. Параметр применяется только к Office Excel 2007; настроить его можно в центре развертывания Office и с помощью административных шаблонов Выпуск 2007 системы Office (файлы ADM). |
Определить необходимость проверки зашифрованных макросов на наличие вирусов в презентациях Microsoft PowerPoint Open XML |
Выберите параметр: включено |
По умолчанию зашифрованные макросы проверяются антивирусной программой при открытии зашифрованной презентации с макросами. Данный параметр позволяет отменить проверку, в результате чего зашифрованные макросы выполняются в соответствии с настроенными параметрами безопасности макросов. Параметр применяется только к Office PowerPoint 2007; настроить его можно в центре развертывания Office и с помощью административных шаблонов Выпуск 2007 системы Office (файлы ADM). |
Определить необходимость проверки зашифрованных макросов на наличие вирусов в документах Microsoft Word Open XML |
Выберите параметр: включено |
По умолчанию зашифрованные макросы проверяются антивирусной программой при открытии зашифрованного документа с макросами. Данный параметр позволяет отменить проверку, в результате чего зашифрованные макросы выполняются в соответствии с настроенными параметрами безопасности макросов. Параметр применяется только к Office Word 2007; настроить его можно в центре развертывания Office и с помощью административных шаблонов Выпуск 2007 системы Office (файлы ADM). |
Чтобы изменить параметры по умолчанию и выполнить проверку зашифрованных макросов, необходимо следующее:
Записать параметры в документы планирования безопасности.
Записать параметры в документы операций по безопасности.
Загрузить эту книгу
Для упрощения чтения и печати этот раздел включен в следующую книгу, доступную для загрузки:
- Безопасность для выпуска 2007 системы Office (на английском языке) (на англ. языке)
Полный список доступных книг см. в разделе Загружаемое содержимое для набора ресурсов выпуска 2007 системы Office (на англ. языке).