Microsoft 365 企业应用版的安全基线

Microsoft 365 企业应用版的安全基线每年发布两次,通常在 6 月和 12 月发布。 最新版本是 2023 年 6 月 29 日发布的版本 2306。

若要获取Microsoft 365 企业应用版的安全基线,请下载安全合规性工具包

注意

此安全基线适用于Microsoft 365 企业应用版。 某些策略可能适用于其他版本的 Office,例如 Office LTSC 2021、Office 2019 或 Office 2016。 但你必须确定哪些策略适用于这些版本。

安全基线概述

安全基线是一种Microsoft建议的配置设置,供企业客户在其组织中部署。 它们旨在作为 IT 管理员评估和平衡安全优势与用户工作效率需求的起点,并做出相应的调整。 这些设置基于Microsoft安全工程团队、产品组、合作伙伴和客户的反馈。

安全基线适用于以下Microsoft产品:

  • Windows 11、Windows 10和 Windows Server 2022
  • Microsoft 365 企业应用版
  • Microsoft Edge

有关最新安全基线的列表,请参阅此 版本矩阵

安全合规性工具包概述

安全合规性工具包是一组工具,允许企业安全管理员下载、分析、测试、编辑和存储Microsoft产品Microsoft建议的安全配置基线。

使用工具包,管理员可以将其当前 GPO 与Microsoft推荐的 GPO 基线或其他基线进行比较、对其进行编辑、以 GPO 备份文件格式存储,并通过 Active Directory 或本地策略单独广泛应用它们。

有关详细信息,请参阅 Microsoft 安全性合规性工具包 1.0

Microsoft 365 企业应用版的安全基线的内容

下载Microsoft 365 企业应用版的安全基线包括文档、GP 报告、GPO、脚本和“MS 安全指南”管理模板。 以下部分提供有关其中一些领域的其他信息。

组策略 对象 (GPO)

下载Microsoft 365 企业应用版的安全基线包括多个预配置的组策略对象 (GPO) 。

大多数组织都可以毫无问题地实现 计算机用户 GPO 中包含的建议设置。

但是,有一些设置会导致某些组织的操作问题。 我们已将此类设置的相关组划分为各自的 GPO,以便组织更轻松地以集的形式添加或删除这些限制。 这些设置包含在以下四个单独的 GPO 中:

  • DDE 阻止 - 用户,它是一个用户配置 GPO,它阻止使用 DDE 搜索现有 DDE 服务器进程或启动新的 DDE 服务器进程。

  • 旧文件块 - 用户,它是阻止 Office 应用程序打开或保存旧文件格式的用户配置 GPO。

  • 旧版 JScript 块 - 计算机,它是一种计算机配置 GPO,用于禁用 Internet 区域和受限站点区域中网站的旧版 JScript 执行。

  • 需要宏签名 - 用户,这是一个用户配置 GPO,用于禁用每个 Office 应用程序中未签名的宏。

名为 Baseline-LocalInstall.ps1 的本地策略脚本提供了命令行选项,用于控制是否安装了这些 GPO。

“MS 安全指南”管理模板

Microsoft 365 企业应用版的安全基线下载包括“MS 安全指南”管理模板。 SecGuide ADMX/ADML 文件包括两个 Office 管理员感兴趣的设置:

  • 在 Office 文档中阻止 Flash 激活
  • 限制 Office 的旧 JScript 执行

“在 Office 文档中阻止 Flash 激活”设置仅在“MS 安全指南”管理模板中可用。 如上一部分所述,“限制 Office 的旧 JScript 执行”设置也可作为安全基线下载中的 GPO 提供。

这些设置显示在 组策略 管理控制台中的“计算机配置\策略\管理模板\MS 安全指南”下。

列出可用策略和安全基线建议的文档

Microsoft 365 企业应用版的安全基线下载包括 Excel 文件,其中列出了可用的计算机配置和用户配置策略。 该文件还包括“MS 安全指南”管理模板中可用的设置。

可以筛选安全基线上的“区域”列,以查看属于安全基线的策略。 还可以查看每个策略的安全基线中设置的配置方式。

还可以筛选“ 区域类别” 列,以查找相关策略的分组。 例如,可以根据 FileBlock进行筛选。

此外,MSFT Office 365基线列中还有颜色编码,用于指示前面提到的四个单独 GPO 涵盖哪些策略。 有关说明颜色的图例,请参阅 Excel 文件中 的信息 表。

Excel 文件包含以下列。

列名称 内容说明
策略路径 策略在 组策略 管理控制台中的位置。
策略设置名称 策略的名称。
MSFT Office 365基线 建议的安全基线状态或策略应设置为的值。
领域 策略的区域。

建议使用“安全基线”的策略。

注意: 具有“安全性”的策略不包括在安全基线建议中。 它们更具限制性的安全策略。
区域类别 策略控制的技术类别。
注册表信息 注册表中存储策略状态的位置。
帮助文本 策略说明。

有关这些策略的一些其他信息可以在 Excel 文件中找到,该文件 (适用于 Office 的 ADMX/ADML) 下载组策略管理模板文件