通过使用 Office 2016 中的受保护视图设置打开文件的安全环境

总结: 说明如何使用受保护的视图设置在 Office 2016 的沙盒环境中打开文档、演示文稿和工作簿。

通过配置受保护的视图设置来更改 Office 2016 中沙盒预览功能的行为方式。 Office 2016 中的受保护视图是一项安全功能,旨在将计算机的风险降到最低。 它会在受限的环境中打开文件,允许在编辑Excel 2016、PowerPoint 2016或Word 2016之前对其进行检查。

注意

  • 如果要在单个 Office 2016 应用程序中查找有关受保护视图的信息,请参阅 什么是受保护的视图
  • 如果你是 IT 专业人员,并且计划在组织中为 Office 2016 配置受保护的视图设置,则你位于正确的位置,因此请继续阅读。

在 Office 2016 中规划受保护的视图设置

受保护的视图通过在沙盒环境中打开文档、演示文稿和工作簿来帮助防止多种攻击。 沙盒是一块计算机内存或特定的计算机进程,与某些操作系统组件和应用程序隔离。 正因为此隔离,在沙盒环境中运行的程序和进程危险度较低。 沙盒环境通常用于测试新的应用程序和服务,它们可能导致计算机不稳定或出现故障。 沙盒环境还可用于防止应用程序和进程危害计算机。

在受保护的视图中打开文件时,可以查看其内容。 但是,无法编辑、保存、打印或查看文件中任何数字签名的详细信息。 未启用 ActiveX 控件、加载项、数据库连接、超链接和Visual Basic for Applications (VBA) 宏等活动文件内容。 但是,用户可以从文件中复制内容并粘贴到其他文档中。

Office 2016 中受保护的视图的默认行为

默认情况下,受保护的视图在Excel 2016、PowerPoint 2016和Word 2016中启用,但仅在特定条件下在受保护的视图中打开文件。 在有些情况下,文件会绕过受保护的视图打开以进行编辑。 例如,从受信任位置打开的文件和受信任文档的文件会绕过多个安全检查,并且不会在受保护的视图中打开。

默认情况下,如果满足下列条件之一,文件将在受保护视图中打开:

  • 文件跳过或失败 Office 文件验证 Office 文件验证是一项安全功能,可扫描文件中的文件格式攻击。 如果 Office 文件验证检测到可能的漏洞或某些其他不安全的文件损坏,该文件将在“受保护的视图”中打开。

  • 区域信息确定文件不安全 附件执行服务 (AES) 向Microsoft Outlook、Internet Explorer 和其他一些应用程序下载的文件添加区域信息。 此外,在 Windows 8.1 及更高版本中,Windows 会将区域信息添加到使用 Microsoft 应用商店应用程序编辑的文件。 如果文件的区域信息指示该文件源自不受信任的网站或 Internet,该文件将在“受保护的视图”中打开。

  • 用户在受保护的视图中打开文件用户可以在“受保护的视图中打开”,方法是在“打开”对话框中选择“在受保护的视图中打开”,或者按住 SHIFT 键,选择文件名,并从其快捷菜单中 (右键单击“) ”,选择“在受保护的视图中打开”。

  • 从不安全的位置打开文件 默认情况下,不安全位置包括用户的“临时 Internet 文件”文件夹和下载的程序文件文件夹。 还可以使用组策略设置来指定其他不安全位置。

在某些情况下,即使满足一个或多个上述条件,也会绕过受保护视图。 具体而言,在受保护的视图外部打开的文件有以下情况:

  • 文件从受信任位置打开。

  • 文件被视为受信任文档。

  • 使用受信任的 Microsoft Store 应用程序编辑文件。

在 Office 2016 中更改受保护的视图行为

建议不要更改受保护的视图的默认行为。 受保护的视图是 Office 2016 中分层防御策略的重要组成部分,旨在与其他安全功能(如 Office 文件验证和文件阻止)配合使用。 我们知道,某些组织可能需要更改受保护的视图设置以满足特殊的安全要求。 如果这适用于你,则可以使用这些设置来更改受保护的视图的工作方式:

  • 阻止从 Internet 下载的文件在受保护的视图中打开。

  • 阻止存储在不安全位置的文件在受保护的视图中打开。

  • 阻止在 Outlook 2016 中打开的附件在受保护的视图中打开。

  • 将位置添加到不安全位置列表中。

  • 添加受信任的 Microsoft Store 应用程序。

此外,可以使用文件阻止设置和 Office 文件验证设置强制在受保护的视图中打开文件。 有关详细信息,请参阅本文后面的 强制在 Office 2016 的受保护视图中打开文件

防止文件在 Office 2016 的受保护视图中打开

您可以更改受保护视图设置,以便特定文件绕过受保护视图。 为此,需要在信任中心 禁用 某些设置。 如果文件阻止设置强制在受保护的视图中打开文件,则这些设置不适用。 此外,如果文件未通过 Office 文件验证,则这些设置不适用。 可以针对Excel 2016、PowerPoint 2016和Word 2016配置每个应用程序设置。

防止文件在 Office 2016 中的受保护视图中打开

  1. 从任何 Office 应用程序中,转到“文件>选项>信任中心信任中心>设置”。

  2. 从以下选项中选择要禁用的受保护的视图设置:

    • 为源自 Internet 的文件启用受保护的视图 如果区域信息指示文件是从 Internet 区域下载的,请禁用此设置以强制文件绕过受保护的视图。 此设置适用于使用 Internet Explorer 和 Outlook 下载的文件或由 Microsoft Store 应用程序编辑的文件。

    • 为位于潜在不安全位置的文件启用受保护的视图 禁用此设置以强制文件在从不安全位置打开时绕过受保护的视图。 您可以使用“指定不安全位置的列表”设置,将文件夹添加到不安全位置,本文稍后将讨论这一点。

    • 启用受保护的视图 Outlook 附件禁用此设置可强制Excel 2016、PowerPoint 2016和Word 2016作为Outlook 2016附件打开的文件绕过受保护的视图。

在 Office 2016 中强制在受保护的视图中打开文件

文件阻止和 Office 文件验证功能具有设置,允许你在满足某些条件时强制在受保护的视图中打开文件。 您可以使用这些设置确定文件将在受保护视图中打开的情况。

使用文件块强制在受保护的视图中打开 Office 2016 文件

文件阻止功能可以防止用户打开或保存特定的文件类型。 当您使用文件阻止设置阻止某种文件类型时,您可以选择下列三种文件阻止操作之一:

  • 阻止且不允许打开。

  • 仅在受保护的视图中阻止并打开 (用户无法启用编辑) 。

  • 阻止且在受保护视图中打开(用户可以启用编辑)。

如果选择第二或第三个选项,您可以强制阻止的文件类型在受保护视图中打开。 只能针对Excel 2016、PowerPoint 2016和Word 2016配置每个应用程序的文件阻止设置。 有关文件阻止设置的详细信息,请参阅 阻止 Office 2016 中的特定文件格式类型

使用 Office 文件验证设置强制在受保护的视图中打开 Office 2016 文件

Office 文件验证是一项安全功能。 它会在 Office 2016 应用程序打开文件之前扫描文件格式攻击。 默认情况下,Office 文件验证失败的文件在受保护的视图中打开,用户可以在受保护的视图中预览文件后启用编辑。 可以使用“组策略受保护的视图”设置设置文档行为(如果文件验证无法更改此默认行为)。 可以使用此设置为 Office 文件验证失败的文件选择两个可能的选项之一:

  • 完全阻止 无法通过 Office 文件验证的文件在受保护的视图中打开或打开进行编辑。

  • 在受保护的视图中打开 在受保护的视图中打开未通过 Office 文件验证的文件。 这是默认选项。

通过选择第二个选项,可以限制 Office 文件验证失败的文件的“受保护的视图”行为。 只能针对Excel 2016、PowerPoint 2016和Word 2016按应用程序配置此 Office 文件验证设置。 有关 Office 文件验证设置的详细信息,请参阅在 Office 2016 中使用 Office 文件验证防止文件格式攻击

将文件添加到不安全文件的列表

您可以使用“指定不安全位置的列表”设置,将位置添加到不安全位置列表。 从不安全位置打开的文件将始终在受保护视图中打开。 不安全的位置功能不会阻止用户编辑文档。 它只会强制文档在编辑前在受保护的视图中打开。 这是适用于Excel 2016、PowerPoint 2016和Word 2016的全局设置。

添加受信任的 Microsoft Store 应用程序

在 Windows 8.1 及更高版本的 Windows 中,操作系统会自动将 Internet 区域标识符添加到Microsoft应用商店应用程序编辑的文件。 因此,在 Office 2016 中打开时,此类文件在受保护的视图中打开。

在 Office 2016 中,可以指定受信任的Microsoft应用商店应用程序。 这样,在 Office 2016 中打开时,这些应用程序编辑的特定文件就可以绕过受保护的视图。 默认情况下,此受信任的Microsoft应用商店应用程序列表包括Word Mobile、Excel Mobile和PowerPoint Mobile。 具有本地管理员权限或企业管理员的用户可以通过将 Microsoft Store 包系列名称 (PFN) 添加到以下注册表项,将更多 Microsoft Store 应用程序添加到此列表中:

HKEY_CURRENT_USER\Software\Microsoft\Office\Common\Security\TrustedStoreApps\

请联系应用程序的开发人员,以获取要添加到受信任的 Microsoft Store 应用程序的应用程序的 PFN。 这是适用于Excel 2016、PowerPoint 2016和Word 2016的全局设置。