在 Office 2016 中使用 Office 檔案驗證,以避免檔案格式攻擊
總結: 說明如何在 Office 2016 中使用檔案驗證來防止檔格式攻擊。
藉由驗證檔案,Office 2016 可協助防止檔格式攻擊,方法是在以 Excel 2016、PowerPoint 2016 或 Word 2016 開啟 Office 二進位檔格式之前先掃描它們。 您可以藉由設定設定,變更 Office 2016 驗證儲存在 office 二進位檔格式Microsoft檔案的方式。
規劃如何在 Office 中驗證檔案
Office 檔案驗證可協助偵測並防止一種稱為檔格式攻擊或檔案模糊攻擊的惡意探索。 檔格式攻擊會利用檔案的完整性,並且會在有人修改檔案結構以新增惡意代碼時發生。 惡意代碼通常會從遠端執行,並用來提高計算機上受限制帳戶的許可權。 攻擊者可以使用程式代碼來取得計算機的存取權。 取得此存取權可讓攻擊者從計算機的硬碟讀取敏感性資訊,或安裝惡意代碼,例如 Worm 或密鑰記錄程式。 為了驗證檔案,Office 會比較檔案的結構與預先定義的檔案架構,這是一組可判斷可讀取檔案外觀的規則。 如果 Office 偵測到檔案的結構未遵循架構中所述的所有規則,則不會驗證檔案。
檔案格式攻擊最常發生在以 Office 二進位檔案格式儲存的檔案。 因此,Office 會掃描並驗證下列類型的檔案:
Excel 97-2003 活頁簿檔案。 這些檔案的副檔名是 .xls,其中包含所有 Binary Interchange File Format 8 (BIFF8) 檔案。
Excel 97-2003 範本檔案。 這些檔案的副檔名是 .xlt,其中包含所有 BIFF8 檔案。
Microsoft Excel 5.0/95 檔案。 這些檔案的副檔名是 .xls,其中包含所有 BIFF5 檔案。
PowerPoint 97-2003 簡報檔案。 這些檔案的副檔名是 .ppt。
PowerPoint 97-2003 放映檔。 這些檔案的副檔名是 .pps。
PowerPoint 97-2003 範本檔案。 這些檔案的副檔名是 .pot。
Word 97-2003 文件檔案。 這些檔案的副檔名是 .doc。
Word 97-2003 範本檔案。 這些檔案的副檔名是 .dot。
Office 2016 提供數個設定,可讓您變更 Office 驗證檔案的運作方式:
啟用或停用 Office 檔案驗證。
指定檔案未通過驗證時的文件行為。
防止 Office 2016 將 Office 檔案驗證資訊傳送至 Microsoft。
根據預設,Office 會驗證檔案。 任何未通過驗證的檔案將在 [受保護檢視] 中開啟。 使用者可選擇啟用這些檔案的編輯。 此外,系統也會提示使用者將 Office 檔案驗證資訊傳送至Microsoft。 如果使用者授予權限,只會收集未通過驗證的檔案相關資訊並傳送到 Microsoft。
建議您不要變更 Office 檔案驗證的預設設定。 不過,某些組織可能必須設定 Office 檔案驗證設定,以符合特殊安全性需求。 具體而言,下列類型的組織具有可能需要變更 Office 檔案驗證預設設定的安全性需求:
限制網際網路存取的組織。 Office 檔案驗證會提示使用者傳送驗證錯誤資訊給Microsoft大約每兩週一次,可能會違反組織的因特網存取原則。 在此情況下,您可以選擇防止 Office 將資訊傳送至 Microsoft。 如需詳細資訊,請參閱本文稍後 的在 Office 中關閉 Office 檔案驗證報告 。
具有高度限制安全性環境的組織。 您可以設定 Office 檔案驗證,讓無法通過驗證的檔案無法開啟,或只能在受保護的檢視中開啟。 此方法比 Office 檔案驗證的預設設定更嚴格,而且可能適用於具有鎖定安全性環境的組織。 如需如何變更文件行為的詳細資訊,請參閱本文稍後 在 Office 中驗證失敗時變更文件行為 。
不要將檔案傳送到 Microsoft 的組織。 如果用戶允許,Office 檔案驗證會將所有驗證失敗的檔案複本傳送至 Microsoft。 您可以設定 Office 檔案驗證,讓系統不會提示使用者將驗證資訊傳送至Microsoft。
關閉 Office 2016 中的 Office 檔案驗證
您可以使用 [關閉檔案驗證 ] 設定來停用 Office 檔案驗證。 此設定必須以每個應用程式為基礎,針對 Excel 2016、PowerPoint 2016 和 Word 2016 進行設定。 這項設定可防止對以 Office 二進位檔案格式儲存的檔案進行掃描和驗證。 例如,如果您啟用 [關閉 Excel 2016 的檔案驗證設定,Office 檔案驗證就不會掃描或驗證 Excel 97-2003 活頁簿檔案、Excel 97-2003 範本檔案或Microsoft Excel 5.0/95 檔案。 如果用戶開啟其中一種檔類型,且檔案包含檔格式攻擊,除非其他安全性控件偵測並防止這類攻擊,否則不會偵測或防止攻擊。
建議您不要關閉 Office 檔案驗證。 Office 檔案驗證是 Office 2016 分層防禦策略的重要部分,應該在整個組織的所有計算機上啟用。 如果您想要防止 Office 檔案驗證驗證檔案,建議您也設定信任的位置。 從信任位置開啟的檔案會略過 Office 檔案驗證檢查。 您也可以信任特定檔,以防止 Office 檔案驗證驗證檔案。 被視為受信任檔的檔案不會進行 Office 檔案驗證檢查。
在 Office 中驗證失敗時變更文件行為
您可以使用 [設定檔案驗證失敗時的文件行為] 群組原則設定變更文件未通過驗證時的行為。 當您啟用這項設定時,可以選取下列兩個選項的其中一項:
封鎖檔案 驗證失敗的檔案不會在受保護的檢視中開啟,而且使用者無法開啟檔案進行編輯。
如果您選取 [在受保護檢視中開啟檔案] 選項,當檔案未通過驗證時,使用者會看見訊息列顯示下列文字:
PROTECTED VIEW Office 偵測到此檔案發生問題。 按兩下以取得詳細數據。
如果使用者選取 [訊息列],[Microsoft Office Backstage] 檢視隨即出現,這會提供更冗長的問題描述,並可讓使用者啟用檔案以進行編輯。
在受保護的檢視中開啟檔案 檔案會在受保護的檢視中開啟,讓使用者可以看到檔案的內容,但使用者無法開啟檔案進行編輯。 此選項代表 Office 檔案驗證的預設行為。
如果您選取 [封鎖檔案] 選項,當檔案未通過驗證時,使用者將看見對話方塊顯示下列文字:
Office 偵測到此檔案發生問題。 為了協助保護您的電腦,無法開啟此檔案.
用戶可以展開對話框,並查看檔案未開啟原因的更詳細說明,也可以選取 [ 確定] 來關閉對話方塊。
關閉 Office 中的 Office 檔案驗證報告
您可以使用 [關閉未通過檔案驗證的檔案之錯誤報告] 群組原則設定,不讓對話方塊提示使用者將資訊傳送到 Microsoft。 這項設定也不會讓驗證資訊傳送到 Microsoft。
每次檔案驗證失敗時,Office 2016 都會收集檔案驗證失敗原因的相關信息。 在檔案驗證失敗后大約兩周,Office 2016 會提示使用者將 Office 檔案驗證資訊傳送至 Microsoft。 驗證資訊包括檔案類型、檔案大小、開啟檔案所需的時間,以及驗證檔案所需的時間。 驗證失敗的任何檔案複本會傳送至Microsoft。 當系統提示使用者將驗證資訊傳送至Microsoft時,使用者會看到檔案清單。 使用者可以拒絕將驗證資訊傳送到 Microsoft,這表示不會有任何未通過驗證的相關資訊傳送到 Microsoft,而且不會將檔案傳送到 Microsoft。 如果組織限制因特網存取、限制因特網存取原則,或不想將檔案傳送至Microsoft,您可能必須啟用 [關閉檔案驗證失敗檔案的錯誤報告 群組原則 設定。
重要事項
Office 檔案驗證偶爾會指出檔案在事實上是有效的時,驗證失敗。 驗證報告可協助Microsoft改善 Office 檔案驗證,並將誤判結果的發生次數降到最低。