共用方式為


規劃和配置 Office 2013 信任的發行者設定

 

適用版本: Office 365 ProPlus

上次修改主題的時間: 2016-12-16

摘要:說明如何在 Office 2013 中使用「受信任的發行者」清單以指定您信任的內容發行者。

對象: IT 專業人員

您可以使用「受信任的發行者」清單來指定您信任的內容發行者。如果您的組織使用已發佈的內容,例如 Microsoft ActiveX 控制項、增益集和 Visual Basic for Applications (VBA) 巨集,這功能會相當實用。

「發行者」是建立並發佈數位簽署的 ActiveX 控制項、增益集或 VBA 巨集的任何開發人員、軟體公司或組織。「受信任的發行者」是新增到信任的發行者清單中的任何發行者。當使用者開啟檔案,而且檔案包含信任的發行者所建立的主動式內容時,系統便會啟用信任的發行者內容,而且不會通知使用者檔案可能包含的任何潛在風險。

如需如何新增信任的發行者的詳細資訊,請參閱新增、移除或檢視受信任的發行者

Office 安全性之指南的藍圖箭號

本文為<Office 2013 安全性的內容藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 安全性之文章、下載檔、海報及影片的起點。

您在尋找有關個別 Office 2013 應用程式的安全性資訊嗎?您可在 Office.com 上搜尋「2013 安全性」,即可找到此資訊。

本文內容:

  • 規劃 Office 2013 中的信任發行者設定

  • 向已知的發行者索取憑證

  • 決定哪些憑證必須加入至受信任的發行者清單

  • 相關的 Office 2013 受信任發行者設定

規劃 Office 2013 中的信任發行者設定

若要將發行者指定為信任的發行者,您必須將發行者的憑證新增至受信任的發行者清單。在本文中,發行者的憑證是發行者用來數位簽署其發行內容的數位憑證 (.cer 檔)。在大多數情況下,您可以向發行者取得 .cer 檔,也可以從發行的內容相關的 .cab, .dll, .exe 或 .ocx 檔匯出該檔案。如果不確定組織使用哪個發行的內容,您可能也必須判斷組織的 Office 2013 應用程式是否執行其他任何發佈的內容,然後取得該發佈內容的憑證。

有兩種方法可用來將發行者的憑證新增到信任的發行者清單:Office 自訂工具 (OCT) 或群組原則。除了可以讓使用者將受信任發行者憑證新增至 [受信任的發行者] 清單以外,OCT 並未提供任何管理憑證的設定。如果要管理憑證信任,或者要建立特定的信任關係來滿足業務需求,您必須使用群組原則。如需如何將信任的發行者新增到信任的發行者清單以及如何管理信任的根憑證的詳細資訊,請參閱管理受信任的根憑證管理受信任的發行者

向已知的發行者索取憑證

若要取得發行內容的憑證,通常可以透過要求發行者將憑證傳送給您。如果無法透過這種方式取得憑證,但是您知道包含發行內容的數位簽署 .cab, .dll, .exe 或 .ocx 檔名稱,您可以按照下列步驟匯出憑證檔案。

注意事項附註:
您可以使用滑鼠、快速鍵或觸控等方式完成所有 Office 2013 套裝軟體 中的工作。如需如何使用 Office 產品與服務中的快速鍵和觸控功能的詳細資訊,請參閱<快速鍵>與<Office 觸控指南>。
重要事項重要事項:
若要使用這項程序,您的電腦必須執行 Windows Vista、Windows 7、Windows 8、Windows 8.1、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 或 Windows Server 2012 R2 作業系統。

從 .dll 檔匯出憑證

  1. 選取發行者已簽署的檔案、開啟檔案的捷徑功能表 (按滑鼠右鍵),然後選擇 [內容]。

  2. 選擇 [數位簽章] 索引標籤。

  3. 在 [簽章清單] 中,選擇憑證,然後選擇 [詳細資料]。

  4. 在 [數位簽章詳細資料] 對話方塊中,選擇 [檢視憑證]。

  5. 選擇 [詳細資料] 索引標籤,然後選擇 [複製到檔案]。

  6. 在 [憑證探索精靈] 歡迎使用畫面中,選擇 [下一步]。

  7. 在 [匯出檔案格式] 頁面中,選擇 [DER 編碼二位元 X.509 (.CER)],然後選擇 [下一步]。

  8. 在 [要匯出的檔案] 頁面上,輸入 .cer 檔案的路徑和名稱,並選擇 [下一步],然後選擇 [完成]。

務必將所有的 .cer 檔儲存於安裝期間用戶端電腦可存取的網路共用。

決定哪些憑證必須加入至受信任的發行者清單

在某些情況下,您可能不知道組織是否使用已發佈的內容,或者您可能不知道要將哪些已發佈內容新增至 [受信任的發行者] 清單。只有在您處於高限制的環境,而且您要求簽署所有已發佈的內容,才會發生此情況。您可以使用下列程序,測試 Office 2013 應用程式的數位簽署內容。

識別已發佈的內容,並將內容發行者新增到信任的發行者清單

  1. 在測試電腦上,或在執行組織標準設定 (包括使用者需要的任何增益集) 的用戶端電腦上,進行下列步驟來啟用信任中心中的 [要求應用程式增益集由受信任的發行者簽署] 設定:

    1. 選擇 [檔案] 索引標籤。

    2. 選擇 [選項]。

    3. 選擇 [信任中心]。

    4. 選擇 [信任中心設定]。

    5. 選擇 [增益集]。

    6. 選擇 [要求應用程式增益集由受信任的發行者簽署]。

    7. 選擇 [確定]。

  2. 結束 Office 應用程式並重新啟動。如果已安裝增益集,訊息列將顯示下列訊息:「安全性警告已經停用部分主動式內容。按一下這裡顯示詳細資料」。

  3. 在訊息列上,選擇 [部分主動式內容已經停用。請按一下以取得詳細資訊]。

  4. 選擇 [檔案] 索引標籤,並且在 [Backspace 檢視] 中選擇 [啟用內容],然後選擇 [進階選項]。

  5. 在 [安全性警訊 - 多重議題] 對話方塊中,針對顯示有效數位簽章的各個增益集,按照下列步驟將各個憑證安裝到信任的發行者清單:

    1. 選擇 [顯示簽章詳細資料]。

    2. 在 [數位簽章詳細資料] 視窗中,選擇 [檢視憑證]。

    3. 在 [憑證] 視窗中,選擇 [安裝憑證]。

    4. 在 [憑證匯入精靈] 中,依序選擇 [下一步]、[將所有憑證放入以下的存放區]、[瀏覽]、[受信任的發行者]、[確定]、 [下一步] 與 [完成]。

  6. 準備憑證檔案進行發佈:

    1. 依序選擇 [檔案] 索引標籤、[選項]、[信任中心]、[信任中心設定] 與 [受信任的發行者]。

    2. 對於各個憑證,選取憑證、選擇 [檢視],然後按照下列步驟進行:

      1. 在 [憑證] 視窗的 [詳細資料] 索引標籤上,選擇 [複製到檔案]。

      2. 在 [憑證匯出精靈] 中,選擇 [下一步]、然後再次選擇 [下一步] 接受預設的檔案格式、輸入檔案名稱、選取儲存檔案的位置,然後選擇 [完成]。

相關的 Office 2013 受信任發行者設定

下列群組原則和信任中心設定通常搭配信任的發行者設定:

  • 應用程式增益集必須經過信任的發行者簽署
這項設定會將增益集侷限在信任的發行者所簽署的增益集。這是個別的應用程式設定。
  • 停用未簽署應用程式增益集的信任列通知,並加以封鎖
這個設定會避免使用者看見訊息列對未由信任發行者簽署的增益集所發出的警告。這是個別的應用程式設定。
  • VBA 巨集通知設定
這項設定會將 VBA 巨集侷限在信任的發行者所簽署的 VBA 巨集。這是個別的應用程式設定。
  • 停用所有 ActiveX
這項設定會將 ActiveX 控制項侷限在信任的發行者所簽署的 ActiveX 控制項。這是全域設定,而非個別的應用程式設定。
注意事項附註:
如需原則設定的最新資訊,請參閱 Office 2013 系統管理範本檔案隨附的 Excel 2013 workbook Office2013GroupPolicyAndOCTSettings_Reference.xlsx。如需詳細資訊,請參閱Office 2013 的群組原則系統管理範本檔案 (ADMX、ADML) 和 Office 自訂工具 (OCT) 檔案 TechNet 文章。

另請參閱

Office 2013 安全性的內容藍圖
Office 2013 安全性概觀
使用 OCT 或群組原則設定 Office 2013 的安全性
了解 Office 2013 的安全性威脅與計數器測量
規劃及設定 Office 2013 的信任位置設定