Office 檔案的信任位置
適用於:Microsoft 365 Apps、Office LTSC 2021、Office 2019 和 Office 2016
[信任的位置] 是 Office 的一項功能,其中包含在這些資料夾中的檔案會假設為安全,例如您自行建立或從可信任的來源儲存的檔案。 這些檔案會略過威脅防護服務、略過檔案區塊設定,並啟用所有使用中內容。 這表示儲存在信任位置中的檔案不會在受保護的檢視或 應用程式防護 中開啟。
使用中內容 可以包含未簽署的載入巨集、VBA 巨集、外部數據的連線等等。 請確定您信任檔案的原始來源,再將它儲存至信任的位置。 這一點很重要,因為所有作用中的內容都已啟用,而且使用者不會收到潛在安全性風險的通知。 下圖顯示開啟 Office 檔案的信任工作流程。
如步驟 2 所示,信任位置中的檔案會略過所有其他安全性和原則檢查。 因此,受信任的位置應該很少用於唯一的情況,且僅適用於選取的使用者。 在 Microsoft 365 Apps 企業版的安全性基準中,指導方針是停用以網路為基礎的信任位置。 然後,視需要透過原則集中控制信任的位置,而且不允許使用者自行設定信任的位置。
信任位置的規劃步驟
信任的位置會啟用檔案內的所有內容,包括載入巨集、ActiveX 控件、超連結、數據源和媒體的連結,以及 VBA 巨集。 從信任位置開啟的檔案會略過檔案驗證檢查、檔案封鎖檢查,且未在受保護的檢視或 應用程式防護 中開啟。 您可以在組織中允許信任位置的不同信任層級:
- 允許終端使用者在其裝置或網路本身建立信任的位置
- 使用原則防止使用者建立信任的位置
- 使用原則集中管理信任的位置
- 停用信任位置
請務必選擇最適合您組織及其安全性風險承受能力的案例。
注意事項
安裝 Office 時,預設會建立一些信任的位置。 如需這些信任位置的清單,請參閱 Office 應用程式的預設信任位置。
若要實作信任的位置,您必須判斷:
- 您要設定信任位置的 Office 應用程式。
- 您要指定為信任位置的資料夾。
- 您要套用到信任位置的資料夾共用與資料夾安全性設定。
- 您要套用到信任位置的限制。
判斷您要設定信任位置的 Office 應用程式
您可以移至檔案選項>信任中心信任中心>設定來>檢視信任位置清單...>下列 Office 應用程式中的信任位置:
- Access
- Excel
- PowerPoint
- Visio
- Word
原則可用來管理每個 Office 應用程式的信任位置。 如需詳細資訊,請 參閱使用原則來管理信任的位置。
注意事項
原則也適用於 Project,但 Project 在信任中心沒有 [信任位置 ] 設定。
決定要指定做為信任位置的資料夾
以下是決定要使用哪些資料夾作為信任位置時要牢記在心的一些考慮:
除非遭到原則封鎖,否則使用者可以在信任中心為其 Office 應用程式建立和修改信任位置。 如需詳細資訊,請 參閱新增、移除或變更信任的位置。
根據預設,只允許使用者裝置的本機信任位置。 網路位置也可以設定為信任的位置,但不建議使用。
我們不建議使用者將根資料夾指定為信任的位置。 例如,C: 磁碟驅動器或 [我的文檔] 資料夾。 相反地,請在這些資料夾中建立子資料夾,並只將該資料夾指定為 [信任的位置]。
一或多個應用程式可以使用相同的信任位置。
您可以使用 信任位置 #1 原則為您的使用者指定信任的位置。
判斷信任位置資料夾的資料夾共享和資料夾安全性設定
您指定為 [信任的位置] 的所有資料夾都必須受到保護,以防止惡意使用者新增或修改信任位置中的檔案。
如果資料夾已共用,請設定共用權限,以便只有經過授權的使用者能存取共用資料夾。
請務必遵照最低權限的原則,授與適當的權限給使用者。 將讀取許可權授與不需要修改信任位置中檔案的使用者。 將 [完全控制] 許可權授與必須編輯檔案的使用者。
使用原則來管理信任的位置
有數個原則可用來管理組織中的信任位置。
您可以使用雲端原則、Microsoft Intune 系統管理中心或 群組原則 管理主控台來設定原則設定,並將原則設定部署給組織中的使用者。 如需詳細資訊,請參閱 可用來管理原則的工具。
注意事項
針對大量授權版本的 Office 2016,例如 Office 專業增強版 2016,您可以使用 Office 自訂工具 (OCT) 來設定信任的位置。 如需詳細資訊,請 參閱 OFFICE 自定義工具 (OCT) 2016 說明:Office 安全性設定。
每個 Office 應用程式的受信任位置都有個別的原則。 下表顯示在 [用戶設定\原則\系統管理範本] 底下的 [群組原則 管理控制台] 中找到每個原則的位置。
| 應用程式 | 原則位置 |
|---|---|
| Access | Microsoft Access 2016\Application Settings\Security\Trust Center\Trusted Locations |
| Excel | Microsoft Excel 2016\Excel Options\Security\Trust Center\Trusted Locations |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center\Trusted Locations |
| Project | Microsoft Project 2016\Project Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center\Trusted Locations |
設定 [ 允許混合原則和使用者位置 ] 原則,以判斷使用者和系統管理員或只有系統管理員是否可以定義信任的位置。
「信任的位置 #1」原則
您可以使用此原則為組織中的使用者指定信任位置的路徑。 此原則有 20 個實例。 例如,信任的位置 #1、信任的位置 #2、信任的位置 #3 等。
根據預設,這些原則是空白的。 若要新增信任的位置,請啟用原則,並指定 [信任的位置] 的路徑。 藉由設定許可權,確定您指定的位置受到保護,讓只有適當的使用者可以將 Office 檔案新增至該位置。
您使用此原則指定的信任位置會出現在 [檔案>選項>信任中心信任中心>設定] 底下的 [原則位置] 區段下...>信任的位置。
注意事項
- 您可以在指定信任的位置時使用環境變數。
- 這 20 個原則也可在使用者設定\原則\系統管理範本\Microsoft Office 2016\Security Settings\Trust Center 下取得。 如果您使用此版本的原則,此原則會套用至支援信任位置的所有應用程式。
「允許網路上的信任位置」原則
此原則可控制是否可以使用網路上的信任位置。
根據預設,會停用網路位置上的信任位置。 但使用者可以移至 [檔案>選項>信任中心信任中心>設定] 來變更此設定...>[信任的位置] 並選取 [不建議在我的網络上允許信任的位置 () ] 複選框。
您為原則選擇的狀態會決定您所提供的保護層級。 下表顯示您針對每個狀態所取得的保護層級。
| 圖示 | 保護層級 | 原則狀態 | 描述 |
|---|---|---|---|
|
受保護 [建議] | 已停用 | 封鎖網路位置上的信任位置,包括系統管理員 (所設定的任何位置,例如使用「信任的位置 #1」原則) 。
忽略使用者在信任中心設定為信任位置的任何網路位置,並防止使用者新增更多位置。 |
|
未受保護 | Enabled | 允許使用者和原則將網路位置設定為信任的位置。 |
|
部分保護 | 未設定 | 根據預設,系統會封鎖使用者將網路位置新增為信任的位置,但可藉由在信任中心選取 [ 允許我網络上的受信任位置 (不建議) ] 複 選框來啟用此設定 |
建議您將此原則設定為 [停用],作為 Microsoft 365 Apps 企業版 安全性基準的一部分。 您應該針對大部分的使用者停用此原則,並只視需要對特定用戶進行例外狀況。
您可以將 Web 資料夾指定為 [信任的位置]。 但是,只有支援 Web Distributed Authoring 和 Versioning (WebDAV) 或 FrontPage Server Extensions 遠程過程調用 (FPRPC) 通訊協定的 Web 資料夾,才會辨識為信任的位置。
「停用所有信任的位置」原則
此原則可用來停用所有信任的位置。
根據預設,可以使用信任的位置,而且使用者可以將任何位置指定為信任的位置,而裝置可以擁有使用者建立和系統管理員設定的信任位置的任何組合。
您為原則選擇的狀態會決定您所提供的保護層級。 下表顯示您針對每個狀態所取得的保護層級。
| 圖示 | 保護層級 | 原則狀態 | 描述 |
|---|---|---|---|
|
|
受保護 | Enabled | 所有信任的位置都會遭到封鎖。 |
|
|
未受保護 | 已停用 | 使用者或裝置可以結合使用者建立的信任位置,或由系統管理員 (設定,例如原則) 。 |
|
|
未受保護 | 未設定 | 此設定為 Office 預設值。 提供與 Disabled 相同的行為。 |
具有高度限制安全性環境的組織通常會將此原則設定為 [已啟用]。
「允許混合原則和使用者位置」原則
此原則可控制使用者和系統管理員是否可以定義信任的位置 (例如,由原則) 定義,或者信任的位置是否只能由原則定義。
您可以在 群組原則 管理控制台的 [使用者設定\原則\系統管理範本\Microsoft Office 2016\Security Settings\Trust Center] 下找到此原則。
您為原則選擇的狀態會決定您所提供的保護層級。 下表顯示您針對每個狀態所取得的保護層級。
| 圖示 | 保護層級 | 原則狀態 | 描述 |
|---|---|---|---|
|
|
受保護 [建議] | 已停用 | 只允許原則所定義的信任位置。 |
|
|
未受保護 | Enabled | 使用者或裝置可以結合使用者建立的信任位置,或由系統管理員 (設定,例如原則) 。 |
|
|
未受保護 | 未設定 | 此設定為 Office 預設值。 提供與 Enabled 相同的行為。 |
建議您將此原則設定為 [停用],作為 Microsoft 365 Apps 企業版 安全性基準的一部分。 您應該針對大部分的使用者停用此原則,並只視需要對特定用戶進行例外狀況。
Office 應用程式的預設信任位置
在 Office 安裝中,有數個資料夾被指定為預設信任的位置。 下列應用程式的數據表中會列出預設的信任位置。
Project 或 Visio 沒有預設的信任位置。
您可以前往 [檔案>選項>信任中心信任中心>設定] 來查看這些資料夾...>信任的位置。
存取的預設信任位置
下表列出 Access 的預設信任位置,以及子資料夾是否也受信任。
| 預設信任位置 | 資料夾說明 | 受信任的子資料夾? |
|---|---|---|
| Program Files\Microsoft Office\Root\Office16\ACCWIZ | 精靈資料庫 | 否 (不允許) |
Excel 的預設信任位置
下表列出哪些資料夾是 Excel 的預設信任位置,以及子資料夾是否也受信任。
| 預設信任的位置 | 資料夾說明 | 受信任的子資料夾? |
|---|---|---|
| Program Files\Microsoft Office\Root\Templates | 應用程式範本 | 是 (允許) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | 使用者範本 | 否 (不允許) |
| Program Files\Microsoft Office\Root\Office16\XLSTART | Excel 啟動 | 是 (允許) |
| Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART | 使用者啟動 | 否 (不允許) |
| Program Files\Microsoft Office\Root\Office16\STARTUP | Office 啟動 | 是 (允許) |
| Program Files\Microsoft Office\Root\Office16\Library | 增益集 | 是 (允許) |
PowerPoint 的預設信任位置
下表列出 PowerPoint 的預設信任位置,以及子資料夾是否也受信任。
| 預設信任的位置 | 資料夾說明 | 受信任的子資料夾? |
|---|---|---|
| Program Files\Microsoft Office\Root\Templates | 應用程式範本 | 是 (允許) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | 使用者範本 | 是 (允許) |
| Users\user_name\Appdata\Roaming\Microsoft\Addins | 增益集 | 否 (不允許) |
| Program Files\Microsoft Office\Root\Document Themes 16 | 應用程式佈景主題 | 是 (允許) |
Word的預設信任位置
下表列出 Word 的預設信任位置,以及子資料夾是否也受信任。
| 預設信任的位置 | 資料夾說明 | 受信任的子資料夾? |
|---|---|---|
| Program Files\Microsoft Office\Root\Templates | 應用程式範本 | 是 (允許) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | 使用者範本 | 否 (不允許) |
| Users\user_name\Appdata\Roaming\Microsoft\Word\Startup | 使用者啟動 | 否 (不允許) |