適用於:Office 長期服務頻道 (LTSC) 2024、Office LTSC 2021、Office 2019 及 Office 2016 ((包括 Project 與 Visio) )的批量授權版本
Trusted Locations 是 Office 的一項功能,這些資料夾中的檔案會被假設是安全的,例如你自己建立或從可信來源儲存的檔案。 這些檔案可繞過威脅防護服務,繞過檔案封鎖設定,且所有活躍內容皆已啟用。 這表示儲存在受信任位置的檔案不會在 受保護檢視 或 應用程式守護中開啟。
主動內容 可以包括未簽名的外掛、VBA 巨集、外部資料的連接等。 在儲存到可信地點前,請確保你信任檔案的原始來源。 這很重要,因為所有活躍內容都已啟用,且用戶不會收到潛在安全風險的通知。 下圖顯示了開啟 Office 檔案時的信任工作流程。
如步驟 2 所示,受信任地點的檔案可繞過所有其他安全與政策檢查。 因此,信任位置應少使用,僅用於特殊情況且僅限特定使用者使用。 在 Microsoft 365 Apps 企業版的安全基線中,指引是停用基於網路的可信地點。 然後,如果需要,透過政策集中控制可信位置,且不允許使用者自行設定可信位置。
可信地點的規劃步驟
可信位置可啟用檔案中的所有內容,包括外掛、ActiveX 控制項、超連結、資料來源與媒體連結,以及 VBA 巨集。 從受信任位置開啟的檔案會跳過檔案驗證檢查、檔案區塊檢查,且不會在受保護檢視或應用程式守護中開啟。 你可以在組織中允許不同程度的信任,針對可信地點:
- 允許終端使用者自行在其裝置或網路上建立受信任位置
- 使用政策防止使用者建立受信任位置
- 使用政策集中管理可信地點
- 停用信任位置
選擇最適合你組織及其安全風險容忍度的情境非常重要。
注意事項
安裝 Office 時,有些受信任地點會預設建立。 關於這些受信任地點的清單,請參見 Office 應用程式的預設受信任地點。
要實施可信地點,您必須確定:
- 你想設定受信任地點的 Office 應用程式。
- 您要指定為信任位置的資料夾。
- 您要套用到信任位置的資料夾共用與資料夾安全性設定。
- 您要套用到信任位置的限制。
確定你想設定受信任地點的 Office 應用程式
您可以透過>檔案選項>、信任中心>、信任中心設定...>以下 Office 應用程式中的可信地點:
- Access
- Excel
- PowerPoint
- Visio
- Word
每個 Office 應用程式都有可用來管理可信地點的政策。 欲了解更多資訊,請參閱 使用政策管理受信任地點。
注意事項
Project 也有政策,但 Project 的信任中心沒有 可信地點 設定。
決定要指定做為信任位置的資料夾
以下是決定哪些資料夾作為受信任地點時需要注意的考量:
除非被政策封鎖,使用者可以在信任中心為其 Office 應用程式建立並修改可信地點。 欲了解更多資訊,請參閱 新增、移除或變更可信地點。
預設情況下,只有使用者裝置本地的受信任位置被允許。 網路位置也可以設定為受信任位置,但不建議這麼做。
我們不建議使用者將根資料夾指定為受信任位置。 例如,C: 磁碟機或「我的文件」資料夾。 相反地,在這些資料夾中建立一個子資料夾,並只指定該資料夾為受信任位置。
一個或多個應用程式可以使用相同的受信任位置。
您可以使用 受信任位置 #1 政策為使用者指定受信任位置。
確定受信任位置資料夾的資料夾共享與資料夾安全設定
你指定為受信任位置的所有資料夾都必須被保護,以防止惡意使用者在受信任位置新增或修改檔案。
如果資料夾已共用,請設定共用權限,以便只有經過授權的使用者能存取共用資料夾。
請務必遵照最低權限的原則,授與適當的權限給使用者。 授予不需要修改受信任位置檔案的使用者讀取權限。 給予必須編輯檔案的使用者完全控制權。
使用政策管理受信任地點
你可以使用多種政策來管理組織中的可信地點。
您可以使用雲端政策、Microsoft Intune 管理中心或群組原則管理主控台,來設定並部署政策設定給組織內的使用者。 欲了解更多資訊,請參閱 「可用管理政策的工具」。
注意事項
對於像 Office 專業增強版 2016 這樣的 Office 2016 磁碟授權版本,你可以使用 Office 自訂工具 (OCT) 來設定可信地點。 欲了解更多資訊,請參閱 Office 自訂工具 (2016 年 10 月) 說明:Office 安全設定。
每個 Office 應用程式都有獨立的可信地點政策。 下表顯示每個政策在群組原則管理主控台的使用者設定\政策\管理範本下的位置。
| 應用程式 | 政策位置 |
|---|---|
| Access | Microsoft Access 2016\Application Settings\Security\Trust Center\Trusted Locations |
| Excel | Microsoft Excel 2016\Excel 選項\Security\Trust Center\Trusted Locations |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint 選項\安全\信任中心\受信任位置 |
| Project | Microsoft Project 2016\專案選項\安全\信任中心 |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word 選項\Security\Trust Center\Trusted Locations |
配置「 允許」政策與使用者位置的混合 ,以判斷使用者與管理員是否都能定義受信任地點。
「受信任地點 #1」政策
你可以利用此政策為組織內的使用者指定可信位置的路徑。 此政策共有20個案例。 例如,受信任位置 #1、受信任位置 #2、受信任位置 #3 等等。
預設情況下,這些政策是空白的。 要新增可信地點,啟用該政策並指定前往可信地點的路徑。 請確保你指定的地點是安全的,透過設定權限,只有適當的使用者才能將 Office 檔案加入該位置。
您以本政策指定的受信任地點會出現在「政策>位置」區塊中,檔案選項>、信任中心>、信任中心設定...>可信地點。
注意事項
- 在指定受信任位置時,可以使用環境變數。
- 這 20 項政策也可在使用者設定\政策\管理範本\Microsoft Office 2016\安全設定\信任中心中找到。 如果你使用這個版本的政策,該政策會適用於所有支援受信任地點的應用程式。
「允許網路上的可信地點」政策
此政策控制網路上可信任位置的使用。
預設情況下,網路位置上的可信位置會被停用。 但使用者可以透過「檔案>選項>」信任中心>「信任中心設定...」來更改此設定。>在網路上選擇「允許信任地點」 (不建議勾選) 勾選框。
你選擇的保單州決定你提供的保障程度。 下表顯示各州提供的保護等級。
| 圖示 | 保護層級 | 政策狀態 | 描述 |
|---|---|---|---|
|
受保護 [推薦] | 已停用 | 透過「受信任位置 #1」政策) 封鎖網路上的可信位置,包括管理員 (設定的任何位置。
忽略使用者在信任中心中設定為可信位置的網路位置,並防止使用者新增更多位置。 |
|
沒有受到保護 | Enabled | 允許使用者與政策共同設定網路位置為可信位置。 |
|
部分受保護 | 未設定 | 預設情況下,使用者無法將網路位置新增為受信任地點,但可透過信任中心的「允許網路上的可 信任地點 (不推薦 」勾選) 勾選框來啟用此設定 |
我們建議將此政策設為停用,作為 Microsoft 365 Apps 企業版安全基線的一部分。 你應該對大多數使用者關閉此政策,並只在必要時對特定使用者例外。
你可以將網頁資料夾指定為受信任地點。 但只有支援網頁分散式著作與版本控制 (WebDAV) 或 FrontPage Server Extensions、遠端程序呼叫 (FPRPC) 協定的網頁資料夾才會被識別為受信任地點。
「停用所有受信任位置」政策
此政策可用來停用所有受信任地點。
預設情況下,可信任位置可用,使用者可指定任何地點為受信任位置,裝置可擁有任意組合的使用者建立與管理員設定的可信任位置。
你選擇的保單州決定你提供的保障程度。 下表顯示各州提供的保護等級。
| 圖示 | 保護層級 | 政策狀態 | 描述 |
|---|---|---|---|
|
|
受保護 | Enabled | 所有可信地點都被封鎖了。 |
|
|
沒有受到保護 | 已停用 | 使用者或裝置可以擁有由使用者建立或由管理員 (設定的可信地點組合,例如依政策) 設定。 |
|
|
沒有受到保護 | 未設定 | 這個設定是 Office 的預設設定。 提供與 身心障礙相同的行為。 |
擁有高度限制安全環境的組織通常會將此政策設為 啟用。
「允許政策與使用者位置混合」政策
此政策控制可信地點是否可由使用者與管理員 () 定義,或僅能由政策定義。
此政策可在群組原則管理主控台的使用者設定\政策\管理範本\Microsoft Office 2016\安全設定\信任中心中找到。
你選擇的保單州決定你提供的保障程度。 下表顯示各州提供的保護等級。
| 圖示 | 保護層級 | 政策狀態 | 描述 |
|---|---|---|---|
|
|
受保護 [推薦] | 已停用 | 只有政策定義的受信任位置才被允許。 |
|
|
沒有受到保護 | Enabled | 使用者或裝置可以擁有由使用者建立或由管理員 (設定的可信地點組合,例如依政策) 設定。 |
|
|
沒有受到保護 | 未設定 | 這個設定是 Office 的預設設定。 提供與 啟用相同的行為。 |
我們建議將此政策設為停用,作為 Microsoft 365 Apps 企業版安全基線的一部分。 你應該對大多數使用者關閉此政策,並只在必要時對特定使用者例外。
Office 應用程式的預設可信地點
在 Office 安裝中,有幾個資料夾被指定為預設的受信任地點。 預設的可信地點列於以下應用程式的表格中。
Project 和 Visio 都沒有預設的可信地點。
你可以透過檔案>選項>、信任中心>、信任中心設定來查看這些資料夾......>可信地點。
預設可信存取地點
下表列出預設的可信任存取位置,以及子資料夾是否也被信任。
| 預設信任位置 | 資料夾說明 | 子資料夾值得信任嗎? |
|---|---|---|
| Program Files\Microsoft Office\Root\Office16\ACCWIZ | 精靈資料庫 | 否 (不允許) |
Excel 預設可信位置
下表列出哪些資料夾是 Excel 預設的受信任位置,以及子資料夾是否也被信任。
| 預設的可信地點 | 資料夾說明 | 子資料夾值得信任嗎? |
|---|---|---|
| Program Files\Microsoft Office\Root\Templates | 應用程式範本 | 是 (允許) |
| 使用者\user_name\Appdata\漫遊\Microsoft\模板 | 使用者範本 | 否 (不允許) |
| Program Files\Microsoft Office\Root\Office16\XLSTART | Excel 啟動 | 是 (允許) |
| Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART | 使用者啟動 | 否 (不允許) |
| Program Files\Microsoft Office\Root\Office16\STARTUP | Office 啟動 | 是 (允許) |
| 程式檔案\Microsoft Office\Root\Office16\Library | 增益集 | 是 (允許) |
PowerPoint 預設可信地點
下表列出 PowerPoint 預設的可信位置,以及子資料夾是否也被信任。
| 預設的可信地點 | 資料夾說明 | 子資料夾值得信任嗎? |
|---|---|---|
| Program Files\Microsoft Office\Root\Templates | 應用程式範本 | 是 (允許) |
| 使用者\user_name\Appdata\漫遊\Microsoft\模板 | 使用者範本 | 是 (允許) |
| 使用者\user_name\Appdata\漫遊\Microsoft\Addins | 增益集 | 否 (不允許) |
| Program Files\Microsoft Office\Root\Document Themes 16 | 應用程式佈景主題 | 是 (允許) |
Word 預設可信位置
下表列出 Word 預設的受信任位置,以及子資料夾是否也被信任。
| 預設的可信地點 | 資料夾說明 | 子資料夾值得信任嗎? |
|---|---|---|
| Program Files\Microsoft Office\Root\Templates | 應用程式範本 | 是 (允許) |
| 使用者\user_name\Appdata\漫遊\Microsoft\模板 | 使用者範本 | 否 (不允許) |
| 使用者\user_name\Appdata\漫遊\Microsoft\Word\Startup | 使用者啟動 | 否 (不允許) |