使用 Office 2016 的受保護檢視來設定安全的檔案開啟環境

摘要： 說明如何在 Office 2016 沙盒環境中使用受保護檢視設定開啟文件、簡報和工作簿。

透過設定受保護檢視（Protected View）設定，改變 Office 2016 沙盒預覽功能的行為。 Office 2016 中的受保護檢視是一項旨在降低電腦風險的安全功能。 它能在受限環境中開啟檔案，讓你在編輯 Excel 2016、PowerPoint 2016 或 Word 2016 前先檢查檔案。

Office 2016 中的計畫保護檢視設定

受保護檢視透過在沙盒環境中開啟文件、簡報和工作簿，幫助防止多種漏洞利用。 沙盒是一段電腦記憶體或特定的電腦程序，與特定作業系統元件和應用程式隔離。 由於這種隔離性，沙盒環境中運行的程式和程序被認為危險性較低。 沙盒環境經常用來測試新應用程式和服務，否則可能會讓電腦不穩定或失敗。 沙盒環境也被用來防止應用程式和程序損害電腦。

當你在受保護檢視中開啟檔案時，可以查看其內容。 然而，無法編輯、儲存、列印或查看檔案中任何數位簽名的細節。 主動檔案內容，如 ActiveX 控制項、外掛、資料庫連結、超連結，以及 VBA) 巨集 (Visual Basic for Applications，皆未啟用。 使用者可將檔案內容複製並貼上至其他文件中。

Office 2016 中受保護檢視的預設行為

預設情況下，Excel 2016、PowerPoint 2016 和 Word 2016 會啟用受保護檢視，但檔案僅在特定條件下才能在受保護檢視中開啟。 在某些情況下，檔案甚至可以略過 [受保護的檢視] 逕自開啟供您編輯。 例如，從可信位置開啟的檔案，以及可信文件的檔案會繞過多項安全檢查，無法在受保護檢視中開啟。

預設情況下，若符合以下任一條件，檔案會在受保護檢視中開啟：

• 檔案跳過或失敗 Office 檔案驗證 Office 檔案驗證是一項安全功能，用於掃描檔案以防止檔案格式漏洞。 若 Office 檔案驗證偵測到可能的漏洞或其他不安全的檔案損毀，檔案會以受保護檢視方式開啟。

• 區域資訊判斷檔案是否不安全 附件執行服務 (AES) 會為 Outlook、Internet Explorer 及其他應用程式下載的檔案Microsoft新增區域資訊。 此外，在 Windows 8.1 及更新版本中，Windows 會為使用 Microsoft Store 應用程式編輯的檔案新增區域資訊。 如果檔案的區域資訊顯示該檔案來自不受信任的網站或網際網路，該檔案會在受保護檢視中開啟。

• 使用者在受保護檢視中開啟檔案使用者可透過在「開啟」對話框中選擇「在受保護檢視中開啟」來開啟檔案，或按住 SHIFT 鍵，選擇檔案名稱，然後從快捷選單 (右鍵點擊) ，選擇「在受保護檢視中開啟」。

• 檔案是從不安全的地點開啟的 預設情況下，不安全位置包括使用者的暫存網路檔案資料夾和已下載的程式檔案資料夾。 你也可以使用群組原則設定來指定其他不安全的地點。

在某些情況下，即使符合上述一項或多項條件，保護景觀仍會被繞過。 具體來說，這些檔案在受保護檢視之外開啟，以下情況：

• 檔案是從受信任的位置開啟的。

• 檔案被視為受信任的文件。

• 檔案是透過受信任的 Microsoft Store 應用程式編輯的。

變更 Office 2016 中的受保護檢視行為

我們建議您不要更改 Protected View 的預設行為。 受保護檢視是 Office 2016 分層防禦策略的重要組成部分，設計上可與 Office 檔案驗證與檔案區塊等其他安全功能協同運作。 我們了解有些組織可能需要調整受保護檢視設定以符合特殊安全需求。 如果你也有這個問題，你可以用以下設定來更改受保護檢視的運作方式：

• 禁止在 [受保護的檢視] 中開啟從網際網路下載的檔案。

• 禁止在 [受保護的檢視] 中開啟儲存在不安全位置的檔案。

• 防止在 Outlook 2016 中開啟的附件在受保護檢視中開啟。

• 新增位置至不安全的位置清單。

• 新增可信賴的 Microsoft Store 應用程式。

此外，你也可以使用檔案區塊設定和辦公室檔案驗證設定，強制檔案在受保護檢視中開啟。 欲了解更多資訊，請參閱本文後續的「 強制檔案可於 Office 2016 的受保護檢視中開啟 」。

在 Office 2016 中防止在受保護檢視中開啟檔案

你可以更改受保護檢視的設定，讓某些檔案繞過受保護檢視。 要做到這點，你需要在信任中心 中關閉 一些設定。 如果檔案區塊設定強制在受保護檢視中開啟檔案，這些設定就不會適用。 此外，如果檔案在 Office 檔案驗證中失敗，這些設定就不適用。 你可以針對 Excel 2016、PowerPoint 2016 和 Word 2016 依應用程式分別設定這些設定。

防止檔案在 Office 2016 的受保護檢視中開啟

1. 從任何 Office 應用程式，請前往 檔案>選項>、信任中心>、信任中心設定。

2. 請從以下選項中選擇你想停用的受保護檢視設定：

   • 啟用來自網際網路的檔案受保護檢視 若區域資訊顯示檔案是從網際網路區域下載，請停用此設定以強制檔案繞過受保護檢視。 此設定適用於使用 Internet Explorer 和 Outlook 下載的檔案，或由 Microsoft Store 應用程式編輯的檔案。

   • 啟用位於潛在不安全位置的檔案的受保護檢視 關閉此設定，若檔案從不安全位置開啟，強制檔案繞過受保護檢視。 你可以使用「 指定不安全地點清單 」設定，將資料夾加入不安全地點清單，這篇文章稍後會討論。

   • 啟用受保護檢視 Outlook 附件關閉此設定，強制開啟 Excel 2016、PowerPoint 2016 及 Word 2016 檔案，這些檔案會以 Outlook 2016 附件開啟，以繞過受保護檢視。

強制在 Office 2016 的受保護檢視中開啟檔案

檔案區塊與辦公室檔案驗證功能有設定，允許在符合特定條件時強制檔案在受保護檢視中開啟。 你可以利用這些設定來判斷檔案在受保護檢視中開啟的情況。

使用檔案封鎖強制 Office 2016 檔案在受保護檢視中開啟

檔案封鎖功能可以阻止使用者開啟或儲存特定檔案類型。 當你使用 File Block 設定來阻擋檔案類型時，你可以選擇三種檔案封鎖動作之一：

• 被封鎖且不允許打開。

• 被封鎖並只在受保護檢視中開啟 (使用者無法啟用編輯) 。

• 在受保護檢視中被封鎖後 (使用者可以啟用編輯) 。

選擇第二或第三個選項，你可以強制在受保護檢視中開啟被封鎖的檔案類型。 Excel 2016、PowerPoint 2016 和 Word 2016 只能依應用程式設定檔案區塊設定。 欲了解更多關於檔案區塊設定的資訊，請參閱 Office 2016 中的區塊特定檔案格式類型。

使用 Office 檔案驗證設定強制 Office 2016 檔案在受保護檢視中開啟

Office 檔案驗證是一項安全功能。 它會在 Office 2016 應用程式開啟檔案前掃描格式漏洞。 預設情況下，未通過 Office 檔案驗證的檔案會在受保護檢視中開啟，使用者可在受保護檢視中預覽檔案後啟用編輯功能。 你可以使用群組原則中的受保護檢視設定 如果檔案驗證無法改變預設行為，則設定文件行為。 你可以使用此設定來選擇兩種可能的 Office 檔案驗證失敗檔案選項之一：

• 完全封鎖 未能通過 Office 檔案驗證的檔案無法在受保護檢視中開啟或進行編輯。

• 在受保護的檢視中開啟 未通過 Office 檔案驗證的檔案會以受保護檢視方式開啟。 此為預設值。

選擇第二個選項後，你可以限制 Office 檔案驗證失敗檔案的受保護檢視行為。 你只能針對 Excel 2016、PowerPoint 2016 和 Word 2016 依應用程式設定此 Office 檔案驗證設定。 欲了解更多關於 Office 檔案驗證設定的資訊，請參閱 「使用 Office 檔案驗證防止檔案格式攻擊」，適用於 Office 2016。

將檔案加入不安全檔案清單

你可以使用 「指定不安全地點清單 」設定，將地點加入不安全地點清單。 從不安全位置開啟的檔案，總是在受保護檢視中開啟。 不安全地點功能並不會阻止使用者編輯文件。 它只會強制文件在編輯前以受保護檢視開啟。 這是通用設定，適用於 Excel 2016、PowerPoint 2016 及 Word 2016。

新增可信賴的 Microsoft Store 應用程式

在 Windows 8.1 及更新版本中，作業系統會自動為 Microsoft Store 應用程式編輯的檔案新增網際網路區域識別碼。 因此，這些檔案在 Office 2016 開啟時，會在受保護檢視中開啟。

在 Office 2016 中，你可以指定受信任的 Microsoft Store 應用程式。 這使得這些應用程式編輯的特定檔案在 Office 2016 開啟時能繞過受保護檢視。 預設情況下，這份受信任的 Microsoft Store 應用程式清單包括 Word Mobile、Excel Mobile 和 PowerPoint Mobile。 擁有本地管理員權限或企業管理員的使用者，可以透過在以下登錄鍵中新增 Microsoft Store 套件家族名稱 (PFN) ，將更多 Microsoft Store 應用程式加入此清單：

HKEY_CURRENT_USER\Software\Microsoft\Office\Common\Security\TrustedStoreApps\

請聯絡應用程式開發者，取得您想加入 Trusted Microsoft Store 應用程式的應用程式的 PFN。 這是通用設定，適用於 Excel 2016、PowerPoint 2016 及 Word 2016。

相關文章

• 在 Office 2016 中封鎖特定的檔案格式類型
• 在 Office 2016 中使用 Office 檔案驗證，以避免檔案格式攻擊