none
[已解决] 该如何阻止宏更改Office设置和操作文件?? RRS feed

  • 问题

  • 我的系统为Win2008, Office 2010.

    为了防止宏病毒操作本地磁盘的文件, 通过SRP(软件限制策略)设置"*\Program Files\Microsoft Office\"为"基本用户".

    我发现, Excel和Word等程序的"打开"和"另存为"不能使用了. 估计是因为"基本用户"没有读取"文档"的权限, 所以无法打开资源管理对话框. 这问题如何解决??

    Office虽然默认处于"保护模式", 但似乎没有资料显示在这默认设置下到底能不能阻止宏病毒读写本地文档. 如何让宏只处理当前文档内的数据而不读写别的文件??

    我认为, 宏不应该具有更改Office设置和操作文件的功能!



    • 已编辑 反馈者 2012年10月18日 13:03
    2012年10月14日 10:00

答案

  • 您好,

    抱歉,在上次的回复中没有详细地解释 VBA 的数字签名。

    如您所述,并不是所有带有数字签名的宏都是安全的。所以 Office 系统也并不是无条件信任所有的带有数字签署的宏。

    参见(http://office.microsoft.com/zh-cn/word-help/HA010354316.aspx)中关于此选项的详细说明:

    • 禁用无数字签署的所有宏    宏将被禁用,但如果存在宏,则会显示安全警告。但是,如果受信任发布者对宏进行了数字签名,并且您已经信任该发布者,则可运行该宏。如果您尚未信任该发布者,则会通知您启用签署的宏并信任该发布者。(如下图所示)

    此时,若您信任宏的发布者,并确认该宏无安全问题时,可选择:

    1. 使用自己的数字签名对该宏进行签署 (这样,下次收到同一个发布者的宏时,仍然不会被信任)

    2. 将该签名的发布者添加到受信任发布者的根目录中,随后我们即可对该发布者所发布的宏进行信任

    *****************************

    您所提及的”禁止修改设置和改写别的文件“的功能,据我所知,在目前的 Office 版本中并没有相应的设定。 对此,建议您对所执行的宏进行人为检查,以确保其安全性。

    (试想,在 Word 中将字体加黑,变粗体也涉及到了更改设置的功能,而将文档另存为新的副本此类简单的操作也将涉及在计算机中读写数据的功能,如果将此类功能一概禁用的话,将会大大影响宏的可用性。)

    此外,仍然建议您阅读以下文献以了解更多关于 Office 的安全设置:

    规划 Office 2010 的安全性 (http://technet.microsoft.com/zh-cn/library/cc179171.aspx)


    Max Meng

    TechNet Community Support

    • 已标记为答案 反馈者 2012年10月18日 11:16
    2012年10月18日 8:23
    版主

全部回复

  • 您好,

    在 Office 系统中,当文档被以“保护模式”打开时,包括“宏”在内的活动的文件内容 (例如 ActiveX 控件、加载项等) 都是处于“未启用状态”的,所以是无法对您的计算机中的其他资源构成安全威胁的。参见:规划 Office 2010 的“受保护的视图”设置 (http://technet.microsoft.com/zh-cn/library/ee857087.aspx)

    对于来历不明的文档,我们建议先以“保护模式”打开并检查其内容的安全性,包括“宏”在内的活动的文件内容,若无可疑内容,则选择继续以编辑模式打开。

    关于您所提到的宏的安全性问题,我们建议您使用组策略将 VBA 宏的安全设置修改为“禁用无数字签署的所有宏”,并对您所信任的 VBA 宏使用数字签名进行签名。 参见:规划 Office 2010 的 VBA 宏的安全设置 (http://technet.microsoft.com/zh-cn/library/ee857085.aspx)

    更多更多详细信息请参阅:规划 Office 2010 的安全性 (http://technet.microsoft.com/zh-cn/library/cc179171.aspx)


    Max Meng

    TechNet Community Support

    2012年10月16日 6:40
    版主
  • 您好!

    非常感谢热心解答疑问! 我现在知道"保护模式"的作用了.

    目前的保护模式和禁用无数字签署的所有宏, 似乎并不能根治宏病毒, 因为这两个功能无法区分宏是否有害. 彻底禁用了宏会影响Office功能, 有数字签名的宏就绝对没有危害吗? 没有数字签名的宏一定是病毒吗? 数字签名是可以被利用的, 带数字签名的病毒有不少, 判断一个人是否盗窃并非是看他手上有没有良民证.

    网上有交流Office技巧的论坛, 网友之间分享文件是很普遍的, 而且使用VBA可能是数据的特点决定的或者是某些网友的偏好, 这不能很肯定地说来源可不可靠. 因此, 我觉得不能一棒子打死, 应该引入权限等级来管理宏, 像IE安全选项那样细分宏的功能, 让用户选择安全的级别, 甚至具体到允许解析宏的命令(组). 我希望能实现既能允许宏处理文档内部所包含的数据, 又不会修改设置和改写别的文件.

    这样的结果, 在目前的条件下能否实现呢? O(∩_∩)O 谢谢!


    2012年10月18日 6:41
  • 您好,

    抱歉,在上次的回复中没有详细地解释 VBA 的数字签名。

    如您所述,并不是所有带有数字签名的宏都是安全的。所以 Office 系统也并不是无条件信任所有的带有数字签署的宏。

    参见(http://office.microsoft.com/zh-cn/word-help/HA010354316.aspx)中关于此选项的详细说明:

    • 禁用无数字签署的所有宏    宏将被禁用,但如果存在宏,则会显示安全警告。但是,如果受信任发布者对宏进行了数字签名,并且您已经信任该发布者,则可运行该宏。如果您尚未信任该发布者,则会通知您启用签署的宏并信任该发布者。(如下图所示)

    此时,若您信任宏的发布者,并确认该宏无安全问题时,可选择:

    1. 使用自己的数字签名对该宏进行签署 (这样,下次收到同一个发布者的宏时,仍然不会被信任)

    2. 将该签名的发布者添加到受信任发布者的根目录中,随后我们即可对该发布者所发布的宏进行信任

    *****************************

    您所提及的”禁止修改设置和改写别的文件“的功能,据我所知,在目前的 Office 版本中并没有相应的设定。 对此,建议您对所执行的宏进行人为检查,以确保其安全性。

    (试想,在 Word 中将字体加黑,变粗体也涉及到了更改设置的功能,而将文档另存为新的副本此类简单的操作也将涉及在计算机中读写数据的功能,如果将此类功能一概禁用的话,将会大大影响宏的可用性。)

    此外,仍然建议您阅读以下文献以了解更多关于 Office 的安全设置:

    规划 Office 2010 的安全性 (http://technet.microsoft.com/zh-cn/library/cc179171.aspx)


    Max Meng

    TechNet Community Support

    • 已标记为答案 反馈者 2012年10月18日 11:16
    2012年10月18日 8:23
    版主
  • 您好!

    感谢您的热心解答, 让我对此问题有了较清晰的认识.

    您推荐的文章很有作用, 收获不少.

    O(∩_∩)O 谢谢~

    2012年10月18日 11:16