Office 2003 安全性增强功能
摘要:在 Office 2003 Editions 的开发过程中,Microsoft 合并了受 Trustworthy Computing(可信赖计算) 理念的启发而实现的新流程和新规则,开发的产品无论是在设计、默认设置还是在部署方面,均比以前的 Microsoft Office 产品更安全。本文描述了 Office Trustworthy Computing 这个新团队如何将新的流程带入到 Office 2003 Editions 的开发过程中。本文还继续讨论了开发结果 、 最安全的可用“信息工作者”应用程序集合,并对其主要功能、默认设置及其部署能力进行了描述。
本页内容
 | 简介 |
| Trustworthy Computing 背景介绍 |
| Office 2003 Editions 安全保护 |
| Office 2003 Editions 中的安全性技术 |
| 结论 |
| 附录 A:重要的默认设置 |
简介
Microsoft® 的 Trustworthy Computing 计划主动引入了新的开发进程,以确保向客户提供更具安全性的产品。在 Office 2003 Editions 的开发过程中,Microsoft 合并了这些新进程,创建了一种无论在设计方面、默认设置方面还是在部署方面,均比以前的 Microsoft Office 产品更安全的新产品。结果产生了讫今为止最安全的 Office 版本。
本文的第一部分首先介绍了 Trustworthy Computing 计划如何主动定位安全性,并提供了对设计安全、默认安全以及部署框架安全的详尽说明。本文的剩余部分讨论了 Office 2003 Editions (Editions 是不同的程序组合,其中包括 Microsoft Office Word 2003、Microsoft Office Excel 2003 以及其他核心程序) 与以前版本的 Microsoft Office 相比,在设计、默认设置以及部署方面为何具有更高的安全性。作为此讨论的一部分,本文还描述了 Office Trustworthy Computing 这个新团队如何通过在其他流程中采用新的规范编写进程、测试进程以及评估进程,而对开发过程产生了深远的正面影响。
有关安全性功能和自定义安全性设置的更多详细信息,请参见 http://www.microsoft.com/technet/prodtechnol/office/office2003/Deploy/secdesn.asp 中的“Microsoft Office 2003 安全性白皮书”。
Trustworthy Computing 背景介绍
2002 1 月,Bill Gates 提出了一项号召,呼吁 Microsoft 的 50,000 名员工为客户构建一个值得信赖的计算环境,这个计算环境要像我们平时居家和办公所用的电力一样可靠。支撑 Trustworthy Computing 计划的四大要素是安全性、私有性、可靠性和业务完整性,下面分别介绍了这四个要素:
| • | 安全性。客户希望其系统具有足够的灵活性,可免受攻击,还要求系统的机密性、完整性、可用性以及系统数据都要受到保护。 |
| • | 私有性。客户可以控制其个人数据,每个使用这些数据的人都必须严格遵守公平的信息原则。 |
| • | 可靠性。客户可以依据产品来履行产品功能。 |
| • | 业务完整性。产品供应商对客户负责,并对客户的请求和反馈及时做出反应。 |
Microsoft 创建了一个框架,用以跟踪和衡量产品在满足 Trustworthy Computing 计划安全性目标方面的完成进度情况,Trustworthy Computing 的安全性目标分别体现在:设计安全、默认安全、部署安全和沟通 (SD3+C)。
设计安全
设计安全的目标是在产品发布前去除一切的安全弱点,并在其中加入可增强产品安全性的功能。要达到设计安全,需要:
| • | 构建一个安全的体系结构。在建造银行大厦时,要围绕安全性要求进行设计。必须满足对银行金库以及其他辅助安全性设施的安全性要求,才能造就其最终结构。软件的安全性设计与此类似。Microsoft 承诺在构建产品的体系结构时,从设计最初便围绕产品进行安全性设计。 |
| • | 加入安全性功能。 Microsoft 正在扩展其产品功能集合以启用新的安全性功能。 |
| • | 减少新节点和现有节点中的弱点。 Microsoft 正在改进其内部开发过程,以使开发人员在设计和开发软件时考虑到安全性问题。 |
默认安全
默认安全的主要目标是通过在许多客户方案中关闭不需要的服务,以及减少自动授予的权限来帮助 Microsoft 发布更安全的产品。这些措施可最小化遭受攻击的“表面积”。制订一个明智的服务调用决策可增加对这些服务进行适当管理和监控的可能性。
部署安全
设计安全和默认安全非常重要,但它们仅适用于创建产品的时候。部署安全同样重要,因为计算机和网络系统的操作是一个持续进行的活动。因此,Microsoft 正在逐步提升其客户支持,以帮助客户执行以下五个虽彼此不同却密切相关的活动:
| • | 保护系统,具体方法是确保使用恰当的人员、流程和技术,以保证只允许授权用户访问数据,同时确保已对系统进行了正确配置以及必要的更新,将非授权用户挡在门外。“网络保护”类似家中的门锁,可防止外来入侵者入内。 |
| • | 检测外来入侵企图、违反安全性的事件、操作问题、异常行为或故障征兆。此类“检测”类似于家中安装的安全警报系统,用于提醒您当前存在的潜在危险。 |
| • | 防御系统,具体方法是当发生或将要发生违反安全性的事件时,自动执行纠正操作。“防御”类似于在受到攻击时打电话报警。 |
| • | 恢复计算机,对于受到 (或怀疑存在) 安全威胁或系统失灵的计算机,使用正确的系统和过程将机器及其数据恢复至一个已知的良好状态,最小化其停机时间。“恢复”类似于在遭抢劫后向保险公司索赔。在信息技术 (IT) 领域,这意味着备份系统,以保证可将受侵害的系统快速恢复至以前某一时间的良好状态。 |
| • | 管理与协调,对关键系统的保护、检测、防御和恢复进行管理和协调是指使用正确的策略和步骤协调这些活动。“管理”类似于设置家庭安全规则、买保险,以及在财产和所有权发生变化时更新保险单。同样,由于危险和资产也会随着时间变化,因而 IT 安全性管理需要始终将安全性策略保持在最新状态。有许多安全性管理任务可自动执行,对系统进行配置,便可以在系统检测到有违规操作或有操作超出用户指定性能阈值或行为阈值的操作时提醒管理员。实施安全性管理依赖于训练有素的管理员,这些管理员一般都经受良好的实践培训,且能够严格一致地执行安全性策略和步骤。 |
沟通
安全性改进、安全补丁及相关知识如果不能得到广泛的传播,或是未能及时、清楚地通知客户,就不会起到多大作用。Microsoft 承诺建立与客户的双向沟通,以为公司构建有效的工具和指南,最小化安全性风险。Microsoft 的沟通策略包括:
| • | 及时发布准确的信息和补丁,发现软件漏洞后及时公布修复信息和补丁。 |
| • | 为客户提供工具和说明指南,以帮助客户了解应如何安全地操作其系统。 |
| • | 提供警告,当出现新的恶意攻击时警告用户,同时为用户提供在对付技术威胁和技术变更过程中的最佳实践。 |
Office 2003 Editions 安全保护
为了将 Office 2003 Editions 设计为 Microsoft 历史上最安全的信息工作者应用程序集合,Microsoft 将此版本的开发工作建立在以前 Office 版本所累积的坚实安全性基础之上。以 Office XP 为例,Microsoft 在其设计过程中显著提高了安全性,引入了更好的宏安全性、代码签署功能及其他一些专门为对付新威胁而设计的功能 (如 Outlook 的附件处理功能)。Office XP 的开发过程代表了 Microsoft 讫今为止最大的安全性工程,从此次开发中所获得的知识为开发人员奠定了基础,使他们可以在构建新的安全性功能、改进现有功能,以及部署 Office 2003 Editions 模型方面寻求新的道路。
但是,Office 2003 Editions 做到的不仅仅是比 Office XP“更安全”,作为在 Trustworthy Computing 计划指导下完成的第一个 Office 版本,Office 2003 Editions 的安全性达到了前所未有的高度,因为 Microsoft 制定了一套流程和方法,以便比以往更好的解决开发过程中的安全性问题。
在 Office 2003 Editions 开发的最初阶段 (比创建规范还要早),设计团队便进行了密集的威胁模型建立练习。作为在办公 应用程序所面对主要威胁的产物,同时作为明确计划的一部分,所有规范中均被灌输了彻底的安全意识。每项功能的设计均以安全性为基础。
Microsoft 还建立了一支专门的跨部门团队,该团队被称为 Office Trustworthy Computing 。这支由主力开发人员组成的团队主要负责执行一些重要目标:
| • | 确保采用新的 Trustworthy Computing 进程和实践。 |
| • | 灌输团队“理念”,将其作为整个 Office 开发团队的宏观策划指导。例如,通过在规范阶段、测试阶段以及集成阶段执行功能级别的设计检查,这个虚拟团队能够提供有价值的宏观透视并给出相应的建议。例如,存在这样一些实例,Office Trustworthy Computing 团队发现两个负责不同功能的开发小组计划使用的的安全措施很相似,在这种情况下,他们便可以使两个小组共享一个解决方案。 |
| • | 为 Office 团队提供全方位的培训咨询与纪律规范 |
| • | 建立并监督设计工具和测试工具的使用情况。例如,该团队实施了“Office 代码自动检查”(OACR),这是一套基于 Prefast 的综合代码检查系统,用于确保所有代码都符合 Trustworthy Computing 标准。例如,在 OACR 系统的控制下,所有代码在允许签入前都必须通过安全性测试。 |
| • | 监督 Office 隐私策略,其中包括确保 Office 遵守“法定隐私声明”要求 |
在 Trustworthy Computing 计划的环境下,Office Trustworthy Computing 团队对 Office 2003 Editions 的开发产生了深远的正面影响。此团队的成员具有许多优势,包括 1) 以前开发 Office 版本时积累的良好安全性工作经验 2) 看到了 Windows® Server™ 2003 团队在实施 Trustworthy Computing 规则方面所取得的成功。他们还具有一项优势,那就是仍继续在其各自的开发团队中工作,并对团队创建的产品担负其个人责任。
简而言之,受 Trustworthy Computing 计划的启发而实现的构想与开发框架使 Microsoft 创建的 Office 版本无论是在设计、默认配置还是在部署方面,均比以前的 Office 版本更安全。
设计安全
Office 2003 Editions 提供了许多为提高和改进安全性而设计的新功能。这些新功能包括:
| • | 文档保护和数据保护
| ||||||||
| • | 保护程序免受恶性攻击
|
默认安全
为了在默认设置下达到保护 Office 2003 Editions 的目的,Microsoft 在 Office 2003 Editions 的设计中创建了更坚固的默认设置、启用了专门对付恶意威胁的新功能并改进了 Office 2003 Editions 程序与其他应用程序 (如 Microsoft Windows SharePoint™ Services) 之间的安全性集成,从而降低了遭受攻击的表面积。
| • | 为了降低 Office 2003 Editions 默认设置的受攻击面积,Microsoft 对许多设置进行了优化,并提供了一个安全环境,即使信息工作者对安全性一无所知也可安全使用。例如,在默认情况下,Outlook 2003 现在可以根据特定的安全性设置阻挡外部链接以及垃圾邮件。再举一个保护信息工作者免受狡猾攻击的例子,Excel 2003 中的 XSL (转换文件) 被绑定至宏安全性级别,因而不能自动运行,如果宏安全性的默认设置为“高”,XSL 安全性的设置也为“高”。 |
| • | 默认情况下启用的新功能降低了遭受恶意安全性攻击的风险,加强了信息工作者维护其高安全性的能力。例如,在加载某些被标记为对初始化不安全的 ActiveX® 控件时,Office 2003 Editions 程序会提示您是否使用这些控件。Microsoft 还提供了一些关于“危险”URL 类型方案的提示,其主要目的是在 URL 处于隐藏状态时 (如自定义的工具栏和菜单) 提供保护。 |
| • | 与其他主要信息工作者应用程序的全新集成为安全性达成提供了更广泛的途径。例如,现在所有的 Office 2003 Editions 程序都使用 Microsoft Internet Explorer 高速缓存作为其文件的临时存储位置,因而这些文件中所有可能存在的攻击程序和脚本都放在了 Internet 区域 (而非本地机器) 中。 |
有关 Office 2003 Editions 中主要默认设置的详细列表,请参见附录 A。
部署安全
除了安全体系结构设计和在 Office 2003 Editions 中加入的安全性功能,Microsoft 还提供了客户工具、说明指南、培训和服务。
工具
Microsoft 提供了一些创建和部署安全性设置的不同方法:
| • | 自定义安装向导 - 要将设置应用为 Office 2003 Editions 部署的一部分,最简单的方法便是使用“自定义安装向导”(CIW)。CIW 是随“Office 资源套件”提供的一种特殊用途工具,它提供了一个向导界面,可用于指定 Office 2003 Editions 中与部署相关的可用设置。 |
| • | Admin.oft - Admin.oft 文件 (来自“Office 资源套件”) 可使管理员为客户端配置 Outlook 2003 的默认安全性设置。 |
| • | 系统策略 - 管理员可以使用“系统策略”部署 Office 设置。“系统策略”的优点在于,其设置是持续强制性的,这一点与 CIW 不同,CIW 的设置可被用户覆盖。有两个“系统策略”节点提供的控制与 CIW 对特定机器和特定用户设置提供的控制相同。此设置存储在注册表中,Office 2003 Editions 程序在每次启动时都要对这些键进行检查。结果便是加强了管理员设置的策略,因为用户不能修改这些设置。 系统策略的最大用处是不需要碰触桌面便可更改设置:在下一用户登录 (或在 Windows 2000 客户端定期登录) 时,将自动下载并应用新设置。 |
| • | 组策略 - Microsoft Windows 2000 和 Microsoft Windows Server 2003 组策略与系统策略相似,但要更复杂。您可以为更广泛的不同任务创建“组策略”(GPO),并设定更多的选项用于强制执行这些设置。 管理员主要为 Office 2003 Editions 创建两种 GPO。部署和管理 Office 2003 软件自身的 GPO 和管理设置的 GPO。(前者使用 Windows 2000/Windows Server 2003 软件分发和发布功能,所涉及的内容与本文无关。) 通常情况下,按照用户管理设置。有些策略用于确定用户可执行和不可执行的操作,这些策略适用于其所在的特定用户或组,而不仅仅适用于特定计算机,虽然 Office 中还包括计算机安全性设置,且该设置在必要时会覆盖每个用户的设置。 |
说明指南
为了进一步提高安全部署能力,Microsoft 为客户提供了说明指南和补丁管理解决方案,如:
| • | Office 2003 Editions 资源套件 专门为在企业中负责部署和维护 Microsoft Office 2003 Editions 的管理员、IT 专家和技术支持人员而设计。“Office 资源工具包”中集合了专门支持 Microsoft Office 系统的工具以及一些特定领域 (例如部署、安全性、消息传送以及世界范围内的支持) 的综合主题。 | ||||
| • | Microsoft Office 2003 安全性白皮书 提供了关于新安全性功能的详细介绍,还给出了一些设置建议,可帮助用户使用 CIW、Admin.oft、“系统策略”和“组策略”进行部署。 | ||||
| • | 补丁管理服务产品 可帮助企业使用:
|
培训与合作伙伴
Microsoft 及其合作伙伴共同为非法入侵检测和防病毒保护提供新的改进产品,还为安全战略、体系结构、策略以及实施过程提供服务。Microsoft 及其技术认证教育中心 (CTEC) 还提供培训,以帮助 IT 员工逐渐识别和减轻安全性威胁。要获得帮助,您需要:
| • | 听取 Microsoft 咨询服务、Microsoft 认证合作伙伴和Microsoft 安全性解决方案金牌认证合作伙伴程序中的专家意见。 |
| • | 您可获得安全性集中培训 该培训由 Microsoft 技术认证教育中心 (CTEC) 和学院授权培训合作伙伴 (AATP),或Microsoft 培训与认证机构提供。 |
沟通
为了兑现向客户提供有关安全性的及时沟通服务的承诺,Microsoft 为使用 Office 2003 Editions 的用户采取了特定的步骤以提供工具和资源。这些资源包括:
| • | Microsoft Office Update ,这是 Office 的在线扩展,可以帮助您将 Office 产品保持在最新。Office 产品更新是 Microsoft 为 Office 2003 Editions、Office XP 和 Office 2000 创建的,其目的在于为您提供最高级别的可用性、安全性、稳定性和关键功能。 |
| • | Microsoft Office 2003 安全性白皮书 提供了关于新安全性功能的详细介绍,还给出了一些设置建议,可帮助用户使用 CIW、Admin.oft、“系统策略”和“组策略”进行部署。 |
Office 2003 Editions 中的安全性技术
为了更好地理解 Microsoft 如何将 Office 2003 Editions 开发为讫今为止最安全的 Office 版本,有必要了解 Office 2003 Editions 的主要功能、工作方式以及查找主要安全性问题的方式。您可能会注意到,此处描述的许多功能同样存在于 Office XP 中。我们会在相关处指出此功能是否已经过改进、或其是否是 Office 2003 Editions 的新功能。
Office 2003 Editions 安全性中有三个值得注意的主要功能领域:
| • | 数字证书和签名 |
| • | 数据保护和恢复 |
| • | 特定于程序的功能 |
本部分集中介绍这些功能的设计以及在构建这些功能的过程中如何考虑安全性。当然还会讨论部署和使用选项,但这些介绍只是为了帮助用户明确这些功能的使用场合和相关设置。
数字签名和证书
Office 2003 Editions 支持数字签名和代码签署,用以满足相互不同却彼此相关的安全需求。为了帮助管理员和用户充分利用数字签名和代码签署功能,Office 2003 Editions 还提供了一种用于管理受信任来源的新功能。
数字签名
Office 2003 Editions 利用数字签名技术对文件、文档、表达式、工作表及其他数据文件进行签署。如果对整个文件进行签署,则可保证文件在签署后不能再进行修改。
代码签署
“代码签署”是指在可执行代码 (包括 Microsoft ActiveX 控件和宏) 中使用签名。使用 Microsoft Authenticode® 对 ActiveX 控件进行签署时,将使用代码签署对其进行验证,以确认该代码自创建之日起未经修改。签署之后的控件和宏可以提供有力的证明,保证验证对象出自签署者,而且未经修改。但是签署本身不能保证签署者是善意、值得信任或完整的,它只能帮助确认该对象确实出自指定的签署者。
注意: 如果文件包含宏,则对宏的签署和对文件的签署是两个不同的过程。
要获得更多信息,请访问 http://www.microsoft.com/technet/archive/windows2000serv/evaluate/featfunc/pkiintro.mspx
除了在 Word 2003、Microsoft Office PowerPoint® 2003 和 Excel 2003 中支持数字签名与代码签名外,Office 2003 Editions 还支持对 Access 2003 (包括数据库文件、宏、应用程序的 Visual Basic® 代码和 COM 插件) 的数字签名和代码签署。
| • | ActiveX 控件 、“安全初始化”- Office 2003 Editions 中的附加安全性可帮助您确保“安全”控件不受恶意攻击的侵袭。在 Office 2003 Editions 出现之前,在用户系统中注册控件时,控件注册还不能区分设计为“安全初始化”(SFI) 和“非安全初始化”(UFI) 的两种 ActiveX 控件。 为了有助于找出安全性威胁,Office 2003 Editions 将在加载 ActiveX 控件时确定其为 SFI 控件还是 UFI 控件。UFI 控件会生成一个用户警告,提醒用户该控件存在潜在的非安全因素,并请求用户确定是否初始化该控件。默认情况下不初始化该控件。 |
| • | 宏 - 对宏进行签署可使您对宏进行控制,限制用户可以运行的宏。可以指定用户是否能够运行未经签署的宏,还可以提供一个证书列表,列出在您网络中受信任的授权使用证书。因为您自己创建的数字证书不是正规证书授权机构颁发的证书,因此由这种证书进行签署的宏项目被认为是自签名项目。如果安全性级别设置为高或中,您自己创建的证书被认定为未经验证,会生成一个警告消息。 |
| • | 智能标记 - 智能标记是可执行代码,但不是 ActiveX 控件,因此它们被认为是宏保护子系统的一部分。当程序的宏安全性级别设置为高时,将不会加载未经签署的智能标记插件。当安全性级别设置为中时,用户会收到一条警告消息,指出向程序请求加载未经签署的代码。智能标记插件可以进行数字签署,之后便可在“高”宏安全性设置下对其进行操作。 |
受信任的来源
一般情况下,用户会做出是否信任可执行代码的决策。Office 2003 Editions 中“受信任的来源”功能允许管理员指定必须对可执行代码进行数字签署后才能在用户的计算机上运行,而且只能执行受信任提供商列表中列出的提供商提供的可执行代码。使用“受信任的来源”功能要求使用数字证书对每个可执行代码进行签名。数字签名用于识别来源,并向用户提供保证可安全运行代码。
在 Microsoft Windows XP 以及更高版本的操作系统中运行 Office 2003 Editions,还提供了一些其他功能,可以简化对“受信任的来源”的管理。“非允许”发行商概念的引入可使您根据无效或过期签名列表对每个数字签名进行检查。如果在列表中发现了此发行商,将不会安装由它发布的可执行代码。
数据保护和恢复
独立的 Office 2003 Editions 程序提供了多种不同的方法来保护文档。这些方法是操作系统级别功能的补充,并与系统级功能 (如 Microsoft Windows 2000 文件系统加密功能 [EFS] 以及文件系统的使用或共享级别的权限) 一起使用。
文件访问控制
Word 2003、Excel 2003 和 PowerPoint 2003 (及其 Office XP 版本) 均提供三种文件保护功能,来控制可以打开或修改文件的用户:
| • | 文件打开保护 - 此保护需要用户输入密码才能打开文件。文档被加密 (加密算法由您指定),因此只有知道密码的用户才能阅读文档。 |
| • | 文件修改保护 - 在此保护模式下,用户不输入密码便可打开文档,但必须输入密码才能执行或保存对文档的更改。 |
| • | 建议采用的只读保护 - 在用户打开文件时,系统会提示用户以只读状态打开文件,但用户可以选择以不带密码的只读/写入模式打开文件。 |
文档的创建者自动具有对其文件的读取/写入权限。
注意:“文件修改保护”和“建议只读保护”选项不对文档或密码加密。因此,此安全性有可能遭到攻击。如果存在此风险,建议加密文档。
数字签名和加密
可对 Word 2003、PowerPoint 2003 和 Excel 2003 中的单个文件进行数字签名、加密或使用“选项”对话框中的“安全性”选项卡同时进行签名和加密。Office 2003 Editions 可以使用系统中安装的任意 CryptoAPI 提供者。先前版本的 Office 不能打开 CryptoAPI 加密文档。
删除个人信息
Office 中文档作者和编辑者的相关数据被称为元数据,这些元数据对于文档十分有用。Office 2003 Editions 程序支持跟踪更改,可对所执行的更改、执行更改的用户以及更改时间进行跟踪。程序使用这些信息显示修订信息,并可以根据这些信息有选择地迅速合并更改,将文档恢复为原始文档。
在保存文档前,可从 Word 2003、PowerPoint 2003 和 Excel 2003 文档中将这些元数据 (也被称为文档属性或文档文件属性) 删除。此外,Word 2003 允许您进行设置,以便在保存、打印或发送包含元数据 (包括跟踪的更改和备注) 的文件时提出警告。此警告只是提出忠告,如果您不想保护元数据,仍可以将其删除。
使用自动恢复对数据进行恢复
在人们的传统印象中,自动恢复好象不属于安全功能。但广义的安全性定义是“任何可帮助阻止数据损失的功能”,因此其中肯定包括 Office XP 中率先引入的此功能。Office 2003 Editions 程序遇到问题并停止响应时,“应用程序恢复”窗口可使您以控制方式关闭程序。然后会对发生问题的文件检查错误,如果可能,将会恢复其中的信息。
您可以使用“自动恢复”功能定期保存所处理文件的临时副本以进一步保护您的工作。为了在停电或发生其他问题后恢复所做过的工作,必须在问题发生前打开“自动恢复”功能。必要时您可以调整“自动恢复”的保存间隔,其默认的保存间隔为 10 分钟。
当异常中止后重新启动 Office 2003 Editions 程序时,“文档恢复”任务窗格将列出在程序停止响应后恢复的所有文件。您也可以选择重新启动程序并恢复至发生停止响应前的状态。
Office 2003 防病毒 API
以前的 Office 版本为防病毒软件引入了一种 API,这是一种可与 Office 的“文件打开”进程挂钩的 API,在 Office 打开文档时执行扫描。Word 2003、Excel 2003、PowerPoint 2003 和 Access 2003 中同样支持此功能。此功能对于客户来说很有价值,且防病毒产品供应商和提供商对此功能的要求也越来越多。在特定情况下,此 API 还允许防病毒供应商启用对性能产生负面影响的功能,前提是在磁盘级别应用此功能。
特定于程序的保护
因为不同的程序具有不同的能力和功能,因此有一些不同的文档内容保护可分别用于这些程序。这些保护是工作簿或文档的密码保护功能的补充。
请注意,使用以下方法保护单个文档元素不被更改并不会提供完整的安全性,因为受保护的元素本身并未加密。例如,字段代码可以在文本编辑器 (如 Microsoft 写字板) 中查看,而 Excel 工作簿中的隐藏单元则可以通过以下方法查看:将 Excel 工作簿中某一包含隐藏单元的范围复制并粘贴到新的工作簿中,并使用取消隐藏命令。
Word 2003 中的文档保护
Word 2003 在 Office 2002 的文档保护中加入了新功能。在 Office 2002 中,您可以阻止其他用户对您的文档中执行特定类型的更改。在工具菜单中单击选项,然后单击保护文档。“文档保护”利用某些 Office XP 中的现有功能,并引入了一些新的重要功能:
| • | 格式设置限制 - Word 2003 中新添加的一项功能便是可以通过限制用户可以使用的样式选择集来保护文档的格式设置。此举提高了文档所有者保证其文档与样式表和格式标准保持一致的能力。“设置”超链接允许您定义可供文档编辑者使用的特定格式样式。 |
| • | 针对每个用户的编辑限制 - 在“文档保护窗格”中,Word 2003 还提供了限制文档编辑权限的能力,这与 Office XP 中的可用功能相似。限制编辑的选项有:未做任何更改 (只读)、修订、批注、填写窗体和节。Word 2002 中的一项改进功能是:可以在每个用户或每个组的基础上限制和允许编辑访问。这为协作提供了新的选项。设想有这样一个方案:某用户有一篇文档需要由多个用户进行输入,但她不想让这多个身为节处理高手的协同工作者更改除节之外的任何东西。为了达到这一目的,她不是送出多个文档版本,然后自己合并更改,而是为每个用户提供了特定访问权限,并为其发送同一篇文档,因而每个用户都只能修改属于其修改范围的节。 |
Excel 2003 中的工作簿保护
Excel 2003 中除提供了密码保护和文件加密工具外,还允许您保护工作表或工作簿中的附加元素。工具|保护菜单提供了四个命令:
| • | 保护工作表命令允许您保护工作表中选定的单元格,并禁止对单元格和锁定单元格的更改。用户可以使用单元格格式命令锁定单元格。工作表保护还允许您为用户授予对工作表内特定操作的访问权限,包括设置单元格、行、列的格式、插入或移除行和列、修改或插入超链接以及编辑不同类型的对象。 |
| • | 允许用户编辑区域命令允许您为特定组、用户或计算机授予对受保护工作表内特定单元格和特定区域的访问及编辑权限。 |
| • | 保护工作簿命令允许您指定要在工作簿内保护的项目,还允许您指定一个密码以禁止未授权用户移除保护。 |
| • | 保护并共享工作簿命令共享工作簿并打开跟踪更改选项。这将允许其他用户执行更改,但其更改将被跟踪,您必须指定一个密码才能关闭“跟踪更改”选项。如果工作簿已共享,则可以为共享和跟踪更改历史打开保护,直到将共享使用的工作簿删除为止。 |
PowerPoint 2003 中的文档保护
与其他 Office 2003 Editions 程序一样,PowerPoint 2003 支持设置宏的安全性级别。它还支持将文件加密以用于存储、为文件添加数字签名以及在保存文件前删除个人信息。
Access 2003 中的数据保护
Access 包含一系列的方法,用于控制用户访问 Access 数据库及其对象时所具有的访问权限级别。下面描述了这些方法:
| • | 显示或隐藏数据库窗口中的对象 - 这种简单的保护方法可使您向其他用户隐藏“数据库”窗口中的对象,从而达到保护数据库中对象的目的。 | ||||||
| • | 用户级别的安全性:保护数据库最好的方法之一便是应用用户级别的安全性,您可以建立对数据库中敏感数据和对象的不同访问级别。要使用已经应用了安全性级别进行保护的数据库,用户在启动 Access 时需要键入密码。Access 将读取工作组信息文件,在工作组中每个用户都按唯一的 ID 代码进行识别。访问级别和用户有权访问的对象都建立在此 ID 代码和密码的基础上。 | ||||||
| • | 用于 Access 数据库的数字签名:在 Office 2003 Editions 中,用户可以对其 Access 数据库进行数字签名。用户对数据库进行签名时,Access 将为数据库中的 VBA 项目和 Access 宏计算和存储散列值。 用户 (或 IT 管理员) 从三种安全性级别中选择一种,以控制启动数据库时 Access 的行为。此安全性级别对所有可签名对象都通用,包括 COM 插件、数据库 VBA 项目和用户拥有的宏。“COM 插件”和“插件管理器”类型插件将检查所有安全性级别中的“信任所有安装的加载项和模板”复选框。如果安全性级别为低,则 Access 的运作方式与以前版本的运作方式相同。如果安全性级别为高,则 Access 将只打开具有受信任数字签名的数据库。 | ||||||
| • | JET ES 沙箱:当 Access 计算表达式时会用到 ES (表达式服务)。Access、用户定义函数或 VBA 将依次调用沙箱以计算表达式。 这些表达式可能会引入危险,因而要以沙箱模式实施 JET。在 Access 2003 中,沙箱允许
|
注意:沙箱模式要比非沙箱模式有更多的限制,因此有些合法的 Access 应用程序可能不能正常运行。适当的变通方法是编写用户定义的函数,使用这些函数依次调用不受保护的 VBA 或 VBA 函数。
Outlook 2003 安全性
Outlook 2003 产品经历了一场大的主要更新,提供了新功能和得到改善的性能,还提供了比以前所有版本都要优秀的改进功能。Outlook 2003 中包括许多 Office 2002 中所熟悉的安全性功能,还有用于管理电子邮件的增强安全性功能。
Microsoft 在 Outlook 2003 的设计中包含了以下功能:
| • | 附件安全性 - 为了帮助保护用户不受病毒的侵扰,Outlook 2003 根据一个在内部进行维护的附件文件类型列表对每个邮件附件的文件类型进行检查。管理员还可以在“交换”公共文件中指定一个列表,以使企业中的特定 Outlook 2003 客户具有一个自定义列表。列表中的每个文件类型都被分配了一个级别:
当您要发送一个其文件类型扩展名在限制列表中的附件时,系统将显示一条警告消息,提醒您其他 Outlook 收件人可能不能访问此类型的附件。 | ||||
| • | 通讯簿安全性 - Outlook 2003 不再允许程序自动访问您的“通讯簿”或“联系人”列表,或代替您发送消息。对联系人信息的程序访问是一柄双面剑:允许某些程序 (如 Microsoft ActiveSync® 或 Palm Desktop) 访问联系人信息十分有用,但病毒或其他恶意可执行程序也可以利用相同的接口进行自我传播。 如果有代码试图访问 Outlook 2003 通讯簿,屏幕上将会弹出一条警告消息 (见图 Figure 1)。可以允许程序访问此实例,也可以选择“允许访问”复选框并指定允许访问的时间 (最大时间为 10 分钟)。如果不希望程序访问您的“通讯簿”,则可以单击否按钮。  图1:Outlook 2003 提供警告,指出有程序试图访问联系人信息 | ||||
| • | 受限站点 - 在 Outlook 2003 中,默认的安全性区域设置为“受限站点”(而不是 Internet);默认情况下还将显示受限站点的活动脚本。“受限站点”安全区域将禁用大部分自动脚本,并阻止在未获授权的情况下打开 ActiveX 控件。新的安全性功能可保护用户将多种以脚本方式入侵的病毒排除在外。有关“受限站点”和 Internet 区域的更多信息,请参见“Microsoft 知识库”中的文章 (Q174360) 如何在 Internet Explorer 中使用安全性区域。 | ||||
| • | 保护 HTML 消息 - 为了避免可能接收的 HTML 邮件包含病毒,无论您的安全性设置如何,系统都不会运行 HTML 格式的邮件中的脚本,且将禁用 ActiveX 控件。这是因为默认情况下,Outlook 2003 的安全区域设置为“受限站点”。 | ||||
| • | 安装 COM 控件 - 管理员可以指定一个受安全更新信任的 COM 插件列表,这些插件在运行时不受 Outlook 2003 安全性的阻止。为了使 Outlook 2003 将此列表识别为受信任的 COM 插件,管理员必须先在计算机上安装一个修改安全性设置的控件。此控件无需安装在终端用户的计算机上,只需安装在管理员的机器上即可。 | ||||
| • | 保护 SPAM - “垃圾邮件”过滤器使用 Microsoft Research 开发的中枢决策引擎查看入站邮件。属于“垃圾邮件”的项目被移至“垃圾邮件”过滤器中。这些消息不会自动删除。过滤器通过一个简单的培训机制适应并了解您的首选项设置。用户告知过滤器移至“垃圾邮件”过滤器的哪些邮件是正常邮件,哪些邮件是 SPAM。过滤器使用此信息和以后的消息来判断要执行的下一步操作。 | ||||
| • | 阻挡外部链接 - 用户可以控制 Outlook 2003 在打开 HTML 邮件时是否可以自动下载和显示外部内容。垃圾邮件发件人发送的邮件中可能包含外部内容链接,如图片或声音。当您打开或预览这种邮件息时,这些内容会自动下载,而您的电子邮件地址被确认为对发件人有效。以后您便成为了其他垃圾邮件的目标。 |
Windows SharePoint Services
Office 2003 Editions 与 Windows SharePoint Services 的集成为企业提供了简便且伸缩性良好的部署。Office 2003 Editions 和 Windows SharePoint Services 的结合可通过安全性视图提供改进的 Office 文档控制,包括版本控制和对文档协同创建过程的管理。Windows SharePoint Services 和 Office 2003 Editions 的集成包括了基于组和个人定义文档访问的能力,以及在“文档库”或“文档列表”级别设置粒度级权限的能力。
“文档库”功能提高了信息工作者在交流和文档中的共享和协作能力,而不需要牺牲这些文档的安全性。使用 Windows SharePoint Services 自带的安全性功能可根据个人定义和组定义对访问进行限制,因而 Office 2003 Editions 和 Windows SharePoint Services 的集成可为文档协作活动提供一个安全的环境。
注意: 需要 Microsoft Windows Server 2003、IIS 和 SQL Server。
InfoPath
InfoPath 提供了两种具有不同安全性级别的表单部署选项。沙箱部署解决方案可通过 Web 服务器或 Windows SharePoint Services 发布表单。在此种部署下,不需要在本地注册表单。它们位于高速缓存中,可离线使用,且能自动更新。这种部署方法为 Internet Explorer 提供了高安全性的沙箱保护。
第二种 InfoPath 表单选项要通过 MSI 和自定义安装。这种部署使用注册和受信任的关系以帮助确保安全性。这种部署对于那此要求完整系统访问的复杂解决方案更加适用。
结论
Office 2003 Editions 具有的更高的安全性反映出 Microsoft 为实现目标而付出的艰苦努力,这个目标就是:交付一个在设计、默认设置和部署方面均具有更高安全性的系统。
除了丰富的安全功能外,Office 2003 Editions 的默认设置同样提高了其安全性。Microsoft 还提供了帮助客户进行安全部署的说明指南、培训以及工具。
有关更多信息,请访问:http://www.microsoft.com/office
附录 A:重要的默认设置
因为不能在此处对 Office 2003 Editions 程序中所有的默认安全性设置进行一一详述,因此下面的列表仅包含了一些关键设置。
| • | 与 Office XP 程序一样,Office 2003 Editions 程序的“安全性级别”默认设置为“高”。VBA 代码必须经过签署,而且必须具有受信任证书,才能运行。现在这些设置同样适用于 Project Professional 2003、Publisher 2003 和 Visio 2003。 |
| • | Access 2003 在默认情况下以“安全模式”运行“Jet 数据库”引擎的表达式服务器。在过去,需要设置一个注册表键才能执行此操作。 |
| • | Access 2003 还具有一种安全性模型,可提示用户打开了具有 VBA 代码、表达式等等的数据库。此消息将在“中”安全性 (由于某些后台兼容原因) 级别下发布,对用户进行提示,但在默认级别不需要签署。 |
| • | 在加载被标记为对于初始化进程不安全的 ActiveX 控件时,Office 2003 Editions 程序将提示用户在文档中使用持久 (可能存在危险) 属性。在过去,需要设置一个注册键才能获得此提示。 |
| • | Office 2003 Editions 现在支持“Kill Bit”ActiveX 控件功能。不会在 IE 列表中初始化具有 Kill bit 设置的控件。 |
| • | Office 附带的 ActiveX 控件 (包括用于 Office Web 服务的控件) 是“站点锁定”的,只能从属于 Office 业务的特定站点或域中运行。这就意味着当控件出现故障时,不能从恶意 Web 站点中对其代码进行利用,因为它们不能实例化此控件。 |
| • | Word 2003 和 Excel 2003 的智能文档解决方案需要签名,它们的证书需要得到信任,且需要引用“受信任的站点”区域中的一个地址,才能运行代码或允许组件对其进行更新。 |
| • | 除非已安装控件而且已将控件显式标记为受站点管理员的信任,才可以使用,才能在 SharePoint 的 SmartPage 中使用 Web Parts。 |
| • | Windows SharePoint Services 默认使用“集成验证”。 |
| • | 默认情况下“客户经验改进计划”处于关闭状态。 |
| • | 除非将解决方案显式安装在用户计算机上,否则 InfoPath 解决方案将以沙箱模式运行。 |
| • | Outlook 默认情况下提高了垃圾邮件的过滤能力。 |
| • | Outlook 默认情况下禁止打开外部链接,以避免 Web Bug被利用。 |
| • | Word 2003 不会自动计算数据字段或嵌入字段。 |
| • | 现在所有的 Office 2003 Editions 程序都使用 Internet Explorer 高速缓存作为其文件的临时存储位置,因而这些文件中所有可能存在的攻击程序和脚本都放在了 Internet 区域 (而非本地机器) 中。 |
| • | Office 2003 Editions 程序还提供了一些关于“危险”URL 类型方案的提示,其主要目的是在 URL 处于隐藏状态时 (如自定义的工具栏和菜单) 提供保护。 |
| • | Excel 中的 XSL 现在被绑定至宏安全性级别,因而其不再始终“运行”、 而且由于宏安全性的默认设置为“高”,因而 XSL 安全性的设置也为“高”。更具体地说,XSL 仍可以在所有安全性级别中使用,但对于我们检测到的某些具有潜在危险的实例,将根据宏设置对其进行进一步处理。 |
| • | 默认情况下 Windows SharePoint Services 的匿名访问处于关闭状态,且被禁用。 |
| • | 默认情况下,Windows SharePoint Services 禁止在文档库中加载过长的文档类型列表。这些文件类型包括 exe、com 和 bat。 |
| • | 默认情况下,Windows SharePoint Services 及支持服务作为“网络服务”运行。 |
| • | 在 Excel 2003 中,Excel 中的查询表/数据访问功能会向用户发出关于“刷新”和“打开时自动刷新”的警告消息。 |