這個檢查清單的目的是顯示執行 Microsoft Office XP、Microsoft Office 2000 或 Microsoft Office 97 的電腦上，設定基本安全性最重要的一些選項。這些安全設定可以直接在您的電腦上設定或應用，或使用 Microsoft Office Resource Kit 來部署。

如果您的電腦執行 Microsoft Windows NT® 管理的網路伺服器，安全性相關的原則可以視網路設定的不同而透過 Active Directory® 或「網路登入」功能來啟用或分配。Group Policy MMC 嵌入式管理單元 (在 Microsoft Windows 2000® 伺服器和 Microsoft Windows® XP 伺服器上可取得) 和 System Policy Editor (在 Office Resource Kit 和 NT Server 4.0 和 Windows 2000 Server 上可取得) 可以用來為網域中的所有電腦、使用者或群組啟用這些原則。如需 Group Policy 和 System Policies 的詳細資訊，請參閱Implementing Policies and Profiles for Windows NT 4.0 以及Step-by-Step Guide to Understanding the Group Policy Feature Set。

如需設定安全性設定值的其他資源，請參閱其他安全性資訊來源。

Office XP、2000 和 97 安全設定檢查清單

下載最新的 Office Service Pack/Service Release

Office Service Pack 和 Service Release 包含功能和安全性更新程式以保護您的 Office 安裝和文件。Microsoft 建議您保留所有 Service Pack 和 Service Release 的最新資訊，並儘快安裝這些更新。利用下列的連結可將最近的 (以及之前任何) 更新程式下載到您的 Office 軟體中。

附註   有些 Service Pack 和 Service Release 要求您在套用最新的修補程式之前，先安裝您 Office 版本之前的所有更新程式。請仔細檢閱所有安裝指示，以確保您的 Office 已成功地更新。

Office XP 適用

如果您更新的是個人單獨使用的電腦，請瀏覽 Microsoft Office 產品更新網站，並遵循指示以自動安裝最新的 Office 更新程式。

如果您在網路上更新多重 Office 安裝，請瀏覽 Microsoft Office Download Center，以獲得所有的 Service Pack 和 Sevice Release。

Office 2000 適用

如果您更新的是個人單獨使用的電腦，請瀏覽 Microsoft Office 產品更新網站，並遵循指示以自動安裝最新的 Office 更新。

如果您在網路上更新多重 Office 安裝，請瀏覽 Microsoft Office Download Center，以獲得所有的 Service Pack 和 Sevice Release。

Office 97 適用

請瀏覽 Microsoft Office Download Center，以尋找 Office 97 安裝所有可用的更新程式。檢視清單以確保所有的更新程式皆已安裝。

下載所有的 Service Pack/Service Release 更新程式

請瀏覽 Microsoft Office Download Center 以搜尋自從最新的 Service Pack/Service Release 之後，為您的 Office 版本所建立的可用更新程式。

下載並安裝最新版本的 Office Resource Kit

Microsoft 建議您為 Office 版本下載最新版本的 Office Resource Kit。

Office XP Resource Kit 是可以免費取得的產品。這個套件為關於與整個 Office XP 產品組件相關的部署、維護和組態問題提供了寶貴的資訊。對您特別有用的特殊工具是 ADM 原則範本，它會自動安裝成為 Resource Kit、Custom Installation Wizard、Custom Maintenance Wizard 和 System Policy Editor 安裝的一部份。

重要   ADM 範本無法以其他任何方式取得，而且安裝組件是在電腦上安裝這些範本的唯一方式。

基於安裝的安全性考量，Microsoft 建議您利用 Custom Installation wizard (CIW) 來套用組態設定以作為基線安裝。您可以透過 CIW 中的 [變更 Office 使用者設定] 畫面來執行大多數的使用者相關 Office 設定，但是您也應該透過 NT 登入或 Active Directory 的方式以原則執行設定，以確保每一次使用者登入後所做的變更會立刻還原。此外，您可以使用精靈的 [指定 Office 安全性設定] 畫面以強制任何 Office 應用程式的安裝，將您選定的安全設定作為預設設定。

Microsoft 強烈建議所有 Office 安裝的管理員應閱讀 [自訂安裝] 精靈畫面的可用 [說明]，以及附註於下方 " Office XP 安全性設定的強烈建議 " 的相關 [說明] 主題。

訂閱 Microsoft 安全性通知服務

安全性通知服務是 Microsoft 用來共享有關 Microsoft 產品安全性資訊的免費電子郵件服務。任何人皆可以訂閱這個服務，也可以隨時取消訂閱。

若要訂閱這個服務，請遵循下列步驟：

1. 傳送電子郵件到 securbas@microsoft.com。主旨行和郵件內文並無關緊要，因為它們並不會用來處理訂閱的請求。
2. 一旦您接收到要求確認訂閱的回應，請在郵件內文中傳送文字 "OK" 作為回應。

然後您會接收到兩封電子郵件，一封確認您已經被新增至訂閱者名單中， 而另一封是關於通知服務及其目的更詳細資訊。

啟動防止巨集病毒功能

沒有適當的安全措施就開啟包含感染巨集病毒的 Office 文件是巨集病毒傳遞的途徑。 開啟受病毒感染的文件會使惡意破壞的巨集將病毒在文件中散播開來。如果受病毒感染的文件經過共用， 病毒也可能會散播到其他使用者的文件。巨集病毒也可能包含在蟲病毒中，如最近的 ILOVEYOU 病毒。

您應該要設定啟動巨集病毒防護功能，至少可以提示使用者判斷文件是否來自可信任的來源， 並決定是否在開啟文件時要啟動巨集。

如需如何設定啟動防止巨集病毒功能，請參閱 Office Resource Kit 或 [說明]。

設定 Excel、Word 和 PowerPoint 檔案的密碼和加密保護

Microsoft Excel、Microsoft Word 和 Microsoft PowerPoint® 有數個可用的功能，可透密碼或加密來保護檔案。這些檔案等級的安全措施附加於已設定的作業系統等級安全性措施之外，例如對於資料夾、特定檔案或整個硬碟的權限。

檔案加密是保護文件最好的方式之一。在儲存檔案時，加密字碼會將檔案加密， 使文件內容無法讀取。但是在加密時須要設定密碼並記住密碼。

如需如何設定密碼和加密保護的詳細資訊， 請參閱 Office Resource Kit 或 [說明]。

設定原則以保護您的基本安全性

系統提供管理員控制用戶端桌上型電腦的能力。原則是使用者登入網路時，套用到使用者電腦的特殊登錄設定。原則設定使管理員可以進行下列事項：

• 修改使用者介面。
• 授予權限以執行或不執行應用程式或公用程式的功能。
• 限制使用者自訂不同 Office 應用程式的部分。

有關網路上配置 Office 更新和安全原則的資訊可以在 Office Resource Kit 中找到。

建議檢閱的安全原則設定包括：

• 不安全的 ActiveX® 初始化 原則可以強迫使用者檢閱可能的不安全 ActiveX 控制項。
• 防止使用自訂附件安全性設定和容許存取電子郵件附件原則可以防止透過 Outlook 訊息引進惡意破壞的病毒碼。
• 停用「增益集管理員…」按鈕原則可以避免引進與網路設定和服務互相衝突的增益集。
• 防止使用者新增 HTTP 電子郵件帳戶原則可以阻擋使用者因建立自己的 HTTP 電子帳戶而增加安全性的損害。
• 防止使用者對 Outlook 設定檔進行變更原則可以幫助阻止變更 Outlook 設定可能產生的安全性問題。

列在這裡的只是您可以為 Office 網路設定的眾多原則中的部份而已。如需關於所有可用原則以及在您的網路中執行的方式，請檢閱 Office Resource Kit。

附註   請記住設定原則是保證所有使用者會堅守網路安全性規則的唯一方式。使用者可以變更安裝時沒有經過原則強制的安全性設定，因而減弱網路的安全性保護。

考慮 Office VBA 安全性

Microsoft Office 的文件、試算表、資料庫等皆有具有屬性和事件的物件，可透過來自應用程式 (VBA) 巨集或執行檔的 Microsoft Visual Basic® 來控制。您可以使用 [信任] 存取 Visual Basic Project 原則以控制使用者是否有能力容許 VBA 巨集和執行檔存取每一個 Office 應用程式核心物件。

此外，為了回應客戶的需求，Microsoft 在設計 Office XP 時已經設計不需 VBA 即可安裝。如果您安裝的是不包含 VBA 的 Office XP，則無法執行任何 VBA 巨集。但是，安裝 Office XP 而沒有安裝 VBA 並未預防到病毒所有可能的進入點。例如，附加於電子郵件訊息的執行檔案 (.exe) 可能包含病毒 — 且不論電腦上是否安裝 VBA，病毒都會執行。病毒也會透過指令碼或網站上的 Microsoft ActiveX® 控制項傳送。

如果您安裝 Office XP 而沒有安裝 VBA ，您將無法使用所有與 VBA 有關的功能。這些功能包括網路上的 Office 工具；許多精靈、範本和增益集和所有的巨集。任何指向巨集的自訂功能，例如按鈕或功能表指令等將無法運作。如果文件包含巨集或 ActiveX 控制項，使用者必須以唯讀的方式開啟並將變更儲存在新的文件中。此外，您必須先安裝 VBA 才能安裝 Microsoft Access 2002。

檢閱 Outlook 安全性

針對 Office 產品進行安全性攻擊最熱門的目標是 Microsoft Outlook®。您應該特別注意 Outlook 安全性設定以及這些設定對使用者的影響。

Office XP Service Pack 1 採用可設定 Microsoft Outlook 的功能為，以純文字的格式閱讀所有非數位簽名的電子郵件或未加密的電子郵件。這個變更也可以讓系統管理員利用原則，要求使用者僅以純文字的格式閱讀這樣的電子郵件。

數位簽名的電子郵件或加密的電子郵件不受這個更新程式的影響，且無法由系統原則修改。數位簽名的電子郵件或加密的電子郵件是以原始的格式閱讀。

如需這個功能的詳細資訊，請參考 Microsoft Knowledge Base 文章 Q307594: Users Can Read Nonsecure E-mail As Plain Text。

如需其他 Office XP Outlook 議題的資訊，請參考 Office XP Security White Paper。

如需 Office 2000 和 Office 97 Outlook 議題和安全性選項的資訊，請參考 Knowledge Base 文章 Q235309: Outlook E-mail Attachment Security Update 和 E-mail Security Update White Paper。

從 Office 檔案中移除所有的個人資訊 (僅限 Office XP)

在 Office XP 中會提供安全選項，容許檔案儲存時使用者移除所有的個人資訊。

使用這個選項時，下列的個人資訊會從文件中移除：

• 檔案屬性  (作者、管理員、公司、上次存檔者)。
• 有關註解或修訂記錄的名稱 (名稱變更為作者)。
• 傳閱名單。
• 以電子郵件按鈕產生的電子郵件標題。
• 版本編號 (存檔者下的名稱會變更為作者)。

如需詳細資訊，請參閱 Office Resource Kit 或 [說明] 主題移除個人資訊或隱藏的資訊。

其他安全資訊的來源

• 如需關於在個別電腦上執行這些或其他安全措施的解答，首先諮詢您的 Office 所提供的文件。
• 如需在網路上執行關於安全性措施的解答，Office Resource Kit 是管理員的絕佳選擇。Office Resource Kit 首頁特別說明 Office XP 管理議題，而連結提供給 Office 2000 和 Office 97 的線上 Resource Kit。
• Office XP Security White Paper 包含 Office XP 中提供的許多安全性改良。
• Microsoft Office Assistance Center 和 Microsoft Office Tools on the Web 網站不斷更新目前的 Office 新聞、安全資訊以及使用者祕訣與訣竅。
• Microsoft TechNet Office Security 網站提供 Office XP、Office 2000 和 Office 97 安全顧慮的廣泛資源。關於 Office 2000 和 Office 97 的特定資訊，請瀏覽 http://www.microsoft.com/technet/security/prodtech/offsec.asp。

在此檢查表的資訊以 " 現況 " 提供，不具任何種類的擔保。Microsoft 並不提供任何明示或默示之擔保，包括商業適售性及特定用途之適用性。Microsoft 及其供應商毋需承擔任何損害之責任，包括直接、間接、附隨性、衍生性、特殊損害及利益損失，即使 Microsoft 及其供應商已被通知損害的可能性。因為部份州/轄區不容許排除或限制對衍生性、附隨性損害的默示擔保，因此以上限制可能不適用於您的情況。