Встановивши рівень безпеки для макросів Низька (Low). адміністратори можуть відключити використання списку надійних джерел. Проте, рекомендується не робити цього, а навпаки, використовувати список надійних джерел за замовчуванням. Коли оцінка вмісту списку надійних джерел включена, всі виконувані файли (надбудови, аплети, макроси, EXE-файли і т. Д.) Автоматично запускаються на комп'ютері користувача тільки в тому випадку, якщо відповідний сертифікат довіри був прийнятий і зберігається в призначеному для користувача розділі системного реєстру .
Механізм роботи при використанні списку надійних видавців
Для роботи зі списком надійних джерел необхідно використовувати спеціальну цифровий підпис, якої підписуються виконувані файли. Цифровий підпис містить сертифікат, за допомогою якого можна визначити, з якого джерела була отримана файл.
Оскільки отримання цифрового підпису для додатка вимагає фінансових і тимчасових витрат, така підпис в деякій мірі гарантує безпеку використання програми. Крім того, цифровий підпис є свідченням того, що код був отриманий саме з того джерела, який вказаний в сертифікаті підписи, і не було підроблено після його підписування власниками сертифікату.
Власники цифрового підпису повинні надати докази своєї автентичності центру сертифікації, який випускає сертифікат довіри для цього підпису. Таким чином, цифровий підпис підтверджує, що дані або код були отримані з заявленого джерела і надає кошти, що дозволяють визначити розробника програми або власника даних.
Ухвалення сертифікатів довіри в додатках Office
Під час установки Microsoft Office існує можливість відзначити всі встановлені надбудови і шаблони як довірені, навіть якщо вони не мають цифрового підпису. Це відноситься як до файлів, що встановлюється разом з Office, так і до файлів, які вже містяться в папці шаблонів Office.
Для додавання або видалення сертифікатів зі списку надійних видавців у додатках Word, Access, Excel, Outlook, PowerPoint і Visio виконайте наступні дії:
- Виберіть пункт меню Сервіс - Макрос - Безпека (Tools - Macro - Security).
- Для роботи зі списком надійних видавців Перейдемо на вкладку Надійні видавці (Trust Publishers).
- Для того щоб відзначити всі встановлені на комп'ютері надбудови і шаблони як довірені, встановіть прапорець Довіряти всім установленим надбудовам і шаблонами (Trust all installed add-ins and templates).
Додавання надійних видавців
Коли користувачі вперше запускають підписаний виконуваний файл (аплет, програму, макрос і т. Д.) З додатка Office, вони отримують запит на додавання сертифіката цього файлу в локальне сховище надійних видавців. Якщо користувачі приймають сертифікат, файл вважають його надійним. Запит на додавання сертифіката до списку надійних видавців виводиться при встановленому рівні безпеки для макросів Середня або Висока.
Адміністратори мають можливість додавати сертифікати Microsoft або інші цифрові сертифікати в список довірених видавців, не вимагаючи ніяких додаткових підтверджень з боку користувачів. Для цього на сторінці Specify Office Security Settings майстра Custom Installation Wizard або Custom Maintenance Wizard їм необхідно додати необхідні сертифікати в список Add the following digital certificates to the list of Trusted Publishers.
Поширення списку надійних видавців, відмінних від Microsoft
Ви можете поширювати на комп'ютери користувачів список надійних видавців, відмінних від Microsoft, шляхом створення і використання файлу сертифіката (CER-файлу). До складу Office включені три CER-файлу, які містять інформацію про три сертифікатах Microsoft, необхідних для додатків Office.
Хоча додатки Office встановлені з сертифікатами Microsoft, за замовчуванням ці сертифікати не є довіреними. Для того щоб зробити ці сертифікати довіреними, при розгортанні Office адміністратор повинен вказати їх на сторінці Specify Office Security Settings майстра Custom Installation Wizard.
Для додатків, які не включені до складу Microsoft Office, CER-файл можна отримати двома способами:
- Шляхом експорту вмісту сертифіката з підписаного DLL-файлу в CER-файл.
Якщо Ви не маєте встановленої копією Office, в якій сертифікат вже прийнятий і вважається довіреною, цей спосіб є єдиним способом отримання інформації про сертифікат. Необхідні дії для виконання цієї процедури описані нижче.
- Шляхом експорту довіреної сертифікату зі сховища надійних видавців у CER-файл.
Якщо Ви маєте в своєму розпорядженні встановленої копією Office, в якій сертифікат стороннього виробника програмного забезпечення вже прийнятий і поміщений в сховище надійних видавців, Ви можете отримати інформацію про сертифікат в діалоговому вікні Безпека (Security) будь-якого з додатків Office. Необхідні дії для виконання цієї процедури описані нижче.
Експорт вмісту сертифіката з підписаного DLL-файлу в CER-файл
Експорт довіреної сертифікату зі сховища надійних видавців у CER-файл
Поширення CER-файлів
Для поширення створених CER-файлів Ви можете використовувати:
- Службу каталогів Active Directory (можна використовувати в будь-який момент часу)
- Майстер Custom Installation Wizard (тільки при первісному розгортанні Office)
- Майстер Custom Maintenance Wizard (тільки після завершення розгортання Office)
Імпорт CER-файлу в файл перетворення (* .MST) або в файл налаштування супроводу (* .CMW)
- Запустіть майстер Custom Installation Wizard або Custom Maintenance Wizard.
- Відкрийте потрібний MSI-файл і введіть ім'я файлу перетворення або файлу налаштування супроводу.
- На сторінці Specify Office Security Settings натисніть кнопку Add.
- У діалоговому вікні знайдіть створений Вами на попередньому етапі CER-файл, виберіть його і натисніть кнопку Add (або просто двічі клацніть на цьому файлі мишею).
Вищеописана процедура виконує імпорт CER-файлу в файл перетворення або в файл налаштування супроводу, який буде включений до складу нової або оновленої установки Office. Під час наступної установки Office вся необхідна інформація буде розміщена в системному реєстрі. Як тільки користувач отримає CER-файл сертифіката, він зможе запускати всі виконувані файли, підписані цим сертифікатом; при цьому додатки не будуть блокуватися, а також не буде потрібно ніяких додаткових підтверджень з боку користувачів.