关于安全性级别及其含义
以下概括了在“安全性”对话框(“工具”菜单的“宏”子菜单)的“安全级”选项卡中,每个设置如何针对不同的情况来防止宏病毒。对于所有设置,如果安装了用于 Microsoft Office 2003 的防病毒软件,且文件中还包含宏,则在打开文件之前,将对已知病毒进行扫描。
注释 在 Microsoft Office 2003 或更高版本中,有一个组件检查所有引用 XSL 文件的 XML 文件是否包含不安全的脚本。如果宏安全性设置为“高”,则禁止运行该脚本。如果宏安全性设置为“中”,则询问用户是否运行 XSL 文件中的脚本。如果宏安全性设置为“低”,则运行脚本。
极高
只允许运行在可信位置安装的宏。其他所有签名和未签名的宏都将被禁用。通过将安全级别设置为“极高”并禁用在可信位置安装的宏,可完全禁用所有宏。若要禁用在可信位置安装的宏,请单击“工具”,再依次选择“宏”和“安全性”,然后单击“可靠发行商”选项卡,取消选中“信任所有安装的加载项和模板”选项。
注释 这也将禁用所有 Com 加载项、智能标记 .DLL 和宏。
高
未签署的宏
打开文件,并自动禁用宏。
已签署的宏
根据宏的来源和签署的身份确定如何处理已签署的宏。
可靠来源。签署有效。
打开文件,并自动启用宏。
未知的宏作者。签署无效。
将显示有关证书信息的对话框。只有在用户选择信任作者及证书颁发机构后,才启用宏。网络管理员可以锁定可靠来源列表,以防止用户向列表中添加开发者并启用宏。
任何作者。可能由于包含病毒,签署无效。
警告用户可能有病毒。自动禁用宏。
任何作者。由于公开密钥丢失或使用了不兼容的加密方法,签署验证无法进行。
警告用户签署验证无法进行。自动禁用宏。
任何作者。在证书过期或作废后所做的签署。
警告用户签署已过期或作废。自动禁用宏。
中
未签署的宏
提示用户启用或禁用宏。
已签署的宏
根据宏的来源和签署的身份来确定如何处理已签署的宏。
可靠来源。签署有效。
打开文件,并自动启用宏。
未知的宏作者。签署有效。
将显示有关证书信息的对话框。提示用户启用或禁用宏。用户可以选择信任开发者和证书颁发机构。
任何宏作者。由于可能包含病毒,签署无效。
警告用户可能有病毒。自动禁用宏。
任何作者。由于公开密钥丢失或使用了不兼容的加密方法,签署验证无法进行。
警告用户签署验证无法进行。提示用户启用或禁用宏。
任何作者。在证书过期或作废之后所做的签署。
警告用户签署已过期或作废。提示用户启用或禁用宏。
低
将安全性设置为低时,所有宏都作相同的处理,而不考虑其来源或证书的身份。使用低的安全级,用户将得不到提示或签署验证,并将自动启用宏。只有在确认文件中的所有宏的来源可靠时,才使用该设置。
关于数字签名
Microsoft Office 2003 使用 Microsoft Authenticode 技术来对文件或宏工程启用数字签名。用于创建该签名的证书可确认来自签名者的宏或文档,并且签名还将确认宏或文档未作改动。在设置宏的安全级别时,可根据其是否为可靠来源列表中的开发者的数字签名来运行宏。
在安装数字证书后,可以对文件和宏项目进行签署。
签署宏
应该只在测试完解决方案并准备进行分发时,才对宏项目进行签署,因为不论何时修改了已签署的宏项目中的代码,其数字签名都会被删除。但是,如果计算机上有正确的数字证书,则在保存时,宏项目将自动重新签署。如果要防止解决方案的用户在无意中修改宏项目,并使签名无效,请在签署前锁定宏项目。您的数字签名只表明您可保证该宏项目是安全的,但并不证明该宏项目是您编写的。因此,锁定您的宏项目并不能防止其他用户使用其他签名替换数字签名。企业管理员可能会对模板和加载宏进行重新签名,以便对运行他们计算机的用户进行准确控制。
如果创建了一个将代码添加到宏项目中的加载宏,则该代码应确定宏项目是否进行了数字签名,并且在继续执行前将对已签署的宏项目的修改结果通知用户。
从何处获取证书
可从商业证书颁发机构(如 VeriSign,Inc.),或是从内部安全管理员或 IT 专业人员处获取数字证书。也可使用 Selfcert.exe 工具创建自己的数字签名。
注释 因为您自己创建的数字证书不是由正式证书颁发机构发放的,所以用该证书签署的宏项目只能作为自签署项目引用。根据用户所在组织使用 Office 数字签名功能的不同,用户可能不允许使用这样的证书,而其他用户也可能由于安全原因不能运行自签署的宏。
商业证书颁发机构
若要通过商业证书颁发机构(例如:VeriSign Inc.)获取数字证书,则用户或其所在组织必须向该颁发机构提交申请。
根据程序开发人员的不同身份,应该为软件发布申请 2 类或 3 类数字证书。
-
2 类数字证书是为发布软件的个人设计的。该类数字证书为软件发布者的个人身份提供担保。
-
3 类数字证书是为公司和其他发布软件的组织设计的。该类数字证书为软件发布组织的身份提供了更进一步的担保。3 类证书代表了软件零售渠道所提供的担保级别。基于 Dun & Bradstreet Financial Services 的分级,3 类数字证书的申请者必须符合该分级的最低级,即需具备一定的财务稳定性。
当您收到数字证书时,还将获得如何在用于签署 Office 解决方案的计算机上安装该证书的指导。
内部证书颁发机构
某些组织和公司可能有安全管理员或工作组充当他们自己的证书颁发机构,并使用某些工具(例如:Microsoft 证书服务器)生成或发布数字证书。Microsoft 证书服务器可作为独立的证书颁发机构或现有证书颁发机构的分级机构来运行。根据 Office 数字签名功能在您组织中的使用情况,可使用组织内部证书颁发机构发放的数字证书来进行宏项目的签署。或者您可能需要管理员使用认可的证书来为您签署宏项目。有关组织政策的信息,请与网络管理员或 IT 部门联系。