Работа со списком надежных издателей
Добавление надежных издателей
Когда пользователи впервые запускают подписанный исполняемый файл (апплет, программу, макрос и т. д.) из приложения Office, они получают запрос на добавление сертификата этого файла в локальное хранилище надежных издателей. Если пользователи принимают сертификат, файл считается надежным. Запрос на добавление сертификата в список надежных издателей выводится при установленном уровне безопасности для макросов Средняя или Высокая.
Администраторы имеют возможность добавлять сертификаты Microsoft или другие цифровые сертификаты в список доверенных издателей, не требуя никаких дополнительных подтверждений со стороны пользователей. Для этого на странице Specify Office Security Settings мастера Custom Installation Wizard или Custom Maintenance Wizard им необходимо добавить требуемые сертификаты в список Add the following digital certificates to the list of Trusted Publishers.
Если на компьютерах всех пользователей организации должен поддерживаться заранее определенный список сертификатов, администраторы с помощью системных политик могут запретить пользователям добавлять сертификаты в список доверенных издателей. Для того чтобы запретить пользователям производить любые действия с хранилищем доверенных издателей, необходимо в шаблоне политики Office (Office11.adm) включить для каждого приложения политику Microsoft Office 2003 | Security Settings (например, Word: Trust all installed add-ins and templates). В отличие от задания параметров безопасности с помощью программ Custom Installation Wizard или Custom Maintenance Wizard, использование политик обеспечивает принудительное применение административных настроек на компьютере пользователя при входе в сеть (в зависимости от способа, использовавшегося для распространения шаблона политик). Таким образом, любые изменения в приложениях, произведенные пользователем во время предыдущего сеанса работы и попадающие под действия системных политик, не будут сохранены.
Если Microsoft Office 2003 установлен на компьютере под управлением ОС Microsoft Windows® 2000, то пользователи могут редактировать список надежных издателей с помощью пользовательского интерфейса приложения при условии, что список надежных издателей хранится в разделе HKCU системного реестра. Если же список надежных издателей хранится в разделе HKLM, пользователи не могут добавлять записи в список надежных издателей, поскольку параметры компьютера имеют более высокий приоритет, чем пользовательские параметры.
Если Microsoft Office 2003 установлен на компьютере под управлением ОС Microsoft Windows XP или более новой ОС, принятые сертификаты располагаются в хранилище надежных издателей Windows. Также, в этих операционных системах диалоговое окно, отображающее источники сертификатов, выглядит иначе, чем в Windows 2000.
Примечание
Метод распространения политики (такой как применение REG-файла, использование Active Directory® или локальный вход в Windows NT) играет значимую роль в эффективности и своевременности ее применения.
Распространение списка надежных издателей, отличных от Microsoft
Вы можете распространять на компьютеры пользователей список надежных издателей, отличных от Microsoft, путем создания и использования файла сертификата (CER-файла). В состав Office включены три CER-файла, которые содержат информацию о трех сертификатах Microsoft, необходимых для приложений Office.
Инструментарий
CER-файлы Microsoft находятся в папке "%ProgramFiles%\OrkTools\Ork11\Lists and Samples\Office Information", которая создается в процессе установки набора инструментов Office 2003 Editions Resource Kit (ork.exe). Вы можете загрузить файл ork.exe в разделе Downloads на веб-странице Office 2003 Resource Kit.
Хотя приложения Office установлены с сертификатами Microsoft, по умолчанию эти сертификаты не являются доверенными. Для того чтобы сделать эти сертификаты доверенными, при развертывании Office администратор должен указать их на странице Specify Office Security Settings мастера Custom Installation Wizard.
Для приложений, не включенных в состав Microsoft Office, CER-файл можно получить двумя способами:
- Путем экспорта содержимого сертификата из подписанного DLL-файла в CER-файл.
Если Вы не располагаете установленной копией Office, в которой сертификат уже принят и считается доверенным, этот способ является единственным способом получения информации о сертификате. Необходимые действия для выполнения этой процедуры описаны ниже.
- Путем экспорта доверенного сертификата из хранилища надежных издателей в CER-файл.
Если Вы располагаете установленной копией Office, в которой сертификат стороннего производителя программного обеспечения уже принят и помещен в хранилище надежных издателей, Вы можете получить информацию о сертификате в диалоговом окне Безопасность (Security) любого из приложений Office. Необходимые действия для выполнения этой процедуры описаны ниже.