如何在 Office 中新增、刪除或變更受信任位置

該 受信任地點 微軟的Office 這些設定往往只有在安全警報、巨集被封鎖以及「潛在危險內容」提示出現時才會被注意到。然而，如果您每天都使用 Excel、Word、Access 或 PowerPoint，了解它們的工作原理可以幫助您省去很多麻煩。

本文將詳細介紹如何 在 Office 中新增、刪除或修改受信任位置安全隱憂是什麼？如何在企業環境中使用群組原則物件 (GPO) 進行管理？如果需要處理從互聯網下載、透過網路共用或儲存在磁碟機上的文件，有哪些選項可用？ 的SharePoint而且不會失去信任中心的保護。

在 Office 中，什麼是可信位置？

一 受信任位置 這是一個 Office 預設為安全的資料夾（本機、網路或 Web 資料夾）。從該資料夾開啟的任何文件都不會經過 Office 的許多常規安全檢查。 信託中心而且它無法在受保護視圖或應用程式保護模式下開啟。

這意味著在這些資料夾中 所有活動內容均自動啟用 從文件中： VBA宏未簽署的加載項、ActiveX 控制項、外部資料連接、超連結、資料來源連結、嵌入式媒體等。使用者不會收到任何風險警告或安全警報，因為 Office 假定您信任儲存在那裡的所有內容。

在 Office 內部安全工作流程中，位於下列位置的文件 受信任位置會繞過所有其他控制文件驗證被省略，文件鎖定設定被忽略，受保護視圖未使用，應用程式保護也未套用。這就是為什麼它們如此有用……但同時在安全性方面又如此敏感的原因。

因此，微軟建議： 受信任位置的使用非常有限。針對特定場景，並且如果可能，僅供真正需要的特定使用者使用。在應用程式安全基線中 微軟365 對於企業而言，甚至建議停用基於網路的受信任位置，並透過策略對其進行集中控制。

何時適合使用可信任位置（何時不適合使用）？

在將資料夾新增至清單之前，務必先明確以下幾點： 你保存在那裡的所有內容都將不使用過濾器運行。如果檔案包含惡意程式碼，Office 不會發出警告。因此，您只有在以下情況下才應使用受信任的位置：

• 你與…合作 包含巨集、外掛程式或 ActiveX 控制項的文件 你很清楚其來源（例如，你公司的內部文件）。
• 您需要阻止某些文件以以下方式開啟： 受保護的視圖 因為你經常使用它們，而且你信任它們。
• 您希望特定使用者群體始終能夠運行 活躍內容 某些文件沒有安全警告。

這不是一個好主意:

• 將位置標記為可信位置 根單元 （例如 C:\ 或「我的文件」中的所有文件），因為您將大量委託給您無法控制的文件。
• 允許受信任的位置 網路資料夾管理不善 或被廣泛傳播。
• 將它們作為權宜之計，以避免學習如何管理。 證書、數位簽章和可信任發布者.

如何在 Office 中新增受信任位置（逐步指南）

在 Access、Excel、PowerPoint、Visio 和 Word 中建立可信任位置的過程非常相似。所有這些應用程式都使用相同的設定。 信託中心.

至 新增資料夾 作為應用程式內部的可信位置：

1. 開啟對應的 Office 應用程式（例如， Excel、Word 或 Access).
2.點擊選項卡 檔案 然後進入 選項.
3. 在側邊選單中，選擇 信託中心 然後點擊 信任中心設置.
4. 在開啟的視窗中，前往該部分 受信任的位置.
5. 點擊 新增位置.
6. 點擊 檢查找到要指定為安全的資料夾，選中它，然後接受。
7. 如果你想 子資料夾 如果您也被認為值得信賴，請勾選相應的方框。

從那一刻起，從該路徑開啟的檔案將被 Office 視為安全文件。 不會顯示任何安全警報。 目前活動內容將不會阻塞運作。

如何刪除受信任的位置

如果您已將某個資料夾標記為受信任位置，但不再希望它擁有該級別的權限，您可以… 輕鬆移除 來自同一信託中心。

至 移除受信任位置:

1. 開啟相關的 Office 應用程序，然後前往 檔案 > 選項.
2. 訪問 信託中心 然後點擊 信任中心設置.
3. 選擇部分 受信任的位置.
4. 在位置清單中，選擇要刪除的資料夾。
5. 點擊 刪除 然後在 接受 確認

自那時候起， 該資料夾中的檔案將再次傳輸。 由於常規的安全檢查（受保護的視圖、驗證等），如果貴組織的策略指示，活動內容將被阻止。

如何修改現有的受信任位置

你可能需要 調整現有可信任位置例如，變更資料夾、啟用或停用子資料夾中的信任，或更新描述。

步驟非常簡單:

1. 開啟應用程式（Excel、Word 等）並輸入 檔案 > 選項.
2. 前往 信託中心 然後點擊 信任中心設置.
3. 選擇 受信任的位置.
4. 在位置清單中，選擇要編輯的位置，然後按一下。 改變.
5. 更改路徑、名稱或選項 也信任子資料夾 根據您的需要。
6.按 接受 保存更改。

請記住，如果您將路線更改為完全不同的路線， 你將改變信任的範圍。因此，仔細檢查權限以及哪些使用者可以寫入該新資料夾是明智之舉。

辦公室中可信任位置與安全性的關係

受信任位置並非獨立運作：它們與其他安全功能緊密相關，例如： 受保護視圖、文件驗證、文件鎖定 以及應用保護。

當從標記為受信任的資料夾開啟檔案時：

• 它無法在受保護視圖中開啟。即使文件最初來自互聯網或電子郵件附件。
• 硒 他們跳過了文件驗證檢查。 （他們通常會檢查文件的完整性和格式）。
• 此配置不適用 文件鎖 適用於某些類型的舊文件或潛在危險文件。
• 文件也放不下 應用程序保護 （某些環境下會額外增加沙盒機制）。

這帶來了很多便利，但也意味著你必須… 真正信任來源 您儲存在那裡的文件。對於 IT 管理人員，微軟的一般建議是：

• 使用可信任位置 高度選擇性.
• 更喜歡 本地 與網路位置相比。
• 盡可能停用最終使用者自由配置的受信任位置。

在組織中規劃可信賴地點

如果你管理的是企業環境，那就定義一個 針對可信賴地點的明確策略總的來說，你可以允許幾種不同程度的信任：

• 允許最終用戶 創建您自己的地點 可信任（本地或網路）。
• 透過策略阻止使用者建立或修改受信任位置，以及 完全由IT部門管理。.
• 完全停用組織內的受信任位置。
• 如果風險在可接受範圍內，則將兩種模型（策略位置 + 使用者位置）混合使用。

你必須決定:

• 以便 辦公室應用 （Access、Excel、Word、PowerPoint、Visio、Project）您將使用受信任的位置。
• 那 特定資料夾 你要將其指定為受信任的（使用非常具體的路徑，而不是寬泛的根資料夾）。
• 那 安全許可 共享功能將應用於每個資料夾（誰可以讀取、誰可以寫入、誰可以修改）。
• 那 額外的限制 （例如，禁止網路、停用使用者設定）您將要套用。

使用受信任位置的辦公室應用程式

主要應用 您可以透過自己的信任中心管理受信任位置，這些功能包括：

• Access .
• Excel.
• PowerPoint中.
• Visio.
• Word.

所有這些路線都非常相似： 檔案 > 選項 > 信任中心 > 信任中心設定 > 受信任位置此外，每個位置都有特定的 GPO 策略，用於集中管理這些位置。

如何選擇合適的資料夾作為受信任位置

在決定將哪些資料夾標記為受信任資料夾時，必須套用下列原則： 最小特權原則以下是一些實用建議：

• 請勿使用根資料夾（例如， C：\ 或將「我的文件」全部設定為受信任位置；創建 專用子資料夾 只標記這些內容。
• 盡可能選擇 本地 在用戶設備上。雖然可以獲得網路位置信息，但如果網路位置控制不嚴格，則不建議使用。
• 同一個資料夾可用作可信任位置，用於 各種應用 Office（例如，用於常見的 Word 和 Excel 範本）。
• 如果您管理大型環境，請充分利用該策略。 可信位置 #1 （及後續）集中定義路線。

此外，請確保您標記為受信任的資料夾在權限方面得到適當保護。 NTFS 共享：理想情況下，只有真正需要編輯文件的使用者才應該有存取權限。 總量控制其餘使用者最多只有讀取權限。

使用策略（GPO、雲端策略、Intune）管理受信任位置

在企業環境中，讓每個使用者自由配置其信任位置是不切實際的。因此，微軟提供了多種選項。 群組原則 以及用於控制它們的基於雲端的管理選項：

• 雲端策略 來自 Microsoft 365。
• Microsoft Intune （適用於受管設備）
• 群組原則管理控制台 （GPMC）用於加入網域的設備。

內 GPMC您可以在路徑中找到每個應用程式的具體指令。 使用者配置\策略\管理模板政策部署的一些例子：

• 使用權： Microsoft Access 2016\應用程式設定\安全\信任中心\ 受信任的地點.
• Excel： Microsoft Excel中 2016\Excel選項\安全\信任中心\ 受信任的地點.
• PowerPoint：Microsoft PowerPoint 2016 \ PowerPoint 選項 \ 安全性 \ 信任中心 \ 受信任的地點.
• 專案：Microsoft Project 2016 \ 專案選項 \ 安全性 \ 信任中心。
• Visio：Microsoft Visio 2016 \ Visio 選項 \ 安全性 \ 信任中心。
• 單字： 微軟Word 2016\Word選項\安全\信任中心\ 受信任的地點.

指令「可信任位置 1 號」及後續指令

指示 “值得信賴的首選地點” （及其變體 #2、#3 等）可讓您定義使用者信任的資料夾路徑。預設情況下，這些路徑未配置，您必須啟用它們並填寫必填欄位。

當您啟動此保單時， 您可以指定:

• 小路 到資料夾（本機、網路或 Web）。
• 如果信任也存在於 子文件夾.
• （可選）簡短描述或評論。

以這種方式定義的位置將顯示在應用程式的「信任中心」部分。 管理地點， 內 檔案 > 選項 > 信任中心 > 設定 > 受信任位置但是，如果其他指令另有規定，使用者通常無法修改它們。

指令“允許網路上的可信任位置”

該指令控制它們是否可以被使用。 網絡文件夾 例如受信任的位置。這會對攻擊面產生重大影響，因此不容忽視。

他們的行為是：

• 已停用（受保護 - 建議）網路上所有受信任位置均被阻止，包括管理員使用「受信任位置 #1」配置的位置。使用者定義的網路位置將被忽略，且使用者無法新增新的位置。
• 已啟用（未受保護）它允許策略和用戶本身進行定義 網路路由上的可信任位置.
• 未配置（部分保護）預設情況下，使用者無法將網路位置新增為受信任位置，但他們可以透過在信任中心選取「允許我的網路上的受信任位置（不建議）」複選框來啟用此選項。

Microsoft 365 企業應用程式安全性基準建議將此原則設定為 禁用 對於大多數用戶而言，只有在別無選擇的情況下才會做出非常具體的例外。

指令“禁用所有受信任位置”

如果你的組織想要一個高度管控的環境，你可以採用指令式管理。 “禁用所有受信任位置”而它的作用正是如此：徹底阻斷這機制。

其工作原理如下：

• 已啟用（受保護）所有受信任的位置均被阻止，包括使用者定義的和管理員配置的位置。
• 已禁用（未受保護）使用者創建的受信任位置和策略創建的受信任位置是允許的，兩者可以共存。
• 未配置（未受保護，預設行為）與「已停用」相同，表示保持標準的 Office 行為，允許受信任的位置。

擁有以下組織的 非常嚴格的環境 他們通常會將此指令設為“啟用”，以徹底消除這種風險因素。

“允許策略和用戶位置的組合”策略

另一項關鍵指令是 “允許策略和用戶位置的組合”它決定除了策略設定的可信位置之外，是否還可以有使用者定義的可信位置。

此政策位於：使用者設定\策略\管理範本\Microsoft Office 2016\安全設定\信任中心。

他的邏輯 是：

• 已停用（受保護 - 建議）只允許使用策略定義的受信任位置；使用者不能建立或編輯自己的受信任位置。
• 已啟用（未受保護）使用者可以將自己創建的可信任位置與管理員分發的可信任位置結合。
• 未配置（預設未受保護）實際上，這相當於「啟用」；保留了允許用戶定位的標準行為。

微軟再次建議將安全基線設定為 禁用 只有在絕對必要時才允許例外。

Access、Excel、PowerPoint 和 Word 中的預設受信任位置

Office 預設定義了多個選項。 內部資料夾作為受信任位置這些位置通常與範本、外掛程式和啟動檔案相關。您可以在「信任中心」>「受信任位置」中查看它們。

Access

以微軟 Access 為例， 預設位置之一 是：

• 程式檔案\Microsoft Office\ 根 Office16 ACCWIZ資料夾 數據庫 助理。子資料夾 沒有 他們被認為是值得信賴的。

Excel

Excel包含多個預定義資料夾。 例如值得信賴的：

• Program Files\Microsoft Office\Root\Templates：應用程式模板（允許的子資料夾）。
• 使用者\使用者名稱\AppData\Roaming\Microsoft\模板：使用者範本（不信任子資料夾）。
• Program Files\Microsoft Office\Root\Office16\XLSTART：Excel 主資料夾（允許的子資料夾）。
• 使用者\使用者名稱\AppData\Roaming\Microsoft\Excel\XLSTART：使用者主目錄（不含受信任的子資料夾）。
• Program Files\Microsoft Office\Root\Office16\STARTUP：Office 啟動（允許的子資料夾）。
• Program Files\Microsoft Office\Root\Office16\Library：附加元件（允許的子資料夾）。

PowerPoint中

一些 預設 PowerPoint 位置 聲音：

• Program Files\Microsoft Office\Root\Templates：應用程式模板（允許的子資料夾）。
• 使用者\使用者名稱\AppData\Roaming\Microsoft\模板：使用者範本（允許的子資料夾）。
• 使用者\使用者名稱\AppData\Roaming\Microsoft\Addins：附加元件（不允許使用子資料夾）。
• Program Files \ Microsoft Office \ Root \ Document Themes 16：應用程式主題（允許的子資料夾）。

Word

在 Word 中，有些 標記為受信任的資料夾 預設情況下，它們是：

• Program Files\Microsoft Office\Root\Templates：應用程式模板（允許的子資料夾）。
• 使用者\使用者名稱\AppData\Roaming\Microsoft\模板：使用者範本（不含受信任的子資料夾）。
• 使用者\使用者名稱\AppData\Roaming\Microsoft\Word\啟動：使用者主目錄（不含受信任的子資料夾）。

可信賴出版商管理和簽名內容

除了受信任的位置之外，Office 還允許使用以下概念： “值得信賴的編輯”發布者是指對軟體、巨集、ActiveX控製或加載項進行數位簽章的人或公司。將其標記為受信任狀態，即可告知Office它可以運行其程式碼。 不顯示警告.

在信任一位編輯之前，建議：

• 核實您的 特性 和聲譽。
• 檢查你的 認證 它仍然有效，沒有過期或被撤銷。
• 確保你真的想這麼做 該編輯簽署的所有文件 執行時不會發出警告。

如何將編輯者新增至受信任編輯者清單中

最簡單的 它從一個文件開始（例如， 帶有巨集的 Word 文檔 或包含由該發佈者簽署的巨集、ActiveX控製或加載項的Excel工作簿：

1. 在對應的 Office 應用程式中開啟該檔案。
2. 轉到選項卡 檔案 然後進入 信息.
3. 在該地區 安全警告， 按 啟用內容 進而 進階選項.
4.在窗口 Microsoft Office 安全性選項，選擇 請信任來自該出版商的所有文件。.

如果您願意，也可以啟用編輯器的活動內容。 僅限當前會話在同一對話方塊中選擇“啟用此會話的內容”，則在應用程式開啟時，該檔案將不受限制地運行，但編輯器不會永久添加到清單中。

如何查看或刪除受信任的編輯者

如果您願意的話 檢查您已標記為受​​信任的發布者。或者，如果您想要移除某個信任項，可以從信任中心操作：

1. 開啟 Office 應用程式並前往 檔案 > 選項.
2. 在左側欄中，選擇 信託中心 並單擊 信任中心設置.
3. 在側面板上，選擇 值得信賴的編輯.
4. 在清單中，選擇要刪除的編輯器，然後按 刪除.

如果你看到那個按鈕 刪除 如果它顯示為已停用狀態（灰色），則表示 Office 程式已停用。 它沒有以管理員權限運行。。然後：

1. 關閉 Office 應用程式。
2. 點擊 首頁 例如，輸入“Word”。
3. 右鍵單擊結果並選擇 以管理員身份運行.
4. 如果您的使用者帳戶沒有管理員權限，Windows 將提示您使用具有這些權限的帳戶提供憑證。 用戶帳號控制 (UAC)。
5. 以管理員權限開啟應用程式後，重複此程序以刪除編輯器。

實際範例：Excel 巨集、SharePoint 和 GPO

在安全措施嚴密的企業環境中，相當常見的情況是：您有 基於美國國防部安全技術指導原則 (DoD STIG) 的 Windows 10 群組策略物件 (GPO)這表示預設情況下，您無法在從網路下載的 Excel 檔案中執行巨集。

假設你需要使用有巨集的 Excel 工作簿， 下載 你想保護自己免受網路侵害，但又不想全域停用保護。一種方法是配置一個 SharePoint 資料夾 例如，在設備上同步：

• C:\Users\使用者名稱\公司名稱\網站 – 文件\常規\報告

然後，從 Excel GPO（使用者設定 > 管理範本 > Microsoft Excel 2016 > Excel 選項 > 信任中心 > 受信任位置）配置 “值得信賴的首選地點” 使用該路徑，勾選「允許子資料夾」。您甚至可以使用環境變數。 ％用戶名％ 如適用，請在路線上行駛。

然而，在許多情況下，即使路線看起來正確， 巨集功能仍未啟用。究竟發生了什麼事？

• 有可能存在更高層級的指令 阻止使用受信任的網路位置 （如果同步資料夾被視為網路資料夾，或巨集策略更加嚴格）。
• 可能存在 一項禁用所有受信任位置的策略因此，您的「可信位置 1」永遠不會被應用。
• 也可能是另一個 GPO 強制執行 阻止來自互聯網的宏 優先權高於可信任位置的配置。

在這些類型的環境中，為了使其正常運作，必須檢查所有已套用的策略（包括「停用所有受信任位置」和「允許網路上的受信任位置」），並驗證同步資料夾是否確實被識別。 有效的可信位置 適用於 Excel。

移除 Microsoft Access 中網路資料庫的安全性警告

Microsoft Access 2007、2010、2013 及更高版本包含以下機制： 阻止 VBA 程式碼自動執行 尤其是從網路資料夾開啟資料庫時，從不受信任的位置開啟檔案可能會帶來風險。因此，透過網路開啟 .mdb 或 .accdb 檔案時，通常會看到以下訊息：

“已發現潛在安全問題。警告：無法確定內容是否來自可信任來源。除非此內容對核心功能至關重要且您信任其來源，否則應停用此內容…”

常常會看到這樣的通知 當資料庫路徑未被標記為受信任路徑或策略阻止網路位置。

從信任中心設定接取網路位置

如果您使用 Access 完整版:

1. 開啟 Microsoft Access。
2. 前往 檔案 > 選項.
3. 在側邊選單中，選擇 信託中心 然後按 信任中心設置.
4. 勾選複選框 “允許網路上的受信任位置（不建議）” 能夠使用網路資料夾。
5. 點擊 新增位置.
6. 指出 共享資料夾路徑 在網路上（例如，\\server\folder\Access）。
7. 如果要包含子資料夾，請選取「此位置的子資料夾也受信任」。
8. 在「信任中心」和「選項」視窗中接受變更以套用變更。

從那一刻起，透過該路徑開啟的資料庫將不再顯示安全警告，並將被視為 可信內容啟用巨集和VBA程式碼。

使用登錄機碼（執行時間）為 Access 新增受信任位置

當你使用 Microsoft Access 執行階段您沒有存取信任中心介面的權限，因此如果您需要新增受信任位置，則必須透過編輯手動操作。 Windows註冊表這在自動化部署中也很有用。

一般步驟 聲音：

1. 使用以下命令開啟登錄編輯器 的Windows + R，寫道 註冊表編輯器 然後按“確定”。
2. 找到關鍵資訊：
HKEY_CURRENT_USER / Software / Microsoft / Office / 14.0 / Access / Security / 受信任的地點
（請記住， 14.0 （視情況而定取決於您安裝的 Office/Access 版本）。
3. 在「受信任位置」中，以滑鼠右鍵按一下右側面板的空白區域，然後選擇 新增>密碼.
4. 為新鍵指定一個型別名稱 地點X其中 X 為順序編號（例如，如果 Location0 和 Location1 已存在，則為 Location2）。
5. 選擇新建立的金鑰（LocationX）。在右側面板中，右鍵單擊並選擇 新 > 字串值.
6. 將此值稱為 途徑 並進行編輯，使其包含以下內容： 網路路由 您要標記為受信任的資料夾，例如：\\server\invoicing\access。
7. 如果您希望子資料夾也受信任，請在同一鍵中建立一個類型為的值。 DWORD（32位） 叫 允許子資料夾並將其賦值為 1.

關閉登錄編輯程式後，從該路徑啟動的 Access 資料庫將會開啟。 未顯示可能存在的安全問題的警告就像您從信任中心添加了資料夾一樣。

為了理解和妥善處理 受信任的位置、受信任的發布者和安全策略 Office 能夠協助您在工作效率和安全性之間取得平衡。透過定義特定路徑、仔細調整資料夾權限，並將這些選項與正確的憑證和巨集管理結合，您可以處理複雜的檔案（包含 VBA、加載項和控制項），同時最大限度地減少煩人的警告，並且不會讓任何下載的檔案在未經檢查的情況下執行程式碼。