此策略设置可控制指定的 2007 Office 应用程序的加载项是否必须由受信任发布者数字签署。
如果您启用此策略设置,指定的应用程序在加载每个加载项之前检查它的数字签名。如果某个加载项没有数字签名,或者签名不是来自受信任发布者,应用程序将禁用该加载项并通知用户。
如果您禁用或不配置此策略设置,2007 Office 应用程序在打开应用程序加载项之前不检查它们的数字签名。如果加载了危险加载项,它可能危害用户的计算机或危及数据安全。
启用此策略设置可能对依赖于未由受信任发布者签署的用户造成中断。这些用户将必须获取此类加载项的已签署版本,或者停止使用它们。
Microsoft 为 2007 Office 版本提供四个证书,您可以将它们添加到"受信任的发布者"列表。如果您要求所有加载项均由受信任发布者签署,必须将这些证书添加到"受信任的发布者"列表。如果您不将这些证书添加到"受信任的发布者"列表,并且要求所有加载项均由受信任发布者签署,用户在使用各种应用程序和应用程序功能时可能会看到消息栏通知和对话框通知。显示这些通知是因为某些应用程序使用 2007 Office 版本附带的内置加载项。如果未将这些加载项的证书添加到"受信任的发布者"列表,并且调用这些加载项,这些加载项将被禁用,并且提示用户启用它们。Microsoft 证书命名为 Mscert01.cer、Mscert02.cer、Mscert03.cer 和 Mscert04.cer,并且可以在 Microsoft 网站上找到。
2007 Office 版本在 Internet Explorer 受信任发布者存储中存储受信任发布者的证书。较早版本的 Office 将受信任发布者证书信息(特别是证书指纹)存储在特殊的 Office 受信任发布者存储中。2007 Office 版本仍从 Office 受信任发布者存储中读取受信任发布者证书信息,但它不向此存储写入信息。因此,如果您在以前版本的 Office 中创建了受信任发布者列表,并且您升级到 2007 Office 版本,您的受信任发布者列表仍将可识别。但是,您添加到该列表的任何受信任发布者证书将存储在 Internet Explorer 受信任发布者存储中。
有关受信任发布者的详细信息,请参阅以下文档:
*Microsoft Office Online 文章:"添加、删除或查看受信任发布者"(http://r.office.microsoft.com/r/rlidGroupPolicyTrustedPub?clid=zh-cn)
*Microsoft 知识库文章:"HOW TO:在 Windows Server 2003 中使用软件限制策略"(http://r.office.microsoft.com/r/rlidGroupPolicyTrustedPub2?clid=zh-cn)
*Microsoft TechNet 文章:"使用软件限制策略"(英文)(http://r.office.microsoft.com/r/rlidGroupPolicyTrustedPub3?clid=zh-cn)
*Microsoft TechNet 上的《Windows XP 安全指南》第 6 章:"Windows XP 客户端的软件限制策略"(英文)(http://r.office.microsoft.com/r/rlidGroupPolicyOfficeSecGuide?clid=zh-cn)
Registry Hive | HKEY_CURRENT_USER |
Registry Path | Software\Policies\Microsoft\Office\12.0\Publisher\Security |
Value Name | RequireAddinSig |
Value Type | REG_DWORD |
Enabled Value | 1 |
Disabled Value | 0 |