Добавление, удаление и просмотр надежного издателя
В этой статье описано, что такое надежный издатель, приведены инструкции по включению содержимого, полученного от издателя, и указано, почему безопаснее использовать программные проекты от надежных издателей. Кроме того, приведены сведения о том, как добавлять, просматривать и удалять надежных издателей с помощью списка «Надежные издатели» в центре управления безопасностью.
Выберите нужное действие
Сведения о надежных издателей
Издатель — это человек или компания (обычно разработчик программного обеспечения), которые опубликовали код, например макрос, элемент ActiveX или надстройку. Прежде чем можно считать издателя надежным, необходимо узнать, кем он является и действительны ли его учетные данные. Надежные издатели должны быть известны и соответствовать следующим критериям:
Их код должен быть подписан цифровой подписью.
Цифровая подпись должна быть действительный.
Цифровая подпись должна быть действующей (не просроченной).
сертификат, связанный с цифровой подписью, должен быть выпущен известным центром сертификации (ЦС).
При попытке запустить код, не соответствующий каким-либо из этих требований, Office отключает его и выводит панель сообщений с уведомлением о потенциально небезопасном коде.
Важно: Если при открытии файла от определенного издателя появляется предупреждение о том, что цифровая подпись в нем отсутствует либо является недействительной, не включайте активное содержимое и не добавляйте издателя в число надежных до тех пор, пока не появится уверенность в том, что код получен из надежного источника.
Просмотр дополнительных сведений о предупреждении системы безопасности и издателе
Когда Office выводит панель сообщений с предупреждением о потенциально небезопасном коде в файле, вы можете просмотреть дополнительные сведения о коде и издателе, перед тем как решать, доверяете ли вы им.
Важно: Если появляется предупреждение о том, что цифровая подпись отсутствует либо является недействительной, не включайте активное содержимое и не добавляйте издателя в число надежных до тех пор, пока не появится уверенность в том, что код получен из надежного источника.
Просмотр подробных сведений о коде и издателе после вывода предупреждения системы безопасности
Откройте вкладку Файл.
В области Предупреждение системы безопасности щелкните Включить содержимое > Дополнительные параметры.
В окне «Параметры безопасности Microsoft Office» выводятся дополнительные сведения о причине предупреждения системы безопасности, включая информацию об издателе, которая указана в его программе.
Включение активного содержимого от издателя при появлении панели сообщений
При получении нового активного содержимого (например, подписанного макроса или надстройки) в файле от определенного издателя появляется панель сообщений со значком щита, предупреждением и кнопкой Включить содержимое. Если вы знаете, что данный издатель является надежным, можно включить активное содержимое. Файл станет надежным документом , но его издатель при этом не считается надежным. Дополнительные сведения о том, как сделать издателя надежным, см. в разделе Добавление надежного издателя при появлении предупреждения системы безопасности далее в этой статье.
Включение активного содержимого в файле
Нажмите на панели сообщений кнопку Включить содержимое.
Файл откроется и будет считаться надежным документом.
Добавление надежного издателя при появлении предупреждения системы безопасности
Если в коде, заблокированном Office, указан издатель и вы уверены, что ему можно доверять, вы можете добавить издателя в список надежных издателей при просмотре дополнительных сведений о предупреждении системы безопасности.
Добавление издателя в список надежных издателей после вывода предупреждения системы безопасности
Откройте файл, полученный от нового издателя.
Откройте вкладку Файл.
В области Предупреждение системы безопасности щелкните Включить содержимое > Дополнительные параметры.
В окне Параметры безопасности Microsoft Office щелкните Доверять всем документам от этого издателя.
Включение активного содержимого от издателя на один раз при появлении предупреждения системы безопасности
Чтобы включить полученное от издателя активное содержимое на один раз при появлении предупреждения системы безопасности, откройте диалоговое окно Параметры безопасности Microsoft Office, выполнив описанные выше действия. В этом окне выберите параметр Включить содержимое для этого сеанса для каждого из элементов активного содержимого в списке.
Добавление надежного издателя из центра управления безопасностью
Если известно, что активное содержимое (макросы, элементы ActiveX, подключения к данным и т. д.) от нового издателя является надежным, можно добавить этого издателя в список надежных в центре управления безопасностью.
Добавление издателя в список надежных издателей из центра управления безопасностью
Откройте файл, полученный от нового издателя.
Выберите Файл > Параметры.
Нажмите Центр управления безопасностью > Параметры центра управления безопасностью > Надежные издатели.
Выберите сертификат издателя из списка и нажмите кнопку ОК.
Просмотр или удаление надежного издателя
Вы можете просмотреть список надежных издателей в Office и при необходимости удалить из него издателей, выполнив указанные ниже действия.
Просмотр списка надежных издателей и удаление издателей
Откройте файл, созданный издателем.
Выберите Файл > Параметры.
Нажмите Центр управления безопасностью > Параметры центра управления безопасностью > Надежные издатели.
В списке Надежные издатели выберите издателя, которого необходимо удалить и выберите команду Удалить.
Примечание: Если вы не видите кнопку Удалить в списке Надежные издатели, программа Office запущена без прав администратора.
Если Office не предлагает вам команду для удаления издателя, программа Office запущена без прав администратора. Чтобы удалить издателя, необходимо перезапустить программу Office и указать учетные данные администратора. Если на компьютере установлена система Windows 7, выполните действия для Windows 7, указанные далее в этом разделе.
Запуск программы Office с учетными данными администратора
Проведите пальцем от правого края экрана и нажмите Поиск. Если вы используете мышь, наведите указатель на правый верхний угол экрана, дождитесь появления панели чудо-кнопок, а затем щелкните Поиск.
Введите имя программы Office, например Word. В окне результатов найдите программу Office, а затем нажмите и удерживайте его или щелкните его правой кнопкой мыши. Отпустите, чтобы отобразить меню, и выберите команду Запуск от имени администратора.
Если вы вошли на компьютер, не используя учетную запись с правами администратора, Windows предложит указать имя и пароль учетной записи с такими правами в окне Контроль учетных записей.
Завершив изменение списка надежных издателей, закройте программу Office.
Выполнение программ Office с правами администратора менее безопасно, чем с правами обычного пользователя.
Если на компьютере установлена система Windows 7, используйте следующую процедуру.
Запуск программы Office с учетными данными администратора в Windows 7
Нажмите кнопку Пуск и выберите пункты Все программы > Microsoft Office.
Щелкните правой кнопкой мыши программу Office, например Word.
Выберите пункт Запуск от имени администратора.
Если вы вошли на компьютер, не используя учетную запись с правами администратора, Windows предложит указать имя и пароль учетной записи с такими правами в окне Контроль учетных записей.
Завершив изменение списка надежных издателей, закройте программу Office.
Выполнение программ Office с правами администратора менее безопасно, чем с правами обычного пользователя.
Как добавить сертификат Центра Сертификации (CA) в доверенные в Windows
Как добавить корневой сертификат в доверенные в Windows на уровне системы
1. Мастер импорта сертификатов
Если сертификат имеет расширение .crt, то его достаточно запустить двойным кликом:
В открывшемся окне нажмите кнопку «Установить сертификат»:
Выберите один из вариантов:
- «Текущий пользователь» — сертификат будет иметь эффект только для одного пользователя
- «Локальный компьютер» — сертификат будет иметь эффект для всех пользователей данного компьютера
Выберите «Пометить все сертификаты в следующие хранилища»:
Нажмите кнопку «Обзор» и выберите «Доверенные корневые центры сертификации»:
Нажмите «Далее»:
Нажмите «Готово»:
Сообщение об успешном импорте:
Теперь сертификат будет доступен в Менеджере Сертификатов:
2. Добавление root CA сертификата в Менеджере Сертификатов
Чтобы открыть Менеджер Сертификатов нажмите Win+r, введите в открывшееся поле и нажмите Enter:
Кликните правой кнопкой мыши по пункту «Доверенные корневые центры сертификации», выберите пункт «Все задачи» → «Импорт»:
Нажмите «Далее»:
Укажите папку и имя файла:
Нажмите «Далее»:
Теперь действительно всё готово:
Только что импортированный сертификат в Менеджере Сертификатов:
Как добавить корневой сертификат в доверенные в Windows в веб браузеры
Chrome, Chromium, Opera и сделанные на их основе веб браузеры используют общесистемные корневые CA сертификаты. То есть для добавления новых доверенных CA достаточно добавить их в систему, как это показано выше.
Firefox использует исключительно своё хранилище. Для добавления корневых сертификатов CA в Firefox нужно сделать так:
- В настройках Firefox: Приватность и Защита → Сертификаты → Просмотр сертификатов → Центры сертификации:
Нажмите кнопку «Импортировать»:
Выберите файл с сертификатом.
Укажите, какие полномочия вы даёте этому сертификату:
Для глубокого понимания OpenSSL смотрите также полное руководство: «OpenSSL: принципы работы, создание сертификатов, аудит».
Работа со списком надежных издателей
Сертификаты доверия (certificates of trust), создаваемые и используемые с помощью технологии Microsoft® Authenticode®, помогают обеспечить безопасную и надежную работу приложений сторонних разработчиков. Список Надежные издатели (Trusted Publishers), называвшийся в предыдущих версиях Office Надежные источники (Trusted Sources), предоставляет средства каталогизации, а также средства, позволяющие проследить путь до источника, являющегося автором приложения. Помещение приложения в список надежных издателей означает, что приложение было тщательно проверено на предмет безопасности его использования. С помощью списка надежных издателей пользователи могут разрешать или запрещать запуск приложений, написанных теми разработчиками, которые могут быть идентифицированы.
Установив уровень безопасности для макросов Низкая (Low), администраторы могут отключить использование списка надежных источников. Тем не менее, рекомендуется не делать этого, а напротив, использовать список надежных источников по умолчанию. Когда оценка содержимого списка надежных источников включена, все исполняемые файлы (надстройки, апплеты, макросы, EXE-файлы и т. д.) автоматически запускаются на компьютере пользователя только в том случае, если соответствующий сертификат доверия был принят и хранится в пользовательском разделе системного реестра.
Механизм работы при использовании списка надежных издателей
Для работы со списком надежных источников необходимо использовать специальную цифровую подпись, которой подписываются исполняемые файлы. Цифровая подпись содержит сертификат, с помощью которого можно определить, из какого источника был получен файл.
Поскольку получение цифровой подписи для приложения требует финансовых и временных затрат, такая подпись в некоторой степени гарантирует безопасность использования приложения. Кроме того, цифровая подпись является свидетельством того, что код был получен именно из того источника, который указан в сертификате подписи, и не был подделан после его подписывания владельцами сертификата.
Владельцы цифровой подписи должны предоставить доказательства своей подлинности центру сертификации, который выпускает сертификат доверия для этой подписи. Таким образом, цифровая подпись подтверждает, что данные или код были получены из заявленного источника и предоставляет средства, позволяющие определить разработчика приложения или владельца данных.
Принятие сертификатов доверия в приложениях Office
Если пользователь пытается открыть документ, содержащий исполняемый файл с цифровой подписью, а уровень безопасности для макросов имеет значение Высокая (High) или Средняя (Medium), пользователю будет предложено добавить источник сертификата в список надежных издателей, если ссылка на сертификат еще не содержится в этом списке. Если источник, указанный в сертификате, определен как надежный, то содержащиеся во всех последующих документах исполняемые файлы, подписанные тем же сертификатом, будут запускаться автоматически при установленном уровне безопасности Высокая, Средняя или Низкая. Тем не менее, если уровень безопасности для макросов имеет значение Очень высокая (Very High), будут запускаться только файлы, установленные в надежных расположениях на локальном компьютере пользователя.
Во время установки Microsoft Office существует возможность отметить все установленные надстройки и шаблоны как доверенные, даже если они не имеют цифровой подписи. Это относится как к файлам, устанавливающимся вместе с Office, так и к файлам, которые уже содержатся в папке шаблонов Office.
Для добавления или удаления сертификатов из списка надежных издателей в приложениях Word, Access, Excel, Outlook, PowerPoint и Visio выполните следующие действия:
- Выберите пункт меню Сервис — Макрос — Безопасность (Tools — Macro — Security).
- Для работы со списком надежных издателей прейдите на вкладку Надежные издатели (Trust Publishers).
- Для того чтобы отметить все установленные на компьютере надстройки и шаблоны как доверенные, установите флажок Доверять всем установленным надстройкам и шаблонам (Trust all installed add-ins and templates).
Добавление надежных издателей
Когда пользователи впервые запускают подписанный исполняемый файл (апплет, программу, макрос и т. д.) из приложения Office, они получают запрос на добавление сертификата этого файла в локальное хранилище надежных издателей. Если пользователи принимают сертификат, файл считается надежным. Запрос на добавление сертификата в список надежных издателей выводится при установленном уровне безопасности для макросов Средняя или Высокая.
Администраторы имеют возможность добавлять сертификаты Microsoft или другие цифровые сертификаты в список доверенных издателей, не требуя никаких дополнительных подтверждений со стороны пользователей. Для этого на странице Specify Office Security Settings мастера Custom Installation Wizard или Custom Maintenance Wizard им необходимо добавить требуемые сертификаты в список Add the following digital certificates to the list of Trusted Publishers.
Если на компьютерах всех пользователей организации должен поддерживаться заранее определенный список сертификатов, администраторы с помощью системных политик могут запретить пользователям добавлять сертификаты в список доверенных издателей. Для того чтобы запретить пользователям производить любые действия с хранилищем доверенных издателей, необходимо в шаблоне политики Office (Office11.adm) включить для каждого приложения политику Microsoft Office 2003 | Security Settings (например, Word: Trust all installed add-ins and templates). В отличие от задания параметров безопасности с помощью программ Custom Installation Wizard или Custom Maintenance Wizard, использование политик обеспечивает принудительное применение административных настроек на компьютере пользователя при входе в сеть (в зависимости от способа, использовавшегося для распространения шаблона политик). Таким образом, любые изменения в приложениях, произведенные пользователем во время предыдущего сеанса работы и попадающие под действия системных политик, не будут сохранены.
Если Microsoft Office 2003 установлен на компьютере под управлением ОС Microsoft Windows® 2000, то пользователи могут редактировать список надежных издателей с помощью пользовательского интерфейса приложения при условии, что список надежных издателей хранится в разделе HKCU системного реестра. Если же список надежных издателей хранится в разделе HKLM, пользователи не могут добавлять записи в список надежных издателей, поскольку параметры компьютера имеют более высокий приоритет, чем пользовательские параметры.
Если Microsoft Office 2003 установлен на компьютере под управлением ОС Microsoft Windows XP или более новой ОС, принятые сертификаты располагаются в хранилище надежных издателей Windows. Также, в этих операционных системах диалоговое окно, отображающее источники сертификатов, выглядит иначе, чем в Windows 2000.
Примечание. Метод распространения политики (такой как применение REG-файла, использование Active Directory® или локальный вход в Windows NT) играет значимую роль в эффективности и своевременности ее применения.
Распространение списка надежных издателей, отличных от Microsoft
Вы можете распространять на компьютеры пользователей список надежных издателей, отличных от Microsoft, путем создания и использования файла сертификата (CER-файла). В состав Office включены три CER-файла, которые содержат информацию о трех сертификатах Microsoft, необходимых для приложений Office.
Инструментарий. CER-файлы Microsoft находятся в папке «%ProgramFiles%\OrkTools\Ork11\Lists and Samples\Office Information», которая создается в процессе установки набора инструментов Office 2003 Editions Resource Kit (ork.exe). Вы можете загрузить файл ork.exe в разделе Downloads на веб-странице Office 2003 Resource Kit.
Хотя приложения Office установлены с сертификатами Microsoft, по умолчанию эти сертификаты не являются доверенными. Для того чтобы сделать эти сертификаты доверенными, при развертывании Office администратор должен указать их на странице Specify Office Security Settings мастера Custom Installation Wizard.
Для приложений, не включенных в состав Microsoft Office, CER-файл можно получить двумя способами:
- Путем экспорта содержимого сертификата из подписанного DLL-файла в CER-файл.
Если Вы не располагаете установленной копией Office, в которой сертификат уже принят и считается доверенным, этот способ является единственным способом получения информации о сертификате. Необходимые действия для выполнения этой процедуры описаны ниже.
- Путем экспорта доверенного сертификата из хранилища надежных издателей в CER-файл.
Если Вы располагаете установленной копией Office, в которой сертификат стороннего производителя программного обеспечения уже принят и помещен в хранилище надежных издателей, Вы можете получить информацию о сертификате в диалоговом окне Безопасность (Security) любого из приложений Office. Необходимые действия для выполнения этой процедуры описаны ниже.
Экспорт содержимого сертификата из подписанного DLL-файла в CER-файл
- Откройте проводник Windows.
- Найдите подписанный DLL–файл, содержащий сертификат, который Вы хотите распространить.
- Щелкните правой кнопкой мыши на DLL-файле.
- В контекстном меню выберите пункт Свойства (Properties).
- В открывшемся диалоговом окне перейдите на вкладку Цифровые подписи (Digital Signatures), выберите сертификат из списка Список подписей (Signatures list) и нажмите кнопку Сведения (Details).
- В диалоговом окне Состав цифровой подписи (Digital Signatures Detail) нажмите кнопку Просмотр сертификата (View certificate).
- В диалоговом окне Сертификат (Certificate) перейдите на вкладку Состав (Details).
- Нажмите кнопку Копировать в файл (Copy to File).
- В открывшемся мастере экспорта сертификатов (Certificate Export Wizard) нажмите кнопку Далее (Next), чтобы перейти на страницу Формат экспортируемого файла (Export File Format).
- Выберите формат Файлы в DER-кодировке X.509 (.CER) (DER encoded binary X.509 (.CER)) и нажмите кнопку Далее (Next).
- На странице Имя файла экспорта (File to Export) укажите имя CER-файла и папку, в которой Вы хотите сохранить его, после чего нажмите кнопку Далее (Next).
- На последней странице мастера нажмите кнопку Готово (Finish) для завершения экспорта.
Экспорт доверенного сертификата из хранилища надежных издателей в CER-файл
- Запустите одно из следующих приложений Microsoft Office: Word, Excel, PowerPoint®, Outlook® или Access. В запущенном приложении откройте меню Сервис (Tools).
- Перейдите в подменю Макрос (Macro) и выберите пункт Безопасность (Security).
- Перейдите на вкладку Надежные издатели (Trusted Publishers) и выберите сертификат, который Вы хотите распространить.
- Нажмите кнопку Просмотреть (View).
- В диалоговом окне Сертификат (Certificate) перейдите на вкладку Состав (Details).
- Нажмите кнопку Копировать в файл (Copy to File).
- В открывшемся мастере экспорта сертификатов (Certificate Export Wizard) нажмите кнопку Далее (Next), чтобы перейти на страницу Формат экспортируемого файла (Export File Format).
- Выберите формат Файлы в DER-кодировке X.509 (.CER) (DER encoded binary X.509 (.CER)) и нажмите кнопку Далее (Next).
- На странице Имя файла экспорта (File to Export) укажите имя CER-файла и папку, в которой Вы хотите сохранить его, после чего нажмите кнопку Далее (Next).
- На последней странице мастера нажмите кнопку Готово (Finish) для завершения экспорта.
Распространение CER-файлов
Для распространения созданных CER-файлов Вы можете использовать:
- Службу каталогов Active Directory (можно использовать в любой момент времени)
- Мастер Custom Installation Wizard (только при первоначальном развертывании Office)
- Мастер Custom Maintenance Wizard (только после завершения развертывания Office)
Для распространения CER-файлов среди пользователей службы каталогов Active Directory существуют различные методы, зависящие от способа развертывания Office в среде Active Directory. Для получения дополнительной информации о службе каталогов Active Directory посетите веб-узел Windows 2000 Advanced Server.
Импорт CER-файла в файл преобразования (*.MST) или в файл настройки сопровождения (*.CMW)
- Запустите мастер Custom Installation Wizard или Custom Maintenance Wizard.
- Откройте нужный MSI-файл и введите имя файла преобразования или файла настройки сопровождения.
- На странице Specify Office Security Settings нажмите кнопку Add.
- В диалоговом окне найдите созданный Вами на предыдущем этапе CER-файл, выберите его и нажмите кнопку Add (или просто дважды щелкните на этом файле мышью).
Вышеописанная процедура выполняет импорт CER-файла в файл преобразования или в файл настройки сопровождения, который будет включен в состав новой или обновленной установки Office. Во время следующей установки Office вся необходимая информация будет размещена в системном реестре. Как только пользователь получит CER-файл сертификата, он сможет запускать все исполняемые файлы, подписанные этим сертификатом; при этом приложения не будут блокироваться, а также не потребуется никаких дополнительных подтверждений со стороны пользователей.