来自 Internet 和其他潜在不安全位置的文件可能包含病毒、病毒或其他类型的恶意软件,这些病毒可能会损害计算机和数据。 为了帮助保护你, Office应用程序防护(一个通过基于硬件的虚拟化与其余数据隔离的安全容器)中可能不安全的位置打开文件。 与受保护的视图不同, Office 在 Application Guard 中打开文件时,可以安全地读取、编辑、打印和保存这些文件,而无需在容器外部重新打开文件。
如果确信该文件是安全的,并且需要执行应用程序防护阻止的一些操作,可以选择从该文件中删除保护。
注意: 如果管理员 已启用"安全文档",则该文件将针对终结点服务的 Microsoft Defender 进行验证,以确定它在应用程序防护外部打开之前是否恶意。
应用程序防护与受保护的视图之间如何不同?
受保护的视图 是禁用大多数编辑函数的只读模式。 来自潜在不安全位置的文件以只读或受保护的视图打开。 使用“受保护的视图”,可以读取文件、查看和编辑其内容,同时降低风险。
应用程序防护 是一种受限模式,允许对不受信任的文档执行有限的编辑和打印,同时将计算机风险最小化。 Office 在应用程序防护中打开来自潜在不安全位置的文件,应用程序防护是一个通过基于硬件的虚拟化与设备隔离的安全容器。 Office 在 Application Guard 中打开文件时,可以安全地读取、编辑、打印和保存这些文件,而无需在容器外部重新打开文件。
与受保护的视图相比,应用程序防护为用户提供了增强的安全性和更高的工作效率。
安全性
应用程序防护是基于虚拟化的沙盒,用于隔离可能遇到的不受信任的文档。 它提供的技术与为 Azure 提供桌面支持的技术相同。
不受信任的文档在独立于主机Hyper-V的容器中打开。 这种容器隔离意味着,如果文档是恶意文档,主机电脑会受到保护,攻击者无法访问企业数据。 例如,此方法使隔离容器匿名,因此攻击者无法访问员工的企业凭据。
生产力
除了能够读取安全容器中的文档外,现在可以使用打印、批注和审阅、轻型编辑和保存等功能,同时在 Application Guard 容器中保留不受信任的文档。
如果遇到来自非恶意来源的文档,可以继续高效工作,而无需担心将设备置于风险之中。
如果遇到恶意文档,它会在应用程序防护中安全隔离,确保系统的其余部分的安全。
如何启用应用程序防护?
应用程序防护适用于拥有 Microsoft 365 E5 或 Microsoft 365 E5 移动 + 安全性许可证 的组织。 这些组织中的用户必须在当前频道或每月企业频道上为企业使用 Microsoft 365 应用。
文件何时在应用程序防护中打开?
如果启用了 应用程序防护, 当前在"受保护的视图"中打开的文件将在应用程序防护中打开。 这其中包括:
-
源自 Internet 的文件: 这是指从您设备上不是本地 Intranet 或受信任的站点域的域下载的文件、作为组织外部发件人的电子邮件附件接收的文件、从其他类型的 Internet 消息传送或共享服务接收的文件,或者从组织外部的 OneDrive 或 SharePoint 位置打开的文件。
-
位于潜在不安全位置的文件: 这是指被视为不安全的计算机上的文件夹或网络,例如 Internet 临时文件夹或者您的管理员分配的其他文件夹。
注意: 从网络位置打开的文件(包括组织的 OneDrive)在应用程序防护Read-Only打开。 可以保存此类文件的副本以继续使用这些文件,或者如果信任该文件的源,可以选择删除保护,如下所述。
-
文件块阻止的文件:文件块可防止打开过时的文件类型,导致文件在"受保护的视图"中打开,并禁用"保存和打开"功能。 详细了解文件块。
如何从文件中删除或还原保护?
警告: 仅在你确信文件及其来源可信时,才这样做。
若要执行应用程序防护不允许的操作,可以从文件中删除应用程序防护保护。 删除保护后,该文件将成为 受信任的文档。
若要删除应用程序防护保护,请转到"文件>信息",然后选择"删除保护"。
如果无法执行,则可能是组织部署了阻止从文件中删除应用程序防护保护的策略。
还原保护
转到"文件>选项">信任>信任中心设置">"受信任的文档",然后选择"清除所有受信任的文档",以便它们不再受信任。
请注意,这会将保护还原到已从此设备上删除的所有文档。
如何更改应用程序防护设置
重要: 建议在更改应用程序防护的设置之前与 IT 管理员联系。
-
转到"文件>选项"
-
选择"信任中心>信任中心设置">应用程序防护"。
-
进行选择,然后选择"确定 " 以保存更改并退出"信任中心设置"。
应用程序防护设置
-
为源自 Internet 的文件启用应用程序防护 - Internet 被视为不安全的位置,因为它是恶意文件的最常见来源。
-
为可能不安全的 位置中的文件启用应用程序防护 - 这是指计算机或网络上被视为不安全的文件夹,例如临时 Internet 文件夹或 IT 管理员选择的其他文件夹。
-
启用 Outlook 附件的应用程序防护 - 电子邮件中的附件是恶意文件的另一个常见来源。
Excel 还有两个设置:
-
始终在应用程序防护Text-Based打开不 (.csv、.dif 和 .sylk) 文件 -如果已启用,则始终在应用程序防护中打开从不受信任的位置打开的基于文本的文件。 如果禁用或不配置此策略设置,则从不受信任位置打开的基于文本的文件将正常打开。
-
始终在 Application Guard (.dbf) 打开不受信任的数据库文件 - 如果已启用,则始终在应用程序防护中打开从不受信任位置打开的数据库文件。 如果禁用或不配置此设置,则从不受信任位置打开的数据库文件将正常打开。
管理员还可通过组策略或 Office 云策略服务 配置所有这些 设置。
在应用程序防护中无法执行哪些操作?
为了安全,某些功能在应用程序防护中运行时不适用于 Office 应用程序。 这其中包括:
-
访问用户标识。
-
访问文件系统上的任意位置。
-
访问按网络隔离策略分类为企业安全边界内的网络 (例如公司 Intranet 或) "企业"域。
-
在应用程序防护中无法打开受信息权限管理 (IRM) 的 CSV、HTML 和文件。 如果管理员 为组织配置 了"不支持的文件类型"策略设置,则能够在"受保护的视图"中打开这些文件。
详细了解如何 为 Office 策略配置应用程序防护。 -
目前不支持将 RTF (格式) 内容或图像粘贴到使用应用程序防护打开的 Office 文档中。
Office 中可能依赖于这些功能的功能不可用。 一些示例包括共享文件、捕获屏幕截图、从文件系统中的位置插入图片、添加与数据源的连接等。
如何Add-Ins宏?
除了已禁用的内置函数外,应用程序防护中还禁用了扩展 Office 功能的所有功能,包括 COM、VSTO、Web 加载项和宏。
能否将 Application Guard 与屏幕阅读器一同使用?
可以通过使用 Microsoft UI 自动化和 UIA (UIA) 辅助功能工具(例如 Microsoft 讲述人)访问在应用程序防护中 打开的文件。
另请参阅
防范网络钓鱼https://support.microsoft.com/help/4033787