使用 Office 云策略服务增强 Office 应用安全性

了解 Microsoft 安全基线

多年前，微软因设置过多而缺乏对客户的指导而受到批评。这个问题可以追溯到 Windows 资源工具包时代——大量针对 BackOffice 应用程序的印刷文档。随着时间的推移，微软提高了其文档质量，而国家安全局和国家标准与技术研究所等组织开始制定自己的配置建议，例如美国国防部的 STIG（安全技术实施指南）。

微软的回应是创建组策略模板，简化了跨企业域应用一致设置的过程。然而，这些模板对于大多数企业环境来说过于严格。因此，微软开发了自己的基准设置，以适应更广泛的使用。 以下是当前针对 Windows 的 Microsoft 基准设置.

基线的挑战

主要挑战不在于基线本身，而在于其适用性。并非每个设备都已加入域或本地 Active Directory。组策略对象对个人设备或加入 Entra ID 域的设备无效。为了解决这个问题，微软推出了 Office 云策略服务 (OCPS)。

OCPS 允许 Office 365 管理员将策略推送到任何运行 Office 并连接到其租户的设备。虽然它无法控制屏幕锁定时间或密码要求等设置（您需要 Intune 或其他设备管理解决方案才能实现），但它可确保在 Office 应用程序中一致地应用策略。

使用 OCPS 实现基线

好消息：您可以使用 OCPS 为 Office 应用程序应用推荐的基准安全策略，这些策略可免费使用您的 E3 许可证。坏消息：这些设置没有分组，使得应用程序有些繁琐。但是，设置基准策略可以显著增强 Office 应用程序的安全性。

创建新的租户政策

OCPS 支持多种策略，优先考虑特定群体并确定其范围。以下是如何设置租户范围的策略：

1. 登录到 配置办公室 使用具有全局管理员或 Office Apps 管理员权限的帐户。
2. 在左侧导航栏上导航至定制 > 策略管理。
3. 单击“创建”以启动新策略，提供名称和描述，然后单击“下一步”。
4. 确保在范围页面上选择了“此策略配置适用于所有用户”，然后单击“下一步”。

在“配置设置”页面上，通过单击“安全基线”枢轴来过滤您的选择，显示 Office 客户端安全基线中的 135 多个策略，其中大多数显示为“未配置”。

策略配置状态

每个 OCPS 策略设置可以是：

• 未配置
• 启用
• 残疾人

基准设置包括“Microsoft 推荐基准”选项，应用 Microsoft 推荐的配置。或者，您可以手动配置设置。

推荐的安全设置

有超过 135 种设置，选择合适的设置可能很困难。请关注以下关键领域：

• 限制文件类型和来源。从“阻止宏在来自互联网的 Office 文件中运行”开始。
• 在各个应用程序中一致地应用设置。策略通常适用于特定应用程序。
• 在全面部署之前测试设置以预测用户的影响。

由于 OCPS 是免费的，因此花时间配置这些设置对于增强安全性是值得的。