在上一篇中，我们已经讲述了Office 2007中的3项安全防护特性：文档加密、限制格式和编辑以及数字签名。在这篇文章中，我们将一起看看Office 2007中值得关注的另外3项安全功能：信息权限管理（IRM）、使用文档检查对文档中的个人信息进行检查以及信任中心的使用。

信息权限管理（IRM）
   
Office 2007中的Word、Excel、PowerPoint和Outlook中，都内置了信息权限管理（IRM）。IRM是通过Windows权限管理服务器（RMS）来发挥作用的，它能够让你在发送出文档和邮件之后还能够控制它们的状态。它的诉求是防止接收者将电子邮件中的敏感信息转发、复制，或者是对其进行编辑、拷贝、打印，以及将一些文档、工作表或幻灯片的隐私内容自行储存。你甚至还可以在受到IRM保护的文件中对其设置失效日期，这样一来，在设定的日期过后，接收者就无法查看或使用它们了。

工作原理

RMS是基于数字证书以及公钥加密技术来进行保护的。如果你所在的组织部署了RMS，你就能从RMS服务器上获得一个RMS用户帐户证书。此外，机器证书必须签发到你创建或打开受保护内容的计算机上。这样一来，当你或其他用户发送了受保护的文件时，服务器就会传递一个发布许可，其中包含了哪些人能够访问这个文件以及能够对这个文件进行怎样的操作的信息。当你或其他人想要打开收到的受保护文件时，服务器就会发出一个使用许可。要知道更多关于IRM和RMS工作的细节，大家可以查看微软官方网站上的RMS技术参考。

通过IRM你能够做到和不能做到的

IRM/RMS能够让你对每个文档、每个用户或每个群组设置许可。活动目录则要求对群组分派权限管理许可。权限管理许可能够完全阻断其他的用户访问文件，但在此还有其它方法能够使NTFS许可、EFS加密更加完美。而IRM/RMS的真正价值所在则是，你可以通过设置许可允许他人查看，却不让他们做出以下操作：

◆拷贝文件或文件中的任意部分。
◆将文件另存到他们的硬盘或其它介质中。
◆编辑文件。
◆打印文件。
◆转发邮件。
◆将内容进行传真。
◆在文件中进行剪切或粘贴操作。
◆使用Print Screen键对内容进行抓图式的拷贝。

这样就让你的文件接收者一般不会在偶然的情况下将文件内容与他人共享。然而，这并不是完全不可能的事。要是有心的人还是能够围绕IRM找到一些方法。例如，有的人可能会安装一个第三方的抓图软件，例如SnagIt，接着将文件中的内容抓取成图像文件，甚至也可以使用数码相机或传统相机对屏幕进行拍摄。另外，IRM无法阻止键入字记录器在它创建的时候就将受保护文档的内容进行记录。

在Office 2007中使用IRM

要创建一个受保护的文件，我们需要遵循以下的方法：

◆一个可用RMS的应用程序。Office 2007 Prfessional Plus和Enterprise版本中的Word、Excel、PowerPoint和Outlook都是完全能够使用RMS的。

◆RMS客户端软件。如果你在Windows Vista上运行Office 2007，那么权限管理客户端就是内置在其中的。如果你使用的是Windows XP或者是Windows 2000，那么你就必须自行安装RMS客户端软件。你可以在微软的下载中心下载到为x86计算机而设的RMS客户端Service Pack 2。如果你有旧版的Windows RMS客户端安装在系统中，那么旧的版本就会被替换掉。对于那些运行着Windows Server 2003基于Itanium的64位计算机或者是64位Windows XP Professional（Itanium）计算机来说，则应该下载IA64版的RMS客户端。

要查看受保护的文件，你可以使用上述的可用RMS的应用程序，或者你也可以使用：

◆Microsoft Office 2007 标准版的应用程序。
◆Internet Explorer 5.01、5.5或者是6.0，再加上权限管理附件。
◆Internet Explorer 7.0的XP检查。
◆Windows Mobile 6中的Mobile Office。

你还可以用通过微软Windows数字权限管理服务软件开发套件开发出的应用程序来查看受保护的内容。

如何用IRM保护Outlook中的电子邮件

要对Outlook 2007中的电子邮件应用IRM权限，请按以下步骤操作：

1、在Outlook中创建出电子邮件。
2、在邮件窗口的左上角，点击Office按钮。
3、选择“权限>不可转发”，如图1所示。
4、像平时一样发送邮件。

图1 你可以在Outlook 2007中对电子邮件设置权限

在权限设置完毕之后，一个提示信息就会出现在邮件顶部的消息栏中，告诉你接收者无法将其转发、打印或是拷贝邮件中的内容，如图2所示。

图2 权限设置应用之后，在邮件顶部就会出现提示

如果你将Word、Excel或是PowerPoint 2007的文件作为附件添加到邮件中，它们也会应用你对邮件本身所设置的权限，除非这些文件在那些Office程序中创建时就已经设置过IRM许可。在这种情况下，它就会保留它之前所设置的权限设置。

如何用IRM保护Word、Excel或PowerPoint的文件

要用IRM来保护Word文档、Excel工作表或是PowerPoint的文件，可按照以下操作步骤进行：

1、将文件保存。
2、点击Office按钮。
3、点击“准备>设置权限”，接着选择“限制访问”，如图3所示。

图3 你可以使用“准备”菜单将IRM权限设置应用到Word文档中

4、在“权限”对话框中，将“限制对此文档的权限”钩选框钩选中，如图4所示。
   

图4 钩选中限制权限对话框并输入可对你的文档阅读和修改的用户邮件地址

5、在“读取”和“更改”区域，你可以输入你分别允许对这个文档读取和更改的用户的电子邮件地址。
   
6、点击“其他选项”按钮。
   
如图5所示，你可以对一些附加的权限进行选择，包括文档的到期日期、打印内容是否允许具有读取权限的用户复制内容以及是否允许以编程方式访问内容。另外，你还可以提供你的电子邮件地址，中央用户就可以向你请求附加的权限或者是通过连线验证用户权限。你可以将这些限制权限设置为所有文档、表格、幻灯片的设置默认值。你还可以通过点击用户名旁的“访问级别”下拉菜单来为每个不同用户进行权限选择，分别有读取、更改和完全控制。

图5 你可以选择更多选项，例如设置到期日期或是允许用户复制或打印内容

7、要应用这些设置，则点击“确定”按钮。一旦你设置了权限，一个提示就会出现在文档顶部的消息栏中，告诉你此文档的访问受到了限制，如图6所示。

图6 权限设置应用之后，会有提示出现在消息栏中

检查文档中的个人信息

隐藏在文档中的个人信息可能会存在安全隐患。Office文档中所包含在文档属性中的元数据可能会揭示出关于作者、你的组织或是文档自身一些在文档内容中所不可见到的信息详情。你也许不希望将这些中所有的信息与每个获得这份文档拷贝的人进行共享。

隐藏信息的类型

在一个Office 2007的文档中，可能包含有的隐藏信息类型包括：

◆元数据。它由文档属性所组成，例如作者、主题、最近保存此文档的人以及文档创建的日期。它还能够包括电子邮件地址、文件路径等信息。

◆隐藏的文本、行、列、工作表以及不可见的内容。格式化了的文本可能不会显示在文档中，但你可以通过文档检查来对其进行查看，而文档的接收者当然也可以。在Excel中，行、列甚至整个工作表都能够被隐藏起来。PowerPoint幻灯片以及Excel中的工作簿中不可见的格式化对象也不会直接地显示出来。

◆批注、追踪修订和注释。如果你有使用Word中的协同功能，那些追踪修订和注释的修订标记是能够被阅读者查看到的。

◆页眉、页脚、水印、幻灯片之外的内容以及幻灯片的记录。在Word文档和Excel的工作簿中，你可能会有设置页眉和页脚，或者是Word文档中的水印。在PowerPoint中，拖动到每一张幻灯片外的对象可能会不可见，而记录可能包含的信息也会是你不想与他人共享的。

◆自定义XML数据。一些XML数据在文档本身中是不可见的。

文档检查则能够找到和删除许多类型的隐藏信息。它似乎有些独立于Office程序而存在。

使用文档检查

要用文档检查找寻或删除Office 2007中的隐藏信息，请按照以下操作步骤：

1、将文档保存。
2、点击Office按钮，选择“准备>检查文档”，如图7所示。

图7 使用文档检查功能来寻找和删除隐藏信息

3、将你想要寻找的隐藏信息类型钩选中，如图8所示。
   

图8 选择你想要找寻的隐藏信息类型

4、点击“检查”按钮。之后，隐藏信息就会被分类地检查并显示出来，如图9所示。

图9 文档检查会将你想要查找的隐藏信息类型显示出来

5、此时，如果你需要的话，你就可以选择将隐藏信息删除。在完成检查之后点击“关闭”按钮。

使用信任中心
   
你可以在Word、Excel、PowerPoint和Access 2007中的信任中心查看和配置安全和隐私设置。要访问信任中心，请按照以下步骤操作：
   
1、点击Office按钮。
2、点击底部的“Word选项”，如果是在其它应用程序中，则对应的是不同的应用程序选项，如图10所示。

图10 点击Office菜单底部的“选项”按钮来访问信任中心

3、点击“选项”对话框中左边窗格的“信任中心”，如图11所示。

图11 在选项对话框左边窗格中选择“信任中心”

在“信任中心”中，你可以查看或删除受信任的发布者，设置你的文件受信任的位置，启用或禁用加载项，启用或仅用ActiveX控件，启用或禁用宏，配置消息栏中的安全警示，还可以设置个人信息选项。

受信任的发布者
   
在默认条件下，要运行宏、ActiveX控件或是加载项，是必须要有受信任的发布者签名许可。这是一个具有有效数字签名并且有与其相关联的由正式的证书机构签发的证书的开发者。你可以将其他的开发者添加到你的受信任的发布者列表中，只需要在安全警示对话框出现，询问你是否要运行宏、控件或加载项时点击选择信任所有来自这个发布者的文档即可。

要查看你已经列入列表的受信任的发布者列表或是将一个发布者从其中移除，你都可以按照以下步骤操作：

1、点击左边窗格的“受信任的发布者”，在默认情况下，是没有任何发布者受信任的。

图12 你可以通过信任中心查看和删除受信任的发布者

2、要查看一个发布者的证书，只需要在右边的窗格中将其名字高亮选择后点击“视图”按钮即可。
   
3、要从列表中删除发布者，只需要在右边窗格中将其名字高亮选择后点击“删除”按钮。
   
受信任位置
   
你可以自行制定本地硬盘中或是网络中的受信任位置。在你打开处于受信任位置中的文件前是无须通过信任中心的检查的。例如，如果你的文档中有包含你认为是安全的宏，而你又不希望信任中心将其禁用，那么你可以不必去更改宏的安全设置，直接将它存储到受信任位置即可。

一些位置在默认的条件下就是受信任的，包括Program Files\Microsoft Office\Templates文件家。微软建议你不要将网络共享中的公共文件夹作为受信任位置。

要添加受信任位置，请按如下步骤操作：

1、在“信任中心”中，点击左边窗格的“受信任位置”。
   
2、点击“添加新位置”按钮，如图13所示。

图13 你可以添加受信任位置，让存储在其中的文件无须通过信任中心的检查

在如图14所示的Microsoft Office受信任位置对话框中，输入你信任的路径位置。你还可以同时选择同时信任此位置的子文件夹。

图14 输入你想要信任的路径位置

3、点击“确定”。
   
你也可以删除或修改任何受信任的位置，也可以指定处在网络中的位置。如果你禁用了所有的受信任位置，那么文件仅有在具有受信任发布者签名时才可被打开。

加载项

加载项包括了一些像智能标签、XML样式表、COM和自动加载项以及其它可以为Office 2007程序添加新功能的代码。你可以使用信任中心来查看、启用和禁用安装了的加载项。

加载项是按以下方式来进行分类的：

◆活动应用程序加载项是那些当前就运行在Office 2007程序中的加载项。
◆非活动应用程序加载项则是已经安装但还未运行的加载项。
◆文档相关加载项则是打开文档相关的模版文件。
◆禁用的应用程序加载项则是那些由于会导致Office出现无法响应情况而禁用的加载项。

你可以让设置加载项需要受信任发布者的签署，也可以禁用未签署加载项通知或者是禁用所有应用程序加载项，如图15所示。

图15 你可以在“信任中心”中配置加载项

ActiveX控件
   
ActiveX控件是这样一种COM对象，它能够可以访问你本地文件系统，对注册表做出更改，因此它可能会存在一些安全威胁。信任中心会在它们载入之前对ActiveX控件进行检查，以确保它们可安全初始化（SFI），不会对注册表造成损害。

有潜在不安全可能的控件都会在默认情况下被禁用。在消息栏会出现提示消息。你可以点击提示中的“选项”按钮在你需要启用这个控件的时候对其启用。

你可以在受信中心中配置ActiveX控件的安全设置，以下是操作步骤：

1、点击“信任中心”左边窗格中的“ActiveX设置”。
2、你可以在以下选项中进行选择：禁用所有空间，并且不通知；以附加限制启动“初始化不安全”（UFI）控件，以及以最少限制启用“初始化安全”（SFI）控件之前提示我；以最小限制启用所有控件之前提示我；无限制启用所有空间并且不进行提示。最后一项是不备推荐的，因为选择它的话可能会运行有潜在危险的控件。

在默认情况下，在你的选择是“以最小限制启用所有控件之前提示我”，并且安全模式也是启用的。

安全模式仅可对SFI的控件应用。在安全模式下，一个控件会受到很多的限制；例如，一个控件在非安全模式下可能可以对文件进行读写，但在安全模式下则是只读。

宏设置

宏能够很轻易地作为键入字记录器或者是在VBA中编写的更为强效的代码。宏也可能由于它们自动运行计算机中的命令而导致安全风险。信任中心会在运行宏之前对它们进行检查，仅允许在具有有效数字签名，并具有与其关联的由正式CA办法的证书以及开发者是受信任发布者的情况下让宏运行。

如果宏不能达到上述的要求，那么消息栏中就会出现提示，告诉你宏被禁用。你可以点击“选项”按钮来在你认为它值得信任的情况下运行它。

你在信任中心中也可以对宏进行设置，以下是操作步骤：

1、在“信任中心”左边窗格中点击“宏设置”。
2、你可以对在非受信任位置的文档中的宏做出如下选择：禁用所有宏，并且不通知；禁用所有宏，并发出通知；禁用无数字签署的所有宏；启用所有宏。同样，最后一项也会由于其安全风险大而不受推荐。
3、你还可以选择是否信任对VBA工程对象模型的访问。

消息栏

消息栏存在的目的是当你打开的文档有潜在的威胁内容时显示出警示。你可以通过信任中心对消息栏进行控制：

1、点击“信任中心”左边窗格中的“消息栏”。
2、你可以选择是否让文档内容被阻止时在所有应用程序中显示消息栏或者是从不显示有关被阻止内容的信息。
3、还有一个你可以选择的就是是否对“启用信任中心日志记录”一项进行钩选，如图16所示。

图16 你可以通过“信任中心”选择是否显示消息栏

个人信息选项

◆最后要说的是你可以通过信任中心设置的个人信息，如图17所示，其中的内容包括：
◆是否连接到Internet时，在Microsoft Office Online上搜索帮助内容。
◆是否更新来自Microsoft Office Online的特色链接。
◆是否定期下载一个用于确定系统问题的文件。
◆是否注册客户体验改善计划。
◆是否检查来自或链接到可疑网站的Microsoft Office文档。
◆你还可以配置文档的特定设置，包括：
◆是否打印、保存或发送包含修订或批注的文件之前发出警告。
◆是否存储随机数以提高组合精确性。
◆是否在打开或保存时显示隐藏标记。
◆是否在保存时从文件属性中删除个人信息。
◆你还可以在此对翻译和信息检索选项进行设置。

图17 “信任中心”所提供的个人信息选项以及翻译和检索选项设置

总结

Office 2007中内置的诸多安全和隐私保护功能确实让你所需要维护的信息安全性大大提高，相信只要将这些安全特性运用熟练，你用Office所创建的文档和邮件都会非常牢靠。