Access 2010 安全性簡介

2010 版新增功能

• 新加密技術     Office 2010 提供的新加密技術比 Office 2007 更為強大。

• 協力廠商加密產品支援     Access 2010 可投您所好，讓您使用協力廠商加密技術。 協力廠商產品相關內容不在本文討論之列。

2007 版新增功能

• 即使您不想啟用資料庫內容，也能夠查看資料     在 Microsoft Office Access 2003 中，如果您將安全性等級設定為高，您得先進行程式碼簽署並信任資料庫，才能查看資料。 現在，您無須決定是否信任資料庫，即可查看資料。

• 更輕鬆使用     如果您將資料庫檔案 (以新的 Access 檔案格式或較早的檔案格式) 放在信任的位置 ，例如您指定為安全的檔案資料夾或網路共用，這些檔案會開啟及執行，而不會顯示警告訊息，或要求您啟用任何停用的內容。 此外，如果您在 Access 2010 中開啟 Access 較舊版本的資料庫 ，例如 .mdb 或 .mde 檔案，而且這些資料庫已經過數位簽章，而且您選擇信任發行者，這些檔案就會執行，而不需要做出信任決定。 不過，請記住，在信任發行者之前，已簽署資料庫中的 VBA 程式碼不會執行，如果數位簽章無效，將不會執行。 簽章者不是簽章者，但簽章者竄改資料庫內容時，該簽章就會失效。

• 信任中心     信任中心是一個對話方塊，提供單一位置，用於設定及變更 Access 的安全性設定。 您可以使用信任中心來建立或變更信任的位置，以及設定 Access 的安全性選項。 這些設定會影響新資料庫和現有資料庫在 Access 實例中開啟時的行為。 信任中心也包含評估資料庫中的元件，以及判斷資料庫是否安全開啟，或信任中心是否應該停用資料庫，並讓您決定啟用的邏輯。

  如需使用 [信任中心] 的相關一般資訊，請參閱檢視信任中心的安全性和隱私權設定一文。

• 較少的警告訊息     較舊版本的 Access 會強制您處理各種警示訊息，例如宏安全性與沙箱模式，只是名稱為兩者。 根據預設，如果您開啟尚未信任的 .accdb 檔案，則會看到一個稱為訊息行的工具。

  

  如果要信任資料庫，則可以在開啟包含一或多個此類元件的資料庫，使用訊息列來啟用任何停用的資料庫內容，包括巨集指令查詢 (新增、刪除或變更資料的查詢)、巨集、ActiveX 控制項、運算式 (會導出一個值的函數)，及 VBA 程式碼。

• 簽署及發佈資料庫檔案的新方式     在 Access 2007 之前的版本，您曾使用 Visual Basic 編輯器將安全性憑證適用于個別資料庫元件。 現在，您封裝資料庫，然後簽署併發布套件。

  如果從簽署的套件將資料庫解壓縮到信任的位置，資料庫開啟時就不會顯示訊息列。 如果從簽署的套件把資料庫解壓縮到不信任的位置，但您已信任該套件憑證且其簽章有效，資料庫開啟時就不會顯示訊息列。

  附註: 如果您封裝並簽署的是不受信任或包含無效數位簽章的資料庫，那麼除非將該資料庫放在信任的位置，否則每次開啟時都必須使用訊息列來信任該資料庫。

• 使用資料庫密碼功能以 .accdb 檔案格式加密資料庫的較強演算法     加密資料庫會打亂資料表中的資料，並有助於防止不想要的使用者讀取您的資料。

  附註: 使用密碼加密資料庫時，無論應用程式設定為何，加密的資料庫都會使用頁面層級鎖定。 這可能會影響到共用環境中的資料可用性。

• 資料庫停用時執行的新宏動作子類別     這些更安全的宏也包含錯誤處理功能。 您也可以內嵌宏 (即使宏包含 Access 會停用) 的動作，也可以直接內嵌到任何表單、報表或控制項屬性中，以邏輯方式使用 VBA 程式碼模組或較舊版本 Access 的宏。

繼續進行時，請記住這些規則：

• 如果在受信任的位置開啟資料庫，則無需決定信任與否就可執行所有元件。

• 如果封裝、簽署和部署使用舊版檔案格式 (.mdb 或 .mde 檔案) 的資料庫，您不需要決定資料庫是否內含來自信任發行者的有效數位簽章，即會信任憑證，而所有元件都會執行。

• 如果您在不受信任的位置登入和部署不受信任的資料庫，信任中心就會依預設停用資料庫，而且每次開啟該資料庫都必須由您選擇啟用。

存取和使用者層級安全性

針對以新檔案格式 (.accdb 和 .accde 檔案) 建立的資料庫，Access 不支援使用者層級安全性。 不過，如果您在 Access 2010 中開啟舊版 Access 資料庫，而且該資料庫依然套用原有的使用者層級安全性，那些設定就會持續有效。

如果將具有使用者層級安全性的舊版 Access 資料庫轉換為新檔案格式，Access 會自動移除所有的安全性設定，並套用 .accdb 或 .accde 檔案的安全性原則。

最後請記住，開啟新檔案格式的資料庫時，所有使用者都可以隨時查看所有資料庫物件。

Access 安全性架構

為瞭解 Access 安全性架構，您必須記住 Access 資料庫檔案與 Excel 活頁簿或 Word 文件不同，不是一個檔案。 Access 資料庫是一組物件，可能是資料表、表單、查詢、巨集、報表等，而這組物件需要彼此相依才能發揮作用。 舉例來說，在建立資料輸入表單時，除非將表單中的控制項繫結 (連結) 到表格，否則您將無法在該表單中輸入或儲存資料。

有些 Access 元件可能引發安全性風險，因此在不受信任的資料庫中停用：

• 巨集指令查詢 (用於插入、刪除或變更資料的查詢)

• 巨集

• 部分運算式 (傳回單一值的函數)

• VBA 程式碼

為了提升資料安全，Access 和信任中心會在每次開啟資料庫時都值行一連串安全檢查。 程序運作方式如下：

• 開啟 .accdb 或 .accde 檔案時，Access 會將資料庫位置提交至信任中心。 如果信任中心判斷為受信任的位置，就可執行資料庫的完整功能。 如果您開啟舊版檔案格式的資料庫，除了提交檔案位置至信任中心外，Access 還會提供數位簽章詳細資料 (若有)。

  信任中心會檢查這些「證據」並據此評估是否信任該資料庫，然後通知 Access 如何開啟資料庫。 Access 可能停用資料庫，或是以完整功能模式開啟。

  附註: 請記住，您或您系統管理員在信任中心內選擇的設定，會左右 Access 開啟資料庫時的信任決定。

  如需信任中心用法的詳細資訊，請見＜請參閱＞一節。

• 如果信任中心已停用資料庫內容，資料庫開啟時就會出現訊息列。

  

  若要啟用資料庫內容，請按一下 [選項]，然後在出現的對話方塊中選擇適當的選項。 Access 會啟用已停用的內容，並以完整功能模式重新開啟資料庫。 否則，停用的元件將無法運作。

• 如果開啟的是以舊版檔案格式 (.mdb 或 .mde 檔案) 建立的資料庫，而且該資料庫沒有簽署也不受信任，則根據預設，Access 會停用任何可執行的內容。

停用模式

若信任中心在評估後不信任資料庫，Access 就會以停用模式開啟該資料庫，即無論資料庫檔案格式為何，皆關閉所有可執行的內容。

進入「停用模式」時，Access 會停用下列元件：

• VBA 程式碼和 VBA 程式碼中的任何參照，以及任何不安全的運算式。

• 所有巨集中不安全的巨集指令。 「不安全」的巨集指令就是任何可能會允許使用者修改資料庫或在資料庫外部存取資源的巨集指令。 不過，Access 停用的巨集指令有時也可能視為「安全」。 舉例來說，如果您信任資料庫的建立者，就可以信任任何不安全的巨集指令。

• 查詢類型如下：

  • 動作查詢    這些新增、更新及刪除資料。

  • 資料定義語言 (DDL) 查詢     這些用來建立或變更資料庫中的物件，例如資料表和程式。

  • SQL 傳遞查詢    這些命令會直接傳送至支援 Open Database Connectivity (ODBC) 伺服器。 傳遞查詢可在伺服器上使用資料表，而不需要使用 Access 資料庫引擎。

• ActiveX 控制項。

開啟資料庫時，Access 可能會嘗試載入增益集，也就是擴充 Access 或已啟開資料庫功能的程式。 您也可能想要執行可在開啟的資料庫中建立物件的精靈。 載入增益集或啟動精靈時，Access 會將證據傳送到信任中心 (會做出額外信任決策)，並且據此啟用或停用該物件或巨集指令。 若不同意信任中心停用資料庫的決定，大多數時候您都可以用訊息列啟用其內容。 增益集會提供該規則的例外。 如果您在信任中心 (在 [增益集] 窗格內) 中，選取了 [要求應用程式增益集由受信任的發行者簽署] 核取方塊，Access 會提示您啟用增益集，但該程序不會牽涉訊息列。

頁面頂端

開啟信任中心

1. 按一下 [檔案] 索引標籤上的 [選項]。

   [Access 選項] 對話方塊隨即出現。

2. 按一下 [信任中心]，然後按一下 [Microsoft Office Word 信任中心] 下的 [信任中心設定]。

3. 按一下 [信任的位置]，然後執行下列其中一項操作：

   • 記下一或多個信任位置的路徑。

   • 建立新的信任位置。 若要這樣做，請按一下 [新增位置]，然後完成 [Microsoft Office 信任位置] 對話方塊中的選項。

將資料庫置於信任的位置

• 用您喜愛的方法把資料庫檔案移動或複製到信任的位置。 舉例來說，您可以用 Windows [檔案總管] 複製或移動檔案，或者也可以在 Access 中開啟檔案後儲存到信任的位置。

在信任的位置開啟資料庫

• 使用您最愛的技巧開啟檔案。 例如，您可以在 Windows 檔案管理器中按兩下資料庫檔案，或者，如果 Access 是運作中，您可以按一下[檔案檔案庫> 的 [開啟檔案> 定位點尋找並開啟檔案。

頁面頂端

建立已簽署的套件

1. 開啟您要封裝並簽署的資料庫。

2. 按一下 [檔案] 索引標籤上的 [儲存並發佈]，然後按一下 [進階] 下面的 [封裝並簽署]。

   隨後會出現 [選取憑證] 對話方塊。

3. 請選取憑證，然後按一下 [確定]。

   隨即出現 [建立 Microsoft Office Access 簽署的套件] 對話方塊。

4. 在 [儲存位置] 清單中，選取已簽署資料庫套件的位置。

5. 在 [檔案名稱] 方塊中輸入已簽署套件的名稱，然後按一下 [建立]。

   Access 便會建立 .accdc 檔案並將其放到您所選的位置。

解壓縮並使用已簽署的套件

1. 按一下 [檔案] 索引標籤上的 [開啟舊檔]。

   隨即出現 [開啟] 對話方塊。

2. 選取 [Microsoft Office Access 簽署的套件 (*.accdc)] 作為檔案類型。

3. 使用 [查詢] 清單找出內含 .accdc 檔案的資料夾，選取檔案然後按一下 [開啟]。

4. 請執行下列其中一項動作：

   • 如果您選擇信任用來簽署部署套件的安全性憑證，就會出現 [解壓縮資料庫至] 對話方塊。 繼續執行下一步。

   • 倘若您尚未決定信任安全性憑證，就會出現下列訊息。

     

     如果信任資料庫，請按一下 [開啟]。 如果信任來自該提供者的任何憑證，請按一下 [信任來自發行者的所有內容]。 隨即出現 [解壓縮資料庫至] 對話方塊。

     附註: 如果您使用自我簽署憑證來簽署資料庫套件，然後按一下 [信任來自發行者的所有內容]，當您開啟該套件時，使用自我簽署憑證簽署的套件就會一律受到信任。

5. 您也可以選擇在 [儲存位置] 清單中選取一個位置存放解壓縮後的資料庫，然後在 [檔案名稱] 方塊中，為解壓縮的資料庫中輸入不同的名稱。

   提示: 如果把資料庫解壓縮到信任的位置，您每次開啟時就會自動啟用內容。 如果您選擇了不受信任的位置，則部分資料庫就會預設為停用。

6. 按一下 [確定]。

頁面頂端

信任資料庫

無論開啟資料庫時 Access 的行為模式為何，如果資料庫來自可信任的發行者，就可以選擇啟用檔案中可執行的元件，信任該資料庫。

• 在 [訊息列] 上，按一下 [啟用內容]。

將加密的 Access 2007 資料庫轉換為新的加密技術

若要換用新的加密技術，可以先移除目前的資料庫密碼，然後重新加入。

使用資料庫密碼加密

1. 在獨佔模式中開啟想要加密的資料庫。

   在獨佔模式中開啟資料庫

   1. 按一下 [檔案] 索引標籤上的 [開啟舊檔]。

   2. 在 [開啟舊檔] 對話方塊中，瀏覽至您要開啟的檔案，然後選取檔案。

   3. 按一下 [開啟] 按鈕旁的箭號，再按一下 [獨佔式開啟]。

      

2. 按一下 [檔案] 索引標籤上的 [資訊]，然後按一下 [以密碼加密]。

   [設定資料庫密碼] 對話方塊便會出現。

3. 在 [密碼] 方塊中輸入密碼，並於 [驗證] 方塊中再次輸入密碼。

   附註: 

   • 請使用結合大小寫字母、數字和符號的強式密碼。 弱式密碼未結合這些元素。 強式密碼：Y6dh!et5。 弱式密碼：House27。 密碼的長度應該是 8 個字元以上。 使用 14 個字元以上的複雜密碼較佳。

   • 您必須記住密碼。 若忘記了密碼，Microsoft 亦無法擷取該密碼。 請將您寫下的密碼儲存在安全之處，不要將所保護的資訊存放在同一處。

4. 按一下 [確定]。

解密並開啟資料庫

1. 照常用開啟其他資料庫的方式開啟加密的資料庫。

   [需要密碼] 對話方塊便會出現。

2. 在 [輸入資料庫密碼] 方塊中輸入密碼，然後按一下 [確定]。

移除密碼

1. 按一下 [檔案] 索引標籤上的 [資訊]，然後按一下 [解密資料庫]。

   [取消資料庫密碼設定] 對話方塊便會出現。

2. 在 [密碼] 方塊中輸入密碼，然後按一下 [確定]。

頁面頂端

建立自我簽署憑證

1. 瀏覽至含有 Office 2010 程式檔案的資料夾。 預設資料夾為「磁碟機:\Program Files\Microsoft Office\Office14」。 在該資料夾中，找到 [SelfCert.exe] 然後按兩下。

   隨後會出現 [建立數位憑證] 對話方塊。

2. 在 [您的憑證名稱] 方塊中輸入新測試憑證的名稱。

3. 按兩次 [確定]。

程式碼簽署資料庫

1. 開啟要簽署的資料庫。

2. 在 [資料庫工具] 索引標籤中，按一下 [巨集] 群組內的 [Visual Basic]，啟動 [Visual Basic 編輯器]。

   鍵盤快速鍵  按下 ALT+F11。

3. 在 [專案總管] 視窗中選取要簽署的資料庫或 Visual Basic for Applications (VBA) 專案。

4. 在 [工具] 功能表上，按一下 [數位簽章]。

   [數位簽章] 對話方塊隨即出現。

5. 按一下 [選擇] 選取您的測試憑證。

   隨後會出現 [選取憑證] 對話方塊。

6. 選擇要套用的憑證。

   如果照前一節中的步驟進行，請選擇使用 SelfCert 建立的憑證。

7. 按一下 [確定] 關閉 [自我憑證] 對話方塊並按一下 [確定]，關閉 [數位簽章] 對話方塊。

簽署舊版資料庫的秘訣

• 如果想要防範解決方案使用者不小心修改您的 VBA 專案並讓簽章失效，請先鎖定 VBA 專案再簽署。

  附註: 鎖定您的 VBA 專案無法防止其他使用者以另一個簽章取代此數位簽章。 公司的系統管理員可以重新簽署範本及增益集，藉此精準控制使用者可以在自己電腦中執行哪些操作。

• 數位簽署 VBA 專案時，請考慮取得時間戳記，以便他人在簽章所用的憑證過期之後仍可驗證簽章。 請參閱 Office 網頁版，取得 VBA 安全性與時間戳記的相關詳細資料。

變更登錄機碼

1. 在 Microsoft Windows 中按一下 [開始] 按鈕，再按一下 [執行]。

2. 在 [開啟] 方塊中輸入 regedit，然後按下 ENTER。

   [登錄編輯程式] 隨即啟動。

3. 展開 HKEY_LOCAL_MACHINE 資料夾，然後瀏覽至下列登錄機碼：

   \Software\Microsoft\Office\14.0\Access Connectivity Engine\Engines

4. 在 [登錄編輯程式] 的右窗格中，按兩下 [SandboxMode] 下的值。

   [編輯 DWORD 值] 對話方塊便會出現。

5. 將 [數值資料] 欄位的值從 3 變更為 2，然後按一下 [確定]。

6. 關閉 [登錄編輯程式]。

重要    請記住，如果不先信任資料庫，則不論是否變更此登錄設定，Access 都會停用任何不安全的運算式。

頁面頂端