設定 Microsoft Office 巨集設定
本文會逐步引導 IT 系統管理員完成設定 Microsoft Office 巨集設定的基本八項風險降低策略。 概述的控制項符合 Essential Eight 成熟度等級 3 的意圖。 套用建議的原則來強化 Microsoft 365 Apps 符合使用者應用程式強化的特定控制項。
注意事項
從信任位置啟用 Office 巨集執行的指引不在本文的範圍之內。 建議改用受信任的發布者。
參考
澳洲網路安全中心 (ACSC) 提供了有關強化Microsoft 365 Apps的多個指導文件以及配置巨集的建議策略。 本文中的所有政策均基於以下參考:
部署 Microsoft 365 Apps for Enterprise & ACSC 強化 Microsoft 365 Apps for Enterprise 指引
Intune 具有稱為原則集的功能。 原則集可讓您將應用程式、組態原則及其他物件合併至單一可部署實體。 Microsoft 365 Apps 企業版的部署應該一律隨附建議的 ACSC Office 強化原則。 這可確保 Office 應用程式套件的所有使用者都套用適當的 ACSC Office 強化原則。
實作細節
若要套用原則集,管理者需要完成三個階段:
- 建立以所需使用者為目標的原則。
- 匯入 ACSC 強化準則原則。
- 建立結合 Microsoft 365 Apps 和 ACSC 強化指導方針原則的原則集。
階段 1:建立以所需使用者為目標的原則
- 建立原則,以包含以 Office 應用程式和 Office 強化原則為目標的使用者。 在本文的其餘部分,此群組稱為 [所有 Office 使用者]。
- 在 [應用程式>] [Windows >> 新增 Microsoft 365 Apps] 底下,建立適用於 Windows 10 或更新版本的 Microsoft 365 Apps 應用程式。
- 根據組織的要求包含 Microsoft 365 Apps。
- 將架構設定為: 64位元 (建議) 。
- 將 [更新通道] 設定為:建議) (半年企業通道。
注意事項
請勿指派應用程式。 這是在稍後的步驟中完成的。
階段 2:匯入 ACSC 強化準則原則
- 將 ACSC Office 強化準則 原則儲存到您的本機裝置。
- 流覽至 Microsoft Intune 主控台。
- 匯入原則,在 [裝置]> [Windows>組態配置檔] [>建立>匯入原則] 底下。
- 為原則命名,選取原則檔案下的 [瀏覽檔案],然後瀏覽至步驟 1 中的已儲存原則。
- 選取 [儲存]。
匯入指令碼以防止啟動物件連結和內嵌套件
- 流覽至 [裝置 > 指令碼 ] 並建立新的 PowerShell 指令碼。
- 匯入 PowerShell 指令碼以防止啟用 物件連結和內嵌套件。
- 使用登入的認證執行此指令碼: 是。
- 強制執行指令碼簽章檢查: 否。
-
- 在 64 位 PowerShell 主機中執行腳本: 否。
- 將 PowerShell 腳本指派給:在第 1 階段) 中建立 的所有 Office 使用者 (。
注意事項
此 PowerShell 腳本專門用於 Office 2016 和更新版本。 此處提供防止啟用 OLE for Office 2013 的腳本: OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1。
階段 3:建立結合 Microsoft 365 Apps 和 ACSC 強化指導方針原則的原則集
- 流覽至 裝置原則 > 集 > 建立。
- 在應用程式管理>應用程式下,選取 Microsoft 365 Apps (適用於Windows 10及更新版本) ( 在第 1 階段) 中建立。
- 在 [裝置管理>裝置組態配置檔] 底下,選取 [在第 2 階段) 中建立 (ACSC Office 強化。
- 在 [指派] 底下,選取 [ 所有 Office 使用者 (在階段 1) 中建立。
- 匯入端點安全性受攻擊面縮小原則。
- 流覽至 Graph 總管並進行驗證。
- 使用 Beta 版架構建立 POST 要求,以減少受攻擊面原則端點:
https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance。 - 複製 ACSC Windows 強化 Guidelines-Attack 表面縮減原則 中的 JSON,並將其貼到要求本文中。
- (選用) 必要的話修改名稱值。
- 將原則指派給: 所有 Office 使用者 (在階段 1) 中建立。
注意事項
此受攻擊面縮小 (ASR) 策略在審核模式下配置ACSC建議的每個ASR規則。 在強制執行之前,應該測試 ASR 規則在任何環境中的相容性問題。
透過遵循到目前為止的文件,會進行下列其他緩解措施:
| ISM 控制 2025 年 3 月 | 控制項 | 測量 |
|---|---|---|
| 1488 | 來自網際網路的檔案中的 Microsoft Office 巨集會遭到封鎖。 | 針對每個 Office 應用程式,已透過ACSC Office 強化 原則) (設定下列原則: 封鎖巨集在因特網的 Office 檔案中執行: 已啟用 |
| 1675 | 無法透過訊息列或 Backstage 檢視啟用不受信任的發行者以數位方式簽署的 Microsoft Office 巨集。 | 針對每個 Office 應用程式,已透過 ACSC Office 強化 原則) (設定下列原則: 停用未簽署應用程式的信任列通知: 已啟用 |
| 1672 | Microsoft Office 巨集防病毒掃描已啟用。 | 下列原則已透過 ACSC Office 強化準則 原則) (設定: 強制執行階段 AV 掃描: 已啟用 巨集執行階段掃描範圍: 針對所有文件啟用 附註: 這需要在裝置上執行 Windows Defender。 |
| 1673 | Microsoft Office 巨集遭到封鎖,無法進行 Win32 API 呼叫。 | 下列受攻擊面縮小規則已透過 ASR 原則) (設定: 封鎖來自 Office 巨集 的 Win32 API 呼叫 (92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B) |
控制巨集執行
封鎖巨集的原則不包含在原則集中。 這可讓您選擇性地豁免具有執行巨集的業務需求的使用者群組。 所有其他沒有證明需求的使用者都會被封鎖,無法執行巨集。
實作細節
為了方便稍後的步驟,以執行由受信任發行者簽署的巨集,必須建立新的群組。 此群組會從其他 Office 巨集原則中排除,以避免衝突,並允許執行由受信任發行者簽署的巨集。 所有其他使用者都會以原則為目標,以停用所有巨集的執行。
若要只允許由受信任發行者簽署的巨集:
- 建立群組,其中包含能夠執行 Office 巨集的使用者,如果這些使用者是由受信任的發行者簽署。 此群組稱為: 允許巨集執行 - 受信任的發行者。
- 將 [所有巨集已停用] 原則 原則儲存至本機裝置。
- 流覽至 Microsoft Intune 主控台。
- 匯入原則,在 [裝置]> [Windows>組態配置檔] [>建立>匯入原則] 底下。
- 為原則命名,選取原則檔案底下的 [瀏覽檔案],然後流覽至步驟 2) 的已儲存原則 (。
- 選取 [儲存]。
- 將「所有已停用巨集」原則指派給本文件開頭建立的所有 Office 使用者 () 。
- 從步驟 1) 排除 [允許巨集執行 - 受信任的發行者 ] 群組 (。
透過遵循到目前為止的文件,已採取下列額外的緩解措施:
| ISM 控制 2025 年 3 月 | 控制項 | 測量 |
|---|---|---|
| 1671 | Microsoft Office 巨集會針對沒有示範商務需求的使用者停用。 | 根據預設,所有 Office 使用者都會以封鎖執行巨集的原則為目標 (原則會因 Office 應用程式) 而異: 停用 Office 應用程式的 VBA: 已啟用 |
| 1489 | 使用者無法變更 Microsoft Office 巨集安全性設定。 | 標準使用者無法變更透過 Intune 設定和部署的原則。 使用者無法變更強化 Office 和停用巨集的原則。 請確定免於封鎖巨集原則的使用者是以只允許從受信任發行者執行巨集的原則為目標。 |
值得信賴的出版商
對於標準使用者,建議盡可能使用受信任的發行者,而不是允許從受信任位置執行巨集。 使用「信任位置」需要每個巨集在放入「信任位置」之前經過徹底審查。 使用受信任發布者的原因是,通過選擇受信任的發布者,可以證明其產品對安全性的承諾,與位置或網站相比,降低了使用其巨集的風險。 從上一個步驟中封鎖巨集的原則豁免的使用者,會以原則為目標,該原則會將巨集的執行限制為受信任發行者的策劃清單。
Microsoft Office 巨集經過檢查,以確保它們在進行數位簽署或放置在信任的位置之前沒有惡意程式碼
藉由實作 ACSC Office 強化指導方針,巨集會在執行之前由 Microsoft Defender 掃描 (請參閱上文符合 ISM-1672) 。 在簽署任何巨集之前,系統管理員應在中斷連線的裝置上執行巨集 (並套用 ACSC Office 強化原則) ,專用於判斷巨集的安全性。
也提供第三方工具,可以為提交的巨集提供自動掃描和簽署。
實作細節
若要匯入「已啟用授信發佈者的巨集」原則,請完成下列步驟:
- 將 [為受信任的發行者啟用的巨集 ] 原則儲存至本機裝置。
- 流覽至 Microsoft Intune 主控台。
- 匯入原則,在 [>裝置] > Windows 組態配置檔 > [建立>匯入原則] 底下
- 命名原則,選取原則檔案下的 [瀏覽檔案],然後從步驟 2 流覽至已儲存的原則 ()
- 選取 [儲存]。
- 將原則指派給群組: 允許巨集執行 - 受信任的發行者
匯入信任的發布者原則之後,您必須指定一或多個信任的發布者。 若要新增受信任的發行者,請遵循使用 Intune 將憑證新增至受信任發行者憑證存放區的指示:使用 Intune 將憑證新增至受信任的發行者 - Microsoft Tech Community。
為每個受信任的發行者建立新的原則,而不是將多個發行者組合在同一個原則中。 這可簡化已部署的受信任發佈者的識別,並簡化移除不再需要的任何受信任發佈者。 將任何受信任的發行者憑證原則部署至相同的群組:允許巨集執行 – 受信任的發行者。
注意事項
簽署巨集時,請使用更安全的 VBS 專案簽章配置版本:V3 簽章。
只要只允許執行受信任發行者所簽署的巨集,就能符合下列其他風險降低:
| ISM 控制 2025 年 3 月 | 控制項 | 測量 |
|---|---|---|
| 1674 | 只允許執行從沙箱環境、信任位置或由 信任發行者數位簽署 的 Microsoft Office 巨集。 | 針對每個 Office 應用程式,已透過 [為受信任的發行者啟用巨集 ] 原則) (設定下列設定: 停用除數位簽署巨集以外的所有巨集: 已啟用 |
| 1487 | 只有負責檢查 Microsoft Office 巨集是否不含惡意程式碼的特殊許可權使用者才能寫入和修改信任位置內的內容。 | 不適用。 只有受信任發行者簽署的巨集才允許為選取的使用者執行。 |
| 1890 | Microsoft Office 巨集經過檢查,以確保它們在進行數位簽署或放置在信任位置之前沒有惡意程式碼。 | 系統管理員會在已套用 ACSC Office 強化原則的裝置上啟動巨集,該裝置與生產環境中斷連線,並專用於在簽署之前判斷巨集的安全性。 |
Office 巨集執行記錄
適用於端點的 Microsoft Defender (MDE) 使用以下技術組合,這些技術是通過 Microsoft 強大的雲服務構建的:
- 端點行為感應器:這些感應器內嵌在 Windows 中,會收集和處理來自作業系統的行為訊號,並將此感應器資料傳送至適用於端點的 Microsoft Defender 的私人、隔離的雲端實例。
- 雲端安全性分析:使用跨 Windows 生態系統的巨量數據、裝置學習和獨特的Microsoft光學、企業雲端產品 ((例如 Office 365) ) 和線上資產,行為訊號會轉譯為深入解析、偵測,以及針對進階威脅的建議回應。
- 威脅情報:威脅情報由 Microsoft 搜尋者、安全性小組產生,並由合作夥伴提供的威脅情報增強,可讓適用於端點的 Defender 識別攻擊者工具、技術和程式,並在收集的感應器數據中觀察到攻擊者工具、技術和程式時產生警示。
MDE 可用於從端點獲取和保留日誌,然後可用於檢測網絡安全事件。
Microsoft Intune 與 MDE 之間的整合可讓您輕鬆上線至 Intune 受控裝置的 MDE。
實作詳細數據 – 將端點上線至適用於端點的 Microsoft Defender
- 在執行 Windows 10 或更新版本的桌面裝置上建立具有範本>類型的新 Windows 組態配置檔適用於端點的 Microsoft Defender ()
- 將 Expedite 遙測報告頻率 設定為 [啟用]
- 將原則指派給部署群組。
將裝置上線至 MDE 之後,會擷取某些動作以供檢閱,並視需要採取動作。 如需詳細資訊,請參閱 在適用於端點的 Microsoft Defender中的裝置上採取回應動作。
藉由將裝置上線至 MDE,符合已部署的受攻擊面縮小 (ASR) 規則的巨集所執行的進程會記錄在適用於端點的 Defender 中。 符合攻擊或入侵指示的執行會產生警示以供檢閱。
驗證受信任發行者清單
驗證裝置上的受信任發行者清單,其使用者已獲准從受信任發行者執行巨集。 在 [受信任的發行者] 憑證存放區中,確認每個 [受信任的發行者] 憑證:
- 對於組織中使用的巨集仍是必要的。
- 仍在有效期內。
- 仍然有有效的信任鏈。
移除任何不符合先前準則的憑證。
| ISM 控制 2025 年 3 月 | 控制項 | 測量 |
|---|---|---|
| 1676 | Microsoft Office 的受信任發行者清單會每年或更頻繁地進行驗證。 | 系統管理員會驗證「受信任發行者」憑證存放區中的憑證,確保所有憑證仍是必要的,且在其有效期間內。 移除不再需要的任何憑證和相關聯的原則。 |