VBA 巨集是惡意行為者取得存取權限、部署惡意軟體和勒索軟體的常見方式。 因此,為了提升 Office 的安全性,我們正在改變 Office 應用程式的預設行為,讓檔案中的巨集無法從網路上出現。
此變更影響使用者與網路檔案的互動方式,例如包含巨集的電子郵件附件。 現在,當使用者打開這樣的檔案時,會看到以下訊息:
「了解更多」按鈕指向一篇針對終端使用者與資訊工作者的文章,內容涵蓋惡意使用者使用巨集的安全風險、防止釣魚與惡意軟體的安全做法,以及必要時如何啟用這些巨集 (說明) 。
在某些情況下,如果檔案來自你內部網路的某個位置,且未被識別為可信,使用者也會看到訊息。 例如,如果使用者使用網路共享的 IP 位址存取檔案。 欲了解更多資訊,請參閱 集中存放於網路共享或受信任網站的檔案。
重要事項
即使在我們即將推出的這項變更之前,組織也可以利用 網際網路政策中的 Block Copy 執行巨集,防止使用者無意中打開包含巨集的網路檔案。 我們建議將此政策作為Microsoft 365 Apps 企業版安全基線的一部分啟用。 如果你設定了該政策,你的組織不會受到這個預設變更的影響。
欲了解更多資訊,請參閱 使用政策管理 Office 如何處理巨集。
準備好迎接這個變化
請與組織中使用巨集的事業單位合作,為這項變革做好準備。 這些檔案通常是從像是內聯網網路共享或內聯網網站等地點開啟的。 你需要辨識這些巨量營養素,並決定 該採取哪些步驟 來持續使用這些巨量營養素。 與獨立軟體廠商 (ISV) 合作,這些廠商會從這些地點提供 Office 檔案巨集。 例如,看看他們是否能數位簽署程式碼,然後你可以把他們當成可信的發行商來處理。
另外,請參考以下資訊:
| 準備行動 | 其他相關資訊 |
|---|---|
| 了解每個更新通道中哪個版本有這個變更 | 受此變更影響的 Office 版本 |
| 請參閱 Office 判斷是否要在檔案中執行巨集的流程圖 | Office 如何決定是否要在網路檔案中執行巨集 |
| 學習可用來控制 VBA 巨集執行的政策 | 使用政策來管理 Office 如何處理巨集 |
允許 VBA 巨集在你信任的檔案中執行的步驟
你允許 VBA 巨集在你信任的檔案中執行,取決於檔案所在位置或檔案類型。
下表列出了常見情境及可能的方法,以解除 VBA 巨集阻擋並允許其執行。 你不必為特定情境嘗試所有可能的方法。 當我們列出多種方法時,請選擇最適合你組織的方案。
| 案例 | 可採取的可能方法 |
|---|---|
| 個別檔案 |
• 在檔案屬性對話框的一般標籤中選擇「解除封鎖」勾選框 • 在 PowerShell 中使用 Unblock-File 指令檔 欲了解更多資訊,請參閱 「從檔案中移除網路標記」。 |
| 集中存放於網路共享或受信任網站的檔案 | 請使用「個別檔案」中列出的方法解除封鎖檔案。 如果沒有解除 封鎖 的勾選框,且你想信任該網路位置的所有檔案: • 指定該地點為可信網站 • 將位置加入 本地內聯網 區域 欲了解更多資訊,請參閱 集中存放於網路共享或受信任網站的檔案。 |
| 儲存在 OneDrive 或 SharePoint 上的檔案,包括 Teams 頻道使用的網站 | • 讓使用者透過「 在桌面應用程式開啟 」選項直接開啟檔案 • 若使用者在開啟檔案前先本地下載,請從本地檔案副本中移除 Mark of the Web, (請參閱「個別檔案」下的做法 ) • 指定該地點為可信網站 欲了解更多資訊,請參閱 OneDrive 或 SharePoint 上的檔案。 |
| 支援巨集的 Word、PowerPoint 和 Excel 範本檔案 | 如果範本檔案儲存在使用者的裝置上: • 從範本檔案中移除 Mark of the Web, (查看「個別檔案」下的做法 ) • 將範本檔案儲存至受信任位置 如果範本檔案儲存在網路位置: • 使用數位簽章並信任出版商 • 信任範本檔案 (查看「集中位於網路共享或受信任網站的檔案」下的做法 ) 欲了解更多資訊,請參閱支援巨集的 Word、PowerPoint 與 Excel 範本檔案。 |
| PowerPoint 支援巨集的附加檔案 | • 從附加檔案中移除 Mark of the Web。 • 使用數位簽章並信任出版商 • 將外掛檔案儲存到可信的位置 欲了解更多資訊,請參閱 PowerPoint 與 Excel 的巨集支援外掛檔案。 |
| Excel 支援巨集的附加檔案 | • 從附加檔案中移除 Mark of the Web。 • 將外掛檔案儲存到可信的位置 欲了解更多資訊,請參閱 PowerPoint 與 Excel 的巨集支援外掛檔案。 |
| 由受信任的出版商簽署的巨集 | • [建議] 向用戶部署受信任發佈者的公開程式碼簽署憑證,並防止用戶自行新增受信任發佈者。 • 從檔案中移除 Mark of the Web,並讓使用者將巨集的發佈者新增為受信任的發佈者。 欲了解更多資訊,請參閱 由受信任出版商簽署的巨集。 |
| 儲存在使用者裝置資料夾中的檔案群組 | 將資料夾指定為受信任地點 欲了解更多資訊,請參閱 「可信地點」。 |
受此變更影響的 Office 版本
此變更僅影響運行 Windows 的 Office 裝置,且僅影響以下應用程式:Access、Excel、PowerPoint、Project、Publisher、Visio 及 Word。
下表顯示此變更何時在 Access、Excel、PowerPoint、Visio 和 Word 的每個更新頻道中開放。
| 更新通道 | 版本 | Date |
|---|---|---|
| 目前通道 (預覽) | 版本 2203 | 於 2022 年 4 月 12 日開始推出 |
| 目前通道 | 版本 2206 | 從 2022 年 7 月 27 日開始推出 |
| 每月企業頻道 | 版本 2208 | 2022 年 10 月 11 日 |
| 半年企業通道 (預覽) | 版本 2208 | 2022 年 10 月 11 日 |
| 半年企業通道 | 版本 2208 | 2023 年 1 月 10 日 |
重要事項
Semi-Annual Enterprise Channel (預覽) 將自 2025 年 7 月起被淘汰。 為保持安全與支援,組織應立即將裝置遷移至目前頻道或每月企業頻道,以便持續獲得新功能的早期存取權。
下表顯示此變更何時在 Publisher 的每個更新頻道開放。
| 更新通道 | 版本 | Date |
|---|---|---|
| 目前通道 | 版本 2301 | 2023年2月14日 |
| 每月企業頻道 | 版本 2212 | 2023年2月14日 |
| 每月企業頻道 | 版本 2211 | 2023年2月14日 |
| 半年企業通道 (預覽) | 版本 2208 | 2023年2月14日 |
| 半年企業通道 | 版本 2208 | 2023年2月14日 |
| 半年企業通道 | 版本 2202 | 2023年2月14日 |
| 半年企業通道 | 版本 2108 | 2023年2月14日 |
下表顯示此變更何時在專案的每個更新頻道中開放。
| 更新通道 | 版本 | Date |
|---|---|---|
| 目前通道 | 版本 2407 | 2024年8月13日 |
| 每月企業頻道 | 版本 2406 | 2024年8月13日 |
| 每月企業頻道 | 版本 2405 | 2024年8月13日 |
| 半年企業通道 (預覽) | 版本 2402 | 2024年8月13日 |
| 半年企業通道 | 版本 2402 | 2024年8月13日 |
| 半年企業通道 | 版本 2308 | 2024年8月13日 |
| 半年企業通道 | 版本 2302 | 2024年8月13日 |
這項變更不會影響 Mac 版 Office、Android 或 iOS 裝置版的 Office,或 Office 網頁版。
Office 如何決定是否要在網路檔案中執行巨集
以程圖展示了 Office 如何決定是否要從網際網路執行檔案中的巨集。
以下步驟說明流程圖中的資訊,但 Excel 外掛檔案除外。 欲了解更多相關資訊,請參閱 PowerPoint 與 Excel 的巨集啟用附加檔案。 此外,如果檔案位於不在 本地內聯網 區域或非受信任網站的網路共享上,巨集會被封鎖。
使用者打開一個包含從網路取得巨集的 Office 檔案。 例如,電子郵件附件。 檔案中有 Mark of the Web (MOTW) 。
注意事項
- Windows 會將 Mark of the Web 加入來自不受信任地點的檔案,例如網際網路或限制區域。 例如,瀏覽器下載或電子郵件附件。 欲了解更多資訊,請參閱 網印與區域。
- Mark of the Web 僅適用於儲存在 NTFS 檔案系統上的檔案,不適用於儲存在 FAT32 格式裝置上的檔案。
如果檔案來自受信任位置,則開啟時已啟用巨集。 如果檔案不是來自受信任位置,評估會繼續進行。
如果巨集有數位簽章,且你的裝置有對應的受信任出版者憑證,檔案開啟時會啟用巨集。 如果沒有,評估會繼續進行。
政策會被檢查是否允許巨集。 若政策設定為「未設定」,評估會進入第 6 步。
() 如果巨集被政策封鎖,巨集也會被封鎖。
(b) 如果政策已啟用巨集,則巨集也啟用。如果使用者在預設行為變更前先開啟該檔案,並從信任欄選擇 啟用內容 ,那麼巨集會被啟用,因為該檔案被視為受信任。
注意事項
- 欲了解更多資訊,請參閱 可信文件的新安全強化政策。
- 對於永續版 Office,如 Office LTSC 2021 或 Office 2019,此步驟會在第 3 步、第 4 步之前進行,且不會受到預設行為變更的影響。
此階段是 Office 預設行為變更生效的階段。 此變更後,網路檔案中的巨集被封鎖,使用者開啟檔案時會看到 安全風險 橫幅。
注意事項
在預設行為改變之前,應用程式會檢查 VBA 巨集通知設定 政策是否啟用,以及設定方式。 如果政策設定為「停用」或「未設定」,應用程式會在「檔案>選項>」、「信任中心>」、「信任中心設定...>」中檢查設定。巨集設定。 預設設定為「以通知停用所有巨集」,允許使用者在信任欄中啟用內容。
允許 VBA 巨集在你信任的檔案中執行的指引
從檔案中移除 Mark of the Web(網路標記)
要解除檔案中的巨集阻擋,例如網路上的巨集或電子郵件附件,請在本地裝置上移除 Mark of the Web。 要移除,請右鍵點擊檔案,選擇屬性,然後在一般標籤中勾選解除封鎖的核取方塊。
注意事項
- 在某些情況下,通常是網路共享上的檔案,使用者可能看不到巨集被封鎖的檔案的 解除封鎖 勾選框。 對於這些情況,請參閱 集中存放於網路共享或受信任網站的檔案。
- 即使網路共享上的檔案有 解除封鎖 的核取方塊,只要該共享被視為網 際網路 區域,點選該方塊也不會有影響。 欲了解更多資訊,請參閱 網印與區域。
你也可以使用 PowerShell 中的 Unblock-File 指令碼,將檔案中的 ZoneId 值移除。 移除 ZoneId 值後,VBA 巨集預設可執行。 使用 cmdlet 的效果和在檔案屬性對話框的 General 標籤中勾選「解除封鎖」勾選框是一樣的。 欲了解更多關於 ZoneID 值的資訊,請參閱 Mark of the Web and Zones。
集中存放於網路共享或受信任網站的檔案
如果你讓使用者從受信任的網站或內部檔案伺服器存取檔案,你可以採取以下任一步驟,避免這些地點的巨集被封鎖。
將該地點指定為受信任網站
如果網路位置在內聯網,則將該位置加入 本地內聯網 區域
注意事項
- 如果你把某個網站加成可信網站,你也會讓整個網站在非 Office 相關情境下獲得提升權限。
- 針對 本地內聯 網區域的方法,我們建議你將檔案儲存到已被視為 本地內聯 網區域一部分的位置,而不是新增地點到該區域。
- 一般來說,我們建議使用受信任的網站,因為它們比 本地內聯網 區域有額外的安全性。
例如,若使用者透過網路共享的 IP 位址存取,檔案中的巨集會被封鎖,除非檔案共享位於 受信任網站 或 本地內聯網 區域。
提示
- 若要查看可信網站清單或本地內聯網區域的內容,請到控制台> 網路選項> 更改 Windows 裝置的安全設定。
- 要檢查個別檔案是否來自受信任的網站或本地內聯網位置,請參閱「網路標記與區域」。
例如,你可以將檔案伺服器或網路分享加入受信任站點,將其 FQDN 或 IP 位址加入受信任站點清單。
如果你想新增以 http:// 或網路分享開頭的 URL,請清除 https: () 的「要求伺服器驗證」勾選框,適用於此區域內所有站 點。
重要事項
因為這些位置的巨集不會被封鎖在檔案中,所以你應該謹慎管理這些位置。 務必控制誰有權將檔案存到這些位置。
你可以使用群組原則和「地點到區域分配清單」政策,將地點新增為受信任的網站,或是為組織內的 Windows 裝置加入本地內聯網區域。 此政策可在 Windows 元件\Internet Explorer\網際網路控制台\安全頁面中,群組原則管理主控台找到。 它同時包含在電腦配置\政策\管理範本和使用者設定\政策\管理範本中。
OneDrive 或 SharePoint 上的檔案
若使用者透過網頁瀏覽器在 OneDrive 或 SharePoint 下載檔案,Windows 網際網路安全區域的設定 (控制台>網際網路選項>安全) 決定瀏覽器是否設定網頁標記。 例如,Microsoft Edge 會在檔案上設定 Mark of the Web,只要該檔案來自網際網路區域。
如果使用者在 OneDrive 網站或 SharePoint 網站開啟的檔案中選擇「 在桌面應用程式開啟 」, (包含 Teams 頻道) 使用的網站,該檔案將不會有網頁標記。
如果使用者有執行 OneDrive 同步處理客戶端,而同步客戶端下載了檔案,那麼該檔案就不會有 Mark of the Web。
位於 Windows 已知資料夾的檔案 (桌面、文件、圖片、截圖和相簿) ,且已同步到 OneDrive,則沒有 Mark of the Web。
如果你有一群使用者,例如財務部門,需要在不封鎖巨集的情況下使用 OneDrive 或 SharePoint 的檔案,以下是一些可能的選項:
讓他們用「 在桌面應用程式開啟 」選項打開檔案
請他們把檔案下載到 可信的地點。
將 OneDrive 或 SharePoint 網域的 Windows 網路安全區域設定為受信任網站。 管理員可以使用「Site to Zone Assignment List」政策,並將
https://{your-domain-name}.sharepoint.comSharePoint)https://{your-domain-name}-my.sharepoint.com或 OneDrive) ( (置於受信任站點區域。此政策可在 Windows 元件\Internet Explorer\網際網路控制台\安全頁面中,群組原則管理主控台找到。 它同時包含在電腦配置\政策\管理範本和使用者設定\政策\管理範本中。
將這些地點加入受信任網站並不會改變 SharePoint 權限和 OneDrive 共享。 維持存取控制非常重要。 任何有權限將檔案加入 SharePoint 的人,都可以新增有活躍內容的檔案,例如巨集。 從受信任網站區域內的網域下載檔案的使用者,會繞過預設的封鎖巨集。
支援巨集的 Word、PowerPoint 和 Excel 範本檔案
從網路下載的 Word、PowerPoint 和 Excel 支援巨集範本檔案,會帶有 Mark of the Web。 例如,具有以下副檔名的範本檔案:
- .dot
- .dotm
- 。罐
- .potm
- .xlt
- .xltm
當使用者打開支援巨集的範本檔案時,使用者會被阻止執行範本檔案中的巨集。 如果使用者信任範本檔案的來源,他們可以從範本檔案中移除 Mark of the Web,然後在 Office 應用程式中重新開啟範本檔案。
如果你有一群用戶需要使用啟用巨集的模板而不被阻擋巨集,你可以採取以下任一行動:
- 使用數位簽章並信任出版商。
- 如果你沒有使用數位簽章,你可以將範本檔案儲存到 可信位置 ,讓使用者從該位置取得範本檔案。
PowerPoint 與 Excel 的巨集支援外掛檔案
從網路下載的 PowerPoint 和 Excel 支援巨集的附加檔案帶有 Mark of the Web。 例如,具有以下副檔名的外掛檔案:
- .ppa
- .ppam
- .xla
- .xlam
當使用者嘗試安裝啟用巨集的外掛時,無論是使用 檔案>選項>外掛 或 開發 者功能區,外掛會以停用狀態載入,使用者無法使用外掛。 如果使用者信任外掛檔案的來源,可以從外掛檔案中移除 Mark of the Web,然後重新開啟 PowerPoint 或 Excel 來使用外掛。
如果你有一群使用者需要使用啟用巨集的附加檔案而不被阻擋巨集,你可以採取以下步驟。
關於 PowerPoint 外掛檔案:
- 請將 Mark of the Web 從 .ppa 或 .ppam 檔案中移除。
- 使用數位簽章並信任出版商。
- 將外掛檔案儲存到 可信位置 ,方便使用者取用。
對於 Excel 外掛檔案:
- 請從 .xla 或 .xlam 檔案中移除 Mark of the Web。
- 將外掛檔案儲存到 可信位置 ,方便使用者取用。
注意事項
使用數位簽章並信任出版商,對於帶有 Mark of the Web 的 Excel 外掛檔案是行不通的。 這種行為對於帶有 Mark of the Web 的 Excel 外掛檔案來說並不新鮮。 自 2016 年起,這是因為先前針對 Microsoft 安全公告 MS16-088) 進行的安全強化措施 (。
由受信任的出版商簽署的巨集
如果巨集已經簽署,且你驗證了憑證並信任來源,你可以讓該來源成為受信任的發佈者。 我們建議,如果可能,您為用戶管理可信賴的出版商。 欲了解更多資訊,請參閱 Office 檔案的受信任出版商。
如果你只有少數使用者,可以讓他們 從檔案中移除 Mark of the Web ,然後在他們的裝置 上將巨集來源加入受信任的發佈 者。
警告
- 所有以相同憑證有效簽署的巨集都會被識別為來自受信任的發佈者並執行。
- 新增受信任的出版商可能會影響 Office 以外的情境,因為受信任的出版者是整個 Windows 的設定,而不僅僅是 Office 專屬的設定。
信任位置
將網路檔案儲存到使用者裝置上的可信位置會忽略 Mark of the Web 的檢查,開啟時啟用 VBA 巨集。 例如,業務應用可以定期傳送包含巨集的報告。 如果有巨集的檔案被儲存在可信地點,使用者就不必前往 該檔案的屬性 ,選擇 「解除封鎖 」來讓巨集執行。
由於巨集不會被儲存在可信位置的檔案中阻擋,你應該謹慎管理可信地點並謹慎使用。 網路位置也可以設定為受信任位置,但不建議這麼做。 欲了解更多資訊,請參閱 辦公室檔案的可信地點。
關於網印的更多資訊
網路標記與可信文件
當檔案下載到運行 Windows 的裝置時,會加上 Mark of the Web 的標記,並標明來源為網際網路。 目前,當使用者開啟帶有 Mark of the Web 的檔案時,會出現一個「 安全警告 」橫幅,並附有 啟用內容 按鈕。 如果使用者選擇 啟用內容,該檔案即被視為受信任文件,並允許執行巨集。 即使預設行為改變,阻止來自網際網路檔案的巨集,巨集仍會繼續執行,因為該檔案仍被視為受信任文件。
在預設行為改為封鎖網路檔案巨集後,使用者第一次打開包含網路巨集的檔案時,會看到不同的橫幅。 這個 安全風險 橫幅沒有啟用 內容的選項。 但使用者可以進入該檔案 的屬性 對話框,選擇 「解除封鎖」,這樣就能移除檔案中的 Mark of the Web,並允許巨集執行,只要沒有政策或信任中心設定被阻擋。
網印與區域
預設情況下,網印只會被加到來自 網際網路 或 受限網站 區域的檔案上。
提示
要在 Windows 裝置上查看這些區域,請到控制台> 網路選項>更改安全設定。
你可以透過在命令提示字元執行以下指令,並將 {name of file} 替換為你的檔名來查看檔案的 ZoneId。
notepad {name of file}:Zone.Identifier
執行此指令後,記事本會在[ZoneTransfer]區塊下開啟並顯示ZoneId。
這裡有一份 ZoneId 值清單,以及它們對應到哪個區域。
- 0 = 我的電腦
- 1 = 本地內聯網
- 2 = 受信任網站
- 3 = 網際網路
- 4 = 限制地點
例如,如果 ZoneID 是 2,該檔案中的 VBA 巨集預設不會被封鎖。 但如果 ZoneID 是 3,該檔案中的巨集預設會被封鎖。
你可以用 PowerShell 裡的 Unblock-File 指令檔來移除檔案中的 ZoneId 值。 移除 ZoneId 值後,VBA 巨集預設可執行。 使用 cmdlet 的效果和在檔案屬性對話框的 General 標籤中勾選「解除封鎖」勾選框是一樣的。
使用政策來管理 Office 如何處理巨集
你可以用政策來管理 Office 如何處理巨集。 我們建議你使用網 際網路政策中的「阻止 Office 檔案執行」巨集 。 但如果該政策不適合你的組織,另一個選項是 VBA 巨集通知設定 政策。
欲了解更多部署這些政策的資訊,請參閱 「可用管理政策的工具」。
重要事項
只有在使用 Microsoft 365 Apps 企業版時,才能使用政策。 政策不適用於 Microsoft 365 Apps 商務版。
從網際網路中阻止 Office 檔案執行巨集
此政策防止使用者無意中打開包含網路巨集的檔案。 當檔案被下載到運行 Windows 的裝置,或從網路共享位置開啟時,會加到 Mark of the Web 的檔案中,以識別其來源為網際網路。
我們建議將此政策作為Microsoft 365 Apps 企業版安全基線的一部分啟用。 你應該對大多數使用者啟用此政策,並只在必要時對特定使用者例外。
這七個申請都有獨立的政策。 下表顯示每個政策在群組原則管理主控台的使用者設定\政策\管理範本中的位置:
| 應用程式 | 政策位置 |
|---|---|
| Access | Microsoft Access 2016\Application Settings\Security\Trust Center |
| Excel | Microsoft Excel 2016\Excel Options\Security\Trust Center |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint 選項\安全性\信任中心 |
| Project | Microsoft Project 2016\專案選項\安全\信任中心 |
| 發行者 | Microsoft Publisher 2016\Publisher Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word 選項\安全\信任中心 |
你選擇的保單州決定你提供的保障程度。 下表顯示在預設行為變更實施前,每個狀態所獲得的保護等級。
| 圖示 | 保護層級 | 政策狀態 | 描述 |
|---|---|---|---|
|
受保護 [推薦] | Enabled | 使用者被禁止在從網路取得的檔案中執行巨集。 Microsoft 建議的安全基線之一。 |
|
沒有受到保護 | 已停用 | 會 尊重檔案>選項>、信任中心>、信任中心設定中設定的設定......>巨集設定。 |
|
|
沒有受到保護 | 未設定 | 會 尊重檔案>選項>、信任中心>、信任中心設定中設定的設定......>巨集設定。 |
注意事項
- 如果你將此政策設為停用,使用者在開啟帶有巨集的檔案時,預設會看到安全警告。 該警告會告知使用者巨集已被停用,但允許使用者透過選擇 啟用內容 按鈕來執行巨集。
- 這個警告是之前用戶看到的警告,之前我們實施封鎖巨集的變更之前。
- 我們不建議將此政策設為永久身心障礙。 但在某些情況下,暫時進行這種做法可能比較實際,因為你可以測試新的巨集阻擋行為如何影響組織,並開發出允許安全使用巨集的解決方案。
在我們實施預設行為變更後,當政策設定為「未設定」時,保護層級會改變。
| 圖示 | 保護層級 | 政策狀態 | 描述 |
|---|---|---|---|
|
|
受保護 | 未設定 | 使用者被禁止在從網路取得的檔案中執行巨集。 使用者看到帶有「了解更多」按鈕的「安全風險」橫幅 |
VBA 巨集通知設定
如果你沒有使用「從網路上阻止 Office 檔案執行巨集」的政策,你可以使用「VBA 巨集通知設定」政策來管理 Office 如何處理巨集。
此政策防止使用者被誘騙啟用惡意巨集。 預設情況下,Office 會封鎖包含 VBA 巨集的檔案,並顯示一個信任欄,警告巨集存在且已被停用。 使用者可在適當情況下檢查和編輯檔案,但在選擇信任欄的啟用 內容 前,無法使用任何已停用的功能。 如果使用者選擇 啟用內容,該檔案就會被加入為受信任文件,並允許執行巨集。
這七個申請都有獨立的政策。 下表顯示每個政策在群組原則管理主控台的使用者設定\政策\管理範本中的位置:
| 應用程式 | 政策位置 |
|---|---|
| Access | Microsoft Access 2016\Application Settings\Security\Trust Center |
| Excel [1] | Microsoft Excel 2016\Excel Options\Security\Trust Center |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint 選項\安全性\信任中心 |
| Project | Microsoft Project 2016\專案選項\安全\信任中心 |
| 發行者 | Microsoft Publisher 2016\Publisher Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word 選項\安全\信任中心 |
注意事項
- [1] 對於 Excel 來說,該政策稱為巨集通知設定。
你選擇的保單州決定你提供的保障程度。 下表顯示各州提供的保護等級。
| 圖示 | 保護層級 | 政策狀態 | 保單價值 |
|---|---|---|---|
|
|
受保護 [推薦] | Enabled | (停用除數位簽名巨集外的所有巨集,並選擇「要求巨集由受信任的發佈者簽署」) |
|
|
受保護 | Enabled | 請無通知地全部停用 |
|
部分受保護 | Enabled | 通知時全部停用 |
|
|
部分受保護 | 已停用 | (和「用通知停用所有」的行為一樣 ) |
|
|
沒有受到保護 | Enabled | 啟用所有巨集 (不建議) |
重要事項
確保營養素攝取很重要。 對於不需要巨集的使用者,請選擇「無通知地全部停用」來關閉所有巨集。
我們的安全基準建議是,您應該採取以下步驟:
- 啟用「VBA 巨集通知設定」政策。
- 對於需要巨集的使用者,請選擇「停用除數位簽署巨集外的所有巨集」,然後選擇「要求巨集由受信任的發佈商簽署」。憑證必須在使用者裝置上安裝為受信任發佈者。
如果你沒有設定該政策,使用者可以在檔案>選項>、信任中心>、信任中心設定中>設定巨集保護設定......巨集設定。
下表顯示使用者在 巨集設定 下可做出的選擇及各設定所提供的保護等級。
| 圖示 | 保護層級 | 選擇的場景 |
|---|---|---|
|
|
受保護 | 除了經數位簽章的巨集外,停用所有巨集 |
|
|
受保護 | 停用所有巨集 (不事先通知) |
|
|
部分受保護 | 預設通知 (停用所有巨集 ) |
|
|
沒有受到保護 | 啟用所有巨集 (不建議使用,會執行有潛在危險的程式碼) |
注意事項
在 Excel 的政策設定值和產品介面中,「全部」這個詞會被「VBA」取代。例如,「在沒有通知的情況下停用 VBA 巨集」。
可用於管理政策的工具
您有多種工具可用來設定並部署政策設定給組織內的使用者。
雲端原則
你可以用雲端政策來設定並部署政策設定給組織內的裝置,即使該裝置沒有網域加入。 Cloud Policy 是一個基於網頁的工具,位於 Microsoft 365 Apps 管理中心。
在雲端政策中,你建立一個政策設定,指派給群組,然後選擇要包含在政策設定中的政策。 要選擇要包含的保單,可以依保單名稱搜尋。 雲端政策也會顯示哪些政策屬於 Microsoft 推薦的安全基準。 雲端政策中可用的政策與群組原則管理主控台中的使用者配置政策相同。
欲了解更多資訊,請參閱 Microsoft 365 雲端政策服務概述。
Microsoft Intune admin center
在Microsoft Intune管理中心,您可以使用設定目錄 (預覽) ,或是管理範本,為運行 Windows 10 或更晚版本的裝置配置並部署政策設定給使用者。
要開始,請前往 裝置>設定檔>建立設定檔。 在平台設定中,選擇 Windows 10 及以後版本,然後選擇設定檔類型。
如需詳細資訊,請參閱下列文章:
群組原則管理主控台
如果你組織中有部署Windows Server和Active Directory 網域服務 (AD DS) ,你可以透過群組原則來設定政策。 要使用 群組原則,請下載 Office) ADMX/ADML (最新的管理範本檔案,其中包含 Microsoft 365 Apps 企業版 的政策設定。 將管理範本檔案複製到 AD DS 後,你可以使用 群組原則 管理主控台建立包含使用者及網域加入裝置政策設定的 群組原則 物件 (GPO) 。