適用於:Office 長期服務頻道 (LTSC) 2024、Office LTSC 2021、Office 2019 及 Office 2016 ((包括 Project 與 Visio) )的批量授權版本
出版者是指發佈軟體的人或公司,例如巨集、ActiveX 控制項或外掛。 在決定信任出版社之前,務必了解出版商是誰,以及他們的資歷是否有效。
如果 Office 警告你檔案中可能有不安全的程式碼,你可以先查看更多關於程式碼和發佈者的資訊,再決定是信任程式碼還是發佈者。 如果你看到缺少或無效的簽名警告,除非你確定程式碼來自可靠來源,否則不要啟用該內容或信任出版商。 通常,簽名無效的訊息表示程式碼在作者簽署後被竄改。
如果 Office 檔案中的巨集有簽署,且你驗證了憑證並信任來源,你可以將該來源標記為受信任的發佈者。 如果可能,集中管理受信任的出版商,以減少用戶提示並確保巨集安全。
注意事項
如果您的組織在 Office 檔案中建立並分享巨集——無論是與內部使用者還是外部客戶——您的巨集開發者應將 Visual Basic for Applications (VBA) 程式碼簽署為最佳實務。 這些程式碼通常會在巨集分發前,先以商業憑證授權機構 (CA) 簽署的數位憑證簽署。
要成為受信任發佈者,用於簽署巨集的公開程式碼簽署憑證必須加入裝置上的受信任發佈者憑證儲存庫。
警告
- 所有以相同憑證有效簽署的巨集都會被識別為來自受信任的發佈者並執行。
- 新增可信的出版商影響的不只是 Office。 因為它是 Windows 全域的設定,所以它可以應用在 Office 以外的其他情境。
使用群組原則來管理受信任的發佈者
你可以使用群組原則,將用於簽署該巨集的公開程式碼簽署憑證分發給組織內的裝置。 要分發憑證,您可以在群組原則管理工具中執行以下步驟:
- 進入電腦設定\政策\Windows 設定\安全設定\公鑰政策,右鍵點擊 受信任發佈者,然後選擇 匯入。
- 執行 憑證匯入嚮導 ,並將適當的憑證檔案匯入可信出版商憑證儲存庫。
對於只應該執行由受信任發佈者簽署的 VBA 巨集的使用者,請將 VBA 巨集通知設定 政策設為 啟用 ,並在 選項中執行以下步驟:
- 從下拉選單中選擇 「停用除數位簽名外的所有巨集 」。
- 選擇 「要求巨集由受信任的出版商簽署」 勾選框。
注意事項
如果你選擇這些 Excel 設定,Excel 4.0 的巨集會被封鎖。
如果你想提供更多限制,可以在 選項 中選擇 只安裝在目前使用者憑證商店勾選框中的受信任發佈者的封鎖憑證 。 這個設定會防止使用者手動在裝置上新增受信任的發佈者,除非他們在裝置上擁有管理員權限。
使用命令列程式來分發可信出版者的憑證
如果你的組織不使用群組原則,你可以手動分發公開的程式碼簽署憑證,或透過腳本中的 certutil 指令來分發。 你可以使用 -addstore 參數 ,將程式碼簽署憑證加入裝置上的 TrustedPublisher 儲存庫。
請使用者手動新增一個可信的出版商
如果你只有少數使用者需要設定受信任的出版商,你可以在每個裝置上手動設定。 使用者只需對每個出版商進行一次這個操作。
使用者可 依照這些指示 將來源加入受信任的出版商。 若檔案帶有 Mark of the Web,使用者必須先從檔案中移除 Mark of the Web,才能將來源加入受信任的出版商。 欲了解更多資訊,請參閱 本文資訊。