Autori attendibili per i file di Office

Si applica a:Microsoft 365 Apps, Office LTSC 2021, Office 2019 e Office 2016

Un server di pubblicazione è una persona o una società che ha pubblicato software, ad esempio una macro, un controllo ActiveX o un componente aggiuntivo. Prima di decidere che un server di pubblicazione è affidabile e può essere considerato attendibile, è necessario conoscere l'identità del server di pubblicazione e se le credenziali del server di pubblicazione sono valide.

Se Office segnala codice potenzialmente non sicuro in un file, è possibile visualizzare altre informazioni sul codice e sul server di pubblicazione prima di decidere se considerare attendibile il codice o il server di pubblicazione. Se viene visualizzato un avviso che indica che non è presente alcuna firma o che la firma non è valida, non è consigliabile abilitare il contenuto o considerare attendibile il server di pubblicazione a meno che non si sia certi che il codice provenga da un'origine affidabile. In genere, un messaggio che indica che la firma non è valida significa che il codice è stato manomesso dopo che l'autore l'ha firmato.

Se una macro usata in un file di Office è firmata e il certificato è stato convalidato e l'origine è attendibile, è possibile impostare tale origine come autore attendibile. Se possibile, è consigliabile gestire server di pubblicazione attendibili per gli utenti.

Nota

Se l'organizzazione sviluppa e distribuisce macro nei file di Office, a utenti interni o a clienti esterni, gli sviluppatori di macro devono firmare il codice VBA come procedura consigliata. Il codice viene in genere firmato con un certificato digitale da un'autorità di certificazione commerciale prima della distribuzione delle macro.

Per essere un autore attendibile, il certificato di firma del codice pubblico usato per firmare la macro deve essere aggiunto all'archivio certificati autori attendibili nel dispositivo.

Avviso

• Tutte le macro firmate validamente con lo stesso certificato vengono riconosciute come provenienti da un autore attendibile e vengono eseguite.
• L'aggiunta di un server di pubblicazione attendibile potrebbe influire sugli scenari oltre a quelli correlati a Office, perché un autore attendibile è un'impostazione a livello di Windows, non solo un'impostazione specifica di Office.

Usare Criteri di gruppo per gestire server di pubblicazione attendibili

È possibile usare Criteri di gruppo per distribuire ai dispositivi dell'organizzazione il certificato di firma del codice pubblico usato per firmare la macro. Per distribuire il certificato, è possibile eseguire la procedura seguente nello strumento di gestione Criteri di gruppo:

1. Vai Configurazione computer\Criteri\Impostazioni di Windows\Impostazioni di sicurezza\Criteri chiave pubblica, fai clic con il pulsante destro del mouse su Autori attendibili e quindi scegli Importa.
2. Eseguire l'Importazione guidata certificati e importare il file di certificato appropriato nell'archivio certificati autori attendibili.

Per gli utenti che devono eseguire solo macro VBA firmate da un autore attendibile, è necessario impostare il criterio Impostazioni di notifica macro VBA su Abilitato e seguire questa procedura in Opzioni:

• Selezionare Disabilita tutte tranne le macro con firma digitale dall'elenco a discesa.
• Selezionare la casella di controllo Richiedi la firma delle macro da parte di un autore attendibile .

Nota

Se si scelgono queste impostazioni per Excel, le macro di Excel 4.0 verranno bloccate.

Se si vogliono fornire altre restrizioni, in Opzioni è possibile selezionare la casella di controllo Blocca certificati da autori attendibili installati solo nell'archivio certificati utente corrente . Questa impostazione impedisce agli utenti di aggiungere manualmente un autore attendibile nel dispositivo, a meno che non dispongano delle autorizzazioni di amministratore nel dispositivo.

Usare un programma della riga di comando per distribuire un certificato per un autore attendibile

Se non è possibile usare o non usare Criteri di gruppo nell'organizzazione, è anche possibile distribuire il certificato di firma del codice pubblico usando il comando certutil in uno script o manualmente in un dispositivo. È possibile usare il parametro -addstore per aggiungere il certificato di firma del codice all'archivio TrustedPublisher nel dispositivo.

Fare in modo che un utente aggiuti manualmente un autore attendibile

Se sono presenti solo alcuni utenti che devono configurare un autore attendibile, è possibile eseguire questa operazione manualmente in ogni dispositivo. Gli utenti devono eseguire questa operazione solo una volta per ogni server di pubblicazione.

Gli utenti possono seguire queste istruzioni per aggiungere l'origine a un autore attendibile. Se il file include il contrassegno del Web, gli utenti devono prima rimuovere Il contrassegno del Web dal file prima di poter aggiungere l'origine come autore attendibile. Per altre informazioni, vedere le informazioni in questo articolo.