Gestire contenuti attivi nei documenti di Office
Nota
Le funzionalità descritte in questo articolo sono disponibili in anteprima, non sono disponibili per tutti e sono soggette a modifiche.
I documenti di Office possono essere aggiornati, aggiornati o eseguiti automaticamente quando contengono contenuto attivo. Esempi di contenuto attivo sono macro, controlli ActiveX e componenti aggiuntivi di Office. Il contenuto attivo può fornire funzionalità potenti e utili agli utenti, ma gli utenti malintenzionati possono anche usare il contenuto attivo per distribuire malware.
Gli amministratori possono creare criteri dell'organizzazione (criteri di gruppo o cloud) che limitano l'uso del contenuto attivo a specifici set di utenti o per disabilitare completamente il contenuto attivo. Gli utenti possono configurare le proprie impostazioni di sicurezza e privacy nel Centro protezione di Office nelle app di Office nelCentro protezioneOpzioni>file>.
In precedenza, quando gli utenti identificavano i documenti come documenti attendibili, la selezione consentiva l'esecuzione del contenuto attivo, anche se un amministratore configurava criteri per bloccare il contenuto attivo nei documenti di Office. I criteri impostati dagli amministratori hanno ora la precedenza sull'identificazione utente dei documenti attendibili. Questa modifica del comportamento potrebbe causare problemi agli utenti.
La logica aggiornata del Centro protezione è descritta nel diagramma seguente:
Un utente apre un documento di Office che contiene contenuto attivo.
Se il documento proviene da un percorso attendibile, il documento viene aperto con il contenuto attivo abilitato. Se il documento non proviene da un percorso attendibile, la valutazione continua.
È qui che il comportamento aggiornato diventa effettivo:
In precedenza, l'impostazione valutata successiva sarebbe stata se l'utente avesse identificato questo documento come documento attendibile. In caso affermativo, il documento verrà aperto con il contenuto attivo abilitato.
Ora, se l'utente ha identificato il documento come documento attendibile o meno, non viene considerato qui (ora al passaggio 8).
La modifica fondamentale del comportamento è descritta di seguito: i criteri cloud (passaggio 4), i criteri di gruppo (passaggio 6) e le impostazioni locali (passaggio 7) vengono controllati prima ancora che venga presa in considerazione la designazione utente di un documento attendibile. Se uno di questi passaggi blocca l'accesso al contenuto attivo e nessuno dei passaggi consente l'override dell'utente, l'identificazione utente del documento come documento attendibile è irrilevante.
I criteri cloud vengono controllati per verificare se questo tipo di contenuto attivo è consentito o bloccato. Se il contenuto attivo non è bloccato, la valutazione continua al passaggio 6.
Se il contenuto attivo è bloccato dai criteri, l'esperienza è descritta nel passaggio 5.
L'apertura del documento viene bloccata con una notifica nella barra di attendibilità. Ciò che accade dopo è controllato dalle impostazioni di override utente nei criteri: a. Override utente non consentito: l'utente non può aprire il documento e la valutazione si arresta. b. Override utente consentito: l'utente può fare clic sul collegamento nella barra di attendibilità per aprire il documento con il contenuto attivo abilitato.
I criteri di gruppo vengono controllati per verificare se questo tipo di contenuto attivo è consentito o bloccato. Se il contenuto attivo non è bloccato, la valutazione continua al passaggio 7.
Se il contenuto attivo è bloccato dai criteri, l'esperienza è descritta nel passaggio 5.
Le impostazioni locali vengono controllate per verificare se questo tipo di contenuto attivo è consentito o bloccato. Se il contenuto attivo è bloccato, l'apertura del documento viene bloccata con una notifica nella barra di attendibilità. Se il contenuto attivo non è bloccato, la valutazione continua.
Se l'utente ha identificato in precedenza il documento come documento attendibile, il documento viene aperto con il contenuto attivo abilitato. In caso contrario, l'apertura del documento viene bloccata.
Che cos'è un documento attendibile?
I documenti attendibili sono documenti di Office aperti senza richieste di sicurezza per macro, controlli ActiveX e altri tipi di contenuto attivo nel documento. Visualizzazione protetta o Application Guard non viene usato per aprire il documento. Quando gli utenti aprono un documento attendibile e tutto il contenuto attivo è abilitato. Anche se il documento contiene nuovo contenuto attivo o aggiornamenti del contenuto attivo esistente, gli utenti non riceveranno richieste di sicurezza alla successiva apertura del documento.
A causa di questo comportamento, gli utenti devono considerare chiaramente attendibili i documenti solo se considerano attendibile l'origine del documento.
Se un amministratore blocca il contenuto attivo usando un criterio o se gli utenti impostano un'impostazione del Centro protezione che blocca il contenuto attivo, il contenuto attivo rimarrà bloccato.
Per altre informazioni, vedere gli articoli seguenti:
- Documenti attendibili
- Aggiungere, rimuovere o modificare un percorso attendibile
- Tipi di contenuto attivo nei file
Configurare le impostazioni dei documenti attendibili nei criteri di Office
Gli amministratori hanno molti modi per configurare Office in un'organizzazione. Ad esempio:
- Servizio Criteri cloud di Office: configurare criteri basati su utente che si applicano a un utente in qualsiasi dispositivo che accede ai file nelle app di Office con il proprio account Microsoft Entra. Vedere i passaggi per la creazione di una configurazione dei criteri cloud di Office nel servizio Criteri cloud di Office.
- Criteri di Office in Intune: usare il catalogo impostazioni di Intune o i modelli amministrativi per distribuire i criteri HKCU nei PC Windows 10: nell'interfaccia di amministrazione di Intune inProfili di configurazionedei dispositivi>.
- Modelli amministrativi: vedere le istruzioni per usare Windows 10 modelli per configurare modelli amministrativi.
- Catalogo delle impostazioni (anteprima): vedere le istruzioni per usare il catalogo impostazioni.
- Criteri di gruppo: usare il Active Directory locale per distribuire oggetti Criteri di gruppo a utenti e computer. Per creare un oggetto Criteri di gruppo per questa impostazione, scaricare i file dei modelli amministrativi più recenti (ADMX/ADML) e lo strumento di personalizzazione di Office per Microsoft 365 Apps for enterprise, Office 2019 e Office 2016.
Problemi noti
- Quando il criterio VbA Macro notifications (Access, PowerPoint, Visio, Word) o Macro notifications (Excel) è impostato sul valore Disable all except digitally signed macros,the expected trust bar is not displayed, and Security Information in the backstage not list details of macros blocked, even though the setting is working as expected. Il team di Office sta lavorando per risolvere questo problema.
Amministrazione opzioni per limitare il contenuto attivo
Esiste una grande differenza nel livello di attendibilità nel contenuto creato internamente rispetto al contenuto scaricato dagli utenti da Internet. Valutare la possibilità di consentire il contenuto attivo nei documenti interni e di non consentire a livello globale contenuto attivo nei documenti da Internet.
Se gli utenti non necessitano di tipi specifici di contenuto attivo, l'opzione più sicura consiste nell'usare i criteri per disattivare l'accesso degli utenti a tale contenuto attivo e consentire eccezioni in base alle esigenze.
Sono disponibili i criteri seguenti:
- Disattiva percorsi attendibili: eccezioni per i gruppi disponibili.
- Disattiva documenti attendibili: eccezioni per i gruppi disponibili.
- Disattiva tutto il contenuto attivo: eccezioni per gli utenti singoli.
Le tabelle nelle sezioni seguenti descrivono le impostazioni che controllano il contenuto attivo. Questi criteri, se applicati agli utenti, verranno applicati ai documenti attendibili e l'esperienza utente finale precedente potrebbe non essere la stessa. Le tabelle includono anche l'impostazione baseline di sicurezza consigliata e identificano altre impostazioni in cui è disponibile la richiesta dell'utente di eseguire l'override (consentendo all'utente di abilitare il contenuto attivo).
impostazioni HKEY_CURRENT_USER
| Categoria | App | Nome criterio | Baseline di sicurezza impostazione (scelta consigliata) |
Impostazione con prompt dell'utente ed eseguire l'override disponibile? |
|---|---|---|---|---|
| Activex | Office | Inizializzazione di controlli ActiveX | 6 | Sì per i valori seguenti:
|
| Activex | Office | Consenti moduli attivi x uno disattivati | Carica solo controlli di Outlook | No |
| Activex | Office | Check ActiveX objects | Non è un'impostazione di base di sicurezza. | No |
| Activex | Office | Disattiva tutti i controlli ActiveX | Non è un'impostazione di base di sicurezza. | Sì per i valori seguenti:
|
| Activex | Office | Carica controlli in Forms3 | 1 | Sì per i valori seguenti:
|
| Componenti aggiuntivi & estendibilità | Excel PowerPoint Project Publisher Visio Word |
Disabilitare la notifica della barra di attendibilità per i componenti aggiuntivi dell'applicazione non firmati e bloccarli | Enabled | Sì per il valore Disabilitato. |
| Componenti aggiuntivi & estendibilità | Excel PowerPoint Project Publisher Visio Word |
Richiedi firma autore attendibile per i componenti aggiuntivi applicazioni | Enabled | No |
| Componenti aggiuntivi & estendibilità | Excel | Non visualizzare l'avviso di ripubblicazione automatica | Disabled | No |
| Componenti aggiuntivi & estendibilità | Excel | Impostazioni di notifica della funzione WEBSERVICE | Disattiva tutte le macro con notifica. | Sì per i valori seguenti:
|
| Componenti aggiuntivi & estendibilità | Office | Disabilitare il client di Office dal polling di SharePoint Server per i collegamenti pubblicati | Disabled | No |
| Componenti aggiuntivi & estendibilità | Office | Disabilitare l'estensione dell'interfaccia utente da documenti e modelli | Non consentire in Word = True Non consentito in Project = False Non consentire in Excel = True Non consentire in Visio= False Non consentire in PowerPoint = True Non consentire in Access = True Non consentito in Outlook = True Non consentito in Publisher = True Non consentire in InfoPath = True |
No |
| Componenti aggiuntivi & estendibilità | Outlook | Configurazione avviso del modello a oggetti di Outlook per l'accesso a una Rubrica | Nega automaticamente | Sì per i valori seguenti:
|
| Componenti aggiuntivi & estendibilità | Outlook | Configurare la richiesta del modello a oggetti di Outlook quando si accede alla proprietà Formula di un oggetto UserProperty | Nega automaticamente | Sì per i valori seguenti:
|
| Componenti aggiuntivi & estendibilità | Outlook | Configurazione avviso del modello a oggetti di Outlook per l'esecuzione di un'operazione di salvataggio con nome | Nega automaticamente | Sì per i valori seguenti:
|
| Componenti aggiuntivi & estendibilità | Outlook | Configurazione avviso del modello a oggetti di Outlook per la lettura delle informazioni sull'indirizzo | Nega automaticamente | Sì per i valori seguenti:
|
| Componenti aggiuntivi & estendibilità | Outlook | Configurazione avviso del modello a oggetti di Outlook per la risposta alle convocazioni di riunione e alle richieste di attività | Nega automaticamente | Sì per i valori seguenti:
|
| Componenti aggiuntivi & estendibilità | Outlook | Configurazione avviso del modello a oggetti di Outlook per l'invio dei messaggi | Nega automaticamente | Sì per i valori seguenti:
|
| Componenti aggiuntivi & estendibilità | Outlook | Impostazione del prompt di esecuzione delle azioni personalizzate del modello a oggetti di Outlook | Nega automaticamente | Sì per i valori seguenti:
|
| Componenti aggiuntivi & estendibilità | PowerPoint | Eseguire programmi | disabilita (non eseguire programmi) | Sì per il valore Abilita (richiedi conferma all'utente prima dell'esecuzione) |
| Componenti aggiuntivi & estendibilità | Word Excel |
Disabilitare l'uso dei manifesti da parte di Smart Document | Enabled | No |
| DDE | Excel | Non consentire l'avvio del server DDE (Dynamic Data Exchange) in Excel | Enabled | Sì per il valore Non configurato. |
| DDE | Excel | Non consentire la ricerca di server DDE (Dynamic Data Exchange) in Excel | Enabled | Sì per i valori seguenti:
|
| DDE | Word | Scambio dinamico di dati | Disabled | No |
| Jscript & VBScript | Outlook | Consenti script in singoli moduli di Outlook | Disabled | No |
| Jscript & VBScript | Outlook | Non consentire l'esecuzione di script del modello a oggetti di Outlook per le cartelle pubbliche | Enabled | No |
| Jscript & VBScript | Outlook | Non consentire l'esecuzione di script del modello a oggetti di Outlook per le cartelle condivise | Enabled | No |
| Macro | Excel | Notifiche macro | Disattiva tutte le macro ad eccezione delle macro firmate digitalmente. | Sì per i valori seguenti:
|
| Macro | Accesso PowerPoint Project Publisher Visio Word |
Impostazioni di notifica macro VBA | Disattiva tutte le macro ad eccezione delle macro firmate digitalmente. e Richiedere che le macro siano firmate da un autore attendibile |
Sì per i valori seguenti:
|
| Macro | Accesso Excel PowerPoint Visio Word |
Impedire l'esecuzione di macro in file di Office da Internet | Enabled | Sì per i valori seguenti:
|
| Macro | Excel | Analizzare le macro crittografate nelle cartelle di lavoro Open XML di Excel | Analizzare le macro crittografate (impostazione predefinita) | No |
| Macro | Office | Consentire a VBA di caricare i riferimenti della libreria dei tipi in base al percorso da percorsi Intranet non attendibili | Disabled | No |
| Macro | Office | Protezione automazione | Usa il livello di sicurezza delle macro dell'applicazione. | No |
| Macro | Office | Disabilitare altri controlli di sicurezza sui riferimenti alla libreria VBA che possono fare riferimento a posizioni non sicure nel computer locale | Disabled | No |
| Macro | Office | Ambito analisi runtime macro | Abilita per tutti i documenti | No |
| Macro | Office | Considera attendibili solo le macro VBA che usano firme V3 | Non è un'impostazione di base di sicurezza. | No |
| Macro | Outlook | Modalità di sicurezza di Outlook | Usare Outlook Security Criteri di gruppo | Necessario per abilitare tutte le impostazioni dell'oggetto Criteri di gruppo di Outlook. Indicato come dipendenza (questo criterio non blocca il contenuto attivo stesso). |
| Macro | Outlook | Impostazione di sicurezza per le macro | Avvisare per firmato, disabilitare unsigned | Sì per i valori seguenti:
|
| Macro | PowerPoint | Analizzare le macro crittografate nelle presentazioni Open XML di PowerPoint | Analizzare le macro crittografate (impostazione predefinita) | No |
| Macro | Publisher | Livello di sicurezza di Automazione server di pubblicazione | Determinato dall'utente | No |
| Macro | Word | Analizzare macro crittografate in Word documenti Open XML | Analizzare le macro crittografate (impostazione predefinita) | No |
impostazioni HKEY_LOCAL_MACHINE
| Categoria | App | Nome criterio | Baseline di sicurezza impostazione (scelta consigliata) |
Impostazione con prompt dell'utente ed eseguire l'override disponibile? |
|---|---|---|---|---|
| Activex | Office | Restrizioni installazione ActiveX | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
No |
| Componenti aggiuntivi & estendibilità | Office | Gestione componenti aggiuntivi | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
No |
| Componenti aggiuntivi & estendibilità | Office | Bloccare l'attivazione flash nei documenti di Office | Vedere i file ADMX/ADML della Guida alla sicurezza Microsoft per un elenco di killbit COM per bloccare tutte le attivazioni per Flash nelle app di Microsoft 365. I file ADMX/ADML per le baseline di sicurezza aziendali sono disponibili in Security Compliance Toolkit. | No |
| Jscript & VBScript | Office | Limitare l'esecuzione di JScript legacy per Office | Abilitato: Accesso: 69632 Excel: 69632 OneNote: 69632 Outlook: 69632 PowerPoint: 69632 Progetto: 69632 Editore: 69632 Visio: 69632 Word: 69632 |
No |
| Jscript & VBScript | Office | Restrizioni di protezione finestre avviate da script | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
No |