Compartilhar via


Macros da Internet são bloqueadas por padrão no Office

As macros VBA são uma forma comum de agentes mal-intencionados obterem acesso para implantar malware e ransomware. Portanto, para ajudar a melhorar a segurança no Office, estamos alterando o comportamento padrão dos aplicativos do Office para bloquear macros em arquivos da Internet.

Essa alteração afeta a forma como os usuários interagem com arquivos da Internet, como anexos de email contendo macros. Agora, quando os usuários abrem esse arquivo, eles veem a seguinte mensagem:

Uma captura de tela de um banner de risco à segurança indicando que a Microsoft bloqueou a execução de macros porque a origem do arquivo não é confiável.

O botão Saiba mais leva a um artigo para usuários finais e profissionais da informação que contém informações sobre o risco de segurança de atores mal-intencionados usando macros, práticas seguras para evitar phishing e malware e instruções sobre como habilitar essas macros (se necessário ).

Em alguns casos, os usuários também verão a mensagem se o arquivo for de um local na sua intranet e não for identificado como confiável. Por exemplo, se os usuários estiverem acessando arquivos em um compartilhamento de rede usando o endereço IP do compartilhamento. Para obter mais informações, veja Arquivos localizados centralmente em um compartilhamento de rede ou site confiável.

Importante

Mesmo antes dessa alteração que estamos introduzindo, as organizações podiam usar a política Bloquear a execução de macros em arquivos do Office da Internet para evitar que os usuários abrissem inadvertidamente arquivos da Internet que contenham macros. Recomendamos habilitar esta política como parte da linha de base de segurança do Microsoft 365 Apps para Grandes Empresas. Se você configurar a política, sua organização não será afetada por essa alteração padrão.

Para obter mais informações, veja Usar políticas para gerenciar como o Office lida com macros.

Prepare-se para essa alteração

Prepare-se para essa alteração trabalhando com as unidades de negócios da sua organização que utilizam macros em arquivos do Office. Esses arquivos geralmente são abertos em locais como compartilhamentos de rede de intranet ou sites de intranet. Você deseja identificar essas macros e determinar quais etapas tomar para continuar usando essas macros. Trabalhe com ISVs (fornecedores independentes de software) que fornecem macros em arquivos do Office desses locais. Por exemplo, para ver se eles podem assinar digitalmente seu código e se você pode tratá-los como um editor confiável.

Além disso, revise as seguintes informações:

Ação de preparação Mais informações
Entenda qual versão de cada canal de atualização possui essa alteração Versões do Office afetadas por essa alteração
Veja um fluxograma do processo que o Office executa para determinar se as macros devem ser executadas em um arquivo Como o Office determina se deve executar macros em arquivos da Internet
Saiba mais sobre as políticas que você pode usar para controlar a execução de macros VBA Use políticas para gerenciar como o Office lida com macros

Etapas a serem seguidas para permitir que macros VBA sejam executadas em arquivos confiáveis

A maneira como você permite que macros VBA sejam executadas em arquivos confiáveis ​​depende de onde esses arquivos estão localizados ou do tipo de arquivo.

A tabela a seguir lista diferentes cenários comuns e possíveis abordagens para desbloquear macros VBA e permitir sua execução. Você não precisa fazer todas as abordagens possíveis para um determinado cenário. Nos casos em que listamos múltiplas abordagens, escolha aquela que melhor se adapta à sua organização.

Cenário Possíveis abordagens a serem adotadas
Arquivos individuais
• Marque a caixa de seleção Desbloquear na guia Geral da caixa de diálogo Propriedades do arquivo
• Use o cmdlet Unblock-File no PowerShell

Para obter mais informações, veja Remover Marca da Web de um arquivo.
Arquivos localizados centralmente em um compartilhamento de rede ou site confiável Desbloqueie o arquivo usando uma abordagem listada em “Arquivos individuais”.

Se não houver uma caixa de seleção Desbloquear e você quiser confiar em todos os arquivos nesse local de rede:
• Designe o local como um site confiável
• Adicione o local à zona Intranet local

Para obter mais informações, veja Arquivos localizados centralmente em um compartilhamento de rede ou site confiável.
Arquivos armazenados no OneDrive ou Microsoft Office SharePoint Online, incluindo um site usado por um canal do Teams • Faça com que os usuários abram o arquivo diretamente usando a opção Abrir no aplicativo de desktop
• Se os usuários baixarem o arquivo localmente antes de abri-lo, remova o Mark of the Web da cópia local do arquivo (veja as abordagens em "Arquivos individuais")
• Designe o local como um site confiável

Para obter mais informações, veja Arquivos no OneDrive ou Microsoft Office SharePoint Online.
Arquivos de modelo habilitados para macro para Word, PowerPoint e Excel Se o arquivo de modelo estiver armazenado no dispositivo do usuário:
• Remover Marca da Web do arquivo de modelo (veja as abordagens em "Arquivos Individuais")
• Salve o arquivo de modelo em um local confiável

Se o arquivo de modelo estiver armazenado em um local de rede:
• Use uma assinatura digital e confie no editor
• Confie no arquivo de modelo (veja as abordagens em "Arquivos localizados centralmente em um compartilhamento de rede ou site confiável")

Para obter mais informações, veja Arquivos de modelo habilitados para macro para Word, PowerPoint e Excel.
Arquivos de suplementos habilitados para macro para PowerPoint • Remova a Marca da Web do arquivo Suplemento
• Use uma assinatura digital e confie no editor
• Salve o arquivo do suplemento em um local confiável

Para obter mais informações, veja Arquivos de suplementos habilitados para macro para PowerPoint e Excel.
Arquivos de suplementos habilitados para macro para Excel • Remova a Marca da Web do arquivo Suplemento
• Salve o arquivo do suplemento em um local confiável

Para obter mais informações, veja Arquivos de suplementos habilitados para macro para PowerPoint e Excel.
Macros assinadas por um editor confiável [recomendado] Implante o certificado de assinatura de código público do editor confiável para seus usuários e evite que eles próprios adicionem editores confiáveis.
• Remova Mark of the Web do arquivo e peça ao usuário para adicionar o editor da macro como um editor confiável.

Para obter mais informações, veja Macros assinadas por um editor confiável.
Grupos de arquivos salvos em pastas no dispositivo do usuário Designe a pasta como um local confiável

Para obter mais informações, veja Locais confiáveis.

Versões do Office afetadas por essa alteração

Esta alteração afeta apenas o Office em dispositivos com o Windows e afeta apenas as seguintes aplicações: Access, Excel, PowerPoint, Project, Publisher, Visio e Word.

A tabela seguinte mostra quando esta alteração ficou disponível em cada canal de atualização para o Access, Excel, PowerPoint, Visio e Word.

Canal de Atualização Versão Data
Canal Atual (Visualização) Versão 2203 Lançamento iniciado em 12 de abril de 2022
Canal Atual Versão 2206 Lançamento iniciado em 27 de julho de 2022
Canal Empresarial Mensal Versão 2208 11 de outubro de 2022
Canal Empresarial Semestral (Visualização) Versão 2208 11 de outubro de 2022
Canal Empresarial Semestral Versão 2208 10 de janeiro de 2023

A tabela seguinte mostra quando esta alteração ficou disponível em cada canal de atualização do Publisher.

Canal de Atualização Versão Data
Canal Atual Versão 2301 14 de fevereiro de 2023
Canal Empresarial Mensal Versão 2212 14 de fevereiro de 2023
Canal Empresarial Mensal Versão 2211 14 de fevereiro de 2023
Canal Empresarial Semestral (Visualização) Versão 2208 14 de fevereiro de 2023
Canal Empresarial Semestral Versão 2208 14 de fevereiro de 2023
Canal Empresarial Semestral Versão 2202 14 de fevereiro de 2023
Canal Empresarial Semestral Versão 2108 14 de fevereiro de 2023

A tabela seguinte mostra quando esta alteração ficou disponível em cada canal de atualização do Project.

Canal de Atualização Versão Data
Canal Atual Versão 2407 13 de agosto de 2024
Canal Empresarial Mensal Versão 2406 13 de agosto de 2024
Canal Empresarial Mensal Versão 2405 13 de agosto de 2024
Canal Empresarial Semestral (Visualização) Versão 2402 13 de agosto de 2024
Canal Empresarial Semestral Versão 2402 13 de agosto de 2024
Canal Empresarial Semestral Versão 2308 13 de agosto de 2024
Canal Empresarial Semestral Versão 2302 13 de agosto de 2024

A alteração não afeta o Office em um Mac, o Office em dispositivos Android ou iOS ou o Office na Web.

Como o Office determina se deve executar macros em arquivos da Internet

O gráfico de fluxograma a seguir mostra como o Office determina se as macros devem ser executadas em um arquivo da Internet.

Uma captura de tela de um fluxograma detalhando o processo e as condições para habilitar ou bloquear macros VBA em arquivos com atributos MOTW.

As etapas a seguir explicam as informações no gráfico do fluxograma, exceto para arquivos de Suplemento do Excel. Para obter mais informações sobre esses arquivos, veja Arquivos de suplementos habilitados para macro para PowerPoint e Excel. Além disso, se um arquivo estiver localizado em um compartilhamento de rede que não esteja na zona Intranet local ou não seja um site confiável, as macros serão bloqueadas nesse arquivo.

  1. Um usuário abre um arquivo do Office contendo macros obtidas na Internet. Por exemplo, um anexo de email. O arquivo possui Marca da Web (MOTW).

    Observação

    • A Marca da Web é adicionada pelo Windows a arquivos de um local não confiável, como a Internet ou Zona Restrita. Por exemplo, downloads do navegador ou anexos de email. Para mais informações, veja Marca da Web e zonas.
    • A Marca da Web se aplica apenas a arquivos salvos em um sistema de arquivos NTFS, não a arquivos salvos em dispositivos formatados em FAT32.
  2. Se o arquivo for de um local confiável, o arquivo será aberto com as macros habilitadas. Se o arquivo não for de um local confiável, a avaliação continuará.

  3. Se as macros tiverem uma assinatura digital e seu dispositivo tiver o certificado de Trusted Publisher correspondente, o arquivo será aberto com as macros habilitadas. Caso contrário, a avaliação continua.

  4. As políticas são verificadas para ver se as macros são permitidas ou bloqueadas. Se as políticas estiverem definidas como Não configuradas, a avaliação continuará na Etapa 6.

  5. (a) Se as macros forem bloqueadas por política, as macros serão bloqueadas.
    (b) Se as macros forem habilitadas pela política, as macros serão habilitadas.

  6. Se o usuário abriu o arquivo anteriormente, antes dessa alteração no comportamento padrão, e selecionou Habilitar conteúdo na Barra de Confiança, então as macros serão habilitadas porque o arquivo é considerado confiável.

    Observação

  7. Essa etapa é onde a alteração no comportamento padrão do Office entra em vigor. Com essa alteração, macros em arquivos da internet são bloqueadas e os usuários veem o banner Risco de Segurança ao abrir o arquivo.

    Observação

    Anteriormente, antes dessa alteração no comportamento padrão, o aplicativo verificava se a política Configurações de notificação de macro do VBA estava habilitada e como estava configurada. Se a política fosse definida como Desabilitada ou Não configurada, o aplicativo verificaria as configurações em Arquivo>Opções>Central de confiabilidade>Configurações da central de confiabilidade...>Configurações de macro. O padrão é definido como “Desabilitar todas as macros com notificação”, o que permite aos usuários habilitar o conteúdo na Barra de Confiança.

Orientação sobre como permitir que macros VBA sejam executadas em arquivos confiáveis

Remover Marca da Web de um arquivo

Para desbloquear macros em um arquivo, como um da Internet ou um anexo de email, remova a Marca da Web no seu dispositivo local. Para remover, clique com o botão direito no arquivo, escolha Propriedades e marque a caixa de seleção Desbloquear na guia Geral.

Uma captura de tela da caixa de diálogo de propriedades do arquivo de um documento habilitado para macro, destacando a opção de segurança para desbloquear o arquivo.

Observação

  • Em alguns casos, geralmente para arquivos em um compartilhamento de rede, os usuários podem não ver a caixa de seleção Desbloquear para um arquivo onde as macros estão sendo bloqueadas. Para esses casos, veja Arquivos localizados centralmente em um compartilhamento de rede ou site confiável.
  • Mesmo que a caixa de seleção Desbloquear esteja disponível para um arquivo em um compartilhamento de rede, marcar a caixa de seleção não terá nenhum efeito se o compartilhamento for considerado na zona Internet. Para mais informações, veja Marca da Web e zonas.

Você também pode usar o cmdlet Unblock-File no PowerShell para remover o valor ZoneId do arquivo. A remoção do valor ZoneId permite que macros VBA sejam executadas por padrão. Usar o cmdlet faz o mesmo que marcar a caixa de seleção Desbloquear na guia Geral da caixa de diálogo Propriedades do arquivo. Para obter mais informações sobre o valor ZoneId, veja Marca da Web e zonas.

Arquivos localizados centralmente em um compartilhamento de rede ou site confiável

Se seus usuários acessarem arquivos de um site confiável ou de um servidor de arquivos interno, você poderá executar uma das etapas a seguir para que as macros desses locais não sejam bloqueadas.

  • Designe o local como um site confiável

  • Se o local da rede estiver na intranet, adicione o local à zona Intranet local

    Observação

    • Se você adicionar algo como um site confiável, também estará concedendo permissões elevadas a todo o site para cenários não relacionados ao Office.
    • Para a abordagem da zona Intranet local, recomendamos que você salve os arquivos em um local que já seja considerado parte da zona Intranet local, em vez de adicionar novos locais a essa zona.
    • Em geral, recomendamos que você use sites confiáveis, pois eles possuem alguma segurança adicional em comparação à zona da Intranet local.

    Por exemplo, se os usuários estiverem acessando um compartilhamento de rede usando seu endereço IP, as macros nesses arquivos serão bloqueadas, a menos que o compartilhamento de arquivos esteja na zona Sites confiáveis ou na zona Intranet local.

    Dica

    • Para ver uma lista de sites confiáveis ​​ou o que está na zona Intranet local, vá para Painel de controle>Opções da Internet>Alterar configurações de segurança em um dispositivo Windows.
    • Para verificar se um arquivo individual é de um site confiável ou local da intranet local, veja Marca da Web e zonas.

    Por exemplo, você pode adicionar um servidor de arquivos ou compartilhamento de rede como site confiável, adicionando seu FQDN ou endereço IP à lista de sites confiáveis.

    Uma captura de tela da caixa de diálogo Sites confiáveis ​​mostrando a opção de adicionar ou remover sites e gerenciar configurações de segurança de sites confiáveis.

Se você quiser adicionar URLs que começam com http:// ou compartilhamentos de rede, desmarque a caixa de seleção Exigir verificação do servidor (https:) para todos os sites nesta zona.

Importante

Como as macros não são bloqueadas em arquivos desses locais, você deve gerenciá-los com cuidado. Certifique-se de controlar quem tem permissão para salvar arquivos nesses locais.

Você pode usar a Política de Grupo e a política "Lista de Atribuição de Site a Zona" para adicionar locais como sites confiáveis ​​ou à zona Intranet local para dispositivos Windows em sua organização. Essa política é encontrada em Componentes do Windows\Internet Explorer\Painel de Controle da Internet\Página de Segurança no Console de Gerenciamento de Política de Grupo. Ele está disponível em Configuração do Computador\Políticas\Modelos Administrativos e Configuração do Usuário\Políticas\Modelos Administrativos.

Arquivos no OneDrive ou Microsoft Office SharePoint Online

  • Se um usuário baixar um arquivo no OneDrive ou Microsoft Office SharePoint Online usando um navegador da web, a configuração da zona de segurança da Internet do Windows (Painel de Controle>Opções da Internet>Segurança) determina se o navegador define a Marca da Web. Por exemplo, o Microsoft Edge define Marca da Web em um arquivo se ele for da zona da Internet.

  • Se um usuário selecionar Abrir no aplicativo de desktop em um arquivo aberto no site do OneDrive ou em um site do Microsoft Office SharePoint Online (incluindo um site usado por um canal do Teams), o arquivo não terá a Marca da Web.

  • Se um usuário tiver o cliente de sincronização do OneDrive em execução e o cliente de sincronização baixar um arquivo, o arquivo não terá a Marca da Web.

  • Os arquivos que estão em pastas conhecidas do Windows (Área de Trabalho, Documentos, Imagens, Capturas de tela e Rolo da Câmera) e são sincronizados com o OneDrive não possuem Marca da Web.

  • Se você tem um grupo de usuários, como o departamento financeiro, que precisa usar arquivos do OneDrive ou do Microsoft Office SharePoint Online sem que as macros sejam bloqueadas, aqui estão algumas opções possíveis:

    • Peça-lhes que abram o arquivo usando a opção Abrir no aplicativo de desktop

    • Peça-lhes que baixem o arquivo para um local confiável.

    • Defina a atribuição da zona de segurança da Internet do Windows para domínios do OneDrive ou do Microsoft Office SharePoint Online como Sites Confiáveis. Os administradores podem usar a política "Lista de atribuições de site para zona" e configurar a política para colocar https://{your-domain-name}.sharepoint.com (para Microsoft Office SharePoint Online) ou https://{your-domain-name}-my.sharepoint.com (para OneDrive) na zona de Sites Confiáveis.

      • Essa política é encontrada em Componentes do Windows\Internet Explorer\Painel de Controle da Internet\Página de Segurança no Console de Gerenciamento de Política de Grupo. Ele está disponível em Configuração do Computador\Políticas\Modelos Administrativos e Configuração do Usuário\Políticas\Modelos Administrativos.

      • As permissões do Microsoft Office SharePoint Online e o compartilhamento do OneDrive não são alterados com a adição desses locais a Sites Confiáveis. Manter o controle de acesso é importante. Qualquer pessoa com permissão para adicionar arquivos ao Microsoft Office SharePoint Online poderá adicionar arquivos com conteúdo ativo, como macros. Os usuários que baixam arquivos de domínios na zona Sites confiáveis ​​ignoram o padrão para bloquear macros.

Arquivos de modelo habilitados para macro para Word, PowerPoint e Excel

Arquivos de modelo habilitados para macro para Word, PowerPoint e Excel baixados da Internet têm Marca da Web. Por exemplo, arquivos de modelo com as seguintes extensões:

  • .dot
  • .dotm
  • .pot
  • .potm
  • .xlt
  • .xltm

Quando o usuário abre o arquivo de modelo habilitado para macro, ele é impedido de executar as macros no arquivo de modelo. Se o usuário confiar na origem do arquivo de modelo, ele poderá remover o Mark of the Web do arquivo de modelo e, em seguida, reabrir o arquivo de modelo no Aplicativo do Office.

Se você tiver um grupo de usuários que precisa usar modelos habilitados para macro sem que as macros sejam bloqueadas, você poderá realizar uma das seguintes ações:

  • Use uma assinatura digital e confie no editor.
  • Se não estiver usando assinaturas digitais, você pode salvar o arquivo de modelo em um Local confiável e fazer com que os usuários obtenham o arquivo de modelo nesse local.

Arquivos de suplementos habilitados para macro para PowerPoint e Excel

Arquivos de suplemento habilitados para macro para PowerPoint e Excel baixados da Internet têm Marca da Web. Por exemplo, arquivos de suplemento com as seguintes extensões:

  • .ppa
  • .ppam
  • .xla
  • .xlam

Quando o usuário tenta instalar o suplemento habilitado para macro, usando Arquivo>Opções>Suplementos ou usando a faixa Desenvolvedor, o suplemento é carregado em um estado desabilitado e o usuário é impedido de usar o suplemento. Se o usuário confiar na origem do arquivo do Suplemento, ele poderá remover a Marca da Web do arquivo do Suplemento e reabrir o PowerPoint ou Excel para usar o Suplemento.

Se você tiver um grupo de usuários que precisa usar arquivos de suplemento habilitados para macro sem que as macros sejam bloqueadas, você pode executar as seguintes ações.

Para arquivos de suplementos do PowerPoint:

  • Remova a Marca da Web do arquivo .ppa ou .ppam.
  • Use uma assinatura digital e confie no editor.
  • Salve o arquivo do suplemento em um Local confiável para que os usuários possam recuperá-lo.

Para arquivos de suplementos do Excel:

  • Remova a Marca da Web do arquivo .xla ou .xlam.
  • Salve o arquivo do suplemento em um Local confiável para que os usuários possam recuperá-lo.

Observação

Usar uma assinatura digital e confiar no editor não funciona para arquivos de suplemento do Excel que possuem Marca da Web. Esse comportamento não é novo para arquivos de suplemento do Excel que possuem Marca da Web. Funciona dessa forma desde 2016, como resultado de um esforço anterior de fortalecimento da segurança (relacionado ao Boletim de Segurança da Microsoft MS16-088).

Macros assinadas por um editor confiável

Se a macro estiver assinada e você validar o certificado e confiar na fonte, poderá tornar essa fonte um publicador confiável. Recomendamos, se possível, que você gerencie editores confiáveis ​​para seus usuários. Para obter mais informações, veja Editores confiáveis ​​para arquivos do Office.

Se você tiver apenas alguns usuários, poderá fazer com que eles removam o Mark of the Web do arquivo e então adicionem a fonte da macro como um editor confiável em seus dispositivos.

Aviso

  • Todas as macros assinadas validamente com o mesmo certificado são reconhecidas como provenientes de um editor confiável e são executadas.
  • Adicionar um editor confiável pode afetar cenários além daqueles relacionados ao Office, porque um editor confiável é uma configuração para todo o Windows, e não apenas uma configuração específica do Office.

Locais Confiáveis.

Salvar arquivos da Internet em um local confiável no dispositivo de um usuário ignora a verificação de Marca da Web e abre com macros VBA habilitadas. Por exemplo, um aplicativo de linha de negócios poderia enviar relatórios com macros de forma recorrente. Se os arquivos com macros forem salvos em um local confiável, os usuários não precisam acessar as Propriedades do arquivo e selecionar Desbloquear para permitir a execução das macros.

Como as macros não são bloqueadas em arquivos salvos em um local confiável, você deve gerenciar os locais confiáveis ​​com cuidado e usá-los com moderação. Os locais de rede também podem ser definidos como locais confiáveis, mas isso não é recomendado. Para obter mais informações, veja Locais confiáveis ​​para arquivos do Office.

Informações adicionais sobre Marca da Web

Marca da Web e documentos confiáveis

Quando um arquivo é baixado para um dispositivo com Windows, a Marca da Web é adicionada ao arquivo, identificando sua origem como sendo da internet. Atualmente, quando um usuário abre um arquivo com Marca da Web, aparece um banner AVISO DE SEGURANÇA, com um botão Habilitar conteúdo. Se o usuário selecionar Habilitar conteúdo, o arquivo será considerado um documento confiável e as macros poderão ser executadas. As macros continuarão a ser executadas mesmo após a implementação da alteração de comportamento padrão para bloquear macros em arquivos da Internet, pois o arquivo ainda é considerado um Documento Confiável.

Após a alteração do comportamento padrão para bloquear macros em arquivos da internet, os usuários verão um banner diferente na primeira vez que abrirem um arquivo com macros da internet. Esse banner RISCO DE SEGURANÇA não tem a opção de Habilitar conteúdo. Mas os usuários podem ir para a caixa de diálogo Propriedades do arquivo e selecionar Desbloquear, o que removerá o Mark of the Web do arquivo e permitirá que as macros sejam executadas, desde que nenhuma política ou configuração da Central de Confiabilidade esteja bloqueando.

Marca da Web e zonas

Por padrão, a Marca da Web é adicionada aos arquivos apenas das zonas Internet ou Sites restritos.

Dica

Para ver essas zonas em um dispositivo Windows, vá para Painel de Controle>Opções da Internet >Alterar configurações de segurança.

Você pode visualizar o valor ZoneId de um arquivo executando o comando a seguir em um prompt de comando e substituindo {name of file} pelo nome do arquivo.

notepad {name of file}:Zone.Identifier

Ao executar este comando, o Bloco de notas abrirá e exibirá o ZoneId na seção [ZoneTransfer].

Aqui está uma lista de valores ZoneId e para qual zona eles mapeiam.

  • 0 = Meu Computador
  • 1 = Intranet local
  • 2 = Sites confiáveis
  • 3 = Internet
  • 4 = Sites restritos

Por exemplo, se ZoneId for 2, as macros VBA nesse arquivo não serão bloqueadas por padrão. Mas se ZoneId for 3, as macros nesse arquivo serão bloqueadas por padrão.

Você pode usar o cmdlet Unblock-File no PowerShell para remover o valor ZoneId do arquivo. A remoção do valor ZoneId permite que macros VBA sejam executadas por padrão. Usar o cmdlet faz o mesmo que marcar a caixa de seleção Desbloquear na guia Geral da caixa de diálogo Propriedades do arquivo.

Use políticas para gerenciar como o Office lida com macros

Você pode usar políticas para gerenciar como o Office lida com macros. Recomendamos que você use a política Impedir a execução de macros em arquivos do Office a partir da Internet. Mas se essa política não for apropriada para sua organização, a outra opção é a política Configurações de notificação de macro VBA.

Para obter mais informações sobre como implantar essas políticas, veja Ferramentas disponíveis para gerenciar políticas.

Importante

Você só poderá usar políticas se estiver usando o Microsoft 365 Apps para Grandes Empresas. As políticas não estão disponíveis para Microsoft 365 Apps para Pequenos e Médios negócios.

Impedir a execução de macros em arquivos do Office da Internet

Essa política impede que os usuários abram inadvertidamente arquivos contendo macros da Internet. Quando um arquivo é baixado para um dispositivo com Windows ou aberto em um local de compartilhamento de rede, a Marca da Web é adicionada ao arquivo, identificando que ele foi originado da Internet.

Recomendamos habilitar esta política como parte da linha de base de segurança do Microsoft 365 Apps para Grandes Empresas. Você deve habilitar esta política para a maioria dos usuários e abrir exceções apenas para determinados usuários, conforme necessário.

Existe uma política separada para cada uma das sete aplicações. A tabela a seguir mostra onde cada política pode ser encontrada no Console de gerenciamento de política de grupo em Configuração do usuário\Políticas\Modelos administrativos:

Application Localização da política
Access Microsoft Access 2016\Configurações do aplicativo\Segurança\Central de confiabilidade
Excel Microsoft Excel 2016\Opções do Excel\Segurança\Central de Confiabilidade
PowerPoint Microsoft PowerPoint 2016\Opções do PowerPoint\Segurança\Central de Confiabilidade
Project Microsoft Project 2016\Project Options\Security\Trust Center
Publisher Microsoft Publisher 2016\Opções do Publisher\Segurança\Centro de Confiança
Visio Microsoft Visio 2016\Opções do Visio\Segurança\Central de Confiabilidade
Word Microsoft Word 2016\Opções do Word\Segurança\Central de Confiabilidade

O estado que você escolhe para a apólice determina o nível de proteção que você oferece. A tabela a seguir mostra o nível atual de proteção que você obtém com cada estado, antes que a alteração no comportamento padrão seja implementada.

Ícone Nível de Proteção Estado da política Descrição
Uma captura de tela de um ícone verde com uma marca de seleção indicando que o conteúdo está totalmente protegido. Proteção [recomendada] Habilitado Os usuários são impedidos de executar macros em arquivos obtidos da Internet.

Parte da linha de base de segurança recomendada pela Microsoft.
próximo a um ícone vermelho com um 'X' indicando que o conteúdo não está protegido. Não protegido Desabilitado Respeitará as configurações definidas em Arquivo>Opções>Central de Confiabilidade>Configurações da Central de Confiabilidade...>Configurações de Macro.
próximo a um ícone vermelho com um 'X' indicando que o conteúdo não está protegido. Não protegido Não Configurado Respeitará as configurações definidas em Arquivo>Opções>Central de Confiabilidade>Configurações da Central de Confiabilidade...>Configurações de Macro.

Observação

  • Se você definir essa política como Desabilitada, os usuários verão, por padrão, um aviso de segurança ao abrirem um arquivo com uma macro. Esse aviso informará aos usuários que as macros foram desabilitadas, mas permitirá que eles executem as macros escolhendo o botão Habilitar conteúdo.
  • Esse aviso é o mesmo que os usuários receberam anteriormente, antes desta mudança recente que estamos implementando para bloquear macros.
  • Não recomendamos definir essa política como Desabilitada permanentemente. Mas, em alguns casos, pode ser prático fazê-lo temporariamente enquanto você testa como o novo comportamento de bloqueio de macros afeta sua organização e enquanto desenvolve uma solução para permitir o uso seguro de macros.

Depois de implementarmos a alteração no comportamento padrão, o nível de proteção altera quando a política é definida como Não configurada.

Ícone Nível de Proteção Estado da política Descrição
Uma captura de tela de um ícone verde com uma marca de seleção indicando que o conteúdo está totalmente protegido. Protegido Não Configurado Os usuários são impedidos de executar macros em arquivos obtidos da Internet.

Os usuários veem o banner Risco de segurança com um botão Saiba mais

Configurações de notificação de macro VBA

Se você não usar a política "Bloquear a execução de macros em arquivos do Office da Internet", poderá usar a política "Configurações de notificação de macro do VBA" para gerenciar como as macros são tratadas pelo Office.

Essa política evita que os usuários sejam induzidos a habilitar macros maliciosas. Por padrão, o Office está configurado para bloquear arquivos que contenham macros VBA e exibir uma barra de confiança com um aviso de que as macros estão presentes e foram desabilitadas. Os usuários podem inspecionar e editar os arquivos, se apropriado, mas não podem usar nenhuma funcionalidade desabilitada até selecionarem Habilitar Conteúdo na Barra de Confiança. Se o usuário selecionar Habilitar Conteúdo, o arquivo será adicionado como um Documento Confiável e as macros poderão ser executadas.

Existe uma política separada para cada uma das sete aplicações. A tabela a seguir mostra onde cada política pode ser encontrada no Console de gerenciamento de política de grupo em Configuração do usuário\Políticas\Modelos administrativos:

Application Localização da política
Access Microsoft Access 2016\Configurações do aplicativo\Segurança\Central de confiabilidade
Excel [1] Microsoft Excel 2016\Opções do Excel\Segurança\Central de Confiabilidade
PowerPoint Microsoft PowerPoint 2016\Opções do PowerPoint\Segurança\Central de Confiabilidade
Project Microsoft Project 2016\Project Options\Security\Trust Center
Publisher Microsoft Publisher 2016\Opções do Publisher\Segurança\Centro de Confiança
Visio Microsoft Visio 2016\Opções do Visio\Segurança\Central de Confiabilidade
Word Microsoft Word 2016\Opções do Word\Segurança\Central de Confiabilidade

Observação

  • [1] No Excel, a política é denominada Configurações de notificação de macro.

O estado que você escolhe para a apólice determina o nível de proteção que você oferece. A tabela a seguir mostra o nível de proteção que você obtém em cada estado.

Ícone Nível de Proteção Estado da política Valor da política
Uma captura de tela de um ícone verde com uma marca de seleção indicando que o conteúdo está totalmente protegido. Proteção [recomendada] Habilitado Desabilite todas as macros, exceto as assinadas digitalmente (e selecione "Exigir que as macros sejam assinadas por um editor confiável")
Uma captura de tela de um ícone verde com uma marca de seleção indicando que o conteúdo está totalmente protegido. Protegido Habilitado Desabilitar tudo sem notificação
Uma captura de tela de um ícone laranja com uma marca de seleção indicando que o conteúdo está parcialmente protegido. Parcialmente protegido Habilitado Desabilitar tudo com notificação
Uma captura de tela de um ícone laranja com uma marca de seleção indicando que o conteúdo está parcialmente protegido. Parcialmente protegido Desabilitado (Mesmo comportamento de "Desabilitar tudo com notificação")
próximo a um ícone vermelho com um 'X' indicando que o conteúdo não está protegido. Não protegido Habilitado Habilite todas as macros (não recomendado)

Importante

Proteger macros é importante. Para usuários que não precisam de macros, desative todas as macros escolhendo “Desabilitar todas sem notificação”.

Nossa recomendação básica de segurança é que você faça o seguinte:

  • Habilite a política "Configurações de notificação de macro VBA".
  • Para usuários que precisam de macros, escolha "Desabilitar todos, exceto macros assinadas digitalmente" e selecione "Exigir que as macros sejam assinadas por um editor confiável". O certificado precisa ser instalado como Publicador confiável nos dispositivos dos usuários.

Se você não configurar a política, os usuários poderão definir as configurações de proteção de macro em Arquivo>Opções>Central de confiabilidade>Configurações da central de confiabilidade...>Configurações de macro.

A tabela a seguir mostra as escolhas que os usuários podem fazer em Configurações de Macro e o nível de proteção que cada configuração oferece.

Ícone Nível de Proteção Configuração escolhida
Uma captura de tela de um ícone verde com uma marca de seleção indicando que o conteúdo está totalmente protegido. Protegido Desabilitar todas as macros, exceto as digitalmente assinadas
Uma captura de tela de um ícone verde com uma marca de seleção indicando que o conteúdo está totalmente protegido. Protegido Desabilitar todas as macros sem notificação
Uma captura de tela de um ícone laranja com uma marca de seleção indicando que o conteúdo está parcialmente protegido. Parcialmente protegido Desabilitar todas as macros com notificação (padrão)
próximo a um ícone vermelho com um 'X' indicando que o conteúdo não está protegido. Não protegido Habilitar todas as macros (não recomendável; pode ser executado código possivelmente perigoso)

Observação

Nos valores de configuração de política e na interface do usuário do produto para Excel, a palavra "todos" é substituída por "VBA". Por exemplo, "Desabilitar macros VBA sem notificação".

Ferramentas disponíveis para gerenciar políticas

Existem diversas ferramentas disponíveis para você definir e implantar configurações de política para usuários em sua organização.

Política de Nuvem

Você pode usar o Cloud Policy para definir e implantar configurações de política em dispositivos na sua organização, mesmo que o dispositivo não esteja ingressado no domínio. O Cloud Policy é uma ferramenta baseada na Web e pode ser encontrada no Centro de administração do Microsoft 365 Apps.

No Cloud Policy, você cria uma configuração de política, atribui a um grupo e, em seguida, seleciona políticas a serem incluídas na configuração de política. Para selecionar uma política a ser incluída, você pode pesquisar pelo nome da política. A Política de Nuvem também mostra quais políticas fazem parte da linha de base de segurança recomendada pela Microsoft. As políticas disponíveis no Cloud Policy são as mesmas políticas de configuração do usuário disponíveis no Group Policy Management Console.

Para obter mais informações, veja Visão geral do serviço Cloud Policy para Microsoft 365.

Centro de administração do Microsoft Intune

No Centro de administração do Microsoft Intune, você pode usar o catálogo de configurações (versão prévia) ou os modelos administrativos para definir e implantar configurações de política para seus usuários em dispositivos que executam o Windows 10 ou posterior.

Para começar, vá para Dispositivos>Perfis de configuração>Criar perfil. Para Plataforma, escolha Windows 10 e posterior e depois escolha o tipo de perfil.

Para saber mais, confira os seguintes artigos:

Console de Gerenciamento de Política de Grupo

Se você tiver o Windows Server e os Serviços de Domínio Active Directory (AD DS) implantados em sua organização, poderá configurar políticas usando a Política de Grupo. Para usar a Política de Grupo, baixe os arquivos de modelo administrativo (ADMX/ADML) mais recentes para Office, que incluem as configurações de política para Microsoft 365 Apps para Grandes Empresas. Depois de copiar os arquivos do modelo administrativo para o AD DS, você poderá usar o Console de gerenciamento de política de grupo para criar objetos de política de grupo (GPOs) que incluam configurações de política para seus usuários e para dispositivos ingressados ​​no domínio.