Gerenciar conteúdo ativo em documentos do Office
Observação
Os recursos descritos neste artigo estão em Versão Prévia, não estão disponíveis para todos e estão sujeitos a alterações.
Os documentos do Office podem ser atualizados, atualizados ou executados automaticamente quando contêm conteúdo ativo. Exemplos de conteúdo ativo são macros, controles ActiveX e Suplementos do Office. O conteúdo ativo pode fornecer funcionalidades poderosas e úteis aos usuários, mas os invasores também podem usar conteúdo ativo para fornecer malware.
Os administradores podem criar políticas de organização (políticas de grupo ou políticas de nuvem) que limitam o uso de conteúdo ativo a conjuntos específicos de usuários ou para desabilitar totalmente o conteúdo ativo. Os usuários podem configurar suas próprias configurações de segurança e privacidade na Central de Confiança do Office em seus aplicativos do Office noCentro de Confiançade Opções de>Arquivo>.
Anteriormente, quando os usuários identificavam documentos como documentos confiáveis, sua seleção permitiria que o conteúdo ativo fosse executado, mesmo que um administrador configurasse políticas para bloquear conteúdo ativo em documentos do Office. Agora, as políticas definidas pelos administradores têm precedência sobre a identificação do usuário de documentos confiáveis. Essa alteração no comportamento pode causar problemas para os usuários.
A lógica atualizada do Trust Center é descrita no seguinte diagrama:
Um usuário abre um documento do Office que contém conteúdo ativo.
Se o documento for de um local confiável, o documento será aberto com o conteúdo ativo habilitado. Se o documento não for de um local confiável, a avaliação continuará.
É aqui que o comportamento atualizado entra em vigor:
Anteriormente, a próxima configuração avaliada teria sido se o usuário tivesse identificado esse documento como um documento confiável. Se o fizessem, o documento abriria com o conteúdo ativo habilitado.
Agora, se o usuário identificou ou não o documento como um documento confiável não é considerado aqui (agora na etapa 8).
A alteração fundamental no comportamento é descrita da seguinte maneira: políticas de nuvem (etapa 4), políticas de grupo (etapa 6) e configurações locais (etapa 7) são verificadas antes mesmo da designação do usuário de um documento confiável. Se qualquer uma dessas etapas bloquear o acesso ao conteúdo ativo e nenhuma das etapas permitir substituições do usuário, a identificação do usuário do documento como um documento confiável será irrelevante.
As políticas de nuvem são verificadas para ver se esse tipo de conteúdo ativo é permitido ou bloqueado. Se o conteúdo ativo não estiver bloqueado, a avaliação continuará a etapa 6.
Se o conteúdo ativo for bloqueado pela política, a experiência será descrita na etapa 5.
A abertura do documento é bloqueada com uma notificação na barra de confiança. O que acontece a seguir é controlado pelas configurações de substituição do usuário na política: a. Substituição de usuário não permitida: o usuário não pode abrir o documento e a avaliação é interrompida. b. Substituição de usuário permitida: o usuário pode clicar no link na barra de confiança para abrir o documento com o conteúdo ativo habilitado.
As políticas de grupo são verificadas para ver se esse tipo de conteúdo ativo é permitido ou bloqueado. Se o conteúdo ativo não estiver bloqueado, a avaliação continuará a etapa 7.
Se o conteúdo ativo for bloqueado pela política, a experiência será descrita na etapa 5.
As configurações locais são verificadas para ver se esse tipo de conteúdo ativo é permitido ou bloqueado. Se o conteúdo ativo for bloqueado, a abertura do documento será bloqueada com uma notificação na barra de confiança. Se o conteúdo ativo não estiver bloqueado, a avaliação continuará.
Se o usuário identificou anteriormente o documento como um documento confiável, o documento será aberto com o conteúdo ativo habilitado. Caso contrário, a abertura do documento será bloqueada.
O que é um documento confiável?
Documentos confiáveis são documentos do Office abertos sem avisos de segurança para macros, controles ActiveX e outros tipos de conteúdo ativo no documento. O Modo de Exibição Protegido ou Application Guard não é usado para abrir o documento. Quando os usuários abrem um Documento Confiável e todo o conteúdo ativo é habilitado. Mesmo que o documento contenha novo conteúdo ativo ou atualizações para o conteúdo ativo existente, os usuários não receberão solicitações de segurança na próxima vez que abrirem o documento.
Devido a esse comportamento, os usuários devem confiar claramente em documentos somente se confiarem na fonte do documento.
Se um administrador bloquear o conteúdo ativo usando uma política ou se os usuários definirem uma configuração do Trust Center que bloqueia o conteúdo ativo, o conteúdo ativo permanecerá bloqueado.
Para saber mais, confira os seguintes artigos:
- Documentos confiáveis
- Adicionar, remover ou alterar um local confiável
- Tipos de conteúdo ativos em seus arquivos
Configurar configurações de documentos confiáveis nas políticas do Office
Os administradores têm várias maneiras de configurar o Office em uma organização. Por exemplo:
- Serviço de política de nuvem do Office: configure uma política baseada no usuário que se aplique a um usuário em qualquer dispositivo que acesse arquivos em aplicativos do Office com sua conta Microsoft Entra. Confira as etapas para criar uma configuração de política de nuvem do Office no Office Cloud Policy Service.
- Políticas do Office no Intune: use o catálogo de Configurações do Intune ou modelos administrativos para implantar políticas HKCU para Windows 10 PCs: no centro de administração do Intune emPerfis de Configuração de Dispositivos>.
- Modelos administrativos: consulte instruções para usar modelos Windows 10 para configurar modelos administrativos.
- Catálogo de configurações (versão prévia): confira instruções para usar o catálogo Configurações.
- Política de grupo: use seu Active Directory local para implantar GPOs (objetos de política de grupo) em usuários e computadores. Para criar um GPO para essa configuração, baixe os arquivos mais recentes do Modelo Administrativo (ADMX/ADML) e da Ferramenta de Personalização do Office para Microsoft 365 Apps para Grandes Empresas, Office 2019 e Office 2016.
Problemas conhecidos
- Quando as notificações de macro VBA da política (Access, PowerPoint, Visio, Word) ou notificações macro (Excel) são definidas como o valor Desabilitar todas, exceto macros assinadas digitalmente, a barra de confiança esperada não é exibida e as informações de segurança nos bastidores não listam detalhes das macros bloqueadas, mesmo que a configuração esteja funcionando conforme o esperado. A equipe do Office está trabalhando para resolve esse problema.
Administração opções para restringir o conteúdo ativo
Há uma grande diferença no nível de confiança no conteúdo criado internamente versus no conteúdo que os usuários baixam da Internet. Considere permitir conteúdo ativo em documentos internos e globalmente não permitir conteúdo ativo em documentos da Internet.
Se os usuários não precisarem de tipos específicos de conteúdo ativo, sua opção mais segura é usar políticas para desativar o acesso do usuário a esse conteúdo ativo e permitir exceções conforme necessário.
As seguintes políticas estão disponíveis:
- Desativar locais confiáveis: exceções para grupos disponíveis.
- Desativar documentos confiáveis: exceções para grupos disponíveis.
- Desative todo o conteúdo ativo: exceções para indivíduos.
As tabelas nas seções a seguir descrevem as configurações que controlam o conteúdo ativo. Essas políticas, se aplicadas aos usuários, serão impostas em documentos confiáveis e a experiência anterior do usuário final pode não ser a mesma. As tabelas também incluem a configuração de linhas de base de segurança recomendadas e identificam outras configurações em que o prompt do usuário para substituir está disponível (permitindo que o usuário habilite o conteúdo ativo).
HKEY_CURRENT_USER configurações
| Categoria | App | Nome da política | Linha de base de segurança configuração (recomendado) |
Configuração com prompt de usuário e substituir disponível? |
|---|---|---|---|---|
| Activex | Office | Inicialização do controle ActiveX | 6 | Sim para os seguintes valores:
|
| Activex | Office | Permitir formulários do Active X One Off | Carregar apenas Controles do Outlook | Não |
| Activex | Office | Verificar objetos ActiveX | Não é uma configuração de linha de base de segurança. | Não |
| Activex | Office | Desabilitar todos os ActiveX | Não é uma configuração de linha de base de segurança. | Sim para os seguintes valores:
|
| Activex | Office | Controles de carga no Forms3 | 1 | Sim para os seguintes valores:
|
| Suplementos & Extensibilidade | Excel PowerPoint Project Publisher Visio Word |
Desabilitar a Notificação da Barra de Confiança para suplementos de aplicativo não assinados e bloqueá-los | Enabled | Sim para o valor desabilitado. |
| Suplementos & Extensibilidade | Excel PowerPoint Project Publisher Visio Word |
Exigir que os suplementos de aplicativo sejam assinados pelo Editor Confiável | Enabled | Não |
| Suplementos & Extensibilidade | Excel | Não mostrar alerta de aviso AutoRepublish | Disabled | Não |
| Suplementos & Extensibilidade | Excel | Configurações de notificação de função WEBSERVICE | Desabilitar tudo com a notificação | Sim para os seguintes valores:
|
| Suplementos & Extensibilidade | Office | Desabilitar o cliente do Office de sondar o SharePoint Server para links publicados | Disabled | Não |
| Suplementos & Extensibilidade | Office | Desabilitar a extensão da interface do usuário de documentos e modelos | Não permitir em Word = True Não permitir no Project = False Não permitir no Excel = True Não permitir no Visio= False Não permitir no PowerPoint = True Não permitir no Access = True Não permitir no Outlook = True Não permitir no Publisher = True Não permitir no InfoPath = True |
Não |
| Suplementos & Extensibilidade | Outlook | Configurar prompt de modelo de objeto do Outlook ao acessar um catálogo de endereços | Negar automaticamente | Sim para os seguintes valores:
|
| Suplementos & Extensibilidade | Outlook | Configurar o prompt do modelo de objeto do Outlook Ao acessar a propriedade Formula de um objeto UserProperty | Negar automaticamente | Sim para os seguintes valores:
|
| Suplementos & Extensibilidade | Outlook | Configurar prompt de modelo de objeto do Outlook ao executar Salvar como | Negar automaticamente | Sim para os seguintes valores:
|
| Suplementos & Extensibilidade | Outlook | Configurar prompt de modelo de objeto do Outlook ao ler informações de endereço | Negar automaticamente | Sim para os seguintes valores:
|
| Suplementos & Extensibilidade | Outlook | Configurar prompt de modelo de objeto do Outlook ao responder a solicitações de reunião e tarefa | Negar automaticamente | Sim para os seguintes valores:
|
| Suplementos & Extensibilidade | Outlook | Configurar prompt de modelo de objeto do Outlook ao enviar email | Negar automaticamente | Sim para os seguintes valores:
|
| Suplementos & Extensibilidade | Outlook | Definir o prompt de execução de ações personalizadas do modelo de objeto do Outlook | Negar automaticamente | Sim para os seguintes valores:
|
| Suplementos & Extensibilidade | PowerPoint | Executar programas | desabilitar (não executar nenhum programa) | Sim para o valor Habilitar (usuário prompt antes de executar) |
| Suplementos & Extensibilidade | Word Excel |
Desabilitar o uso de manifestos do Smart Document | Enabled | Não |
| DDE | Excel | Não permitir a inicialização do servidor DDE (Dynamic Data Exchange) no Excel | Enabled | Sim para o valor Não configurado. |
| DDE | Excel | Não permitir pesquisa de servidor do DDE (Dynamic Data Exchange) no Excel | Enabled | Sim para os seguintes valores:
|
| DDE | Word | Troca dinâmica de dados | Disabled | Não |
| Jscript & VBScript | Outlook | Permitir scripts em formulários únicos do Outlook | Disabled | Não |
| Jscript & VBScript | Outlook | Não permitir que scripts de modelo de objeto do Outlook sejam executados para pastas públicas | Enabled | Não |
| Jscript & VBScript | Outlook | Não permita que scripts de modelo de objeto do Outlook sejam executados para pastas compartilhadas | Enabled | Não |
| Macros | Excel | Notificações macro | Desabilitar todas, exceto macros assinadas digitalmente | Sim para os seguintes valores:
|
| Macros | Access PowerPoint Project Publisher Visio Word |
Configurações de notificação de macro do VBA | Desabilitar todas, exceto macros assinadas digitalmente e Exigir que as macros sejam assinadas por um editor confiável |
Sim para os seguintes valores:
|
| Macros | Access Excel PowerPoint Visio Word |
Bloquear a execução de macros em arquivos do Office da Internet | Enabled | Sim para os seguintes valores:
|
| Macros | Excel | Examinar macros criptografadas em pastas de trabalho do Excel Open XML | Verificar macros criptografadas (padrão) | Não |
| Macros | Office | Permitir que o VBA carregue referências typelib por caminho de locais de intranet não confiáveis | Disabled | Não |
| Macros | Office | Segurança de Automação | Usar nível de segurança de macro do aplicativo | Não |
| Macros | Office | Desabilitar outras verificações de segurança em referências de biblioteca VBA que podem se referir a locais não seguros no computador local | Disabled | Não |
| Macros | Office | Escopo de verificação do Macro Runtime | Habilitar para todos os documentos | Não |
| Macros | Office | Confiar apenas em macros VBA que usam assinaturas V3 | Não é uma configuração de linha de base de segurança. | Não |
| Macros | Outlook | Modo de Segurança do Outlook | Usar o Política de Grupo de Segurança do Outlook | Necessário para habilitar todas as configurações de GPO do Outlook. Mencionada como uma dependência (essa política não bloqueia o conteúdo ativo em si). |
| Macros | Outlook | Configuração de segurança para macros | Avisar para assinado, desabilitar sem sinal | Sim para os seguintes valores:
|
| Macros | PowerPoint | Verificar macros criptografadas em apresentações do PowerPoint Open XML | Verificar macros criptografadas (padrão) | Não |
| Macros | Publicador | Nível de segurança de automação do editor | Pela interface do usuário (solicitado) | Não |
| Macros | Word | Verificar macros criptografadas em Word Abrir documentos XML | Verificar macros criptografadas (padrão) | Não |
HKEY_LOCAL_MACHINE configurações
| Categoria | App | Nome da política | Linha de base de segurança configuração (recomendado) |
Configuração com prompt de usuário e substituir disponível? |
|---|---|---|---|---|
| Activex | Office | Restringir Instalação de ActiveX | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
Não |
| Suplementos & Extensibilidade | Office | Gerenciamento de Complementos | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
Não |
| Suplementos & Extensibilidade | Office | Bloquear ativação flash em documentos do Office | Consulte os arquivos ADMX/ADML do Guia de Segurança da Microsoft para obter uma lista de killbits COM para bloquear toda a ativação do Flash em aplicativos do Microsoft 365. Os arquivos ADMX/ADML para linhas de base de segurança corporativas estão disponíveis no Kit de Ferramentas de Conformidade de Segurança. | Não |
| Jscript & VBScript | Office | Restringir a execução herdada do JScript para o Office | Habilitado: Acesso: 69632 Excel: 69632 OneNote: 69632 Outlook: 69632 PowerPoint: 69632 Projeto: 69632 Publicador: 69632 Visio: 69632 Word: 69632 |
Não |
| Jscript & VBScript | Office | Restrições de Segurança de Janelas Controladas por Script | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
Não |