Partilhar via

Fabricantes fidedignos para ficheiros do Office

  • Artigo

Aplica-se a:Microsoft 365 Apps, Office LTSC 2021, Office 2019 e Office 2016

Um publicador é uma pessoa ou uma empresa que publicou software, como uma macro, um controlo ActiveX ou um suplemento. Antes de decidir que um fabricante é fiável e pode ser considerado fidedigno, deve saber a identidade do publicador e se as credenciais do publicador são válidas.

Se o Office o avisar sobre código potencialmente inseguro num ficheiro, pode ver mais informações sobre o código e o publicador antes de decidir se confia no código ou no publicador. Se receber um aviso a indicar que não existe nenhuma assinatura ou que a assinatura é inválida, não deve ativar o conteúdo ou confiar no publicador, a menos que tenha a certeza de que o código provém de uma origem fiável. Normalmente, uma mensagem a indicar que a assinatura é inválida significa que o código foi adulterado depois de o autor a ter assinado.

Se uma macro utilizada num ficheiro do Office estiver assinada e tiver validado o certificado e confiar na origem, pode tornar essa origem num fabricante fidedigno. Recomendamos, se possível, que você gerencie editores confiáveis ​​para seus usuários.

Observação

Se a sua organização desenvolver e distribuir macros em ficheiros do Office, seja para utilizadores internos ou clientes externos, os programadores de macros devem, como melhor prática, assinar o respetivo código VBA. Normalmente, o código é assinado com um certificado digital de uma autoridade de certificação comercial (AC) antes de as macros serem distribuídas.

Para ser um fabricante fidedigno, o certificado de assinatura de código público utilizado para assinar a macro tem de ser adicionado ao arquivo de certificados Fabricantes Fidedignos no dispositivo.

Aviso

  • Todas as macros assinadas validamente com o mesmo certificado são reconhecidas como provenientes de um editor confiável e são executadas.
  • Adicionar um editor confiável pode afetar cenários além daqueles relacionados ao Office, porque um editor confiável é uma configuração para todo o Windows, e não apenas uma configuração específica do Office.

Utilizar Política de Grupo para gerir fabricantes fidedignos

Pode utilizar Política de Grupo para distribuir aos dispositivos da sua organização o certificado de assinatura de código público utilizado para assinar a macro. Para distribuir o certificado, pode efetuar os seguintes passos na ferramenta de Gestão de Política de Grupo:

  1. Aceda a Configuração do Computador\Políticas\Definições do Windows\Definições de Segurança\Políticas de Chave Pública, clique com o botão direito do rato em Fabricantes Fidedignos e, em seguida, selecione Importar.
  2. Execute o Assistente de Importação de Certificados e importe o ficheiro de certificado adequado para o arquivo de certificados fabricantes fidedignos.

Para os utilizadores que só devem executar macros VBA assinadas por um fabricante fidedigno, deve definir a política Definições de Notificação de Macro do VBA como Ativada e efetuar os seguintes passos em Opções:

  • Selecione Desativar tudo exceto macros assinadas digitalmente na lista pendente.
  • Selecione a caixa de verificação Exigir que as macros sejam assinadas por um fabricante fidedigno .

Observação

Se escolher estas definições para o Excel, as macros do Excel 4.0 serão bloqueadas.

Se quiser fornecer mais restrições, em Opções , pode selecionar a caixa de verificação Bloquear certificados de fabricantes fidedignos que só estão instalados no arquivo de certificados de utilizador atual . Esta definição impede que os utilizadores adicionem manualmente um fabricante fidedigno no respetivo dispositivo, a menos que tenham permissões de administrador no dispositivo.

Utilizar um programa de linha de comandos para distribuir um certificado para um fabricante fidedigno

Se não conseguir utilizar ou não utilizar Política de Grupo na sua organização, também pode distribuir o certificado de assinatura de código público com o comando certutil num script ou manualmente num dispositivo. Pode utilizar o parâmetro -addstore para adicionar o certificado de assinatura de código ao arquivo TrustedPublisher no dispositivo.

Pedir a um utilizador para adicionar manualmente um fabricante fidedigno

Se tiver apenas alguns utilizadores que precisam de configurar um fabricante fidedigno, pode fazê-lo manualmente em cada dispositivo. Os utilizadores só precisam de o fazer uma vez para cada publicador.

Os utilizadores podem seguir estas instruções para adicionar à origem um fabricante fidedigno. Se o ficheiro tiver a Marca da Web, os utilizadores têm primeiro de remover a Marca da Web do ficheiro antes de poderem adicionar a origem como um fabricante fidedigno. Para obter mais informações, veja as informações neste artigo.