Управление активным содержимым в документах Office
Примечание.
Функции, описанные в этой статье, находятся в предварительной версии, доступны не всем и могут быть изменены.
Документы Office могут автоматически обновляться, обновляться или выполняться, если они содержат активное содержимое. Примерами активного содержимого являются макросы, элементы ActiveX и надстройки Office. Активное содержимое может предоставить пользователям мощные и полезные функции, но злоумышленники также могут использовать активное содержимое для доставки вредоносных программ.
Администраторы могут создавать политики организации (групповые политики или облачные политики), которые ограничивают использование активного содержимого определенными группами пользователей или полностью отключают активное содержимое. Пользователи могут настроить собственные параметры безопасности и конфиденциальности в Центре управления безопасностью Office в своих приложениях Office вцентре управления безопасностьюпараметров>файлов>.
Ранее, когда пользователи определяли документы как доверенные, их выбор позволял запускать активное содержимое, даже если администратор настроил политики для блокировки активного содержимого в документах Office. Теперь политики, заданные администраторами, имеют приоритет над идентификацией пользователей доверенных документов. Это изменение в поведении может вызвать проблемы у пользователей.
Обновленная логика центра управления безопасностью описана на следующей схеме:
Пользователь открывает документ Office, содержащий активное содержимое.
Если документ находится в надежном расположении, он открывается с включенным активным содержимым. Если документ находится не в надежном расположении, оценка продолжается.
Здесь вступает в силу обновленное поведение:
Ранее следующим оцениваемым параметром было бы, если бы пользователь идентифицировал этот документ как доверенный документ. В этом случае документ откроется с включенным активным содержимым.
Теперь здесь не рассматривается вопрос о том, определил ли пользователь документ как доверенный (теперь на шаге 8).
Основные изменения в поведении описываются следующим образом: политики облака (шаг 4), групповые политики (шаг 6) и локальные параметры (шаг 7) проверяются перед тем, как будет рассмотрено назначение пользователя в доверенном документе. Если какой-либо из этих шагов блокирует доступ к активному содержимому и ни один из них не разрешает переопределения пользователей, идентификация пользователя документа как доверенного документа не имеет значения.
Политики облака проверяются, чтобы узнать, разрешен или заблокирован этот тип активного содержимого. Если активное содержимое не заблокировано, оценка продолжается до шага 6.
Если активное содержимое заблокировано политикой, взаимодействие описано на шаге 5.
Открытие документа блокируется с уведомлением на панели доверия. Дальнейшие действия контролируются параметрами переопределения пользователем в политике: a. Переопределение пользователя не разрешено. Пользователь не может открыть документ, и оценка останавливается. Б. Разрешено переопределение пользователя. Пользователь может щелкнуть ссылку на панели доверия, чтобы открыть документ с активным содержимым.
Проверяются групповые политики, чтобы узнать, разрешен или заблокирован этот тип активного содержимого. Если активное содержимое не заблокировано, оценка продолжится на шаге 7.
Если активное содержимое заблокировано политикой, взаимодействие описано на шаге 5.
Проверяются локальные параметры, чтобы узнать, разрешен или заблокирован этот тип активного содержимого. Если активное содержимое заблокировано, открытие документа блокируется с уведомлением на панели доверия. Если активное содержимое не заблокировано, оценка продолжается.
Если пользователь ранее определил документ как доверенный документ, он открывается с включенным активным содержимым. В противном случае открытие документа блокируется.
Что такое доверенный документ?
Доверенные документы — это документы Office, которые открываются без запросов безопасности для макросов, элементов ActiveX и других типов активного содержимого в документе. Защищенное представление или Application Guard не используется для открытия документа. Когда пользователи открывают доверенный документ и включается все активное содержимое. Даже если документ содержит новое активное содержимое или обновления существующего активного содержимого, пользователи не будут получать запросы безопасности при следующем открытии документа.
Из-за этого пользователи должны явно доверять документам, только если они доверяют источнику документов.
Если администратор блокирует активное содержимое с помощью политики или если пользователи устанавливают параметр Центра управления безопасностью, который блокирует активное содержимое, активное содержимое останется заблокированным.
Дополнительные сведения см. в следующих статьях:
- Надежные документы
- Добавление, удаление или изменение надежного расположения
- Активные типы контента в файлах
Настройка параметров доверенного документа в политиках Office
Администраторы могут настроить Office в организации множеством способов. Например:
- Облачная служба политики Office. Настройте политику на основе пользователя, которая применяется к пользователю на любом устройстве, который обращается к файлам в приложениях Office с помощью учетной записи Microsoft Entra. См. инструкции по созданию конфигурации облачной политики Office в службе облачных политик Office.
- Политики Office в Intune. Используйте каталог параметров Intune или административные шаблоны для развертывания политик HKCU на компьютерах Windows 10. В центре администрирования Intune в разделеПрофили конфигурацииустройств>.
- Административные шаблоны. См. инструкции по использованию шаблонов Windows 10 для настройки административных шаблонов.
- Каталог параметров (предварительная версия): см. инструкции по использованию каталога параметров.
- Групповая политика. Используйте локальная служба Active Directory для развертывания объектов групповой политики (GPO) для пользователей и компьютеров. Чтобы создать объект групповой политики для этого параметра, скачайте последние файлы административных шаблонов (ADMX/ADML) и центр развертывания Office для Приложения Microsoft 365 для предприятий, Office 2019 и Office 2016.
Известные проблемы
- Если политика уведомлений макросов VBA (Access, PowerPoint, Visio, Word) или уведомлений макросов (Excel) имеет значение Отключить все, кроме макросов с цифровой подписью, ожидаемая панель доверия не отображается, а сведения о безопасности в backstage не перечисляют сведения о заблокированных макросах, несмотря на то, что параметр работает должным образом. Команда Office работает над решением этой проблемы.
Администратор параметры ограничения активного содержимого
Существует большая разница в уровне доверия к внутренне созданному содержимому и содержимому, которое пользователи скачивают из Интернета. Рассмотрите возможность разрешить активное содержимое во внутренних документах и глобально запретить активное содержимое в документах из Интернета.
Если пользователям не нужны определенные типы активного содержимого, наиболее безопасным вариантом является отключение доступа пользователей к активному содержимому с помощью политик и разрешение исключений при необходимости.
Доступны следующие политики:
- Отключить доверенные расположения: исключения для доступных групп.
- Отключите доверенные документы: исключения для доступных групп.
- Отключить все активное содержимое: исключения для отдельных пользователей.
В таблицах в следующих разделах описаны параметры, управляющие активным содержимым. Эти политики, если они применяются к пользователям, будут применяться к доверенным документам, и предыдущий интерфейс пользователя может не совпадать. Таблицы также содержат рекомендуемые параметры базовых показателей безопасности и определяют другие параметры, в которых доступен запрос пользователя на переопределение (что позволяет пользователю включить активное содержимое).
параметры HKEY_CURRENT_USER
| Категория | Приложение | Имя политики | Базовая конфигурация безопасности параметр (рекомендуется) |
Настройка с помощью запроса пользователя и доступно переопределение? |
|---|---|---|---|---|
| Activex | Office | Инициализация элемента ActiveX | 6 | Да для следующих значений:
|
| Activex | Office | Разрешить однократные формы "Активные X" | Загрузить только элементы управления Outlook | Нет |
| Activex | Office | Проверять объекты ActiveX | Не является параметром базовых показателей безопасности. | Нет |
| Activex | Office | Отключить все элементы ActiveX | Не является параметром базовых показателей безопасности. | Да для следующих значений:
|
| Activex | Office | Загрузить элементы управления в Forms3 | 1 | Да для следующих значений:
|
| Надстройки & расширяемость | Excel PowerPoint Project Publisher Visio Word |
Отключение уведомлений панели доверия для неподписанных надстроек приложения и их блокировка | Enabled | Да для значения Отключено. |
| Надстройки & расширяемость | Excel PowerPoint Project Publisher Visio Word |
Надстройки приложений должны быть подписаны надежными издателями | Enabled | Нет |
| Надстройки & расширяемость | Excel | Не показывать предупреждающее оповещение об автоматической публикации | Disabled | Нет |
| Надстройки & расширяемость | Excel | Параметры уведомлений функции WEBSERVICE | Отключить все с уведомлением. | Да для следующих значений:
|
| Надстройки & расширяемость | Office | Отключение опроса клиента Office в SharePoint Server на наличие опубликованных ссылок | Disabled | Нет |
| Надстройки & расширяемость | Office | Отключить расширение интерфейса пользователя из документов и шаблонов | Запретить в Word = True Запретить в Project = False Запретить в Excel = True Запретить в Visio= False Запретить в PowerPoint = True Запретить в Access = True Запретить в Outlook = True Запретить в Publisher = True Запретить в InfoPath = True |
Нет |
| Надстройки & расширяемость | Outlook | Настройка запроса объектной модели Outlook, возникающего при доступе к адресной книге | Автоматическое запретить | Да для следующих значений:
|
| Надстройки & расширяемость | Outlook | Настройка запроса объектной модели Outlook при доступе к свойству Formula объекта UserProperty | Автоматическое запретить | Да для следующих значений:
|
| Надстройки & расширяемость | Outlook | Настройка запроса объектной модели Outlook, возникающего при выполнении команды "Сохранить как" | Автоматическое запретить | Да для следующих значений:
|
| Надстройки & расширяемость | Outlook | Настройка запроса объектной модели Outlook, возникающего при чтении информации адреса | Автоматическое запретить | Да для следующих значений:
|
| Надстройки & расширяемость | Outlook | Настройка запроса объектной модели Outlook, возникающего при ответе на приглашение на собрание и поручение | Автоматическое запретить | Да для следующих значений:
|
| Надстройки & расширяемость | Outlook | Настройка запроса объектной модели Outlook во время отправления почты | Автоматическое запретить | Да для следующих значений:
|
| Надстройки & расширяемость | Outlook | Настройка запроса на выполнение пользовательских действий объектной модели Outlook | Автоматическое запретить | Да для следующих значений:
|
| Надстройки & расширяемость | PowerPoint | Запуск программ | disable (не запускайте программы) | Да для значения Включить (запрос пользователя перед запуском) |
| Надстройки & расширяемость | Word Excel |
Отключение использования манифестов в интеллектуальном документе | Enabled | Нет |
| DDE | Excel | Не разрешать запуск сервера Динамического обмена данными (DDE) в Excel | Enabled | Да для значения Не настроено. |
| DDE | Excel | Запретите поиск сервера Динамического обмена данными (DDE) в Excel | Enabled | Да для следующих значений:
|
| DDE | Word | Динамический обмен данными | Disabled | Нет |
| Jscript & VBScript | Outlook | Разрешить скрипты в одноразовых формах Outlook | Disabled | Нет |
| Jscript & VBScript | Outlook | Не разрешайте выполнение скриптов объектной модели Outlook для общедоступных папок | Enabled | Нет |
| Jscript & VBScript | Outlook | Не разрешать выполнение скриптов объектной модели Outlook для общих папок | Enabled | Нет |
| Макрос | Excel | Уведомления макросов | Отключить все, кроме макросов с цифровой подписью. | Да для следующих значений:
|
| Макрос | Access PowerPoint Project Publisher Visio Word |
Параметры уведомлений макросов VBA | Отключить все, кроме макросов с цифровой подписью. и Требование подписи макросов доверенным издателем |
Да для следующих значений:
|
| Макрос | Access Excel PowerPoint Visio Word |
Блокировка запуска макросов в файлах Office из Интернета | Enabled | Да для следующих значений:
|
| Макрос | Excel | Сканирование зашифрованных макросов в книгах Excel Open XML | Сканирование зашифрованных макросов (по умолчанию) | Нет |
| Макрос | Office | Разрешить VBA загружать ссылки typelib по пути из ненадежных расположений интрасети | Disabled | Нет |
| Макрос | Office | Безопасность автоматизации | Использовать уровень безопасности макросов в приложениях. | Нет |
| Макрос | Office | Отключение других проверок безопасности для ссылок на библиотеки VBA, которые могут ссылаться на небезопасные расположения на локальном компьютере | Disabled | Нет |
| Макрос | Office | Область сканирования среды выполнения макросов | Включить для всех документов | Нет |
| Макрос | Office | Доверяйте только макросам VBA, которые используют сигнатуры версии 3 | Не является параметром базовых показателей безопасности. | Нет |
| Макрос | Outlook | Режим безопасности Outlook | Использование outlook Security групповая политика | Требуется для включения всех параметров объекта групповой политики Outlook. Упоминается как зависимость (эта политика не блокирует активное содержимое). |
| Макрос | Outlook | Параметр безопасности для макросов | Предупреждение для подписи, отключение неподписанных | Да для следующих значений:
|
| Макрос | PowerPoint | Сканирование зашифрованных макросов в презентациях PowerPoint Open XML | Сканирование зашифрованных макросов (по умолчанию) | Нет |
| Макрос | Publisher | Уровень безопасности службы автоматизации издателя | По пользовательскому интерфейсу (с запросом) | Нет |
| Макрос | Word | Сканирование зашифрованных макросов в документах Word Open XML | Сканирование зашифрованных макросов (по умолчанию) | Нет |
параметры HKEY_LOCAL_MACHINE
| Категория | Приложение | Имя политики | Базовая конфигурация безопасности параметр (рекомендуется) |
Настройка с помощью запроса пользователя и доступно переопределение? |
|---|---|---|---|---|
| Activex | Office | Ограничение установки элементов ActiveX | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
Нет |
| Надстройки & расширяемость | Office | Управление надстройками | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
Нет |
| Надстройки & расширяемость | Office | Блокировка активации Flash в документах Office | Список com killbits для блокировки всех активаций для Flash в приложениях Microsoft 365 см. в руководстве по безопасности Майкрософт по ADMX/ADML-файлам. Файлы ADMX/ADML для базовых показателей безопасности предприятия доступны в наборе средств для обеспечения соответствия требованиям безопасности. | Нет |
| Jscript & VBScript | Office | Ограничение устаревшего выполнения JScript для Office | Включено: Доступ: 69632 Excel: 69632 OneNote: 69632 Outlook: 69632 PowerPoint: 69632 Проект: 69632 Издатель: 69632 Visio: 69632 Word: 69632 |
Нет |
| Jscript & VBScript | Office | Ограничения безопасности для обрабатываемых сценариями окон | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
Нет |