管理 Office 文档中的活动内容
注意
本文中所述的功能以预览版提供,并非所有人都可用,并且可能会有所更改。
当 Office 文档包含 活动内容时,可以自动刷新、更新或执行这些文档。 活动内容的示例包括宏、ActiveX 控件和 Office 加载项。活动内容可以为用户提供强大而有用的功能,但攻击者也可以使用活动内容来传递恶意软件。
管理员可以创建组织策略 (组策略或云策略) ,以将活动内容的使用限制为特定的用户集,或完全禁用活动内容。 用户可以在 Office> 信任中心的文件选项>信任中心的 Office 应用中配置自己的安全和隐私设置。
以前,当用户将文档标识为受信任文档时,他们的选择将允许运行活动内容,即使管理员配置了阻止 Office 文档中的活动内容的策略也是如此。 现在,管理员设置的策略优先于用户标识受信任文档。 此行为更改可能会导致用户出现问题。
下图介绍了更新的信任中心逻辑:
用户打开包含活动内容的 Office 文档。
如果文档来自受信任位置,则打开文档并启用活动内容。 如果文档不是来自受信任位置,则评估将继续。
此处更新的行为生效:
以前,如果用户将此文档标识为受信任的文档,则下一个评估设置将是。 如果这样做,文档将在启用活动内容的情况下打开。
现在,此处不考虑用户是否将文档标识为受信任的文档, (现在步骤 8) 。
行为的根本更改描述如下:云策略 (步骤 4) 、组策略 (步骤 6) ,以及步骤 7) 的本地设置 (在考虑用户指定受信任文档 之前 进行检查。 如果其中任一步骤阻止访问活动内容 ,并且 任何步骤都不允许用户替代,则用户将文档标识为受信任文档是不相关的。
检查云策略,查看是否允许或阻止这种类型的活动内容。 如果未阻止活动内容,则评估将继续执行步骤 6。
如果活动内容被策略阻止,则体验在步骤 5 中介绍。
文档的打开被阻止,并在信任栏中显示通知。 接下来执行的操作由策略中的用户替代设置控制:a。 不允许用户重写:用户无法打开文档,评估将停止。 b. 允许用户重写:用户可以单击信任栏中的链接以打开启用了活动内容的文档。
检查组策略以查看是否允许或阻止这种类型的活动内容。 如果未阻止活动内容,则评估将继续执行步骤 7。
如果活动内容被策略阻止,则体验在步骤 5 中介绍。
将检查本地设置,以查看是否允许或阻止此类活动内容。 如果活动内容被阻止,则会阻止文档的打开,并在信任栏中显示通知。 如果未阻止活动内容,则继续评估。
如果用户之前将文档标识为受信任的文档,则会打开文档并启用活动内容。 否则,将阻止文档的打开。
什么是受信任的文档?
受信任的文档是打开的 Office 文档,对于文档中的宏、ActiveX 控件和其他类型的活动内容没有任何安全提示。 受保护的视图或应用程序防护不用于打开文档。 当用户打开受信任的文档并启用所有活动内容时。 即使文档包含新的活动内容或现有活动内容的更新,用户下次打开文档时也不会收到安全提示。
由于此行为,用户仅当信任文档源时,才应明确信任文档。
如果管理员使用策略阻止活动内容,或者如果用户设置了阻止活动内容的信任中心设置,则活动内容将保持阻止状态。
有关详细信息,请参阅以下文章:
在 Office 策略中配置受信任的文档设置
管理员可以通过多种方式在组织中配置 Office。 例如:
- Office 云策略服务:设置基于用户的策略,该策略适用于任何设备上的用户使用其Microsoft Entra帐户访问 Office 应用中的文件。 请参阅在 Office 云策略服务中创建 Office云策略配置的步骤。
- Intune 中的 Office 策略:使用 Intune 设置目录或管理模板将 HKCU 策略部署到Windows 10电脑:在 Intune 管理中心的“设备>配置文件”下。
- 组策略:使用本地 Active Directory将组策略对象 (GPO) 部署到用户和计算机。 若要为此设置创建 GPO,请 (ADMX/ADML) 以及适用于 Microsoft 365 企业应用版、Office 2019 和 Office 2016 的 Office 自定义工具下载最新的管理模板文件。
已知问题
- 当策略 VBA 宏通知 (Access、PowerPoint、Visio、Word) 或 Excel) 的宏 (通知设置为值“禁用除数字签名宏以外的所有宏”时,不会显示预期的信任栏,并且后台的安全信息不会列出阻止宏的详细信息,即使设置按预期工作也是如此。 Office 团队正在努力解决此问题。
用于限制活动内容的管理员选项
内部创建内容与用户从 Internet 下载的内容的信任级别存在很大差异。 考虑在内部文档中允许活动内容,并全局不允许来自 Internet 的文档中的活动内容。
如果用户不需要特定类型的活动内容,则最安全的选项是使用策略来关闭用户对该活动内容的访问,并根据需要允许异常。
以下策略可用:
- 关闭“受信任位置:可用组的例外”。
- 关闭“受信任的文档:可用组的例外”。
- 关闭所有活动内容:个人例外。
以下部分中的表描述了控制活动内容的设置。 这些策略(如果应用于用户)将对受信任的文档强制实施,并且以前的最终用户体验可能不同。 这些表还包括建议的安全基线设置,并标识用户提示替代 (允许用户启用活动内容) 的其他设置。
HKEY_CURRENT_USER设置
| 类别 | 应用 | 策略名称 | 安全基线 设置 (建议) |
使用用户提示进行设置 并重写可用? |
|---|---|---|---|---|
| Activex | Office | ActiveX 控件初始化 | 6 | 对于 以下值,是:
|
| Activex | Office | 允许活动 X 一次性表单 | 仅加载 Outlook 控件 | 否 |
| Activex | Office | 检查 ActiveX 对象 | 不是安全基线设置。 | 否 |
| Activex | Office | 禁用所有 ActiveX | 不是安全基线设置。 | 对于 以下值,是:
|
| Activex | Office | 在 Forms3 中加载控件 | 1 | 对于 以下值,是:
|
| 加载项 & 扩展性 | Excel PowerPoint Project Publisher Visio Word |
禁用未签名应用程序加载项的信任栏通知并阻止它们 | Enabled | “是 ”值 Disabled。 |
| 加载项 & 扩展性 | Excel PowerPoint Project Publisher Visio Word |
要求由受信任发布者签署应用程序加载项 | Enabled | 否 |
| 加载项 & 扩展性 | Excel | 不显示自动重新发布警告警报 | Disabled | 否 |
| 加载项 & 扩展性 | Excel | WEBSERVICE 函数通知设置 | 禁用所有宏,并发出通知 | 对于 以下值,是:
|
| 加载项 & 扩展性 | Office | 禁止 Office 客户端轮询 SharePoint Server 中的已发布链接 | Disabled | 否 |
| 加载项 & 扩展性 | Office | 禁用文档和模板中的 UI 扩展 | 在 Word = True 中禁止 项目中的不允许 = False 在 Excel 中不允许 = True 在 Visio 中不允许= False 在 PowerPoint 中不允许 = True 在 Access = True 中不允许 在 Outlook 中不允许 = True 发布服务器中的禁止 = True InfoPath 中的禁止 = True |
否 |
| 加载项 & 扩展性 | Outlook | 配置访问通讯簿时的 Outlook 对象模型提示 | 自动拒绝 | 对于 以下值,是:
|
| 加载项 & 扩展性 | Outlook | 在访问 UserProperty 对象的 Formula 属性时配置 Outlook 对象模型提示 | 自动拒绝 | 对于 以下值,是:
|
| 加载项 & 扩展性 | Outlook | 配置执行“另存为”操作时的 Outlook 对象模型提示 | 自动拒绝 | 对于 以下值,是:
|
| 加载项 & 扩展性 | Outlook | 配置读取地址信息时的 Outlook 对象模型提示 | 自动拒绝 | 对于 以下值,是:
|
| 加载项 & 扩展性 | Outlook | 配置响应会议和任务要求时的 Outlook 对象模型提示 | 自动拒绝 | 对于 以下值,是:
|
| 加载项 & 扩展性 | Outlook | 配置发送邮件时的 Outlook 对象模型提示 | 自动拒绝 | 对于 以下值,是:
|
| 加载项 & 扩展性 | Outlook | 设置 Outlook 对象模型自定义操作执行提示 | 自动拒绝 | 对于 以下值,是:
|
| 加载项 & 扩展性 | PowerPoint | 运行程序 | 禁用 (不运行任何程序) | 对于 值 “启用 (在运行之前提示用户) |
| 加载项 & 扩展性 | Word Excel |
禁用智能文档对清单的使用 | Enabled | 否 |
| Dde | Excel | 不允许在 Excel 中启动动态数据交换 (DDE) 服务器 | Enabled | 对于 值 “未配置”,是。 |
| Dde | Excel | 不允许在 Excel 中查找动态数据交换 (DDE) 服务器查找 | Enabled | 对于 以下值,是:
|
| Dde | Word | 动态数据交换 | Disabled | 否 |
| Jscript & VBScript | Outlook | 允许使用一次性 Outlook 窗体中的脚本 | Disabled | 否 |
| Jscript & VBScript | Outlook | 不允许为公用文件夹运行 Outlook 对象模型脚本 | Enabled | 否 |
| Jscript & VBScript | Outlook | 不允许为共享文件夹运行 Outlook 对象模型脚本 | Enabled | 否 |
| 宏 | Excel | 宏通知 | 禁用无数字签署的所有宏 | 对于 以下值,是:
|
| 宏 | Access PowerPoint Project Publisher Visio Word |
VBA 宏通知设置 | 禁用无数字签署的所有宏 和 要求由受信任的发布者对宏进行签名 |
对于 以下值,是:
|
| 宏 | Access Excel PowerPoint Visio Word |
阻止宏从 Internet 在 Office 文件中运行 | Enabled | 对于 以下值,是:
|
| 宏 | Excel | 扫描 Excel Open XML 工作簿中的加密宏 | 扫描默认) (加密宏 | 否 |
| 宏 | Office | 允许 VBA 从不受信任的 Intranet 位置按路径加载 typelib 引用 | Disabled | 否 |
| 宏 | Office | 自动化安全性 | 使用应用程序宏安全级别 | 否 |
| 宏 | Office | 对可能引用本地计算机上的不安全位置的 VBA 库引用禁用其他安全检查 | Disabled | 否 |
| 宏 | Office | 宏运行时扫描范围 | 为所有文档启用 | 否 |
| 宏 | Office | 仅信任使用 V3 签名的 VBA 宏 | 不是安全基线设置。 | 否 |
| 宏 | Outlook | Outlook 安全模式 | 使用 Outlook 安全组策略 | 启用所有 Outlook GPO 设置所必需的。 作为依赖项 (此策略不会阻止活动内容本身) 。 |
| 宏 | Outlook | 宏的安全设置 | 警告已签名,禁用未签名 | 对于 以下值,是:
|
| 宏 | PowerPoint | 扫描 PowerPoint Open XML 演示文稿中的加密宏 | 扫描默认) (加密宏 | 否 |
| 宏 | Publisher | 发布者自动化安全级别 | 按用户指令(提示) | 否 |
| 宏 | Word | 扫描 Word Open XML 文档中的加密宏 | 扫描默认) (加密宏 | 否 |
HKEY_LOCAL_MACHINE设置
| 类别 | 应用 | 策略名称 | 安全基线 设置 (建议) |
使用用户提示进行设置 并重写可用? |
|---|---|---|---|---|
| Activex | Office | 限制 ActiveX 安装 | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
否 |
| 加载项 & 扩展性 | Office | 加载项管理 | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
否 |
| 加载项 & 扩展性 | Office | 在 Office 文档中阻止 Flash 激活 | 请参阅 Microsoft 安全指南 ADMX/ADML 文件,获取用于阻止 Microsoft 365 应用上 Flash 的所有激活的 COM killbit 列表。 安全 合规性工具包中提供了企业安全基线的 ADMX/ADML 文件。 | 否 |
| Jscript & VBScript | Office | 限制 Office 的旧 JScript 执行 | 已启用: 访问:69632 Excel:69632 OneNote:69632 Outlook:69632 PowerPoint:69632 项目:69632 发布者:69632 Visio:69632 Word:69632 |
否 |
| Jscript & VBScript | Office | 脚本化 Window 安全限制 | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
否 |