Office 中預設會封鎖來自因特網的巨集
VBA 巨集是惡意執行者取得部署惡意代碼和勒索軟體存取權的常見方式。 因此,為了協助改善 Office 中的安全性,我們會變更 Office 應用程式的預設行為,以封鎖來自因特網檔案的巨集。
這項變更會影響使用者與因特網檔案互動的方式,例如包含巨集的電子郵件附件。 現在,當用戶開啟這類檔案時,他們會看到下列訊息:
[ 深入瞭解] 按鈕會移至使用者 和資訊工作者的文章 ,其中包含使用巨集的不良執行者安全性風險、防止網路釣魚和惡意代碼的安全做法,以及如何視需要啟用這些巨集 () 的指示。
在某些情況下,如果檔案來自內部網路內的位置,且未識別為受信任,則使用者也會看到訊息。 例如,如果使用者使用共用的IP位址來存取網路共用上的檔案。 如需詳細資訊,請參閱 集中位於網路共用或受信任網站上的檔案。
重要事項
即使在我們引進這項變更之前,組織還是可以使用封鎖巨集從因特網原則 在 Office 檔案中 執行,以防止使用者不小心從包含巨集的因特網開啟檔案。 建議您在 Microsoft 365 Apps 企業版 的安全性基準中啟用此原則。 如果您確實設定原則,您的組織將不會受到此預設變更的影響。
如需詳細資訊,請 參閱使用原則來管理 Office 處理巨集的方式。
準備這項變更
請與組織中使用 Office 檔案中巨集的業務單位合作,為這項變更做好準備。 這些檔案通常會從內部網路共享或內部網路網站等位置開啟。 您想要識別這些巨集,並決定 要採取哪些步驟 來繼續使用這些巨集。 請與獨立軟體廠商合作, (ISV) ,從這些位置提供 Office 檔案中的巨集。 例如,若要查看他們是否可以數位簽署程序代碼,而且您可以將它們視為受信任的發行者。
此外,請檢閱下列資訊:
| 準備動作 | 其他相關資訊 |
|---|---|
| 瞭解每個更新通道中的哪個版本都有這項變更 | 受此變更影響的 Office 版本 |
| 請參閱 Office 用來判斷是否要在檔案中執行巨集之程式的流程圖 | Office 如何判斷是否要從因特網在檔案中執行巨集 |
| 了解可用來控制 VBA 巨集執行的原則 | 使用原則來管理 Office 處理巨集的方式 |
允許 VBA 巨集在您信任的檔案中執行所要採取的步驟
您如何允許 VBA 巨集在您信任的檔案中執行,取決於這些檔案的所在位置或文件類型。
下表列出不同的常見案例,以及解除封鎖 VBA 巨集並允許它們執行的可能方法。 您不需要針對指定的案例執行所有可能的方法。 在我們列出多種方法的情況下,請挑選最適合您組織的方法。
| 案例 | 可能採取的方法 |
|---|---|
| 個別檔案 |
• 選取檔案 [屬性] 對話方塊之 [一般] 索引標籤上的 [解除封鎖] 複選框 • 在 PowerShell 中使用 Unblock-File Cmdlet 如需詳細資訊,請參閱 從檔案移除 Web 標記。 |
| 集中位於網路共用或受信任網站上的檔案 | 使用 [個別檔案] 下所列的方法來解除封鎖檔案。 如果沒有 [ 解除封鎖 ] 複選框,而且您想要信任該網路位置中的所有檔案: • 將位置指定為信任的網站 • 將位置新增至 近端內部網路 區域 如需詳細資訊,請參閱 集中位於網路共用或受信任網站上的檔案。 |
| 儲存在 OneDrive 或 SharePoint 上的檔案,包括 Teams 頻道所使用的網站 | • 讓使用者使用 [在 傳統型應用程式中 開啟] 選項直接開啟檔案 • 如果使用者在開啟檔案之前先在本機下載檔,請從檔案的本地副本中移除 Web 標記 (查看 [個別檔案] 底下的方法 ) • 將位置指定為信任的網站 如需詳細資訊,請參閱 OneDrive 或 SharePoint 上的檔案。 |
| Word、PowerPoint 和 Excel 的啟用巨集範本檔案 | 如果樣本檔案儲存在使用者的裝置上: • 從樣本檔案中移除 Web 標記 (請參閱[個別檔案] 底下的方法 ) • 將範本檔案儲存至信任的位置 如果樣本檔案儲存在網路位置: • 使用數位簽名並信任發行者 • 信任範本檔案 (查看「檔案集中位於網路共用或受信任的網站」底下的方法 ) 如需詳細資訊,請參閱 Word、PowerPoint 和 Excel 的已啟用巨集的範本檔案。 |
| PowerPoint 啟用巨集的載入巨集檔案 | • 從載入巨集檔案中移除 Web 標記 • 使用數位簽名並信任發行者 • 將載入巨集檔案儲存至信任的位置 如需詳細資訊,請參閱 PowerPoint 和 Excel 的已啟用巨集的載入巨集檔案。 |
| 已啟用巨集的Excel載入巨集檔案 | • 從載入巨集檔案中移除 Web 標記 • 將載入巨集檔案儲存至信任的位置 如需詳細資訊,請參閱 PowerPoint 和 Excel 的已啟用巨集的載入巨集檔案。 |
| 由信任的發行者簽署的巨集 | • [建議] 將受信任發行者的公用程式代碼簽署憑證部署給使用者,並防止使用者自行新增信任的發行者。 • 從檔案中移除 Web 標記,並讓使用者將巨集的發行者新增為受信任的發行者。 如需詳細資訊,請參閱 受信任發行者簽署的巨集。 |
| 群組 儲存至使用者裝置上資料夾的檔案 | 將資料夾指定為信任的位置 如需詳細資訊,請 參閱信任的位置。 |
受此變更影響的 Office 版本
這項變更只會影響執行 Windows 的裝置上的 Office,而且只會影響下列應用程式:Access、Excel、PowerPoint、Project、Publisher、Visio 和 Word。
下表顯示 Access、Excel、PowerPoint、Visio 和 Word 的每個更新通道何時可以使用這項變更。
| 更新通道 | 版本 | Date |
|---|---|---|
| 目前通道 (預覽) | 版本 2203 | 2022 年 4 月 12 日開始推出 |
| 目前通道 | 版本 2206 | 2022 年 7 月 27 日開始推出 |
| 每月企業頻道 | 版本 2208 | 2022 年 10 月 11 日 |
| 半年企業通道 (預覽) | 版本 2208 | 2022 年 10 月 11 日 |
| 半年企業通道 | 版本 2208 | 2023 年 1 月 10 日 |
下表顯示此變更在 Publisher 的每個更新通道中可用的時機。
| 更新通道 | 版本 | Date |
|---|---|---|
| 目前通道 | 版本 2301 | 2023年2月14日 |
| 每月企業頻道 | 版本 2212 | 2023年2月14日 |
| 每月企業頻道 | 版本 2211 | 2023年2月14日 |
| 半年企業通道 (預覽) | 版本 2208 | 2023年2月14日 |
| 半年企業通道 | 版本 2208 | 2023年2月14日 |
| 半年企業通道 | 版本 2202 | 2023年2月14日 |
| 半年企業通道 | 版本 2108 | 2023年2月14日 |
下表顯示此變更在 Project 的每個更新通道中可用的時機。
| 更新通道 | 版本 | Date |
|---|---|---|
| 目前通道 | 版本 2407 | 2024 年 8 月 13 日 |
| 每月企業頻道 | 版本 2406 | 2024 年 8 月 13 日 |
| 每月企業頻道 | 版本 2405 | 2024 年 8 月 13 日 |
| 半年企業通道 (預覽) | 版本 2402 | 2024 年 8 月 13 日 |
| 半年企業通道 | 版本 2402 | 2024 年 8 月 13 日 |
| 半年企業通道 | 版本 2308 | 2024 年 8 月 13 日 |
| 半年企業通道 | 版本 2302 | 2024 年 8 月 13 日 |
此變更不會影響 Mac 上的 Office、Android 或 iOS 裝置上的 Office 或 Office 網頁版。
Office 如何判斷是否要從因特網在檔案中執行巨集
下列流程圖顯示 Office 如何判斷是否要從因特網在檔案中執行巨集。
下列步驟說明流程圖圖形中的資訊,但Excel載入巨集檔案除外。 如需這些檔案的詳細資訊,請參閱 PowerPoint 和 Excel 的已啟用巨集的載入巨集檔案。 此外,如果檔案位於不在近端 內部網路 區域或不是受信任網站的網路共用上,該檔案中的巨集就會遭到封鎖。
用戶會開啟 Office 檔案,其中包含從因特網取得的巨集。 例如,電子郵件附件。 檔案具有 Web (MOTW) 標記。
注意事項
- Windows 會將 Web 標記新增至不受信任位置的檔案,例如因特網或限制區域。 例如,瀏覽器會下載或電子郵件附件。 如需詳細資訊,請參閱 Web 和區域的標記。
- Web 標記僅適用於儲存在NTFS檔案系統上的檔案,不適用於儲存至 FAT32 格式化裝置的檔案。
如果檔案來自信任的位置,則會在啟用巨集的情況下開啟檔案。 如果檔案不是來自信任的位置,評估會繼續進行。
如果巨集具有數位簽名,且您的裝置具有對應的受信任發行者憑證,則檔案會隨即開啟,並啟用巨集。 如果沒有,則會繼續評估。
系統會檢查原則,以查看是否允許或封鎖巨集。 如果原則設定為 [未設定],評估會繼續進行步驟 6。
() 如果巨集遭到原則封鎖,則會封鎖巨集。
(b) 如果由原則啟用巨集,則會啟用巨集。如果使用者先前在預設行為變更之前開啟檔案,並從 [信任列] 選取 [ 啟用內容 ],則會啟用巨集,因為檔案被視為受信任。
注意事項
- 如需詳細資訊,請 參閱受信任檔的新安全性強化原則。
- 對於 Office 的永久版本,例如 Office LTSC 2021 或 Office 2019,此步驟會在步驟 3 之後和步驟 4 之前發生,而且不會受到預設行為變更的影響。
此步驟是 Office 預設行為的變更生效之處。 透過這項變更,來自因特網的檔案中的巨集會遭到封鎖,且使用者在開啟檔案時會看到 安全性風險 橫幅。
注意事項
先前,在此預設行為變更之前,應用程式會檢查 VBA 巨集通知設定 原則是否已啟用,以及其設定方式。 如果原則設定為 [已停用] 或 [未設定],則應用程式會檢查 [檔案>選項>信任中心信任中心>設定] 底下的設定...>巨集設定。 默認值設為 [使用通知停用所有巨集],讓用戶能夠在信任列中啟用內容。
允許 VBA 巨集在您信任的檔案中執行的指引
從檔案中移除 Web 標記
若要解除封鎖檔案中的巨集,例如來自因特網或電子郵件附件的巨集,請移除本機裝置上的 Web 標記。 若要移除,請以滑鼠右鍵按下檔案,選擇 [屬性],然後選取 [一般] 索引標籤上的 [解除封鎖] 複選框。
![啟用巨集檔的 [檔案屬性] 對話框螢幕快照,其中醒目提示解除封鎖檔案的安全性選項。](media/internet-macros-blocked/vba-unblock-file-properties.png)
注意事項
- 在某些情況下,通常針對網路共用上的檔案,使用者可能不會看到封鎖巨集之檔案的 [ 解除封鎖 ] 複選框。 如需這些案例,請參閱 集中位於網路共用或受信任網站上的檔案。
- 即使網路共用上的檔案可以使用 [ 解除封鎖 ] 複選框,如果共用被視為在因特 網區域中 ,選取複選框也不會有任何作用。 如需詳細資訊,請參閱 Web 和區域的標記。
您也可以在 PowerShell 中使用 Unblock-File Cmdlet,從檔案中移除 ZoneId 值。 拿掉 ZoneId 值可讓 VBA 巨集預設執行。 使用 Cmdlet 會執行與選取檔案 [屬性] 對話方塊之 [一般] 索引標籤上的 [解除封鎖] 複選框相同的動作。 如需 ZoneId 值的詳細資訊,請參閱 Web 和區域的標記。
集中位於網路共用或受信任網站上的檔案
如果您讓使用者從信任的網站或內部檔案伺服器存取檔案,您可以執行下列其中一個步驟,以免封鎖來自這些位置的巨集。
將位置指定為信任的網站
如果網路位置位於內部網路上,請將位置新增至近 端內部網路 區域
注意事項
- 如果您將某個專案新增為受信任的網站,您也會針對與 Office 無關的案例,為整個網站提供更高的許可權。
- 針對 近端內部網路 區域方法,建議您將檔案儲存至已視為 近端內部網路 區域一部分的位置,而不是將新位置新增至該區域。
- 一般而言,建議您使用信任的網站,因為相較於 近端內部網路 區域,這些網站具有額外的安全性。
例如,如果使用者使用其IP位址來存取網路共用,除非檔案共用位於 信任的網站 或近端 內部網路 區域,否則會封鎖這些檔案中的巨集。
提示
- 若要查看信任的網站清單或近端內部網路區域中的內容,請移至 控制台>Internet 選項>變更 Windows 裝置上的安全性設定。
- 若要檢查個別檔案是否來自信任的網站或近端內部網路位置,請參閱 Web和區域的標記。
例如,您可以將檔案伺服器或網路共用新增為受信任的網站,方法是將其 FQDN 或 IP 位址新增至信任的網站清單。
![[信任的網站] 對話框的螢幕快照,其中顯示新增或移除網站及管理受信任網站安全性設定的選項。](media/internet-macros-blocked/trusted-sites-dialog-example.png)
如果您想要新增以 http:// 或網路共享開頭的 URL,請清除 [ 需要伺服器驗證 (https:) 此區域中的所有網站 ] 複選框。
重要事項
因為巨集不會在這些位置的檔案中遭到封鎖,所以您應該謹慎管理這些位置。 請務必控制誰可以將檔案儲存到這些位置。
您可以使用 群組原則 和「站對區指派清單」原則,將位置新增為受信任的網站,或新增到組織中 Windows 裝置的近端內部網路區域。 此原則位於 群組原則 管理控制台的 [Windows 元件\Internet Explorer\因特網 控制台\安全性頁面] 底下。 其可在 [計算機設定\原則\系統管理範本] 和 [使用者設定\原則\系統管理範本] 下取得。
OneDrive 或 SharePoint 上的檔案
如果使用者使用網頁瀏覽器在 OneDrive 或 SharePoint 上下載檔案,Windows 因特網安全性區域的設定 (控制台>Internet Options>Security) 會決定瀏覽器是否設定 Web 標記。 例如,如果檔案來自因特網區域,Microsoft Edge 會設定檔案上的 Web 標記。
如果使用者從 OneDrive 網站或 SharePoint 網站開啟的檔案中選取 [ 在桌面應用程式中 開啟], (包括 Teams 頻道) 使用的網站,則該檔案將不會有 [網頁標記]。
如果使用者執行 OneDrive 同步處理 用戶端,且同步處理用戶端下載了檔案,則該檔案將不會有 Web 標記。
位於 Windows 已知資料夾中的檔案, (Desktop、Documents、Pictures、Screenshots 和 Camera Roll) ,且已同步至 OneDrive,沒有 Web 標記。
如果您有一組使用者,例如需要使用 OneDrive 或 SharePoint 中檔案而不封鎖巨集的財務部門,以下是一些可能的選項:
讓他們使用 [在 傳統型應用程式中 開啟] 選項來開啟檔案
讓他們將檔案下載到 信任的位置。
將 OneDrive 或 SharePoint 網域的 Windows 因特網安全性區域指派設定為信任的網站。 系統管理員可以使用「網站對區域指派清單」原則,並設定原則,將 SharePoint) 的 (或
https://{your-domain-name}-my.sharepoint.comOneDrive) 的 (放入https://{your-domain-name}.sharepoint.com[信任的網站] 區域。此原則位於 群組原則 管理控制台的 [Windows 元件\Internet Explorer\因特網 控制台\安全性頁面] 底下。 其可在 [計算機設定\原則\系統管理範本] 和 [使用者設定\原則\系統管理範本] 下取得。
將這些位置新增至信任的網站,並不會變更 SharePoint 許可權和 OneDrive 共用。 維護訪問控制很重要。 有權將檔案新增至 SharePoint 的任何人都可以新增具有使用中內容的檔案,例如巨集。 從 [信任的網站] 區域中的網域下載檔的使用者會略過預設值來封鎖巨集。
Word、PowerPoint 和 Excel 的啟用巨集範本檔案
從因特網下載之 Word、PowerPoint 和 Excel 的已啟用巨集的範本檔案具有 Web 標記。 例如,具有下列擴展名的範本檔案:
- .dot
- .dotm
- 。罐
- .potm
- .xlt
- .xltm
當用戶開啟啟巨集的範本檔案時,會封鎖使用者在範本檔案中執行巨集。 如果使用者信任範本檔案的來源,他們可以從範本檔案中移除 Web 標記,然後在 Office 應用程式中重新開啟範本檔案。
如果您有一組使用者需要使用巨集啟用的範本,而不封鎖巨集,您可以採取下列其中一個動作:
- 使用數位簽名並信任發行者。
- 如果您不是使用數位簽名,您可以將範本檔案儲存至信任 的位置 ,並讓使用者從該位置取得範本檔案。
PowerPoint 和 Excel 的啟用巨集載入巨集檔案
從因特網下載之 PowerPoint 和 Excel 的巨集啟用載入巨集檔案具有 Web 標記。 例如,具有下列擴展名的載入巨集檔案:
- .ppa
- .ppam
- .xla
- .xlam
當使用者嘗試安裝啟用巨集載入巨集時,使用 [檔案>選項>] 載入 巨集或使用 [ 開發人員 ] 功能區,載入巨集會處於停用狀態,且使用者無法使用載入巨集。 如果使用者信任載入巨集檔案的來源,他們可以從載入巨集檔案中移除 Web 標記,然後重新開啟 PowerPoint 或 Excel 以使用載入巨集。
如果您有一組使用者需要使用啟用巨集的載入巨集檔案,而不封鎖巨集,您可以採取下列動作。
針對 PowerPoint 載入巨集檔案:
- 從 .ppa 或 .ppam 檔案中移除 Web 標記。
- 使用數位簽名並信任發行者。
- 將載入巨集檔案儲存至 信任的位置 ,供使用者擷取。
針對 Excel 載入巨集檔案:
- 從 .xla 或 .xlam 檔案中移除 Web 的 Mark。
- 將載入巨集檔案儲存至 信任的位置 ,供使用者擷取。
注意事項
使用數字簽名和信任發行者,不適用於具有 Web 標記的 Excel 載入巨集檔案。 對於具有 Web 標記的 Excel 載入巨集檔案而言,此行為並不新。 自 2016 年起,由於先前的安全性強化工作 (與Microsoft安全性佈告欄 MS16-088) 相關,因此會以這種方式運作。
由信任的發行者簽署的巨集
如果巨集已簽署,而且您已驗證憑證並信任來源,您可以將該來源設為受信任的發行者。 如果可能,建議您為使用者管理信任的發行者。 如需詳細資訊,請 參閱 Office 檔案的信任發行者。
如果您只有少數使用者,您可以讓他們 從檔案中移除 Web 標記 ,然後在其裝置上 將巨集的來源新增為受信任的發行者 。
警告
- 所有以相同憑證有效簽署的巨集都會辨識為來自受信任的發行者並執行。
- 新增受信任的發行者可能會影響與 Office 相關的案例,因為受信任的發行者是全 Windows 設定,而不只是 Office 特定的設定。
信任位置
將檔案從因特網儲存到用戶裝置上的 [信任的位置] 會忽略 Web 標記的檢查,並開啟並啟用 VBA 巨集。 例如,企業營運應用程式可以週期性地傳送含有巨集的報表。 如果具有巨集的檔案儲存到信任的位置,使用者就不需要移至檔案的 [ 屬性 ],然後選取 [ 解除封鎖 ] 以允許巨集執行。
因為巨集不會在儲存至信任位置的檔案中遭到封鎖,所以您應該謹慎管理信任的位置,並謹慎使用它們。 網路位置也可以設定為信任的位置,但不建議使用。 如需詳細資訊,請 參閱 Office 檔案的信任位置。
關於 Web 標記的其他資訊
Web 和受信任文件的標記
當檔案下載到執行 Windows 的裝置時,會將 Web 標記新增至檔案,並將其來源識別為來自因特網。 目前,當用戶開啟具有 Web 標記的檔案時,會出現 安全性警告 橫幅,並顯示 [ 啟用內容] 按鈕。 如果使用者選取 [ 啟用內容],檔案會被視為信任的檔,並允許巨集執行。 即使在實作從因特網封鎖檔案中巨集的預設行為變更之後,巨集仍會繼續執行,因為檔案仍會被視為信任的檔。
變更預設行為以封鎖來自因特網檔案的巨集之後,使用者第一次使用來自因特網的巨集開啟檔案時,會看到不同的橫幅。 此 安全性風險 橫幅沒有 [ 啟用內容] 的選項。 但使用者可以移至檔案的 [ 屬性 ] 對話框,然後選取 [ 解除封鎖],這會從檔案中移除 Web 標記,並允許巨集執行,只要沒有任何原則或信任中心設定封鎖即可。
Web 和區域的標記
根據預設,[Web 標記] 只會新增至來自因特 網 或 受限制網站 區域的檔案。
提示
若要在 Windows 裝置上查看這些區域,請移至 控制台>因特網選項>變更安全性設定。
您可以在命令提示字元中執行下列命令,並將 {file 的名稱} 取代為您的檔名,以檢視檔案的 ZoneId 值。
notepad {name of file}:Zone.Identifier
當您執行此命令時,記事本會開啟並顯示 [ZoneTransfer] 區段下的 ZoneId。
以下是 ZoneId 值及其對應區域的清單。
- 0 = 我的計算機
- 1 = 近端內部網路
- 2 = 信任的網站
- 3 = 因特網
- 4 = 受限制的網站
例如,如果 ZoneId 為 2,則預設不會封鎖該檔案中的 VBA 巨集。 但如果 ZoneId 為 3,則預設會封鎖該檔案中的巨集。
您可以在 PowerShell 中使用 Unblock-File Cmdlet,從檔案中移除 ZoneId 值。 拿掉 ZoneId 值可讓 VBA 巨集預設執行。 使用 Cmdlet 會執行與選取檔案 [屬性] 對話方塊之 [一般] 索引標籤上的 [解除封鎖] 複選框相同的動作。
使用原則來管理 Office 處理巨集的方式
您可以使用原則來管理 Office 處理巨集的方式。 我們建議您使用封鎖巨集從因特網原則 在 Office 檔案中 執行。 但是,如果該原則不適合您的組織,另一個選項是 VBA 巨集通知設定 原則。
如需如何部署這些原則的詳細資訊,請參閱 可用來管理原則的工具。
重要事項
只有在使用 Microsoft 365 Apps 企業版 時,才能使用原則。 原則不適用於 Microsoft 365 Apps 商務版。
封鎖巨集從因特網在 Office 檔案中執行
此原則可防止使用者不小心從因特網開啟包含巨集的檔案。 當檔案下載到執行 Windows 的裝置,或從網路共用位置開啟時,Web 標記會新增至識別其來源為因特網的檔案。
建議您在 Microsoft 365 Apps 企業版 的安全性基準中啟用此原則。 您應該為大部分的使用者啟用此原則,並只視需要對特定用戶進行例外狀況。
這七個應用程式各有一個個別的原則。 下表顯示在 群組原則 管理控制台的 [用戶設定\原則\系統管理範本] 下,可以找到每個原則的位置:
| 應用程式 | 原則位置 |
|---|---|
| Access | Microsoft Access 2016\應用程式設定\安全性\信任中心 |
| Excel | Microsoft Excel 2016\Excel Options\Security\Trust Center |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center |
| Project | Microsoft Project 2016\Project Options\Security\Trust Center |
| 發行者 | Microsoft Publisher 2016\Publisher Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center |
您為原則選擇的狀態會決定您所提供的保護層級。 下表顯示在實作預設行為變更之前,您針對每個狀態所取得的目前保護層級。
| 圖示 | 保護層級 | 原則狀態 | 描述 |
|---|---|---|---|
|
受保護 [建議] | Enabled | 用戶無法在從因特網取得的檔案中執行巨集。 建議Microsoft安全性基準的一部分。 |
|
未受保護 | 已停用 | 會遵守檔案選項>信任中心信任中心>設定下>設定的設定...>巨集設定。 |
|
|
未受保護 | 未設定 | 會遵守檔案選項>信任中心信任中心>設定下>設定的設定...>巨集設定。 |
注意事項
- 如果您將此原則設定為 [已停用],則使用者在開啟具有巨集的檔案時,預設會看到安全性警告。 該警告會讓使用者知道巨集已停用,但可讓他們選擇 [ 啟用內容 ] 按鈕來執行巨集。
- 此警告與先前顯示的警告使用者相同,在此最近的變更之前,我們會實作 以封鎖巨集。
- 我們不建議將此原則永久設定為 [已停用]。 但在某些情況下,當您測試新的巨集封鎖行為如何影響您的組織,以及開發允許安全使用巨集的解決方案時,暫時這樣做可能很實用。
在實作預設行為的變更之後,當原則設定為 [未設定] 時,保護層級就會變更。
| 圖示 | 保護層級 | 原則狀態 | 描述 |
|---|---|---|---|
|
|
受保護 | 未設定 | 用戶無法在從因特網取得的檔案中執行巨集。 使用者會看到具有 [深入瞭解] 按鈕的安全性風險橫幅 |
VBA 巨集通知設定
如果您未使用「封鎖巨集從因特網在 Office 檔案中執行」原則,您可以使用「VBA 巨集通知設定」原則來管理 Office 處理巨集的方式。
此原則可防止使用者被偽裝成啟用惡意巨集。 根據預設,Office 會設定為封鎖包含 VBA 巨集的檔案,並顯示信任列,並警告巨集存在且已停用。 用戶可以視需要檢查和編輯檔案,但在信任列上選取 [ 啟用內容 ] 之前,無法使用任何停用的功能。 如果使用者選取 [ 啟用內容],則檔案會新增為信任的檔,並允許巨集執行。
這七個應用程式各有一個個別的原則。 下表顯示在 群組原則 管理控制台的 [用戶設定\原則\系統管理範本] 下,可以找到每個原則的位置:
| 應用程式 | 原則位置 |
|---|---|
| Access | Microsoft Access 2016\應用程式設定\安全性\信任中心 |
| Excel [1] | Microsoft Excel 2016\Excel Options\Security\Trust Center |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center |
| Project | Microsoft Project 2016\Project Options\Security\Trust Center |
| 發行者 | Microsoft Publisher 2016\Publisher Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center |
注意事項
- [1] 對於 Excel,原則的名稱為巨集通知設定。
您為原則選擇的狀態會決定您所提供的保護層級。 下表顯示您針對每個狀態所取得的保護層級。
| 圖示 | 保護層級 | 原則狀態 | 原則值 |
|---|---|---|---|
|
|
受保護 [建議] | Enabled | 停用數位簽名巨集以外的所有 (並選取 [需要由受信任的發行者簽署巨集] ) |
|
|
受保護 | Enabled | 停用全部而不通知 |
|
部分保護 | Enabled | 使用通知停用所有 |
|
|
部分保護 | 已停用 | (與「使用通知停用所有專案」相同的行為 ) |
|
|
未受保護 | Enabled | 不建議 (啟用所有巨集) |
重要事項
保護巨集很重要。 對於不需要巨集的使用者,請選擇 [停用所有巨集而不通知],以關閉所有巨集。
我們的安全性基準建議您應執行下列動作:
- 啟用 [VBA 巨集通知設定] 原則。
- 針對需要巨集的使用者,選擇 [停用數位簽名巨集以外的所有巨集],然後選取 [需要由受信任的發行者簽署巨集]。憑證必須在用戶的裝置上安裝為受信任的發行者。
如果您未設定原則,用戶可以在 [檔案>選項>信任中心信任中心>設定] 下設定巨集保護設定...>巨集設定。
下表顯示使用者可以在 [ 巨集設定 ] 下所做的選擇,以及每個設定所提供的保護層級。
| 圖示 | 保護層級 | 選擇的設定 |
|---|---|---|
|
|
受保護 | 除了經數位簽章的巨集外,停用所有巨集 |
|
|
受保護 | 停用所有巨集 (不事先通知) |
|
|
部分保護 | 使用通知 (預設) 停用所有巨集 |
|
|
未受保護 | 啟用所有巨集 (不建議使用,會執行有潛在危險的程式碼) |
注意事項
在原則設定值和Excel的產品UI中,“all” 一詞會由 “VBA” 取代。例如,「停用沒有通知的 VBA 巨集」。
可用來管理原則的工具
有數個工具可供您設定及部署原則設定給組織中的使用者。
雲端原則
您可以使用雲端原則來設定原則設定,並將原則設定部署到組織中的裝置,即使裝置未加入網域也一般。 雲端原則是 Web 型工具,可在 Microsoft 365 Apps 系統管理中心找到。
在 [雲端原則] 中,您會建立原則設定、將它指派給群組,然後選取要包含在原則設定中的原則。 若要選取要包含的原則,您可以依原則的名稱進行搜尋。 雲端原則也會顯示哪些原則屬於Microsoft建議的安全性基準。 雲端原則中可用的原則與 群組原則 管理控制台中提供的使用者設定原則相同。
如需詳細資訊,請 參閱適用於 Microsoft 365 的雲端原則服務概觀。
Microsoft Intune系統管理中心
在 Microsoft Intune 系統管理中心,您可以使用 [設定] 目錄 (預覽) 或 [系統管理範本] 來設定並部署原則設定給執行 Windows 10 或更新版本的裝置。
若要開始使用,請移至 [裝置>組態配置檔>] [建立配置檔]。 針對 [平臺],選擇 [Windows 10 及更新版本],然後選擇配置檔類型。
如需詳細資訊,請參閱下列文章:
群組原則管理主控台
如果您已在組織中部署 Windows Server 和 Active Directory 網域服務 (AD DS) ,您可以使用 群組原則 來設定原則。 若要使用 群組原則,請下載最新的系統管理範本檔案 (ADMX/ADML) for Office,其中包含 Microsoft 365 Apps 企業版 的原則設定。 將系統管理範本檔案複製到 AD DS 之後,您可以使用 群組原則 管理主控台來建立 群組原則 物件 (GPO) ,其中包含使用者和已加入網域之裝置的原則設定。