Office 檔案的信任發行者
適用於:Microsoft 365 Apps、Office LTSC 2021、Office 2019 和 Office 2016
發行者是已發佈軟體的人員或公司,例如巨集、ActiveX 控件或載入巨集。 在您決定發行者是可靠的且可以信任之前,您應該知道發行者的身分識別,以及發行者的認證是否有效。
如果 Office 警告您檔案中可能不安全的程式代碼,您可以先檢視程式代碼和發行者的詳細資訊,再決定是否要信任程式代碼或發行者。 如果您收到警告指出沒有簽章存在,或簽章無效,除非您確定程式代碼來自可靠的來源,否則不應該啟用內容或信任發行者。 通常,簽章無效的訊息表示程式代碼在作者簽署后遭到竄改。
如果 Office 檔案中使用的巨集已簽署,而且您已驗證憑證並信任來源,您可以將該來源設為受信任的發行者。 如果可能,建議您為使用者管理信任的發行者。
注意事項
如果您的組織開發和散發 Office 檔案中的巨集給內部使用者或外部客戶,則您的巨集開發人員應該以最佳做法簽署其 VBA 程序代碼。 在散發巨集之前,程式代碼通常會使用商業證書頒發機構單位 (CA) 的數位證書簽署。
若要成為受信任的發行者,用來簽署巨集的公用程式代碼簽署憑證必須新增至裝置上的受信任發行者證書存儲。
警告
- 所有以相同憑證有效簽署的巨集都會辨識為來自受信任的發行者並執行。
- 新增受信任的發行者可能會影響與 Office 相關的案例,因為受信任的發行者是全 Windows 設定,而不只是 Office 特定的設定。
使用 群組原則 來管理信任的發行者
您可以使用 群組原則,將用來簽署巨集的公用程式代碼簽署憑證散發給組織中的裝置。 若要散發憑證,您可以在 群組原則 管理工具中執行下列步驟:
- 移至 [計算機設定\原則\Windows 設定\安全性設定\公鑰原則],以滑鼠右鍵按兩下 [ 信任的發行者],然後選擇 [ 匯入]。
- 執行 [ 憑證匯入精靈] ,並將適當的憑證檔案匯入至受信任的發行者證書存儲。
對於只應執行受信任發行者所簽署的 VBA 巨集的使用者,您應該將 VBA 巨集通知設定 原則設定為 [已啟用 ],然後在 [ 選項] 底下執行下列步驟:
- 從下拉式清單中選取 [ 停用數位簽名巨集以外的所有 專案]。
- 選取 [ 需要由信任的發行者簽署巨集 ] 複選框。
注意事項
如果您為 Excel 選擇這些設定,將會封鎖 Excel 4.0 巨集。
如果您想要提供更多限制,您可以在 [ 選項] 下選取 [封鎖僅安裝在目前使用者證書存儲中信任發行者的憑證 ] 複選框。 除非使用者在其裝置上具有系統管理員許可權,否則該設定可防止使用者在其裝置上手動新增受信任的發行者。
使用命令行程式來散發受信任發行者的憑證
如果您無法在組織中使用或不使用 群組原則,您也可以在腳本中使用 certutil 命令,或在裝置上手動散發公用程式代碼簽署憑證。 您可以使用 -addstore 參數 ,將程式代碼簽署憑證新增至裝置上的 TrustedPublisher 存放區。
讓使用者手動新增信任的發行者
如果您只有少數使用者需要設定信任的發行者,您可以在每個裝置上手動執行。 使用者只需要為每個發行者執行此動作一次。
使用者可以 遵循這些指示 ,將來源新增為受信任的發行者。 如果檔案具有 Web 的 Mark,用戶必須先從檔案中移除 Web 標記,才能將來源新增為受信任的發行者。 如需詳細資訊, 請檢閱本文中的資訊。