管理 Office 文件中的使用中內容
注意事項
本文中所述的功能處於預覽狀態,並非所有人都能使用,而且可能會變更。
Office 檔可在包含 使用中內容時自動重新整理、更新或執行。 使用中內容的範例包括宏、ActiveX 控件和 Office 載入宏。使用中的內容可以為使用者提供強大且實用的功能,但攻擊者也可以使用使用中的內容來傳遞惡意代碼。
系統管理員可以建立組織原則 (組策略或雲端原則,) 將使用中內容限制為特定使用者集,或完全停用使用中內容。 用戶可以在其 Office 應用程式的 [檔案>選項>信任中心] 中,於 Office 信任中心設定自己的安全性和隱私權設定。
之前,當使用者將文件識別為受信任的檔時,即使系統管理員已設定原則來封鎖 Office 檔中的使用中內容,其選取範圍仍允許執行使用中內容。 現在,由系統管理員設定的原則優先於用戶識別受信任檔。 此行為變更可能會導致使用者發生問題。
下圖說明更新的信任中心邏輯:
用戶會開啟包含使用中內容的 Office 檔。
如果檔來自信任的位置,則會在啟用使用中內容的情況下開啟檔。 如果檔不是來自信任的位置,則會繼續評估。
更新的行為會在這裡生效:
先前,如果使用者已將這份檔案識別為受信任的檔案,則下一個評估的設定會是 。 如果已開啟,文件會開啟並啟用使用中內容。
現在,在步驟 8) ,現在 (不會考慮使用者是否將文件識別為受信任的檔。
行為的基本變更如下所述:在考慮信任文件的使用者指定 之前 ,會先檢查步驟 4) (雲端原則、步驟 6) (組策略,以及步驟 7 (本機設定) 。 如果其中任何一個步驟封鎖對使用中內容的存取, 而且 沒有任何步驟允許使用者覆寫,則使用者將文件識別為受信任的檔就無關緊要。
系統會檢查雲端原則,以查看是否允許或封鎖這種類型的使用中內容。 如果未封鎖使用中的內容,評估會繼續進行步驟 6。
如果使用中內容遭到原則封鎖,則步驟 5 會說明體驗。
文件的開啟會在信任列中使用通知來封鎖。 接下來會發生什麼事是由原則中的使用者覆寫設定所控制:a. 不允許使用者覆寫:用戶無法開啟檔並停止評估。 b. 允許使用者覆寫:使用者可以按下信任列中的連結,以開啟啟使用中內容的檔。
系統會檢查組策略,以查看是否允許或封鎖這種類型的使用中內容。 如果未封鎖使用中的內容,評估會繼續進行步驟 7。
如果使用中內容遭到原則封鎖,則步驟 5 會說明體驗。
系統會檢查本機設定,以查看是否允許或封鎖這種類型的使用中內容。 如果封鎖使用中內容,則會在信任列中使用通知來封鎖文件的開啟。 如果未封鎖使用中的內容,評估會繼續進行。
如果使用者先前將文件識別為受信任的檔,則會在啟用使用中內容的情況下開啟檔。 如果沒有,則會封鎖文件的開啟。
什麼是受信任的檔?
受信任的檔是 Office 檔,在不提示宏、ActiveX 控件和檔中其他類型的使用中內容的情況下開啟。 受保護的檢視或 應用程式防護 不會用來開啟檔。 當用戶開啟信任的檔,並啟用所有使用中的內容時。 即使檔包含新的使用中內容或現有使用中內容的更新,使用者下次開啟檔時也不會收到安全性提示。
由於此行為,使用者只有在信任檔來源時,才應該清楚信任檔。
如果系統管理員使用原則封鎖使用中內容,或使用者設定了封鎖使用中內容的信任中心設定,則使用中內容仍會被封鎖。
如需詳細資訊,請參閱下列文章:
在 Office 原則中設定信任的文件設定
系統管理員有許多方式可在組織中設定 Office。 例如:
- Office 雲端原則服務:設定以用戶為基礎的原則,以套用至任何裝置上的使用者,以其 Microsoft Entra 帳戶存取 Office 應用程式中的檔案。 請參閱在 Office 雲端原則服務中建立 Office 雲端原則設定的步驟。
- Intune 中的 Office 原則:使用 Intune 設定目錄或系統管理範本將 HKCU 原則部署至 Windows 10 計算機:在 Intune 系統管理中心 [裝置>組態配置檔] 底下。
- 組策略:使用您的 內部部署的 Active Directory 將組策略物件部署 (GPO) 至使用者和計算機。 若要為此設定建立 GPO,請下載最新的系統管理範本檔案, (ADMX/ADML) 和適用於 Microsoft 365 Apps 企業版、Office 2019 和 Office 2016 的 Office 自定義工具。
已知問題
- 當原則 VBA 宏通知 (Access、PowerPoint、Visio、Word) 或宏通知 (Excel) 設定為值 [停用所有],除了數位簽署的宏以外,不會顯示預期的信任列,而且 backstage 中的安全性資訊不會列出封鎖宏的詳細數據,即使設定如預期般運作也一樣。 Office 小組正致力於解決此問題。
管理員 限制使用中內容的選項
內部建立的內容與使用者從因特網下載的內容之間的信任層級有很大的差異。 請考慮在內部文件中允許使用中內容,且全域不允許從因特網使用中文件的內容。
如果您的使用者不需要特定類型的使用中內容,您最安全的選項是使用原則來關閉使用者對該使用中內容的存取,並視需要允許例外狀況。
下列原則可供使用:
- 關閉 [信任的位置:可用群組的例外狀況]。
- 關閉 [信任的檔:可用群組的例外狀況]。
- 關閉所有使用中內容:個人例外狀況。
下列各節中的表格說明控制使用中內容的設定。 這些原則如果套用至使用者,將會在受信任的檔上強制執行,而先前的用戶體驗可能不相同。 這些數據表也包含建議的安全性基準設定,並識別可使用使用者提示覆寫的其他設定, (讓使用者啟用使用中內容) 。
HKEY_CURRENT_USER設定
| 類別 | 應用程式 | 原則名稱 | 安全性基準 設定建議 () |
使用使用者提示進行設定 和覆寫可用的? |
|---|---|---|---|---|
| Activex | Office | ActiveX 控件初始化 | 6 | 下列值為 [是]:
|
| Activex | Office | 允許使用中的 X One 關閉表單 | 只載入 Outlook 控制項 | 否 |
| Activex | Office | 檢查 ActiveX 物件 | 不是安全性基準設定。 | 否 |
| Activex | Office | 停用所有 ActiveX | 不是安全性基準設定。 | 下列值為 [是]:
|
| Activex | Office | 載入 Forms3 的控制項 | 1 | 下列值為 [是]:
|
| 載入宏 & 擴充性 | Excel PowerPoint Project Publisher Visio Word |
停用不帶正負號應用程式載入宏的信任列通知並加以封鎖 | Enabled | [已停用] 值為 [是]。 |
| 載入宏 & 擴充性 | Excel PowerPoint Project Publisher Visio Word |
要求應用程式載入宏由受信任的發行者簽署 | Enabled | 否 |
| 載入宏 & 擴充性 | Excel | 不要顯示自動重新發佈警告警示 | Disabled | 否 |
| 載入宏 & 擴充性 | Excel | WEBSERVICE 函式通知設定 | 使用通知停用所有 | 下列值為 [是]:
|
| 載入宏 & 擴充性 | Office | 停用 Office 用戶端輪詢 SharePoint Server 中的已發佈連結 | Disabled | 否 |
| 載入宏 & 擴充性 | Office | 停用從檔和範本擴充的UI | 不允許在 Word = True 在 Project = False 中不允許 在 Excel 中不允許 = True Visio 中的不允許= False 在 PowerPoint 中不允許 = True 在 Access = True 中不允許 在 Outlook 中不允許 = True 在 Publisher = True 中不允許 不允許 InfoPath = True |
否 |
| 載入宏 & 擴充性 | Outlook | 設定 Outlook 物件模型在存取通訊錄時提示 | 自動拒絕 | 下列值為 [是]:
|
| 載入宏 & 擴充性 | Outlook | 設定 Outlook 物件模型提示存取 UserProperty 物件的 Formula 屬性時 | 自動拒絕 | 下列值為 [是]:
|
| 載入宏 & 擴充性 | Outlook | 設定 Outlook 物件模型在執行 [另存新檔] 時提示 | 自動拒絕 | 下列值為 [是]:
|
| 載入宏 & 擴充性 | Outlook | 設定 Outlook 物件模型在讀取地址資訊時提示 | 自動拒絕 | 下列值為 [是]:
|
| 載入宏 & 擴充性 | Outlook | 設定 Outlook 物件模型在回應會議與工作要求時提示 | 自動拒絕 | 下列值為 [是]:
|
| 載入宏 & 擴充性 | Outlook | 設定 Outlook 物件模型在傳送郵件時提示 | 自動拒絕 | 下列值為 [是]:
|
| 載入宏 & 擴充性 | Outlook | 設定 Outlook 物件模型自定義動作執行提示 | 自動拒絕 | 下列值為 [是]:
|
| 載入宏 & 擴充性 | PowerPoint | 執行程式 | 停用 (不執行任何程式) | [啟用 (在執行) 之前提示使用者] 值為 [是] |
| 載入宏 & 擴充性 | Word Excel |
停用智慧檔使用指令清單 | Enabled | 否 |
| Dde | Excel | 不允許在 Excel 中啟動動態資料交換 (DDE) 伺服器 | Enabled | [未設定] 值為 [是]。 |
| Dde | Excel | 不允許在 Excel 中進行動態數據交換 (DDE) 伺服器查閱 | Enabled | 下列值為 [是]:
|
| Dde | Word | 動態數據交換 | Disabled | 否 |
| Jscript & VBScript | Outlook | 允許 One-off Outlook 表單中的指令碼 | Disabled | 否 |
| Jscript & VBScript | Outlook | 不允許針對公用資料夾執行 Outlook 物件模型腳本 | Enabled | 否 |
| Jscript & VBScript | Outlook | 不允許 Outlook 物件模型腳本針對共用資料夾執行 | Enabled | 否 |
| 巨集 | Excel | 宏通知 | 停用數位簽名宏以外的所有專案 | 下列值為 [是]:
|
| 巨集 | Access PowerPoint Project Publisher Visio Word |
VBA 宏通知設定 | 停用數位簽名宏以外的所有專案 及 需要由受信任的發行者簽署宏 |
下列值為 [是]:
|
| 巨集 | Access Excel PowerPoint Visio Word |
封鎖宏從因特網在 Office 檔案中執行 | Enabled | 下列值為 [是]:
|
| 巨集 | Excel | 在 Excel Open XML 活頁簿中掃描加密的宏 | 掃描加密的宏 (預設) | 否 |
| 巨集 | Office | 允許 VBA 依路徑從不受信任的內部網路位置載入 typelib 參考 | Disabled | 否 |
| 巨集 | Office | 自動化安全性 | 使用應用程式巨集安全性層級 | 否 |
| 巨集 | Office | 停用可能參考本機計算機上不安全位置之 VBA 連結庫參考的其他安全性檢查 | Disabled | 否 |
| 巨集 | Office | 宏運行時間掃描範圍 | 針對所有文件啟用 | 否 |
| 巨集 | Office | 只信任使用 V3 簽章的 VBA 宏 | 不是安全性基準設定。 | 否 |
| 巨集 | Outlook | Outlook 安全性模式 | 使用 Outlook 安全性 群組原則 | 啟用所有 Outlook GPO 設定的必要專案。 提及為相依性 (此原則不會封鎖作用中內容本身) 。 |
| 巨集 | Outlook | 宏的安全性設定 | 警告已簽署、停用不帶正負號 | 下列值為 [是]:
|
| 巨集 | PowerPoint | 掃描PowerPoint Open XML 簡報中的加密宏 | 掃描加密的宏 (預設) | 否 |
| 巨集 | Publisher | 發行者自動化安全性層級 | 依 UI (提示) | 否 |
| 巨集 | Word | 在開啟 XML 檔 Word 掃描加密的宏 | 掃描加密的宏 (預設) | 否 |
HKEY_LOCAL_MACHINE設定
| 類別 | 應用程式 | 原則名稱 | 安全性基準 設定建議 () |
使用使用者提示進行設定 和覆寫可用的? |
|---|---|---|---|---|
| Activex | Office | 限制 ActiveX 安裝 | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
否 |
| 載入宏 & 擴充性 | Office | 附加元件管理 | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
否 |
| 載入宏 & 擴充性 | Office | 在 Office 檔中封鎖 Flash 啟用 | 如需 COM 終止位清單,請參閱 Microsoft 安全性指南 ADMX/ADML 檔案,以封鎖在 Microsoft 365 應用程式上對 Flash 的所有啟用。 企業安全性基準的 ADMX/ADML 檔案可在 安全性合規性工具組中取得。 | 否 |
| Jscript & VBScript | Office | 限制 Office 的舊版 JScript 執行 | 已開啟: 存取:69632 Excel:69632 OneNote:69632 Outlook:69632 PowerPoint:69632 專案:69632 發行者:69632 Visio:69632 Word:69632 |
否 |
| Jscript & VBScript | Office | 已撰寫指令碼的視窗安全性限制 | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
否 |