VBA 宏是恶意参与者获取部署恶意软件和勒索软件访问权限的常见方式。 因此,为了帮助提高 Office 的安全性,我们将更改 Office 应用程序的默认行为,以阻止来自 Internet 的文件中的宏。
通过此更改,当用户打开来自 Internet 的文件(如电子邮件附件)并且该文件包含宏时,将显示以下消息:
“
了解详细信息
”按钮转到
面向最终用户和信息工作者的文章
,其中包含有关使用宏的不良参与者的安全风险的信息、防止钓鱼和恶意软件的安全做法,以及有关如何在绝对需要) 时启用这些宏 (的说明。
在某些情况下,如果文件来自 Intranet 中未标识为受信任的位置,则用户也会看到消息。 例如,如果用户使用共享的 IP 地址访问网络共享上的文件。 有关详细信息,请参阅
位于网络共享或受信任网站上的文件
。
即使在我们引入此更改之前,组织也可以使用
“阻止宏从 Internet 在 Office 文件中运行
”策略,以防止用户无意中打开包含宏的 Internet 中的文件。 建议启用此策略作为Microsoft 365 企业应用版
安全基线
的一部分。 如果配置策略,则组织不会受到此默认更改的影响。
有关详细信息,请参阅
使用策略管理 Office 处理宏的方式
。
准备此更改
若要准备此更改,我们建议你与组织中使用 Office 文件中宏的业务单位协作,这些宏是从 Intranet 网络共享或 Intranet 网站等位置打开的。 你需要标识这些宏,并确定
要继续使用这些宏所要执行的步骤
。 你还需要与独立软件供应商合作, (ISV) 从这些位置在 Office 文件中提供宏。 例如,若要查看他们是否可以对其代码进行数字签名,并且你可以将其视为受信任的发布者。
此外,请查看以下信息:
• 选中文件
“属性
”对话框的“
常规
”选项卡上的“
取消阻止
”复选框
• 在 PowerShell 中使用
Unblock-File
cmdlet
有关详细信息,请参阅
从文件中删除 Web 标记
。
位于网络共享或受信任网站上的文件
使用“单个文件”下列出的方法取消阻止文件。
如果没有“
取消阻止
”复选框,并且你想要信任该网络位置中的所有文件:
• 将位置指定为受信任的站点
• 将位置添加到
本地 Intranet
区域
有关详细信息,请参阅
位于网络共享或受信任网站上的文件
。
存储在 OneDrive 或 SharePoint 上的文件,包括 Teams 频道使用的网站
• 让用户使用“
在桌面应用中打开
”选项直接打开文件
• 如果用户在打开文件之前在本地下载文件,请从文件的本地副本中删除 Web 标记
(查看“单个文件”下的方法)
• 将位置指定为受信任的站点
有关详细信息,请参阅
OneDrive 或 SharePoint 上的文件
。
Word、PowerPoint 和 Excel 的已启用宏的模板文件
如果模板文件存储在用户的设备上:
• 从模板文件中删除 Web 标记
(查看“单个文件”下的方法)
• 将模板文件保存到受信任位置
如果模板文件存储在网络位置:
• 使用数字签名并信任发布者
• 信任模板文件
(查看“位于网络共享或受信任网站上的文件集中”下的方法)
有关详细信息,请参阅
Word、PowerPoint 和 Excel 的已启用宏的模板文件
。
PowerPoint 的已启用宏的加载项文件
• 从外接程序文件中删除 Web 标记
• 使用数字签名并信任发布者
• 将外接程序文件保存到受信任位置
有关详细信息,请参阅
PowerPoint 和 Excel 的已启用宏的加载项文件
。
Excel 的已启用宏的加载项文件
• 从外接程序文件中删除 Web 标记
• 将外接程序文件保存到受信任位置
有关详细信息,请参阅
PowerPoint 和 Excel 的已启用宏的加载项文件
。
由受信任的发布者签名的宏
•
[推荐]
将受信任的发布者的公共代码签名证书部署到用户,并阻止用户自行添加受信任的发布者。
• 从文件中删除 Web 标记,并让用户将宏的发布者添加为受信任的发布者。
有关详细信息,请参阅
由受信任的发布者签名的宏
。
保存到用户设备上的文件夹的文件组
将文件夹指定为受信任位置
有关详细信息,请参阅
受信任位置
。
受此更改影响的 Office 版本
此更改仅影响运行 Windows 的设备上的 Office,并且仅影响以下应用程序:Access、Excel、PowerPoint、Visio 和 Word。
下表显示了此更改何时在每个更新通道中可用。
此更改不会影响 Mac 上的 Office、Android 或 iOS 设备上的 Office 或Office web 版。
Office 如何确定是否从 Internet 运行文件中的宏
下面的流程图显示了 Office 如何确定是否从 Internet 运行文件中的宏。
以下步骤说明流程图中的信息,Excel 外接程序文件除外。 有关这些文件的详细信息,请参阅
PowerPoint 和 Excel 的已启用宏的加载项文件
。 此外,如果文件位于不在
本地 Intranet
区域中或不是受信任站点的网络共享上,则会阻止该文件中的宏。
用户打开包含从 Internet 获取的宏的 Office 文件。 例如,电子邮件附件。 该文件具有 Web (MOTW) 的标记。
Windows 将 Web 标记添加到来自不受信任的位置(如 Internet 或受限区域)的文件。 例如,浏览器下载或电子邮件附件。 有关详细信息,请参阅
Web 和区域的标记
。
Web 标记仅适用于保存在 NTFS 文件系统上的文件,不适用于保存到 FAT32 格式设备的文件。
如果文件来自受信任的位置,则打开该文件并启用宏。 如果文件不是来自受信任位置,则评估将继续。
如果宏经过数字签名,并且设备上安装了匹配的受信任发布服务器证书,则会在启用宏的情况下打开该文件。 如果没有,则继续评估。
检查策略以查看宏是否被允许或阻止。 如果策略设置为“未配置”,则评估将继续执行步骤 6。
() 如果宏被策略阻止,则会阻止宏。 (b) 如果宏由策略启用,则会启用宏。
如果用户之前打开了文件,在默认行为发生此更改之前,并选择了“从信任栏
启用内容”
,则启用宏,因为该文件被视为受信任。
有关详细信息,请参阅
受信任的文档的新安全强化策略
。
对于永久版本的 Office(如 Office LTSC 2021 或 Office 2019),此步骤发生在步骤 3 之后和步骤 4 之前,并且不受默认行为更改的影响。
此步骤是 Office 默认行为的更改生效的地方。 通过此更改,将阻止来自 Internet 的文件中的宏,并且用户在打开文件时将看到
“安全风险
”横幅。
以前,在默认行为发生此更改之前,应用会检查是否启用了
VBA 宏通知设置
策略以及该策略的配置方式。
如果策略设置为“禁用”或“未配置”,则应用将检查
“文件
>
选项
>
信任中心信任中心
>
设置...”下的设置。
>
宏设置
。 默认设置为“禁用所有带有通知的宏”,这允许用户在信任栏中启用内容。
有关允许 VBA 宏在你信任的文件中运行的指南
从文件中删除 Web 标记
对于单个文件(例如从 Internet 位置下载的文件或用户保存到其本地设备的电子邮件附件),取消阻止宏的最简单方法是删除 Web 标记。 若要删除,请右键单击文件,选择
“属性”
,然后选中“
常规
”选项卡上的“
取消阻止
”复选框。
在某些情况下,通常对于网络共享上的文件,用户可能不会看到阻止宏的文件的“
取消阻止
”复选框。 对于这些情况,请参阅位于
网络共享或受信任网站上的文件
。
即使“
取消阻止
”复选框可用于网络共享上的文件,如果共享被视为在
Internet
区域中,则选中该复选框不会有任何影响。 有关详细信息,请参阅
Web 和区域的标记
。
还可以使用 PowerShell 中的
Unblock-File
cmdlet 从文件中删除 ZoneId 值。 删除 ZoneId 值将允许默认情况下运行 VBA 宏。 使用 cmdlet 的作用与选中文件的“
属性
”对话框的“
常规
”选项卡上的“
取消阻止
”复选框相同。 有关 ZoneId 值的详细信息,请参阅
Web 和区域的标记
。
位于网络共享或受信任网站上的文件
如果让用户从受信任的网站或内部文件服务器访问文件,则可以执行以下步骤之一,以便不会阻止来自这些位置的宏。
将位置指定为受信任的站点
如果网络位置在 Intranet 上,请将该位置添加到
本地 Intranet
区域
如果将某些内容添加为受信任的网站,则还会为与 Office 无关的方案授予整个网站提升的权限。
对于
本地 Intranet
区域方法,建议将文件保存到已被视为
本地 Intranet
区域的一部分的位置,而不是向该区域添加新位置。
通常,我们建议使用受信任的站点,因为它们与
本地 Intranet
区域相比具有一些额外的安全性。
例如,如果用户使用网络共享的 IP 地址访问网络共享,除非文件共享位于
受信任的站点
或
本地 Intranet
区域中,否则将阻止这些文件中的宏。
若要查看受信任的站点列表或
本地 Intranet
区域中的内容,请转到
控制面板
>
Internet 选项
>更改 Windows 设备上的
安全设置
。
若要检查单个文件是否来自受信任的站点或本地 Intranet 位置,请参阅
Web 和区域的标记
。
例如,可以通过将文件服务器或网络共享的 FQDN 或 IP 地址添加到受信任的站点列表中,将其添加为受信任的站点。
如果要添加以 http:// 或网络共享开头的 URL,请清除
“要求对此区域中所有站点进行服务器验证 (https:)
”复选框。
由于宏不会阻止来自这些位置的文件中,因此应仔细管理这些位置。 请确保控制允许谁将文件保存到这些位置。
可以使用组策略和“站点到区域分配列表”策略将位置添加为受信任的站点,或添加到组织中 Windows 设备的
本地 Intranet
区域。 此策略位于 组策略 管理控制台的 Windows 组件\Internet Explorer\Internet 控制面板\安全页下。 它在计算机配置\策略\管理模板和用户配置\策略\管理模板下均可用。
OneDrive 或 SharePoint 上的文件
如果用户使用 Web 浏览器在 OneDrive 或 SharePoint 上下载文件,则 Windows Internet 安全区域 (
配置控制面板
>
Internet Options
>
Security
) 将确定浏览器是否设置 Web 标记。 例如,如果确定文件来自 Internet 区域,Microsoft Edge 会设置文件的 Web 标记。
如果用户在从 OneDrive 网站或 SharePoint 网站打开的文件中选择“
在桌面应用中打开
” (包括 Teams 频道) 使用的网站,则该文件将不具有 Web 标记。
如果用户运行 OneDrive 同步 客户端,并且同步客户端下载了文件,则该文件将没有 Web 标记。
Windows 已知文件夹中的文件 (桌面、文档、图片、屏幕截图和本机照片) 并同步到 OneDrive,没有 Web 标记。
如果你有一组用户(例如财务部门)需要使用 OneDrive 或 SharePoint 中的文件而不阻止宏,下面是一些可能的选项:
让他们使用“
在桌面应用中打开
”选项打开文件
让他们将文件下载到
受信任位置
。
将 OneDrive 或 SharePoint 域的 Windows Internet 安全区域分配设置为“受信任的站点”。 管理员可以使用“站点到区域分配列表”策略,并将策略配置为将
https://{your-domain-name}.sharepoint.com
SharePoint) (或
https://{your-domain-name}-my.sharepoint.com
oneDrive () 放入“受信任的站点”区域。
此策略位于 组策略 管理控制台的 Windows 组件\Internet Explorer\Internet 控制面板\安全页下。 它在计算机配置\策略\管理模板和用户配置\策略\管理模板下均可用。
通过将这些位置添加到受信任的网站,SharePoint 权限和 OneDrive 共享不会更改。 维护访问控制非常重要。 有权将文件添加到 SharePoint 的任何人都可以添加包含活动内容的文件,例如宏。 从“受信任的站点”区域中的域下载文件的用户将绕过默认设置来阻止宏。
Word、PowerPoint 和 Excel 的已启用宏的模板文件
从 Internet 下载的 Word、PowerPoint 和 Excel 已启用宏的模板文件将具有 Web 标记。 例如,具有以下扩展名的模板文件:
.dotm
.potm
.xltm
当用户打开启用了宏的模板文件时,将阻止用户运行模板文件中的宏。 如果用户信任模板文件的源,他们可以从模板文件中删除 Web 标记,然后在 Office 应用中重新打开模板文件。
如果有一组用户需要使用启用了宏的模板而不阻止宏,则可以执行以下操作之一:
使用数字签名并信任发布者。
如果不使用数字签名,可以将模板文件保存到
受信任的位置
,并让用户从该位置获取模板文件。
PowerPoint 和 Excel 的已启用宏的加载项文件
从 Internet 下载的 PowerPoint 和 Excel 的已启用宏的外接程序文件将具有 Web 标记。 例如,具有以下扩展名的外接程序文件:
.ppam
.xlam
当用户尝试使用
“文件
>选项加载项”或“
开发人员
”
>功能区安装启用了宏的
外接程序
时,外接程序将以禁用状态加载,并且将阻止用户使用外接程序。 如果用户信任外接程序文件的源,则可以从外接程序文件中删除 Web 标记,然后重新打开 PowerPoint 或 Excel 以使用外接程序。
如果你有一组需要使用启用了宏的外接程序文件而不阻止宏,则可以执行以下操作。
对于 PowerPoint 外接程序文件:
从 .ppa 或 .ppam 文件中删除 Web 标记。
使用数字签名并信任发布者。
将外接程序文件保存到
受信任的位置
供用户检索。
对于 Excel 外接程序文件:
从 .xla 或 .xlam 文件中删除 Web 标记。
将外接程序文件保存到
受信任的位置
供用户检索。
使用数字签名并信任发布者不适用于具有 Web 标记的 Excel 外接程序文件。 对于具有 Web 标记的 Excel 外接程序文件来说,此行为并不新。 自 2016 年以来,由于先前的安全强化工作 (与 Microsoft 安全公告 MS16-088) 相关,因此它一直以这种方式工作。
由受信任的发布者签名的宏
如果宏已签名,并且你已验证证书并信任源,则可以使该源成为受信任的发布者。 建议尽可能为用户管理受信任的发布者。 有关详细信息,请参阅
Office 文件的受信任发布者
。
如果只有几个用户,则可以让他们
从文件中删除 Web 标记,
然后在其设备上
将宏的源添加为受信任的发布者
。
使用同一证书有效签名的所有宏都会被识别为来自受信任的发布者并运行。
添加受信任的发布者可能会影响与 Office 相关的方案以外的方案,因为受信任的发布者是 Windows 范围的设置,而不仅仅是特定于 Office 的设置。
受信任位置
将文件从 Internet 保存到用户设备上的“受信任位置”会忽略“Web 标记”的检查,并在启用 VBA 宏的情况下打开。 例如,业务线应用程序可以定期发送包含宏的报表。 如果将包含宏的文件保存到“受信任位置”,则用户无需转到该文件
的“属性”
,然后选择“
取消阻止
”以允许宏运行。
由于宏不会在保存到受信任位置的文件中被阻止,因此应仔细管理受信任位置并谨慎使用它们。 网络位置也可以设置为“受信任位置”,但不建议这样做。 有关详细信息,请参阅
Office 文件的受信任位置
。
Web 和受信任文档的标记
将文件下载到运行 Windows 的设备时,Web 标记将添加到该文件,并将其源标识为来自 Internet。 目前,当用户打开带有“Web 标记”的文件时,将显示一个
“安全警告”
横幅,其中包含
“启用内容
”按钮。 如果用户选择
“启用内容”
,则该文件被视为“受信任的文档”,并允许宏运行。 即使实现默认行为更改以阻止来自 Internet 的文件中的宏,宏仍将继续运行,因为该文件仍被视为受信任的文档。
更改默认行为以阻止来自 Internet 的文件中的宏后,用户在第一次打开包含来自 Internet 的宏的文件时将看到不同的横幅。 此
安全风险
横幅没有
“启用内容”
选项。 但用户将能够转到文件的
“属性
”对话框,并选择“
取消阻止
”,这将从文件中删除 Web 标记并允许宏运行,前提是没有阻止策略或信任中心设置。
Web 和区域的标记
默认情况下,Web 标记仅从
Internet
或
受限站点
区域添加到文件中。
若要在 Windows 设备上查看这些区域,请转到
控制面板
>
“Internet 选项
>
”“更改安全设置
”。
可以通过在命令提示符处运行以下命令,并将
{name of file}
替换为文件名来查看文件的 ZoneId 值。
notepad {name of file}:Zone.Identifier
运行此命令时,记事本将打开并在 [ZoneTransfer] 部分下显示 ZoneId。
下面是 ZoneId 值及其映射到的区域的列表。
0 = 我的电脑
1 = 本地 Intranet
2 = 受信任的站点
3 = Internet
4 = 受限站点
例如,如果 ZoneId 为 2,则默认情况下不会阻止该文件中的 VBA 宏。 但是,如果 ZoneId 为 3,则默认情况下会阻止该文件中的宏。
可以使用 PowerShell 中的 Unblock-File cmdlet 从文件中删除 ZoneId 值。 删除 ZoneId 值将允许默认情况下运行 VBA 宏。 使用 cmdlet 的作用与选中文件的“属性”对话框的“常规”选项卡上的“取消阻止”复选框相同。
若要识别可能阻止运行 VBA 宏的文件,可以使用适用于 Office 加载项和 VBA 的就绪工具包,这是从 Microsoft 免费下载的。
Readiness Toolkit 包括可从命令行或脚本中运行的独立可执行文件。 可以在用户的设备上运行就绪工具包,查看用户设备上的文件。 或者,可以从设备运行它,以查看网络共享上的文件。
运行 Readiness Toolkit 的独立可执行版本时,会使用收集的信息创建 JSON 文件。 需要将 JSON 文件保存在中心位置,例如网络共享。 然后,你将运行就绪情况报告创建者,它是就绪工具包的 UI 向导版本。 此向导将以 Excel 文件的形式将单独的 JSON 文件中的信息合并到单个报表中。
若要使用就绪工具包识别可能受影响的文件,请按照以下基本步骤操作:
从 Microsoft 下载中心下载最新版本的就绪工具包。 请确保至少使用 2022 年 6 月 14 日发布的版本 1.2.22161。
安装就绪工具包。
在命令提示符下,转到安装就绪工具包的文件夹,并使用 blockinternetscan 选项运行 ReadinessReportCreator.exe 命令。
例如,如果要扫描 c:\officefiles 文件夹中的文件 (及其所有子文件夹在设备上) ,并将包含结果的 JSON 文件保存到 Server01 上的 Finance 共享,则可以运行以下命令。
ReadinessReportCreator.exe -blockinternetscan -p c:\officefiles\ -r -output \\server01\finance -silent
完成所有扫描后,运行就绪情况报告创建程序。
在 “创建就绪情况报告”页上,选择“ 以前的就绪情况结果”一起保存在本地文件夹或网络共享中,然后指定保存扫描的所有文件的位置。
在“ 报表设置 ”页上,选择“ Excel 报表”,然后指定保存报表的位置。
在 Excel 中打开报表时,转到 “VBA 结果” 工作表。
在 “指南” 列中,查找 “阻止的来自 Internet 的 VBA 文件”。
有关使用就绪工具包的更多详细信息,请参阅使用就绪工具包评估Microsoft 365 应用版的应用程序兼容性。
使用策略管理 Office 处理宏的方式
可以使用策略来管理 Office 处理宏的方式。 建议使用 “阻止宏从 Internet 在 Office 文件中运行” 策略。 但是,如果该策略不适合你的组织,另一个选项是 VBA 宏通知设置 策略。
有关如何部署这些策略的详细信息,请参阅 可用于管理策略的工具。
仅当使用Microsoft 365 企业应用版时,才能使用策略。 策略不适用于Microsoft 365 商业应用版。
阻止宏从 Internet 在 Office 文件中运行
此策略可防止用户无意中打开包含来自 Internet 的宏的文件。 将文件下载到运行 Windows 的设备,或者从网络共享位置打开文件时,Web 标记将添加到文件中,标识该文件源自 Internet。
建议启用此策略作为Microsoft 365 企业应用版安全基线的一部分。 应为大多数用户启用此策略,并且仅根据需要为某些用户创建例外。
这五个应用程序各有一个单独的策略。 下表显示了可在 组策略 管理控制台的用户配置\策略\管理模板下找到每个策略的位置:
如果将此策略设置为“已禁用”,则默认情况下,当用户使用宏打开文件时,会看到安全警告。 该警告将告知用户宏已被禁用,但会允许他们通过选择“ 启用内容 ”按钮来运行宏。
此警告与之前显示的警告用户相同,在最近实现的此更改之前,我们将阻止宏。
建议不要将此策略永久设置为“已禁用”。 但在某些情况下,在测试新的宏阻止行为对组织的影响以及开发允许安全使用宏的解决方案时,暂时执行此操作可能很实用。
实现对默认行为的更改后,当策略设置为“未配置”时,保护级别会更改。
Description
VBA 宏通知设置
如果不使用“阻止宏从 Internet 在 Office 文件中运行”策略,则可以使用“VBA 宏通知设置”策略来管理 Office 如何处理宏。
此策略可防止用户被引诱启用恶意宏。 默认情况下,Office 配置为阻止包含 VBA 宏的文件,并显示信任栏,并警告宏存在且已被禁用。 用户可以检查和编辑文件(如果适用),但在信任栏上选择“ 启用内容 ”之前,不能使用任何禁用的功能。 如果用户选择“ 启用内容”,则文件将添加为“受信任的文档”,并允许宏运行。
这五个应用程序各有一个单独的策略。 下表显示了可在 组策略 管理控制台的用户配置\策略\管理模板下找到每个策略的位置:
启用“VBA 宏通知设置”策略。
对于需要宏的用户,请选择“禁用除数字签名宏以外的所有宏”,然后选择“要求由受信任的发布者对宏进行签名”。证书需要作为受信任的发布者安装在用户的设备上。
如果未配置策略,用户可以在“文件>选项>信任中心信任中心>设置...”下配置宏保护设置。>宏设置。
下表显示了用户可以在 “宏设置” 下做出的选择,以及每个设置提供的保护级别。
已选择设置
可以使用云策略配置策略设置并将其部署到组织中的设备,即使设备未加入域。 云策略是基于 Web 的工具,可在Microsoft 365 应用版管理中心找到。
在云策略中,创建策略配置,将其分配给组,然后选择要包含在策略配置中的策略。 若要选择要包含的策略,可以按策略名称进行搜索。 云策略还显示哪些策略属于 Microsoft 建议的安全基线。 云策略中可用的策略与 组策略 管理控制台中提供的相同用户配置策略。
有关详细信息,请参阅 Microsoft 365 云策略服务概述。
Microsoft Intune管理中心
在Microsoft Intune管理中心,可以使用设置目录 (预览) 或管理模板为运行Windows 10或更高版本的设备配置和部署策略设置。
若要开始,请转到 “设备>配置文件”>“创建配置文件”。 对于“平台”,请选择“Windows 10及更高版本”,然后选择配置文件类型。
有关详细信息,请参阅以下文章:
使用设置目录在 Windows 和 macOS 设备上配置设置 - 预览
使用 Windows 10/11 模板配置 Microsoft Intune 中的组策略设置
组策略管理控制台
如果你在组织中部署了 Windows Server 和 Active Directory 域服务 (AD DS) ,则可以使用 组策略 配置策略。 若要使用组策略,请下载最新的管理模板文件 (ADMX/ADML) for Office,其中包括Microsoft 365 企业应用版的策略设置。 将管理模板文件复制到 AD DS 后,可以使用 组策略 管理控制台创建组策略对象 (GPO) ,其中包含用户和已加入域的设备的策略设置。
宏恶意软件
了解恶意软件 & 其他威胁
如何防范网络钓鱼攻击
管理 Office 文档中的活动内容
添加、删除或更改受信任位置
受信任的文档设置已更改