Locais confiáveis para arquivos do Office
Aplica-se a:Microsoft 365 Apps, Office LTSC 2021, Office 2019 e Office 2016
Locais confiáveis é um recurso do Office em que os arquivos contidos nessas pastas são considerados seguros, como arquivos que você mesmo cria ou salva de uma fonte confiável. Esses arquivos ignoram os serviços de proteção contra ameaças, ignoram as configurações do bloco de arquivos e todo o conteúdo ativo está habilitado. Isso significa que os arquivos salvos em Locais Confiáveis não são abertos em Exibição Protegida ou Application Guard.
O conteúdo ativo pode incluir suplementos não assinados, macros VBA, conexões com dados externos e muito mais. É importante confiar na fonte original do arquivo ao salvá-lo em um Local Confiável, pois todo o conteúdo ativo será habilitado e os usuários não serão notificados sobre possíveis riscos de segurança. O diagrama a seguir mostra o fluxo de trabalho de confiança para abrir arquivos do Office.
Conforme mostrado na Etapa 2, os arquivos em Locais Confiáveis ignoram todas as outras verificações de segurança e política. Portanto, locais confiáveis raramente devem ser usados para situações exclusivas e somente para usuários selecionados. Na linha de base de segurança para Microsoft 365 Apps para Grandes Empresas, a orientação é desabilitar locais confiáveis baseados em rede. Em seguida, se necessário, controle locais confiáveis centralmente por meio da política e não permita que os usuários definam locais confiáveis por conta própria.
Etapas de planejamento para locais confiáveis
O recurso Locais Confiáveis afeta todo o conteúdo de um arquivo. Inclui-se aí suplementos, controles ActiveX, hiperlinks, links para fontes de dados e mídias e macros VBA. Os arquivos abertos em Locais Confiáveis ignoram verificações de validação de arquivo, verificações do Bloco de Arquivos e não são abertos no Modo de Exibição Protegido ou Application Guard. Há diferentes níveis de confiança que você pode permitir em sua organização para locais confiáveis:
- Permitir que os usuários finais criem Locais Confiáveis em seu dispositivo ou rede por conta própria
- Usar a política para impedir que os usuários criem Locais Confiáveis
- Usar a política para gerenciar centralmente locais confiáveis
- Desabilitação do recurso Locais Confiáveis
É importante escolher os cenários que são melhores para sua organização e sua tolerância ao risco de segurança.
Observação
Alguns Locais Confiáveis são criados por padrão quando o Office é instalado. Para obter uma lista desses locais confiáveis, consulte Locais confiáveis padrão para aplicativos do Office.
Para implementar o recurso Locais Confiáveis, é necessário determinar:
- Os aplicativos do Office para os quais você deseja configurar Locais Confiáveis.
- As pastas que devem ser designadas como Locais Confiáveis.
- O compartilhamento de pasta e as configurações de segurança de pasta que você deseja aplicar aos seus Locais Confiáveis.
- As restrições que você deseja aplicar aos Locais Confiáveis.
Determinar os aplicativos do Office para os quais você deseja configurar locais confiáveis
Você pode exibir a lista de Locais Confiáveis indo para Configurações doCentro de Confiança do Centro> de Confiançade Opções>de Arquivos...>>Locais confiáveis nos seguintes aplicativos do Office:
- Access
- Excel
- PowerPoint
- Visio
- Word
As políticas estão disponíveis para gerenciar locais confiáveis para cada um desses aplicativos do Office. Para obter mais informações, consulte Usar política para gerenciar locais confiáveis.
Observação
As políticas também estão disponíveis para o Project, mas o Project não tem configurações de Locais Confiáveis no Centro de Confiança.
Determinação das pastas que devem ser designadas como Locais Confiáveis
Aqui estão algumas considerações a serem consideradas ao determinar quais pastas usar como Locais Confiáveis:
A menos que seja bloqueado pela política, os usuários podem criar e modificar locais confiáveis no Centro de Confiança para seu aplicativo do Office. Para obter mais informações, consulte Adicionar, remover ou alterar um local confiável.
Por padrão, somente locais confiáveis locais para o dispositivo do usuário são permitidos. Os locais de rede também podem ser definidos como um Local Confiável, mas não é recomendado.
Não recomendamos que os usuários especifiquem pastas raiz como Locais Confiáveis. Por exemplo, a unidade C: ou a pasta Meus Documentos. Em vez disso, crie uma subpasta dentro dessas pastas e especifique apenas essa pasta como um Local Confiável.
Um ou mais aplicativos podem usar o mesmo Local Confiável.
Você pode usar a política Local Confiável nº 1 para designar Locais Confiáveis para seus usuários.
Determinar configurações de segurança de pasta e compartilhamento de pastas para pastas de Localização Confiável
Todas as pastas especificadas como Locais Confiáveis devem ser protegidas para impedir que usuários mal-intencionados adicionem ou modifiquem arquivos em um Local Confiável.
Se uma pasta for compartilhada, configure as permissões de compartilhamento de modo que apenas usuários autorizados tenham acesso à pasta compartilhada.
Certifique-se de usar o princípio de privilégios mínimos e conceder permissões que sejam adequadas a cada usuário. Ou seja, conceda permissão de leitura aos usuários que não precisam alterar os arquivos nos Locais Confiáveis e conceda permissão de Controle Total aos usuários que precisam editar arquivos.
Usar a política para gerenciar locais confiáveis
Há várias políticas que você pode usar para gerenciar locais confiáveis em sua organização.
Você pode usar o Cloud Policy, o centro de administração Microsoft Intune ou o Console de Gerenciamento Política de Grupo para configurar e implantar configurações de política para usuários em sua organização. Para obter mais informações, consulte Ferramentas disponíveis para gerenciar políticas.
Observação
Para versões licenciadas por volume do Office 2016, como Office Professional Plus 2016, você pode usar a Ferramenta de Personalização do Office (OCT) para configurar locais confiáveis. Para obter mais informações, consulte Ferramenta de Personalização do Office (OCT) 2016 Ajuda: configurações de segurança do Office.
Há políticas separadas para Locais Confiáveis para cada aplicativo do Office. A tabela a seguir mostra onde cada política pode ser encontrada no Console de Gerenciamento Política de Grupo em Configuração do Usuário\Políticas\Modelos Administrativos.
| Aplicativo | Local da política |
|---|---|
| Acessar | Microsoft Access 2016\Application Settings\Security\Trust Center\Trusted Locations |
| Excel | Microsoft Excel 2016\Excel Options\Security\Trust Center\Trusted Locations |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center\Trusted Locations |
| Project | Microsoft Project 2016\Project Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center\Trusted Locations |
Você também pode configurar a política Permitir a mistura de políticas e locais de usuário para controlar se locais confiáveis podem ser definidos por usuários e por administradores (por exemplo, por política) ou se Locais Confiáveis só podem ser definidos por política.
Política "Local confiável nº 1"
Você pode usar essa política para especificar o caminho de um Local Confiável para usuários em sua organização. Há 20 instâncias dessa política. Por exemplo, Localização Confiável nº 1, Localização Confiável #2, Localização Confiável #3, etc.
Por padrão, essas políticas estão em branco. Para adicionar um Local Confiável, habilite a política e especifique o caminho para o Local Confiável. Verifique se o local que você especificar está protegido, definindo permissões para que apenas os usuários apropriados possam adicionar arquivos do Office a esse local.
Locais confiáveis que você especificar com essa política serão exibidos na seção Locais de Política emConfigurações do Centro de Confiança do Centro > deConfiançade Opções> de Arquivo>...>Locais confiáveis.
Observação
- Você pode usar variáveis de ambiente ao especificar um Local Confiável.
- Essas 20 políticas também estão disponíveis em Configuração do Usuário\Políticas\Modelos Administrativos\Microsoft Office 2016\Configurações de Segurança\Centro de Confiança. Se você usar essa versão da política, a política se aplica a todos os aplicativos que dão suporte a Locais Confiáveis.
Política "Permitir locais confiáveis na rede"
Essa política controla se locais confiáveis na rede podem ser usados.
Por padrão, locais confiáveis em locais de rede são desabilitados. Mas os usuários podem alterar isso indo para Configurações doCentro de Confiança do Centro> de Confiançade Opções>de Arquivos...>>Locais confiáveis e a seleção da caixa de seleção Permitir Locais Confiáveis na minha rede (não recomendado).
Qual estado você escolhe para a política determina o nível de proteção que você está fornecendo. A tabela a seguir mostra o nível de proteção que você obtém com cada estado.
| Ícone | Nível de Proteção | Estado da política | Descrição |
|---|---|---|---|
 |
Protegido [recomendado] | Desabilitado | Bloqueia Locais Confiáveis em locais de rede, incluindo qualquer configurado pelo administrador (por exemplo, usando a política "Localização Confiável nº 1"). Ignora quaisquer locais de rede definidos pelos usuários como Locais Confiáveis na Central de Confiança e impede que os usuários adicionem mais. |
 |
Não protegido | Habilitado | Permite que locais de rede como Locais Confiáveis sejam definidos por usuários e por política. |
 |
Parcialmente protegido | Não configurado | Por padrão, os usuários são impedidos de adicionar locais de rede como Locais Confiáveis, mas podem habilitar isso selecionando a caixa de seleção Permitir Locais Confiáveis na minha rede (não recomendada) no Centro de Confiança |
Recomendamos definir essa política como Desabilitada como parte da linha de base de segurança para Microsoft 365 Apps para Grandes Empresas. Você deve desabilitar essa política para a maioria dos usuários e apenas criar exceções para determinados usuários conforme necessário.
Você pode especificar pastas da Web como Locais Confiáveis. Mas somente as pastas Web que dão suporte a WebDAV (Criação Distribuída Da Web) ou protocolos FPRPC (Chamada de Procedimento Remoto de Extensões de Servidor de FrontPage) são reconhecidas como Locais Confiáveis.
Política "Desabilitar todos os locais confiáveis"
Essa política pode ser usada para desabilitar todos os Locais Confiáveis.
Por padrão, os Locais Confiáveis estão disponíveis e os usuários podem designar qualquer local como um Local Confiável e um dispositivo pode ter qualquer combinação de Locais Confiáveis criados pelo usuário e configurados pelo administrador.
Qual estado você escolhe para a política determina o nível de proteção que você está fornecendo. A tabela a seguir mostra o nível de proteção que você obtém com cada estado.
| Ícone | Nível de Proteção | Estado da política | Descrição |
|---|---|---|---|
|
Protegido | Habilitado | Todos os locais confiáveis estão bloqueados. |
|
Não protegido | Desabilitado | Um usuário ou dispositivo pode ter uma combinação de Locais Confiáveis criados pelo usuário ou configurados pelo administrador (por exemplo, por política). |
|
Não protegido | Não configurado | Esse é o padrão do Office. Fornece o mesmo comportamento que Desabilitado. |
Organizações que têm um ambiente de segurança altamente restritivo normalmente definem essa política como Habilitada.
Política "Permitir a mistura de políticas e locais de usuário"
Essa política controla se locais confiáveis podem ser definidos por usuários e por administradores (por exemplo, por política) ou se Locais Confiáveis só podem ser definidos pela política.
Essa política pode ser encontrada em Configuração do Usuário\Políticas\Modelos Administrativos\Microsoft Office 2016\Configurações de Segurança\Centro de Confiança no Console de Gerenciamento de Política de Grupo.
Qual estado você escolhe para a política determina o nível de proteção que você está fornecendo. A tabela a seguir mostra o nível de proteção que você obtém com cada estado.
| Ícone | Nível de Proteção | Estado da política | Descrição |
|---|---|---|---|
|
Protegido [recomendado] | Desabilitado | Somente locais confiáveis definidos pela política são permitidos. |
|
Não protegido | Habilitado | Um usuário ou dispositivo pode ter uma combinação de Locais Confiáveis criados pelo usuário ou configurados pelo administrador (por exemplo, por política). |
|
Não protegido | Não configurado | Esse é o padrão do Office. Fornece o mesmo comportamento que Habilitado. |
Recomendamos definir essa política como Desabilitada como parte da linha de base de segurança para Microsoft 365 Apps para Grandes Empresas. Você deve desabilitar essa política para a maioria dos usuários e apenas criar exceções para determinados usuários conforme necessário.
Locais confiáveis padrão para aplicativos do Office
Várias pastas são designadas como Locais Confiáveis padrão em uma instalação do Office. Os Locais Confiáveis padrão são listados em tabelas para os aplicativos a seguir.
Não há locais confiáveis padrão para o Project ou para o Visio.
Você pode ver essas pastas indo para Configurações doCentro de Confiança do Centro> de Confiançade Opções>de Arquivos...>>Locais confiáveis.
Locais confiáveis padrão para acesso
A tabela a seguir lista os Locais Confiáveis padrão para Acesso e se as subpastas também são confiáveis.
| Local confiável padrão | Descrição da pasta | Subpastas confiáveis? |
|---|---|---|
| Arquivos do Programa\Microsoft Office\Root\Office16\ACCWIZ | Bancos de dados de assistente | Não (Não permitido) |
Locais confiáveis padrão para Excel
A tabela a seguir lista quais pastas são os locais confiáveis padrão para Excel e se as subpastas também são confiáveis.
| Locais confiáveis padrão | Descrição da pasta | Subpastas confiáveis? |
|---|---|---|
| Arquivos do Programa\Microsoft Office\Root\Templates | Modelos do aplicativo | Sim (Permitido) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Modelos do usuário | Não (Não permitido) |
| Arquivos do Programa\Microsoft Office\Root\Office16\XLSTART | Inicialização do Excel | Sim (Permitido) |
| Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART | Inicialização do usuário | Não (Não permitido) |
| Arquivos do Programa\Microsoft Office\Root\Office16\STARTUP | Inicialização do Office | Sim (Permitido) |
| Arquivos do Programa\Microsoft Office\Root\Office16\Biblioteca | Suplementos | Sim (Permitido) |
Locais confiáveis padrão para o PowerPoint
A tabela a seguir lista os Locais Confiáveis padrão para o PowerPoint e se as subpastas também são confiáveis.
| Locais confiáveis padrão | Descrição da pasta | Subpastas confiáveis? |
|---|---|---|
| Arquivos do Programa\Microsoft Office\Root\Templates | Modelos do aplicativo | Sim (Permitido) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Modelos do usuário | Sim (Permitido) |
| Users\user_name\Appdata\Roaming\Microsoft\Addins | Suplementos | Não (Não permitido) |
| Arquivos do Programa\Microsoft Office\Raiz\Temas do documento 16 | Temas do aplicativo | Sim (Permitido) |
Locais confiáveis padrão para o Word
A tabela a seguir lista os Locais Confiáveis padrão para o Word e se as subpastas também são confiáveis.
| Locais confiáveis padrão | Descrição da pasta | Subpastas confiáveis? |
|---|---|---|
| Arquivos do Programa\Microsoft Office\Root\Templates | Modelos do aplicativo | Sim (Permitido) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Modelos do usuário | Não (Não permitido) |
| Users\user_name\Appdata\Roaming\Microsoft\Word\Startup | Inicialização do usuário | Não (Não permitido) |