Comportamento de segurança do modelo de objeto do Outlook
O modelo de objeto do Outlook inclui pontos de entrada para acessar dados do Outlook, salvar dados em locais especificados e enviar emails. Esses pontos de entrada estão disponíveis para desenvolvedores de aplicativos legítimos e mal-intencionados. Versões do Outlook 98 e Outlook 2000 aplicadas com o Outlook Email Security Update e todas as versões subsequentes a partir do Outlook 2000 SP2 usam o Object Model Guard para ajudar a proteger os usuários.
O Object Model Guard alerta os usuários e solicita aos usuários a confirmação quando aplicativos não confiáveis tentam usar o modelo de objeto para obter informações de endereço de email, armazenar dados fora do Outlook, executar determinadas ações e enviar mensagens de email. Embora o Object Model Guard tenha êxito em identificar e proteger esses pontos de entrada, existem dois problemas principais que tornam o Object Model Guard bastante não praticado:
As circunstâncias padrão que os aplicativos invocam o Object Model Guard em versões anteriores do Outlook podem resultar em solicitação excessiva de segurança para aplicativos legítimos.
As limitações do COM e do Windows na identificação do aplicativo específico que está invocando o Object Model Guard dificultaram a resposta dos usuários aos prompts de segurança com certeza.
Para obter mais informações sobre os vários prompts de segurança do Object Model Guard, consulte Avisos de segurança do modelo de objeto do Outlook. Para obter mais informações sobre os pontos de entrada do modelo de objeto protegido, consulte Propriedades e métodos protegidos.
Comportamento padrão de segurança
Versões do Outlook antes do Outlook 2007 têm confiado no Object Model Guard para proteger os dados do catálogo de endereços do Outlook e evitar que aplicativos não confiáveis enviem email. Embora o Outlook continue a usar o Object Model Guard para fornecer proteção semelhante, ele definiu novas circunstâncias padrão quando o Object Model Guard gera avisos, reduzindo avisos de segurança excessivos em condições apropriadas, mantendo um grau razoável de segurança para os clientes do Outlook.
suplementos In-Process
Os suplementos do Outlook em processo são executados no processo do programa host do Outlook. Os suplementos COM em processo no Outlook são confiáveis por padrão. Esses suplementos COM são registrados na lista de aplicativos confiáveis pelo administrador do computador cliente e devem usar o objeto Application que é passado para o evento OnConnection do suplemento. Observe que se você criar um novo objeto Application usando o método CreateObject , esse objeto e qualquer um de seus objetos, propriedades e métodos subordinados não são confiáveis.
Para obter mais informações sobre o evento OnConnection , consulte a documentação IDTExtensibility2 no MSDN.
Suplementos entre processos
Por padrão, o Outlook depende da existência e do status de um software antivírus apropriado no computador cliente para confiar em aplicativos entre processos: se o Outlook detectar que o software antivírus está sendo executado com um status aceitável, o Outlook desabilitará avisos de segurança para o usuário final.
Todos os chamadores e suplementos COM entre processos serão executados sem avisos de segurança se todas as seguintes condições se mantiverem:
O computador cliente está executando o Windows XP Service Pack 2 (SP2), Windows Vista ou uma versão posterior do Windows e Segurança do Windows Center (WSC) indica que o software antivírus no computador está em um status de integridade "bom".
O software antivírus instalado no computador cliente foi projetado para Windows XP SP2, Windows Vista ou posterior.
O Outlook está configurado no computador cliente de uma das seguintes maneiras:
Usa as configurações de segurança padrão do Outlook (ou seja, nenhuma Política de Grupo configurada)
Usa configurações de segurança definidas por Política de Grupo mas não tem a política de acesso programática aplicada
Usa configurações de segurança definidas por Política de Grupo que está definido para avisar quando o software antivírus está inativo ou desatualizado
Para obter mais informações, consulte o artigo "Alterações de segurança de código no Microsoft Office Outlook 2007" no MSDN.
Opções de segurança
Windows Política de Grupo
Os administradores podem usar a Central de Confiança no Outlook para alterar o comportamento padrão. Para acessar a Central de Confiança, selecione Ferramentas e , em seguida, Centro de Confiança. Na Central de Confiança, clique em Acesso Programático. A caixa de diálogo Segurança de Acesso Programático fornece opções diferentes do comportamento padrão.
As três configurações na caixa de diálogo Segurança de Acesso Programático são:
Avise-me sobre atividades suspeitas quando meu software antivírus estiver inativo ou desatualizado (recomendado) Essa configuração é o padrão e implementa o comportamento descrito acima. Essa é a configuração recomendada para todos os usuários.
Sempre me avise sobre atividades suspeitas Essa configuração reverterá o Outlook para se comportar como o Outlook 2003, onde os chamadores COM entre processos e suplementos não confiáveis invocarão avisos de segurança.
Nunca me avise sobre atividades suspeitas (não recomendadas) Essa configuração nunca mostrará avisos de segurança e o Object Model Guard será desabilitado. Essa configuração só deve ser usada em ambientes controlados em que o risco de código mal-intencionado em execução no computador é baixo.
Essas configurações só estarão disponíveis se o usuário atual for um administrador no computador. Usuários que não são administradores podem ver a configuração atual, mas não poderão alterá-la. As configurações de acesso programático também podem ser controladas por meio de Política de Grupo. Para obter mais informações sobre como configurar configurações do Outlook com Política de Grupo, consulte o site do Kit de Recursos do Office.
Formulário de segurança na Pasta Pública do Exchange
Os administradores podem configurar o Outlook para localizar o formulário de segurança do Outlook em uma pasta pública. Nesse caso, o Outlook não aproveitará o status do software antivírus e, por padrão, somente os suplementos de confiança listados no formulário de segurança. Haverá apenas três comportamentos prompt: solicitar usuário, nunca solicitar e permitir automaticamente, e nunca solicitar e negar automaticamente.
Para aproveitar o novo comportamento de segurança de código com base no status do software antivírus, os administradores devem usar as configurações de segurança padrão do Outlook ou configurar o Outlook para usar Política de Grupo configurações para substituir esse comportamento.
Suporte e comentários
Tem dúvidas ou quer enviar comentários sobre o VBA para Office ou sobre esta documentação? Confira Suporte e comentários sobre o VBA para Office a fim de obter orientação sobre as maneiras pelas quais você pode receber suporte e fornecer comentários.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de