As macros da Internet serão bloqueadas por padrão no Office

As macros do VBA são uma maneira comum para atores mal-intencionados obterem acesso à implantação de malware e ransomware. Portanto, para ajudar a melhorar a segurança no Office, estamos alterando o comportamento padrão dos aplicativos do Office para bloquear macros em arquivos da Internet.

Com essa alteração, quando os usuários abrirem um arquivo que veio da Internet, como um anexo de email, e esse arquivo contiver macros, a seguinte mensagem será exibida:

Faixa de risco de segurança sobre macros bloqueadas com um botão Saiba mais

O botão Saiba mais vai para um artigo para usuários finais e operadores de informações que contém informações sobre o risco de segurança de atores inválidos usando macros, práticas seguras para evitar phishing e malware e instruções sobre como habilitar essas macros (se absolutamente necessário).

Em alguns casos, os usuários também verão a mensagem se o arquivo for de um local na intranet que não seja identificado como confiável. Por exemplo, se os usuários estão acessando arquivos em um compartilhamento de rede usando o endereço IP do compartilhamento. Para obter mais informações, consulte Arquivos localizados centralmente em um compartilhamento de rede ou site confiável.

Importante

Mesmo antes dessa alteração que estamos introduzindo, as organizações podem usar as macros Bloquear da execução em arquivos do Office da política de Internet para impedir que os usuários abram inadvertidamente arquivos da Internet que contêm macros. Recomendamos habilitar essa política como parte da linha de base de segurança para Microsoft 365 Apps para Grandes Empresas. Se você configurar a política, sua organização não será afetada por essa alteração padrão.

Para obter mais informações, consulte Usar políticas para gerenciar como o Office lida com macros.

Preparar-se para essa alteração

Para se preparar para essa alteração, recomendamos que você trabalhe com as unidades de negócios em sua organização que usam macros em arquivos do Office abertos de locais como compartilhamentos de rede da intranet ou sites da intranet. Você desejará identificar essas macros e determinar quais etapas executar para continuar usando essas macros. Você também desejará trabalhar com ISVs (fornecedores independentes de software) que fornecem macros em arquivos do Office desses locais. Por exemplo, para ver se eles podem assinar digitalmente seu código e você pode tratá-los como um editor confiável.

Além disso, examine as seguintes informações:

Ação de preparação Mais informações
Entender quais versões e quais canais de atualização têm essa alteração (conforme implantamos essa alteração) Versões do Office afetadas por essa alteração
Veja um fluxograma do processo que o Office executa para determinar se as macros devem ser executadas em um arquivo Como o Office determina se as macros devem ser executadas em arquivos da Internet
Identificar arquivos com macros do VBA que podem ser bloqueados usando o Readiness Toolkit Use o Readiness Toolkit para identificar arquivos com macros VBA que podem ser bloqueadas
Saiba mais sobre as políticas que você pode usar para controlar a execução da macro do VBA Usar políticas para gerenciar como o Office lida com macros

Etapas a serem seguidas para permitir que as macros do VBA executem em arquivos em que você confia

A maneira como você permite que as macros do VBA sejam executadas em arquivos em que você confia depende de onde esses arquivos estão localizados ou do tipo de arquivo.

A tabela a seguir lista diferentes cenários comuns e possíveis abordagens a serem tomadas para desbloquear macros VBA e permitir que elas sejam executadas. Você não precisa fazer todas as abordagens possíveis para um determinado cenário. Nos casos em que listamos várias abordagens, escolha a que melhor se adapte à sua organização.

Cenário Possíveis abordagens a serem tomadas
Arquivos individuais
• Marque a caixa de seleção Desbloquear na guia Geral da caixa de diálogo Propriedades do arquivo
• Usar o cmdlet Desbloquear Arquivo no PowerShell

Para obter mais informações, consulte Remover Marca da Web de um arquivo.
Arquivos localizados centralmente em um compartilhamento de rede ou site confiável Desbloqueie o arquivo usando uma abordagem listada em "Arquivos individuais".

Se não houver uma caixa de seleção Desbloquear e você quiser confiar em todos os arquivos nesse local de rede:
• Designar o local como um site confiável
• Adicionar o local à zona da intranet local

Para obter mais informações, consulte Arquivos localizados centralmente em um compartilhamento de rede ou site confiável.
Arquivos armazenados no OneDrive ou no SharePoint, incluindo um site usado por um canal do Teams • Fazer com que os usuários abram diretamente o arquivo usando a opção Abrir no Aplicativo da Área de Trabalho
• Se os usuários baixarem o arquivo localmente antes de abri-lo, remova a Marca da Web da cópia local do arquivo (consulte as abordagens em "Arquivos individuais")
• Designar o local como um site confiável

Para obter mais informações, consulte Arquivos no OneDrive ou no SharePoint.
Arquivos de modelo habilitados para macro para Word, PowerPoint e Excel Se o arquivo de modelo estiver armazenado no dispositivo do usuário:
• Remover Marca da Web do arquivo de modelo (consulte as abordagens em "Arquivos individuais")
• Salvar o arquivo de modelo em um local confiável

Se o arquivo de modelo estiver armazenado em um local de rede:
• Usar uma assinatura digital e confiar no editor
• Confiar no arquivo de modelo (consulte as abordagens em "Arquivos localizados centralmente em um compartilhamento de rede ou site confiável")

Para obter mais informações, consulte arquivos de modelo habilitados para macro para Word, PowerPoint e Excel.
Arquivos de suplemento habilitados para macro para o PowerPoint • Remover Marca da Web do arquivo de suplemento
• Usar uma assinatura digital e confiar no editor
• Salvar o arquivo de suplemento em um local confiável

Para obter mais informações, consulte arquivos de suplemento habilitados para macro para PowerPoint e Excel.
Arquivos de suplemento habilitados para macro para Excel • Remover Marca da Web do arquivo de suplemento
• Salvar o arquivo de suplemento em um local confiável

Para obter mais informações, consulte arquivos de suplemento habilitados para macro para PowerPoint e Excel.
Macros assinadas por um fornecedor confiável [recomendado] Implante o certificado de assinatura de código público para o fornecedor confiável para seus usuários e impeça que os usuários adicionem os próprios editores confiáveis.
• Remova a Marca da Web do arquivo e faça com que o usuário adicione o editor da macro como um fornecedor confiável.

Para obter mais informações, consulte Macros assinadas por um fornecedor confiável
.
Grupos de arquivos salvos em pastas no dispositivo do usuário Designar a pasta como um Local Confiável

Para obter mais informações, consulte Locais Confiáveis.

Versões do Office afetadas por essa alteração

Essa alteração afeta apenas o Office em dispositivos que executam o Windows e afeta apenas os seguintes aplicativos: Access, Excel, PowerPoint, Visio e Word.

A alteração começou a ser distribuída na versão 2203, começando com o Canal Atual (versão prévia) no início de abril de 2022. Posteriormente, a alteração estará disponível nos outros canais de atualização, como Canal Empresarial Mensal e Semi-Annual Enterprise Channel.

A tabela a seguir mostra a agenda prevista de quando essa alteração estará disponível em cada canal de atualização. As informações em itálico estão sujeitas a alterações.

Canal de Atualização Versão Date
Canal Atual (Visualização) Versão 2203 Iniciado em 12 de abril de 2022
Canal Atual Versão 2206 Iniciado em 27 de julho de 2022
Canal Empresarial Mensal Versão 2208 11 de outubro de 2022
Canal Empresarial Semestral (Visualização) Versão 2208 11 de outubro de 2022
Canal Empresarial Semestral Versão 2208 10 de janeiro de 2023

Observação

À medida que distribuirmos essa alteração para o Canal Atual nas próximas semanas, nem todos os clientes verão a alteração imediatamente.

A alteração não afeta o Office em um Mac, Office em dispositivos Android ou iOS ou Office na Web.

Como o Office determina se as macros devem ser executadas em arquivos da Internet

O gráfico de fluxograma a seguir mostra como o Office determina se as macros devem ser executadas em um arquivo da Internet.

Fluxograma que mostra como o Office determina se as macros devem ser executadas em arquivos da Internet

As etapas a seguir explicam as informações no gráfico de fluxograma, exceto para arquivos de suplemento do Excel. Para obter mais informações sobre esses arquivos, consulte arquivos de suplemento habilitados para macro para PowerPoint e Excel. Além disso, se um arquivo estiver localizado em um compartilhamento de rede que não esteja na zona da intranet local ou não for um site confiável, as macros serão bloqueadas nesse arquivo.

  1. Um usuário abre um arquivo do Office que contém macros obtidas da Internet. Por exemplo, um anexo de email. O arquivo tem Marca da Web (MOTW).

Observação

  • A marca da Web é adicionada pelo Windows a arquivos de um local não confiável, como a Internet ou a Zona Restrita. Por exemplo, downloads de navegador ou anexos de email. Para obter mais informações, consulte Marca da Web e zonas.
  • A marca da Web só se aplica a arquivos salvos em um sistema de arquivos NTFS, não a arquivos salvos em dispositivos formatados fat32.
  1. Se o arquivo for de um Local Confiável, o arquivo será aberto com as macros habilitadas. Se o arquivo não for de um Local Confiável, a avaliação continuará.

  2. Se as macros forem assinadas digitalmente e o certificado do Trusted Publisher correspondente estiver instalado no dispositivo, o arquivo será aberto com as macros habilitadas. Caso contrário, a avaliação continuará.

  3. As políticas são verificadas para ver se as macros são permitidas ou bloqueadas. Se as políticas forem definidas como Não Configurados, a avaliação continuará para a Etapa 6.

  4. (a) Se as macros forem bloqueadas pela política, as macros serão bloqueadas.
    (b) Se as macros forem habilitadas por política, as macros serão habilitadas.

  5. Se o usuário tiver aberto o arquivo anteriormente, antes dessa alteração no comportamento padrão e tiver selecionado Habilitar conteúdo na Barra de Confiança, as macros serão habilitadas porque o arquivo é considerado confiável.

Observação

  1. Esta etapa é onde a alteração no comportamento padrão do Office entra em vigor. Com essa alteração, as macros em arquivos da Internet são bloqueadas e os usuários verão a faixa risco de segurança quando abrirem o arquivo.

Observação

Anteriormente, antes dessa alteração no comportamento padrão, o aplicativo verificava se a política de Configurações de Notificação de Macro do VBA estava habilitada e como ela estava configurada.

Se a política foi definida como Desabilitada ou Não Configurada, > > > o aplicativo verificaria as configurações em Configurações da Central de Confiabilidade da Central de Opções de Arquivo... > Configurações de macro. O padrão é definido como "Desabilitar todas as macros com notificação", o que permite que os usuários habilitem o conteúdo na Barra de Confiança.

Diretrizes sobre como permitir que macros VBA executem em arquivos em que você confia

Remover Marca da Web de um arquivo

Para um arquivo individual, como um arquivo baixado de um local da Internet ou um anexo de email que o usuário salvou em seu dispositivo local, a maneira mais simples de desbloquear macros é remover a Marca da Web. Para remover, clique com o botão direito do mouse no arquivo, escolha Propriedades e marque a caixa de seleção Desbloquear na guia Geral.

Caixa de diálogo Propriedades do arquivo mostrando a opção de desbloquear

Observação

  • Em alguns casos, geralmente para arquivos em um compartilhamento de rede, os usuários podem não ver a caixa de seleção Desbloquear para um arquivo em que as macros estão sendo bloqueadas. Para esses casos, consulte Arquivos localizados centralmente em um compartilhamento de rede ou site confiável.
  • Mesmo que a caixa de seleção Desbloquear esteja disponível para um arquivo em um compartilhamento de rede, marcar a caixa de seleção não terá nenhum efeito se o compartilhamento for considerado na zona da Internet. Para obter mais informações, consulte Marca da Web e zonas.

Você também pode usar o cmdlet Unblock-File no PowerShell para remover o valor zoneId do arquivo. A remoção do valor zoneId permitirá que as macros do VBA executem por padrão. Usar o cmdlet faz o mesmo que marcar a caixa de seleção Desbloquear na guia Geral da caixa de diálogo Propriedades do arquivo. Para obter mais informações sobre o valor zoneId, consulte Marca da Web e zonas.

Arquivos localizados centralmente em um compartilhamento de rede ou site confiável

Se você tiver seus usuários acessando arquivos de um site confiável ou de um servidor de arquivos interno, poderá executar uma das etapas a seguir para que as macros desses locais não sejam bloqueadas.

  • Designar o local como um site confiável
  • Se o local da rede estiver na intranet, adicione o local à zona da intranet local

Observação

  • Se você adicionar algo como um site confiável, também concederá ao site inteiro permissões elevadas para cenários não relacionados ao Office.
  • Para a abordagem de zona da intranet local, recomendamos que você salve os arquivos em um local que já seja considerado parte da zona da intranet local , em vez de adicionar novos locais a essa zona.
  • Em geral, recomendamos que você use sites confiáveis, pois eles têm alguma segurança adicional em comparação com a zona da intranet local.

Por exemplo, se os usuários estiverem acessando um compartilhamento de rede usando seu endereço IP, as macros nesses arquivos serão bloqueadas, a menos que o compartilhamento de arquivos esteja nos sites confiáveis ou na zona da intranet local .

Dica

  • Para ver uma lista de sites confiáveis ou o que está na zona da intranet local, > > vá para Painel de Controle Opções de Rede Remota Alterar configurações de segurança em um dispositivo Windows.
  • Para verificar se um arquivo individual é de um site confiável ou local da intranet local, consulte Marca da Web e zonas.

Por exemplo, você pode adicionar um servidor de arquivos ou compartilhamento de rede como um site confiável, adicionando seu FQDN ou endereço IP à lista de sites confiáveis.

Caixa de diálogo sites confiáveis

Se você quiser adicionar URLs que começam com http:// ou compartilhamentos de rede, desmarque a verificação Exigir servidor (https:) para todos os sites nesta caixa de seleção de zona.

Importante

Como as macros não são bloqueadas em arquivos desses locais, você deve gerenciar esses locais com cuidado. Certifique-se de controlar quem tem permissão para salvar arquivos nesses locais.

Você pode usar Política de Grupo e a política "Lista de Atribuições site a zona" para adicionar locais como sites confiáveis ou à zona de intranet local para dispositivos Windows em sua organização. Essa política é encontrada em Componentes do Windows\Internet Explorer\Internet Painel de Controle\Página Segurança no Console de Política de Grupo Gerenciamento. Ele está disponível em Configuração do Computador\Políticas\Modelos Administrativos e Configuração do Usuário\Políticas\Modelos Administrativos.

Arquivos no OneDrive ou no SharePoint

  • Se um usuário baixar um arquivo no OneDrive ou no SharePoint usando um navegador da Web, a configuração da zona de segurança da Internet do Windows (Painel de Controle > Internet Options > Security) determinará se o navegador definirá a marca da Web. Por exemplo, o Microsoft Edge define a marca da Web em um arquivo se for determinado que é da zona da Internet.

  • Se um usuário selecionar Abrir no Aplicativo da Área de Trabalho em um arquivo aberto no site do OneDrive ou em um site do SharePoint (incluindo um site usado por um canal do Teams), o arquivo não terá a Marca da Web.

  • Se um usuário tiver o cliente Sincronização do OneDrive em execução e o cliente de sincronização baixar um arquivo, o arquivo não terá a Marca da Web.

  • Os arquivos que estão em pastas conhecidas do Windows (Área de Trabalho, Documentos, Imagens, Capturas de Tela e Rolo de Câmera) e são sincronizados com o OneDrive não têm Marca da Web.

  • Se você tiver um grupo de usuários, como o departamento financeiro, que precisam usar arquivos do OneDrive ou do SharePoint sem que as macros sejam bloqueadas, aqui estão algumas opções possíveis:

    • Fazer com que eles abram o arquivo usando a opção Abrir no Aplicativo da Área de Trabalho

    • Faça com que eles baixem o arquivo para um local confiável.

    • Defina a atribuição de zona de segurança da Internet do Windows para domínios do OneDrive ou do SharePoint como Sites Confiáveis. Os administradores podem usar a política "Lista de Atribuição de Site para Zona" https://{your-domain-name}.sharepoint.com e configurar a política para colocar (para o SharePoint) https://{your-domain-name}-my.sharepoint.com ou (para o OneDrive) na zona sites confiáveis.

      • Essa política é encontrada em Componentes do Windows\Internet Explorer\Internet Painel de Controle\Página Segurança no Console de Política de Grupo Gerenciamento. Ele está disponível em Configuração do Computador\Políticas\Modelos Administrativos e Configuração do Usuário\Políticas\Modelos Administrativos.

      • As permissões do SharePoint e o compartilhamento do OneDrive não são alterados adicionando esses locais a Sites Confiáveis. Manter o controle de acesso é importante. Qualquer pessoa com permissões para adicionar arquivos ao SharePoint pode adicionar arquivos com conteúdo ativo, como macros. Os usuários que baixam arquivos de domínios na zona Sites Confiáveis ignorarão o padrão para bloquear macros.

Arquivos de modelo habilitados para macro para Word, PowerPoint e Excel

Os arquivos de modelo habilitados para macro para Word, PowerPoint e Excel baixados da Internet terão a Marca da Web. Por exemplo, arquivos de modelo com as seguintes extensões:

  • .dot
  • .dotm
  • .pot
  • .potm
  • .xlt
  • .xltm

Quando o usuário abrir o arquivo de modelo habilitado para macro, o usuário será impedido de executar as macros no arquivo de modelo. Se o usuário confiar na origem do arquivo de modelo, ele poderá remover a Marca da Web do arquivo de modelo e reabrir o arquivo de modelo no aplicativo do Office.

Se você tiver um grupo de usuários que precisam usar modelos habilitados para macro sem que as macros sejam bloqueadas, você poderá executar uma das seguintes ações:

  • Use uma assinatura digital e confie no editor.
  • Se você não estiver usando assinaturas digitais, poderá salvar o arquivo de modelo em um Local Confiável e fazer com que os usuários obtenham o arquivo de modelo desse local.

Arquivos de suplemento habilitados para macro para PowerPoint e Excel

Os arquivos de Suplemento habilitados para macro para PowerPoint e Excel baixados da Internet terão a Marca da Web. Por exemplo, arquivos de suplemento com as seguintes extensões:

  • .ppa
  • .ppam
  • .xla
  • .xlam

Quando o usuário tentar instalar o Suplemento habilitado para macro, > > usando Suplementos de Opções de Arquivo ou usando a faixa de opções do Desenvolvedor, o Suplemento será carregado em um estado desabilitado e o usuário será impedido de usar o Suplemento. Se o usuário confiar na origem do arquivo de suplemento, ele poderá remover a Marca da Web do arquivo de suplemento e reabrir o PowerPoint ou o Excel para usar o Suplemento.

Se você tiver um grupo de usuários que precisam usar arquivos de Suplemento habilitados para macro sem que as macros sejam bloqueadas, você poderá executar as seguintes ações.

Para arquivos de suplemento do PowerPoint:

  • Remova a Marca da Web do arquivo .ppa ou .ppam.
  • Use uma assinatura digital e confie no editor.
  • Salve o arquivo de suplemento em um local confiável para os usuários recuperarem.

Para arquivos de suplemento do Excel:

  • Remova a Marca da Web do arquivo .xla ou .xlam.
  • Salve o arquivo de suplemento em um local confiável para os usuários recuperarem.

Observação

Usar uma assinatura digital e confiar no publicador não funciona para arquivos de suplemento do Excel que têm Marca da Web. Esse comportamento não é novo para arquivos de suplemento do Excel que têm Marca da Web. Ele funciona dessa maneira desde 2016, como resultado de um esforço de proteção de segurança anterior (relacionado ao Boletim de Segurança da Microsoft MS16-088).

Macros assinadas por um fornecedor confiável

Se a macro estiver assinada e você tiver validado o certificado e confiar na origem, você poderá tornar essa fonte um editor confiável. Recomendamos, se possível, que você gerencie editores confiáveis para seus usuários. Para obter mais informações, consulte Editores confiáveis para arquivos do Office.

Se você tiver apenas alguns usuários, poderá fazer com que eles removam a Marca da Web do arquivo e adicionem a origem da macro como um editor confiável em seus dispositivos.

Aviso

  • Todas as macros assinadas com o mesmo certificado são reconhecidas como provenientes de um fornecedor confiável e são executadas.
  • Adicionar um editor confiável pode afetar cenários além daqueles relacionados ao Office, porque um editor confiável é uma configuração em todo o Windows, não apenas uma configuração específica do Office.

Locais confiáveis

Salvar arquivos da Internet em um local confiável no dispositivo de um usuário ignora a verificação de Marca da Web e abre com macros VBA habilitadas. Por exemplo, um aplicativo de linha de negócios pode enviar relatórios com macros de forma recorrente. Se os arquivos com macros forem salvos em um Local Confiável, os usuários não precisarão acessar as Propriedades do arquivo e selecionar Desbloquear para permitir que as macros sejam executadas.

Como as macros não são bloqueadas em arquivos salvos em um Local Confiável, você deve gerenciar locais confiáveis com cuidado e usá-los com moderação. Os locais de rede também podem ser definidos como um Local Confiável, mas não é recomendável. Para obter mais informações, consulte Locais Confiáveis para arquivos do Office.

Informações adicionais sobre a Marca da Web

Marca da Web e documentos confiáveis

Quando um arquivo é baixado para um dispositivo que executa o Windows, Mark of the Web é adicionado ao arquivo, identificando sua origem como sendo da Internet. Atualmente, quando um usuário abre um arquivo com Marca da Web, uma faixa SECURITY WARNING é exibida, com um botão Habilitar conteúdo . Se o usuário selecionar Habilitar conteúdo, o arquivo será considerado um Documento Confiável e as macros poderão ser executadas. As macros continuarão a ser executadas mesmo depois que a alteração do comportamento padrão para bloquear macros em arquivos da Internet for implementada, porque o arquivo ainda é considerado um Documento Confiável.

Após a alteração do comportamento padrão para bloquear macros em arquivos da Internet, os usuários verão uma faixa diferente na primeira vez que abrirem um arquivo com macros da Internet. Essa faixa DE RISCO DE SEGURANÇA não tem a opção de Habilitar conteúdo. Mas os usuários poderão acessar a caixa de diálogo Propriedades do arquivo e selecionar Desbloquear, o que removerá a Marca da Web do arquivo e permitirá que as macros sejam executadas, desde que nenhuma política ou configuração da Central de Confiabilidade esteja bloqueando.

Marca da Web e zonas

Por padrão, a marca da Web é adicionada a arquivos somente da Internet ou zonas de sites restritos .

Dica

Para ver essas zonas em um dispositivo Windows, acesse Painel de Controle > Internet Options > Change security settings.

Você pode exibir o valor zoneId de um arquivo executando o comando a seguir em um prompt de comando e substituindo {nome do arquivo} pelo nome do arquivo.

notepad {name of file}:Zone.Identifier

Quando você executar esse comando, o Bloco de Notas abrirá e exibirá a ZoneId na seção [ZoneTransfer].

Aqui está uma lista de valores de ZoneId e para qual zona eles são mapeados.

  • 0 = Meu Computador
  • 1 = Intranet local
  • 2 = Sites confiáveis
  • 3 = Internet
  • 4 = Sites restritos

Por exemplo, se ZoneId for 2, as macros do VBA nesse arquivo não serão bloqueadas por padrão. Mas se ZoneId for 3, as macros nesse arquivo serão bloqueadas por padrão.

Você pode usar o cmdlet Unblock-File no PowerShell para remover o valor zoneId do arquivo. A remoção do valor zoneId permitirá que as macros do VBA executem por padrão. Usar o cmdlet faz o mesmo que marcar a caixa de seleção Desbloquear na guia Geral da caixa de diálogo Propriedades do arquivo.

Use o Readiness Toolkit para identificar arquivos com macros VBA que podem ser bloqueadas

Para identificar arquivos que têm macros VBA que podem ser impedidas de serem executadas, você pode usar o Readiness Toolkit para suplementos do Office e o VBA, que é um download gratuito da Microsoft.

O Readiness Toolkit inclui um executável autônomo que pode ser executado de uma linha de comando ou de dentro de um script. Você pode executar o Readiness Toolkit no dispositivo de um usuário para examinar os arquivos no dispositivo do usuário. Ou você pode executar em seu dispositivo para examinar os arquivos em um compartilhamento de rede.

Quando você executa a versão executável autônoma do Readiness Toolkit, um arquivo JSON é criado com as informações coletadas. Você desejará salvar os arquivos JSON em um local central, como um compartilhamento de rede. Em seguida, você executará o Criador do Relatório de Preparação, que é uma versão do assistente de interface do usuário do Readiness Toolkit. Este assistente consolidará as informações nos arquivos JSON separados em um único relatório na forma de um arquivo do Excel.

Para identificar arquivos que podem ser afetados usando o Readiness Toolkit, siga estas etapas básicas:

  1. Baixe a versão mais atual do Readiness Toolkit do Centro de Download da Microsoft. Verifique se você está usando pelo menos a versão 1.2.22161, que foi lançada em 14 de junho de 2022.

  2. Instale o Readiness Toolkit.

  3. Em um prompt de comando, vá para a pasta em que você instalou o Readiness Toolkit e execute o comando ReadinessReportCreator.exe com a opção blockinternetscan.

    Por exemplo, se você quiser verificar arquivos na pasta c:\officefiles (e todas as suas subpastas) em um dispositivo e salvar o arquivo JSON com os resultados no compartilhamento Finance no Server01, poderá executar o comando a seguir.

ReadinessReportCreator.exe -blockinternetscan -p c:\officefiles\ -r -output \\server01\finance -silent
  1. Depois de fazer todas as verificações, execute o Criador do Relatório de Preparação.
  2. Na página Criar um relatório de preparação, selecione Resultados de preparação anteriores salvos juntos em uma pasta local ou compartilhamento de rede e especifique o local em que você salvou todos os arquivos para as verificações.
  3. Na página Configurações do relatório , selecione o relatório do Excel e especifique um local para salvar o relatório.
  4. Ao abrir o relatório no Excel, vá para a planilha Resultados do VBA .
  5. Na coluna Diretriz , procure o arquivo VBA bloqueado da Internet.

Para obter informações mais detalhadas sobre como usar o Readiness Toolkit, consulte Use the Readiness Toolkit to assess application compatibility for Microsoft 365 Apps.

Usar políticas para gerenciar como o Office lida com macros

Você pode usar políticas para gerenciar como o Office lida com macros. Recomendamos que você use as macros Bloquear da execução em arquivos do Office da política de Internet . Mas se essa política não for apropriada para sua organização, a outra opção será a política de Configurações de Notificação de Macro do VBA .

Para obter mais informações sobre como implantar essas políticas, consulte Ferramentas disponíveis para gerenciar políticas.

Importante

Você só poderá usar políticas se estiver usando Microsoft 365 Apps para Grandes Empresas. As políticas não estão disponíveis para Microsoft 365 Apps para Pequenos e Médios negócios.

Bloquear a execução de macros em arquivos do Office da Internet

Essa política impede que os usuários abram inadvertidamente arquivos que contêm macros da Internet. Quando um arquivo é baixado para um dispositivo que executa o Windows ou aberto de um local de compartilhamento de rede, a Marca da Web é adicionada ao arquivo que identifica que ele foi originado da Internet.

Recomendamos habilitar essa política como parte da linha de base de segurança para Microsoft 365 Apps para Grandes Empresas. Você deve habilitar essa política para a maioria dos usuários e fazer exceções apenas para determinados usuários, conforme necessário.

Há uma política separada para cada um dos cinco aplicativos. A tabela a seguir mostra onde cada política pode ser encontrada no Console de Gerenciamento Política de Grupo em Configuração do Usuário\Políticas\Modelos Administrativos:

Aplicativo Local da política
Access Microsoft Access 2016\Application Settings\Security\Trust Center
Excel Microsoft Excel 2016\Opções do Excel\Segurança\Central de Confiabilidade
PowerPoint Microsoft PowerPoint 2016\Opções do PowerPoint\Segurança\Central de Confiabilidade
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Opções do Word\Segurança\Central de Confiabilidade

O estado escolhido para a política determina o nível de proteção que você está fornecendo. A tabela a seguir mostra o nível atual de proteção obtido com cada estado, antes que a alteração no comportamento padrão seja implementada.

Ícone Nível de Proteção Estado da política Descrição
Círculo verde com marca de seleção branca Protegido [recomendado] Habilitado Os usuários serão impedidos de executar macros em arquivos obtidos da Internet.

Parte da linha de base de segurança recomendada pela Microsoft.
Círculo vermelho com X branco Não protegido Desabilitado Respeitará as configuraçõesdefinidas em Configurações > > da Central de Confiabilidade da Central > de Confiabilidade das Opções de Arquivo... > Configurações de macro.
Círculo vermelho com X branco Não protegido Não Configurado Respeitará as configuraçõesdefinidas em Configurações > > da Central de Confiabilidade da Central > de Confiabilidade das Opções de Arquivo... > Configurações de macro.

Observação

  • Se você definir essa política como Desabilitada, os usuários verão, por padrão, um aviso de segurança quando abrirem um arquivo com uma macro. Esse aviso permitirá que os usuários saibam que as macros foram desabilitadas, mas permitirão que eles executem as macros escolhendo o botão Habilitar conteúdo .
  • Esse aviso é o mesmo aviso que os usuários mostraram anteriormente. Antes dessa alteração recente, estamos implementando para bloquear macros.
  • Não recomendamos definir essa política como Desabilitada permanentemente. Mas, em alguns casos, pode ser prático fazer isso temporariamente à medida que você testa como o novo comportamento de bloqueio de macro afeta sua organização e conforme você desenvolve uma solução para permitir o uso seguro de macros.

Depois de implementarmos a alteração no comportamento padrão, o nível de proteção muda quando a política é definida como Não Configurado.

Ícone Nível de Proteção Estado da política Descrição
Círculo verde com marca de seleção branca Protegido Não Configurado Os usuários serão impedidos de executar macros em arquivos obtidos da Internet.

Os usuários verão a faixa risco de segurança com um botão Saiba mais

Configurações de notificação de macros VBA

Se você não usar a política "Bloquear macros de execução em arquivos do Office da Internet", poderá usar a política "Configurações de Notificação de Macro do VBA" para gerenciar como as macros são tratadas pelo Office.

Essa política impede que os usuários sejam atraídos para habilitar macros mal-intencionadas. Por padrão, o Office é configurado para bloquear arquivos que contêm macros do VBA e exibir uma Barra de Confiança com um aviso de que as macros estão presentes e foram desabilitadas. Os usuários podem inspecionar e editar os arquivos, se apropriado, mas não podem usar nenhuma funcionalidade desabilitada até que selecionem Habilitar Conteúdo na Barra de Confiança. Se o usuário selecionar Habilitar Conteúdo, o arquivo será adicionado como um Documento Confiável e as macros poderão ser executadas.

Há uma política separada para cada um dos cinco aplicativos. A tabela a seguir mostra onde cada política pode ser encontrada no Console de Gerenciamento Política de Grupo em Configuração do Usuário\Políticas\Modelos Administrativos:

Aplicativo Local da política
Access Microsoft Access 2016\Application Settings\Security\Trust Center
Excel [1] Microsoft Excel 2016\Opções do Excel\Segurança\Central de Confiabilidade
PowerPoint Microsoft PowerPoint 2016\Opções do PowerPoint\Segurança\Central de Confiabilidade
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Opções do Word\Segurança\Central de Confiabilidade

Observação

  • [1] Para o Excel, a política é denominada Configurações de Notificação de Macro.
  • A política "Configurações de Notificação de Macro do VBA" também está disponível para o Project e o Publisher.

O estado escolhido para a política determina o nível de proteção que você está fornecendo. A tabela a seguir mostra o nível de proteção obtido com cada estado.

Ícone Nível de Proteção Estado da política Valor da política
Círculo verde com marca de seleção branca Protegido [recomendado] Habilitado Desabilite todas, exceto macros assinadas digitalmente (e selecione "Exigir que as macros sejam assinadas por um fornecedor confiável")
Círculo verde com marca de seleção branca Protegido Habilitado Desabilitar tudo sem notificação
Círculo laranja com marca de seleção branca Parcialmente protegido Habilitado Desabilitar tudo com notificação
Círculo laranja com marca de seleção branca Parcialmente protegido Desabilitado (Mesmo comportamento que "Desabilitar tudo com notificação")
Círculo vermelho com X branco Não protegido Habilitado Habilitar todas as macros (não recomendado)

Importante

Proteger macros é importante. Para usuários que não precisam de macros, desative todas as macros escolhendo "Desabilitar tudo sem notificação".

Nossa recomendação de linha de base de segurança é que você deve fazer o seguinte:

  • Habilite a política "Configurações de Notificação de Macro do VBA".
  • Para usuários que precisam de macros, escolha "Desabilitar todas, exceto macros assinadas digitalmente" e, em seguida, selecione "Exigir que as macros sejam assinadas por um fornecedor confiável". O certificado precisa ser instalado como um Fornecedor Confiável nos dispositivos dos usuários.

Se você não configurar a política, os usuários poderão definir as configurações de proteção de macro > > > em Configurações da Central de Confiabilidade da Central de Confiabilidade das Opções de Arquivo... > Configurações de macro.

A tabela a seguir mostra as escolhas que os usuários podem fazer em Configurações de Macro e o nível de proteção que cada configuração fornece.

Ícone Nível de Proteção Configuração escolhida
Círculo verde com marca de seleção branca Protegido Desabilitar todas as macros, exceto macros assinadas digitalmente
Círculo verde com marca de seleção branca Protegido Desabilitar todas as macros sem notificação
Círculo laranja com marca de seleção branca Parcialmente protegido Desabilitar todas as macros com notificação (padrão)
Círculo vermelho com X branco Não protegido Habilitar todas as macros (não recomendado; o código potencialmente perigoso pode ser executado)

Observação

Nos valores de configuração de política e na interface do usuário do produto para Excel, a palavra "all" é substituída por "VBA". Por exemplo, "Desabilitar macros VBA sem notificação".

Ferramentas disponíveis para gerenciar políticas

Há várias ferramentas disponíveis para você definir e implantar configurações de política para usuários em sua organização.

Política de Nuvem

Você pode usar a Política de Nuvem para definir e implantar configurações de política em dispositivos em sua organização, mesmo que o dispositivo não tenha ingressado no domínio. A Política de Nuvem é uma ferramenta baseada na Web e é encontrada no Microsoft 365 Apps de administração.

Na Política de Nuvem, você cria uma configuração de política, a atribui a um grupo e, em seguida, seleciona as políticas a serem incluídas na configuração da política. Para selecionar uma política a ser incluído, você pode pesquisar pelo nome da política. A Política de Nuvem também mostra quais políticas fazem parte da linha de base de segurança recomendada pela Microsoft. As políticas disponíveis na Política de Nuvem são as mesmas políticas de Configuração do Usuário que estão disponíveis no console de Política de Grupo Gerenciamento.

Para obter mais informações, consulte Visão geral do serviço de Política de Nuvem para Microsoft 365.

Centro de administração do Microsoft Endpoint Manager

No Centro de administração do Microsoft Endpoint Manager, você pode usar o catálogo de Configurações (versão prévia) ou Modelos Administrativos para definir e implantar configurações de política para seus usuários para dispositivos que executam o Windows 10 ou posterior.

Para começar, acesse Perfis de Configuração > de Dispositivos Criar > perfil. Para Plataforma, escolha Windows 10 e posterior e escolha o tipo de perfil.

Para saber mais, confira os seguintes artigos:

Console de Gerenciamento de Política de Grupo

Se você tiver o Windows Server e Active Directory Domain Services (AD DS) implantados em sua organização, poderá configurar políticas usando o Política de Grupo. Para usar Política de Grupo, baixe os arquivos de Modelo Administrativo (ADMX/ADML) mais atuais para o Office, que incluem as configurações de política para Microsoft 365 Apps para Grandes Empresas. Depois de copiar os arquivos de Modelo Administrativo para o AD DS, você pode usar o Console de Gerenciamento do Política de Grupo para criar GPOs (objetos Política de Grupo) que incluem configurações de política para seus usuários e para dispositivos ingressados no domínio.