Editores confiáveis para arquivos do Office

  • Artigo

Aplica-se a:Microsoft 365 Apps, Office LTSC 2021, Office 2019 e Office 2016

Um editor é uma pessoa ou uma empresa que publicou software, como uma macro, um controle ActiveX ou um suplemento. Antes de decidir que um editor é confiável e confiável, você deve saber a identidade do editor e se as credenciais do editor são válidas.

Se o Office avisar sobre o código potencialmente inseguro em um arquivo, você poderá exibir mais informações sobre o código e o editor antes de decidir se confia no código ou no editor. Se você receber um aviso de que não há nenhuma assinatura presente ou se a assinatura é inválida, você não deve habilitar o conteúdo ou confiar no editor, a menos que tenha certeza de que o código vem de uma fonte confiável. Normalmente, uma mensagem de que a assinatura é inválida significa que o código foi adulterado depois que o autor assinou.

Se uma macro usada em um arquivo do Office for assinada e você validar o certificado e confiar na origem, você poderá fazer dessa origem um editor confiável. Recomendamos, se possível, que você gerencie editores confiáveis para seus usuários.

Observação

Se sua organização desenvolver e distribuir macros em arquivos do Office, seja para usuários internos ou clientes externos, seus desenvolvedores de macro deverão, como prática recomendada, assinar seu código VBA. Normalmente, o código é assinado com um certificado digital de uma autoridade de certificado comercial (AC) antes que as macros sejam distribuídas.

Para ser um editor confiável, o certificado público de assinatura de código usado para assinar a macro precisa ser adicionado ao repositório de certificados Editores Confiáveis no dispositivo.

Aviso

  • Todas as macros assinadas com o mesmo certificado são reconhecidas como provenientes de um editor confiável e são executadas.
  • Adicionar um editor confiável pode afetar cenários além daqueles relacionados ao Office, pois um editor confiável é uma configuração em todo o Windows, não apenas uma configuração específica do Office.

Usar Política de Grupo para gerenciar editores confiáveis

Você pode usar Política de Grupo para distribuir a dispositivos em sua organização o certificado público de assinatura de código usado para assinar a macro. Para distribuir o certificado, você pode executar as seguintes etapas na ferramenta gerenciamento de Política de Grupo:

  1. Vá Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas de Chave Pública, clique com o botão direito do mouse em Editores Confiáveis e escolha Importar.
  2. Execute o Assistente de Importação de Certificados e importe o arquivo de certificado apropriado para o repositório de certificados de Editores Confiáveis.

Para usuários que só devem executar macros VBA assinadas por um editor confiável, você deve definir a política Configurações de Notificação de Macro do VBA como Habilitada e executar as seguintes etapas em Opções:

  • Selecione Desabilitar todas, exceto macros assinadas digitalmente na lista suspensa.
  • Selecione a caixa de seleção Exigir macros a serem assinadas por uma caixa de seleção de editor confiável.

Observação

Se você escolher essas configurações para o Excel, as macros do Excel 4.0 serão bloqueadas.

Se você quiser fornecer mais restrições, em Opções , você pode selecionar os certificados Bloquear de editores confiáveis instalados apenas na caixa de seleção do repositório de certificados do usuário atual . Essa configuração impede que os usuários adicionem manualmente um editor confiável em seu dispositivo, a menos que tenham permissões de administrador em seu dispositivo.

Usar um programa de linha de comando para distribuir um certificado para um editor confiável

Se você não puder usar ou não usar Política de Grupo em sua organização, também poderá distribuir o certificado público de assinatura de código usando o comando certutil em um script ou manualmente em um dispositivo. Você pode usar o parâmetro -addtore para adicionar o certificado de assinatura de código ao repositório TrustedPublisher no dispositivo.

Fazer com que um usuário adicione um editor confiável manualmente

Se você tiver apenas alguns usuários que precisam configurar um editor confiável, você poderá fazê-lo manualmente em cada dispositivo. Os usuários só precisam fazer isso uma vez para cada editor.

Os usuários podem seguir essas instruções para adicionar à origem um editor confiável. Se o arquivo tiver a Marca da Web, primeiro os usuários deverão remover a Marca da Web do arquivo antes de poderem adicionar a origem como um editor confiável. Para obter mais informações, examine as informações neste artigo.