As macros da Internet estão bloqueadas por predefinição no Office
As macros VBA são uma forma comum de os atores maliciosos obterem acesso à implementação de software maligno e ransomware. Por conseguinte, para ajudar a melhorar a segurança no Office, estamos a alterar o comportamento predefinido das aplicações do Office para bloquear macros em ficheiros a partir da Internet.
Esta alteração afeta a forma como os utilizadores interagem com ficheiros da Internet, como anexos de e-mail que contêm macros. Agora, quando os utilizadores abrem um ficheiro deste tipo, veem a seguinte mensagem:
O botão Saiba Mais vai para um artigo para utilizadores finais e técnicos de informação que contém informações sobre o risco de segurança de atores incorretos que utilizam macros, práticas seguras para impedir phishing e software maligno e instruções sobre como ativar estas macros (se necessário).
Em alguns casos, os utilizadores também veem a mensagem se o ficheiro for proveniente de uma localização na sua intranet e não for identificado como sendo fidedigno. Por exemplo, se os utilizadores estiverem a aceder a ficheiros numa partilha de rede com o endereço IP da partilha. Para obter mais informações, consulte Ficheiros localizados centralmente numa partilha de rede ou site fidedigno.
Importante
Mesmo antes desta alteração que estamos a introduzir, as organizações poderiam utilizar a política Bloquear a execução de macros em ficheiros do Office a partir da Internet para impedir que os utilizadores abrissem inadvertidamente ficheiros da Internet que contenham macros. Recomendamos que ative esta política como parte da linha de base de segurança para Microsoft 365 Apps para Grandes Empresas. Se configurar a política, a sua organização não será afetada por esta alteração predefinida.
Para obter mais informações, consulte Utilizar políticas para gerir a forma como o Office processa macros.
Preparar esta alteração
Prepare-se para esta alteração ao trabalhar com as unidades empresariais na sua organização que utilizam macros em ficheiros do Office. Estes ficheiros são frequentemente abertos a partir de localizações como partilhas de rede intranet ou sites da intranet. Quer identificar essas macros e determinar que passos deve seguir para continuar a utilizar essas macros. Trabalhe com fornecedores independentes de software (ISVs) que fornecem macros em ficheiros do Office a partir dessas localizações. Por exemplo, para ver se podem assinar digitalmente o respetivo código e pode tratá-los como um fabricante fidedigno.
Além disso, reveja as seguintes informações:
| Ação de preparação | Mais informações |
|---|---|
| Compreender que versão em cada canal de atualização tem esta alteração | Versões do Office afetadas por esta alteração |
| Veja um fluxograma do processo que o Office demora a determinar se pretende executar macros num ficheiro | Como o Office determina se deve executar macros em ficheiros a partir da Internet |
| Saiba mais sobre as políticas que pode utilizar para controlar a execução de macros do VBA | Utilizar políticas para gerir a forma como o Office lida com macros |
Passos a seguir para permitir a execução de macros VBA em ficheiros em que confia
A forma como permite que as macros VBA sejam executadas em ficheiros em que confia depende de onde esses ficheiros estão localizados ou do tipo de ficheiro.
A tabela seguinte lista diferentes cenários comuns e possíveis abordagens a adotar para desbloquear macros VBA e permitir que sejam executadas. Não tem de fazer todas as abordagens possíveis para um determinado cenário. Nos casos em que listamos múltiplas abordagens, escolha a que melhor se adequa à sua organização.
| Cenário | Possíveis abordagens a adotar |
|---|---|
| Ficheiros individuais |
• Selecione a caixa de verificação Desbloquear no separador Geral da caixa de diálogo Propriedades do ficheiro • Utilizar o cmdlet Unblock-File no PowerShell Para obter mais informações, consulte Remover Marca da Web de um ficheiro. |
| Ficheiros localizados centralmente numa partilha de rede ou num site fidedigno | Desbloqueie o ficheiro com uma abordagem listada em "Ficheiros individuais". Se não existir uma caixa de verificação Desbloquear e pretender confiar em todos os ficheiros nessa localização de rede: • Designar a localização como um site Fidedigno • Adicione a localização à zona de intranet Local Para obter mais informações, consulte Ficheiros localizados centralmente numa partilha de rede ou site fidedigno. |
| Ficheiros armazenados no OneDrive ou SharePoint, incluindo um site utilizado por um canal do Teams | • Fazer com que os utilizadores abram diretamente o ficheiro utilizando a opção Abrir na Aplicação de Ambiente de Trabalho • Se os utilizadores transferirem o ficheiro localmente antes de o abrirem, remova Marca da Web da cópia local do ficheiro (veja as abordagens em "Ficheiros individuais") • Designar a localização como um site Fidedigno Para obter mais informações, consulte Ficheiros no OneDrive ou SharePoint. |
| Ficheiros de modelo com permissão para macros para Word, PowerPoint e Excel | Se o ficheiro de modelo estiver armazenado no dispositivo do utilizador: • Remova a Marca da Web do ficheiro de modelo (veja as abordagens em "Ficheiros individuais") • Guardar o ficheiro de modelo numa Localização Fidedigna Se o ficheiro de modelo estiver armazenado numa localização de rede: • Utilize uma assinatura digital e confie no fabricante • Confie no ficheiro de modelo (veja as abordagens em "Ficheiros localizados centralmente numa partilha de rede ou site fidedigno") Para obter mais informações, veja Ficheiros de modelo com permissão para macros para Word, PowerPoint e Excel. |
| Ficheiros de suplemento com permissão para macros para o PowerPoint | • Remova a Marca da Web do ficheiro de Suplemento • Utilize uma assinatura digital e confie no fabricante • Guardar o ficheiro de Suplemento numa Localização Fidedigna Para obter mais informações, veja Ficheiros de suplementos com permissão para macros para PowerPoint e Excel. |
| Ficheiros de suplementos com permissão para macros para o Excel | • Remova a Marca da Web do ficheiro de Suplemento • Guardar o ficheiro de Suplemento numa Localização Fidedigna Para obter mais informações, veja Ficheiros de suplementos com permissão para macros para PowerPoint e Excel. |
| Macros assinadas por um fabricante fidedigno | • [recomendado] Implemente o certificado de assinatura de código público para o fabricante fidedigno para os seus utilizadores e impeça os seus utilizadores de adicionarem os próprios fabricantes fidedignos. • Remova a Marca da Web do ficheiro e peça ao utilizador para adicionar o publicador da macro como um fabricante fidedigno. Para obter mais informações, veja Macros assinadas por um fabricante fidedigno. |
| Grupos de ficheiros guardados em pastas no dispositivo do utilizador | Designar a pasta como Uma Localização Fidedigna Para obter mais informações, veja Localizações Fidedignas. |
Versões do Office afetadas por esta alteração
Esta alteração afeta apenas o Office em dispositivos com o Windows e afeta apenas as seguintes aplicações: Access, Excel, PowerPoint, Visio e Word.
A tabela seguinte mostra quando esta alteração ficou disponível em cada canal de atualização.
| Canal de Atualização | Versão | Data |
|---|---|---|
| Canal Atual (Visualização) | Versão 2203 | Começou a ser lançado a 12 de abril de 2022 |
| Canal Atual | Versão 2206 | Começou a ser lançado a 27 de julho de 2022 |
| Canal Empresarial Mensal | Versão 2208 | 11 de outubro de 2022 |
| Canal Empresarial Semestral (Visualização) | Versão 2208 | 11 de outubro de 2022 |
| Canal Empresarial Semestral | Versão 2208 | 10 de janeiro de 2023 |
A alteração não afeta o Office num Mac, Office em dispositivos Android ou iOS ou Office na Web.
Como o Office determina se deve executar macros em ficheiros a partir da Internet
O gráfico de fluxograma seguinte mostra como o Office determina se deve executar macros num ficheiro a partir da Internet.
Os passos seguintes explicam as informações no gráfico de fluxograma, exceto os ficheiros de Suplemento do Excel. Para obter mais informações sobre esses ficheiros, consulte Ficheiros de suplementos com permissão para macros para o PowerPoint e o Excel. Além disso, se um ficheiro estiver localizado numa partilha de rede que não esteja na zona intranet Local ou não for um site fidedigno, as macros serão bloqueadas nesse ficheiro.
- Um utilizador abre um ficheiro do Office que contém macros obtidas a partir da Internet. Por exemplo, um anexo de e-mail. O ficheiro tem Marca da Web (MOTW).
Observação
- A marca da Web é adicionada pelo Windows a ficheiros a partir de uma localização não fidedigno, como a Internet ou a Zona Restrita. Por exemplo, transferências do browser ou anexos de e-mail. Para obter mais informações, consulte Marca da Web e zonas.
- A marca da Web aplica-se apenas a ficheiros guardados num sistema de ficheiros NTFS e não a ficheiros guardados em dispositivos formatados FAT32.
Se o ficheiro for de uma Localização Fidedigna, o ficheiro é aberto com as macros ativadas. Se o ficheiro não for de uma Localização Fidedigna, a avaliação continuará.
Se as macros tiverem uma assinatura digital e o seu dispositivo tiver o certificado do Fabricante Fidedigno correspondente, o ficheiro é aberto com as macros ativadas. Caso contrário, a avaliação continua.
As políticas são verificadas para ver se as macros são permitidas ou bloqueadas. Se as políticas estiverem definidas como Não Configurada, a avaliação continuará para o Passo 6.
(a) Se as macros forem bloqueadas pela política, as macros serão bloqueadas. (b) Se as macros estiverem ativadas pela política, as macros são ativadas.
Se o utilizador abriu anteriormente o ficheiro, antes desta alteração no comportamento predefinido e selecionou Ativar conteúdo a partir da Barra de Confiança, as macros são ativadas porque o ficheiro é considerado fidedigno.
Observação
- Para obter mais informações, veja Novas políticas de proteção de segurança para Documentos Fidedignos.
- Para versões perpétuas do Office, como o Office LTSC 2021 ou o Office 2019, este passo ocorre após o Passo 3 e antes do Passo 4 e não é afetado pela alteração ao comportamento predefinido.
- Este passo é onde entra em vigor a alteração ao comportamento predefinido do Office. Com esta alteração, as macros nos ficheiros da Internet são bloqueadas e os utilizadores veem a faixa Risco de Segurança quando abrem o ficheiro.
Observação
Anteriormente, antes desta alteração no comportamento predefinido, a aplicação marcar para ver se a política de Definições de Notificação de Macro do VBA estava ativada e como foi configurada.
Se a política estivesse definida como Desativada ou Não Configurada, a aplicação marcar as definições em Definições doCentro> de Confiança dasOpções> de Ficheiro>...>Definições de Macro. A predefinição está definida como "Desativar todas as macros com notificação", o que permite aos utilizadores ativar o conteúdo na Barra de Confiança.
Documentação de orientação sobre como permitir que as macros VBA sejam executadas em ficheiros em que confia
Remover Marca da Web de um ficheiro
Para desbloquear macros num ficheiro, como uma da Internet ou um anexo de e-mail, remova a Marca da Web no seu dispositivo local. Para remover, clique com o botão direito do rato no ficheiro, selecione Propriedades e, em seguida, selecione a caixa de verificação Desbloquear no separador Geral .
Observação
- Em alguns casos, normalmente para ficheiros numa partilha de rede, os utilizadores podem não ver a caixa de verificação Desbloquear de um ficheiro onde as macros estão a ser bloqueadas. Para esses casos, veja Ficheiros localizados centralmente numa partilha de rede ou site fidedigno.
- Mesmo que a caixa de verificação Desbloquear esteja disponível para um ficheiro numa partilha de rede, selecionar a caixa de verificação não terá qualquer efeito se a partilha for considerada como estando na zona da Internet . Para obter mais informações, consulte Marca da Web e zonas.
Também pode utilizar o cmdlet Unblock-File no PowerShell para remover o valor ZoneId do ficheiro. Remover o valor ZoneId permite que as macros do VBA são executadas por predefinição. Utilizar o cmdlet faz o mesmo que selecionar a caixa de verificação Desbloquear no separador Geral da caixa de diálogo Propriedades do ficheiro. Para obter mais informações sobre o valor ZoneId, veja Marca da Web e zonas.
Ficheiros localizados centralmente numa partilha de rede ou num site fidedigno
Se tiver os seus utilizadores a aceder a ficheiros a partir de um site fidedigno ou de um servidor de ficheiros interno, pode efetuar um dos seguintes passos para que as macros dessas localizações não sejam bloqueadas.
- Designar a localização como um site Fidedigno
- Se a localização da rede estiver na intranet, adicione a localização à zona intranet Local
Observação
- Se adicionar algo como um site fidedigno, também está a conceder permissões elevadas a todo o site para cenários não relacionados com o Office.
- Para a abordagem da zona intranet local , recomendamos que guarde os ficheiros numa localização que já seja considerada parte da zona intranet Local , em vez de adicionar novas localizações a essa zona.
- Em geral, recomendamos que utilize sites fidedignos, uma vez que têm alguma segurança adicional em comparação com a zona intranet Local .
Por exemplo, se os utilizadores estiverem a aceder a uma partilha de rede com o respetivo endereço IP, as macros nesses ficheiros serão bloqueadas, a menos que a partilha de ficheiros esteja nos sites Fidedignos ou na zona intranet Local .
Dica
- Para ver uma lista de sites fidedignos ou o que está na zona da intranet Local, aceda a Painel de Controle>Opções> da InternetAlterar definições de segurança num dispositivo Windows.
- Para marcar se um ficheiro individual for proveniente de um site fidedigno ou de uma localização da intranet local, consulte Marcar da Web e zonas.
Por exemplo, pode adicionar um servidor de ficheiros ou uma partilha de rede como um site fidedigno ao adicionar o respetivo FQDN ou endereço IP à lista de sites fidedignos.
Se quiser adicionar URLs que comecem com http:// ou partilhas de rede, desmarque a caixa de verificação Exigir verificação do servidor (https:) para todos os sites nesta zona .
Importante
Uma vez que as macros não são bloqueadas em ficheiros destas localizações, deve gerir estas localizações cuidadosamente. Certifique-se de que controla quem tem permissão para guardar ficheiros nestas localizações.
Pode utilizar Política de Grupo e a política "Site para Lista de Atribuições de Zona" para adicionar localizações como sites fidedignos ou à zona intranet Local para dispositivos Windows na sua organização. Esta política encontra-se em Componentes do Windows\Internet Explorer\Internet Painel de Controle\Página de Segurança na Consola de Gestão do Política de Grupo. Está disponível em Configuração do Computador\Políticas\Modelos Administrativos e Configuração do Utilizador\Políticas\Modelos Administrativos.
Ficheiros no OneDrive ou SharePoint
Se um utilizador transferir um ficheiro no OneDrive ou sharePoint através de um browser, a configuração da zona de segurança da Internet do Windows (Painel de Controle>Internet Options>Security) determina se o browser define a Marca da Web. Por exemplo, o Microsoft Edge define a opção Marcar da Web num ficheiro, se for proveniente da zona da Internet.
Se um utilizador selecionar Abrir na Aplicação de Ambiente de Trabalho num ficheiro aberto a partir do site do OneDrive ou a partir de um site do SharePoint (incluindo um site utilizado por um canal do Teams), o ficheiro não terá a Marca da Web.
Se um utilizador tiver o cliente Sincronização do OneDrive em execução e o cliente de sincronização transferir um ficheiro, o ficheiro não terá a Marca da Web.
Os ficheiros que estão em pastas conhecidas do Windows (Ambiente de Trabalho, Documentos, Imagens, Capturas de Ecrã e Imagens da Câmara) e que estão sincronizados com o OneDrive não têm a Marca da Web.
Se tiver um grupo de utilizadores, como o Departamento financeiro que precisa de utilizar ficheiros do OneDrive ou do SharePoint sem que as macros sejam bloqueadas, seguem-se algumas opções possíveis:
Peça-lhes para abrirem o ficheiro com a opção Abrir na Aplicação de Ambiente de Trabalho
Peça-lhes que transfiram o ficheiro para uma Localização Fidedigna.
Defina a atribuição da zona de segurança da Internet do Windows para domínios do OneDrive ou do SharePoint como Sites Fidedignos. Os administradores podem utilizar a política "Site para Lista de Atribuições de Zona" e configurar a política para colocar
https://{your-domain-name}.sharepoint.com(para o SharePoint) ouhttps://{your-domain-name}-my.sharepoint.com(para o OneDrive) na zona Sites Fidedignos.Esta política encontra-se em Componentes do Windows\Internet Explorer\Internet Painel de Controle\Página de Segurança na Consola de Gestão do Política de Grupo. Está disponível em Configuração do Computador\Políticas\Modelos Administrativos e Configuração do Utilizador\Políticas\Modelos Administrativos.
As permissões do SharePoint e a partilha do OneDrive não são alteradas ao adicionar estas localizações a Sites Fidedignos. É importante manter o controlo de acesso. Qualquer pessoa com permissões para adicionar ficheiros ao SharePoint pode adicionar ficheiros com conteúdo ativo, como macros. Os utilizadores que transferem ficheiros de domínios na zona Sites Fidedignos ignoram a predefinição para bloquear macros.
Ficheiros de modelo com permissão para macros para Word, PowerPoint e Excel
Os ficheiros de modelo com permissão para macros para Word, PowerPoint e Excel que são transferidos a partir da Internet têm o Mark da Web. Por exemplo, ficheiros de modelo com as seguintes extensões:
- .dot
- .dotm
- .pot
- .potm
- .xlt
- .xltm
Quando o utilizador abre o ficheiro de modelo com permissão para macros, o utilizador é impedido de executar as macros no ficheiro de modelo. Se o utilizador confiar na origem do ficheiro de modelo, pode remover a Marca da Web do ficheiro de modelo e, em seguida, reabrir o ficheiro de modelo na aplicação do Office.
Se tiver um grupo de utilizadores que precisa de utilizar modelos com permissão para macros sem que as macros sejam bloqueadas, pode efetuar qualquer uma das seguintes ações:
- Utilize uma assinatura digital e confie no publicador.
- Se não estiver a utilizar assinaturas digitais, pode guardar o ficheiro de modelo numa Localização Fidedigna e pedir aos utilizadores que obtenham o ficheiro de modelo a partir dessa localização.
Ficheiros de suplemento com permissão para macros para o PowerPoint e o Excel
Os ficheiros suplementos com permissão para macros para o PowerPoint e o Excel que são transferidos a partir da Internet têm a opção Marcar da Web. Por exemplo, ficheiros de suplemento com as seguintes extensões:
- .ppa
- .ppam
- .xla
- .xlam
Quando o utilizador tenta instalar o Suplemento com permissão para macros, utilizando Suplementos deOpções> de Ficheiro> ou utilizando ofrisoProgramador, o Suplemento é carregado num estado desativado e o utilizador é impedido de utilizar o Suplemento. Se o utilizador confiar na origem do ficheiro de Suplemento, pode remover a Marca da Web do ficheiro de Suplemento e, em seguida, reabrir o PowerPoint ou o Excel para utilizar o Suplemento.
Se tiver um grupo de utilizadores que precisa de utilizar ficheiros suplementos com permissão para macros sem que as macros sejam bloqueadas, pode efetuar as seguintes ações.
Para ficheiros de Suplemento do PowerPoint:
- Remova a Marca da Web do ficheiro .ppa ou .ppam.
- Utilize uma assinatura digital e confie no publicador.
- Guarde o ficheiro de Suplemento numa Localização Fidedigna para os utilizadores obterem.
Para ficheiros de Suplemento do Excel:
- Remova a Marca da Web do ficheiro .xla ou .xlam.
- Guarde o ficheiro de Suplemento numa Localização Fidedigna para os utilizadores obterem.
Observação
Utilizar uma assinatura digital e confiar no publicador não funciona para ficheiros de Suplemento do Excel que tenham a Marca da Web. Este comportamento não é novo para ficheiros de Suplementos do Excel que tenham o Mark da Web. Funciona desta forma desde 2016, como resultado de um esforço anterior de proteção de segurança (relacionado com o Boletim de Segurança da Microsoft MS16-088).
Macros assinadas por um fabricante fidedigno
Se a macro estiver assinada e tiver validado o certificado e confiar na origem, pode tornar essa origem num fabricante fidedigno. Recomendamos, se possível, que faça a gestão de fabricantes fidedignos para os seus utilizadores. Para obter mais informações, consulte Fabricantes fidedignos para ficheiros do Office.
Se tiver apenas alguns utilizadores, pode fazer com que removam a Marca da Web do ficheiro e, em seguida, adicione a origem da macro como um fabricante fidedigno nos respetivos dispositivos.
Aviso
- Todas as macros assinadas com o mesmo certificado são reconhecidas como provenientes de um fabricante fidedigno e são executadas.
- Adicionar um fabricante fidedigno pode afetar cenários além dos relacionados com o Office, uma vez que um fabricante fidedigno é uma definição ao nível do Windows e não apenas uma definição específica do Office.
Locais Confiáveis.
Guardar ficheiros da Internet numa Localização Fidedigna no dispositivo de um utilizador ignora o marcar de Marca da Web e abre com macros VBA ativadas. Por exemplo, uma aplicação de linha de negócio pode enviar relatórios com macros de forma periódica. Se os ficheiros com macros forem guardados numa Localização Fidedigna, os utilizadores não têm de aceder às Propriedades do ficheiro e selecionar Desbloquear para permitir que as macros sejam executadas.
Uma vez que as macros não são bloqueadas em ficheiros guardados numa Localização Fidedigna, deve gerir cuidadosamente as Localizações Fidedignas e utilizá-las com moderação. As localizações de rede também podem ser definidas como uma Localização Fidedigna, mas não é recomendado. Para obter mais informações, consulte Localizações Fidedignas para ficheiros do Office.
Informações adicionais sobre a Marca da Web
Marca da Web e Documentos Fidedignos
Quando um ficheiro é transferido para um dispositivo com o Windows, a marca da Web é adicionada ao ficheiro, identificando a origem como sendo da Internet. Atualmente, quando um utilizador abre um ficheiro com Marca da Web, é apresentada uma faixa AVISO DE SEGURANÇA , com um botão Ativar conteúdo . Se o utilizador selecionar Ativar conteúdo, o ficheiro é considerado um Documento Fidedigno e as macros podem ser executadas. As macros continuarão a ser executadas mesmo após a alteração do comportamento predefinido para bloquear macros em ficheiros da Internet, uma vez que o ficheiro ainda é considerado um Documento Fidedigno.
Após a alteração do comportamento predefinido para bloquear macros em ficheiros da Internet, os utilizadores verão uma faixa diferente na primeira vez que abrirem um ficheiro com macros da Internet. Esta faixa RISCO DE SEGURANÇA não tem a opção para Ativar conteúdo. No entanto, os utilizadores podem aceder à caixa de diálogo Propriedades do ficheiro e selecionar Desbloquear, o que removerá a Marca da Web do ficheiro e permitirá que as macros sejam executadas, desde que nenhuma política ou definição do Centro de Confiança esteja a bloquear.
Marca da Web e zonas
Por predefinição, a Marca da Web é adicionada a ficheiros apenas a partir das zonas internet ou sites restritos .
Dica
Para ver estas zonas num dispositivo Windows, aceda a Painel de Controle>Opções> da InternetAlterar definições de segurança.
Pode ver o valor ZoneId de um ficheiro ao executar o seguinte comando numa linha de comandos e ao substituir {name of file} pelo seu nome de ficheiro.
notepad {name of file}:Zone.Identifier
Quando executar este comando, o Bloco de Notas abrirá e apresentará o ZoneId na secção [ZoneTransfer].
Segue-se uma lista de valores ZoneId e a zona a que mapeiam.
- 0 = O Meu Computador
- 1 = Intranet local
- 2 = Sites fidedignos
- 3 = Internet
- 4 = Sites restritos
Por exemplo, se zoneId for 2, as macros VBA nesse ficheiro não serão bloqueadas por predefinição. No entanto, se o ZoneId for 3, as macros nesse ficheiro serão bloqueadas por predefinição.
Pode utilizar o cmdlet Unblock-File no PowerShell para remover o valor ZoneId do ficheiro. Remover o valor ZoneId permite que as macros do VBA são executadas por predefinição. Utilizar o cmdlet faz o mesmo que selecionar a caixa de verificação Desbloquear no separador Geral da caixa de diálogo Propriedades do ficheiro.
Utilizar políticas para gerir a forma como o Office lida com macros
Pode utilizar políticas para gerir a forma como o Office processa macros. Recomendamos que utilize a política Bloquear a execução de macros em ficheiros do Office a partir da Internet . No entanto, se essa política não for adequada para a sua organização, a outra opção é a política de Definições de Notificação de Macro do VBA .
Para obter mais informações sobre como implementar estas políticas, veja Ferramentas disponíveis para gerir políticas.
Importante
Só pode utilizar políticas se estiver a utilizar Microsoft 365 Apps para Grandes Empresas. As políticas não estão disponíveis para Microsoft 365 Apps para Pequenos e Médios negócios.
Bloquear a execução de macros em ficheiros do Office a partir da Internet
Esta política impede que os utilizadores abram inadvertidamente ficheiros que contenham macros da Internet. Quando um ficheiro é transferido para um dispositivo com o Windows ou aberto a partir de uma localização de partilha de rede, a Marca da Web é adicionada ao ficheiro que o identifica a partir da Internet.
Recomendamos que ative esta política como parte da linha de base de segurança para Microsoft 365 Apps para Grandes Empresas. Deve ativar esta política para a maioria dos utilizadores e criar apenas exceções para determinados utilizadores, conforme necessário.
Existe uma política separada para cada uma das cinco aplicações. A tabela seguinte mostra onde cada política pode ser encontrada na Consola de Gestão do Política de Grupo em Configuração do Utilizador\Políticas\Modelos Administrativos:
| Application | Localização da política |
|---|---|
| Access | Microsoft Access 2016\Application Settings\Security\Trust Center |
| Excel | Microsoft Excel 2016\Opções do Excel\Segurança\Centro de Confiança |
| PowerPoint | Microsoft PowerPoint 2016\Opções do PowerPoint\Segurança\Centro de Confiança |
| Visio | Microsoft Visio 2016\Opções do Visio\Segurança\Centro de Confiança |
| Word | Opções do Microsoft Word 2016\Word\Segurança\Centro de Confiança |
O estado que escolher para a política determina o nível de proteção que está a fornecer. A tabela seguinte mostra o nível atual de proteção que obtém com cada estado, antes de a alteração do comportamento predefinido ser implementada.
| Ícone | Nível de Proteção | Estado da política | Descrição |
|---|---|---|---|
|
Protegido [recomendado] | Habilitado | Os utilizadores são impedidos de executar macros em ficheiros obtidos a partir da Internet. Parte da linha de base de segurança recomendada pela Microsoft. |
|
Não protegido | Desabilitado | Respeitará as definições configuradas emOpçõesde Ficheiros>>Definições do Centro de Confiança do Centro> de Confiança...>Definições de Macro. |
|
|
Não protegido | Não Configurado | Respeitará as definições configuradas emOpçõesde Ficheiros>>Definições do Centro de Confiança do Centro> de Confiança...>Definições de Macro. |
Observação
- Se definir esta política como Desativada, os utilizadores verão, por predefinição, um aviso de segurança quando abrirem um ficheiro com uma macro. Este aviso irá informar os utilizadores de que as macros foram desativadas, mas permitir-lhes-á executar as macros ao selecionar o botão Ativar conteúdo .
- Este aviso é o mesmo aviso que os utilizadores mostraram anteriormente, antes desta alteração recente que estamos a implementar para bloquear macros.
- Não recomendamos que defina esta política como Desativada permanentemente. No entanto, em alguns casos, pode ser prático fazê-lo temporariamente à medida que testa como o novo comportamento de bloqueio de macros afeta a sua organização e à medida que desenvolve uma solução para permitir a utilização segura de macros.
Depois de implementarmos a alteração ao comportamento predefinido, o nível de proteção muda quando a política está definida como Não Configurada.
| Ícone | Nível de Proteção | Estado da política | Descrição |
|---|---|---|---|
|
|
Protegido | Não Configurado | Os utilizadores são impedidos de executar macros em ficheiros obtidos a partir da Internet. Os utilizadores veem a faixa Risco de Segurança com um botão Saiba Mais |
Definições de Notificação de Macro do VBA
Se não utilizar a política "Bloquear a execução de macros em ficheiros do Office a partir da Internet", pode utilizar a política "Definições de Notificação de Macros do VBA" para gerir a forma como as macros são processadas pelo Office.
Esta política impede que os utilizadores sejam atraídos para ativar macros maliciosas. Por predefinição, o Office está configurado para bloquear ficheiros que contêm macros VBA e apresentar uma Barra de Confiança com um aviso de que as macros estão presentes e foram desativadas. Os utilizadores podem inspecionar e editar os ficheiros, se adequado, mas não podem utilizar qualquer funcionalidade desativada até selecionarEm Ativar Conteúdo na Barra de Fidedignidade. Se o utilizador selecionar Ativar Conteúdo, o ficheiro é adicionado como um Documento Fidedigno e as macros podem ser executadas.
Existe uma política separada para cada uma das cinco aplicações. A tabela seguinte mostra onde cada política pode ser encontrada na Consola de Gestão do Política de Grupo em Configuração do Utilizador\Políticas\Modelos Administrativos:
| Application | Localização da política |
|---|---|
| Access | Microsoft Access 2016\Application Settings\Security\Trust Center |
| Excel [1] | Microsoft Excel 2016\Opções do Excel\Segurança\Centro de Confiança |
| PowerPoint | Microsoft PowerPoint 2016\Opções do PowerPoint\Segurança\Centro de Confiança |
| Visio | Microsoft Visio 2016\Opções do Visio\Segurança\Centro de Confiança |
| Word | Opções do Microsoft Word 2016\Word\Segurança\Centro de Confiança |
Observação
- [1] Para o Excel, a política chama-se Definições de Notificação de Macro.
- A política "Definições de Notificação de Macro do VBA" também está disponível para o Project e o Publisher.
O estado que escolher para a política determina o nível de proteção que está a fornecer. A tabela seguinte mostra o nível de proteção que obtém com cada estado.
| Ícone | Nível de Proteção | Estado da política | Valor da política |
|---|---|---|---|
|
|
Protegido [recomendado] | Habilitado | Desative todas, exceto as macros assinadas digitalmente (e selecione "Exigir que as macros sejam assinadas por um fabricante fidedigno") |
|
|
Protegido | Habilitado | Desativar tudo sem notificação |
|
Parcialmente protegido | Habilitado | Desativar tudo com notificação |
|
|
Parcialmente protegido | Desabilitado | (O mesmo comportamento de "Desativar tudo com notificação") |
|
|
Não protegido | Habilitado | Ativar todas as macros (não recomendado) |
Importante
É importante proteger macros. Para os utilizadores que não precisam de macros, desative todas as macros ao selecionar "Desativar tudo sem notificação".
A nossa recomendação de linha de base de segurança é que faça o seguinte:
- Ative a política "Definições de Notificação de Macro do VBA".
- Para os utilizadores que precisam de macros, selecione "Desativar tudo exceto macros assinadas digitalmente" e, em seguida, selecione "Exigir que as macros sejam assinadas por um fabricante fidedigno". O certificado tem de ser instalado como um Fabricante Fidedigno nos dispositivos dos utilizadores.
Se não configurar a política, os utilizadores podem configurar as definições de proteção de macros emOpções> de Ficheiros>Definições do Centro de Confiança do Centro> de Confiança...>Definições de Macro.
A tabela seguinte mostra as escolhas que os utilizadores podem fazer em Definições de Macro e o nível de proteção que cada definição fornece.
| Ícone | Nível de Proteção | Definição escolhida |
|---|---|---|
|
|
Protegido | Desabilitar todas as macros, exceto as digitalmente assinadas |
|
|
Protegido | Desabilitar todas as macros sem notificação |
|
|
Parcialmente protegido | Desativar todas as macros com notificação (predefinição) |
|
|
Não protegido | Habilitar todas as macros (não recomendável; pode ser executado código possivelmente perigoso) |
Observação
Nos valores de definição de política e na IU do produto para Excel, a palavra "tudo" é substituída por "VBA". Por exemplo, "Desativar macros VBA sem notificação".
Ferramentas disponíveis para gerir políticas
Existem várias ferramentas disponíveis para configurar e implementar definições de política para os utilizadores na sua organização.
- Política de Nuvem
- centro de administração do Microsoft Intune
- Console de Gerenciamento de Política de Grupo
Política de Nuvem
Pode utilizar a Política de Cloud para configurar e implementar definições de política em dispositivos na sua organização, mesmo que o dispositivo não esteja associado a um domínio. A Política de Cloud é uma ferramenta baseada na Web e encontra-se no centro de administração do Microsoft 365 Apps.
Na Política de Cloud, cria uma configuração de política, atribui-a a um grupo e, em seguida, seleciona as políticas a incluir na configuração da política. Para selecionar uma política a incluir, pode procurar pelo nome da política. A Política de Cloud também mostra que políticas fazem parte da linha de base de segurança recomendada pela Microsoft. As políticas disponíveis na Política de Cloud são as mesmas políticas de Configuração do Utilizador que estão disponíveis na Consola de Gestão do Política de Grupo.
Para obter mais informações, veja Descrição geral do serviço Política de Cloud para o Microsoft 365.
centro de administração do Microsoft Intune
No centro de administração do Microsoft Intune, pode utilizar o catálogo de Definições (pré-visualização) ou modelos administrativos para configurar e implementar definições de política para os seus utilizadores para dispositivos com Windows 10 ou posterior.
Para começar, aceda a Perfisdeconfiguração de dispositivos>>Create perfil. Em Plataforma, selecione Windows 10 e posterior e, em seguida, escolha o tipo de perfil.
Para saber mais, confira os seguintes artigos:
- Usar o catálogo de configurações para definir configurações em dispositivos Windows e macOS – versão prévia
- Usar Windows 10/11 para definir configurações de política de grupo no Microsoft Intune
Console de Gerenciamento de Política de Grupo
Se tiver o Windows Server e o Active Directory Domain Services (AD DS) implementados na sua organização, pode configurar políticas com Política de Grupo. Para utilizar Política de Grupo, transfira os ficheiros de Modelo Administrativo (ADMX/ADML) mais atuais para o Office, que incluem as definições de política para Microsoft 365 Apps para Grandes Empresas. Depois de copiar os ficheiros do Modelo Administrativo para o AD DS, pode utilizar a Consola de Gestão do Política de Grupo para criar objetos de Política de Grupo (GPOs) que incluam definições de política para os seus utilizadores e para dispositivos associados a um domínio.
Artigos relacionados
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários