Макросы из Интернета заблокированы по умолчанию в Office

Макросы VBA — это распространенный способ получения злоумышленниками доступа к развертыванию вредоносных программ и программ-шантажистов. Поэтому, чтобы повысить безопасность в Office, мы изменяем поведение приложений Office по умолчанию, чтобы блокировать макросы в файлах из Интернета.

Это изменение влияет на то, как пользователи взаимодействуют с файлами из Интернета, например с вложениями электронной почты, содержащими макросы. Теперь, когда пользователи открывают такой файл, они увидят следующее сообщение:

Баннер о рисках безопасности о заблокированных макросах с кнопкой

Кнопка Подробнее содержит сведения о риске безопасности злоумышленников, использующих макросы, безопасных методах предотвращения фишинга и вредоносных программ, а также инструкции по включению этих макросов.

В некоторых случаях пользователи также видят сообщение, если файл находится в расположении в интрасети и не определен как доверенный. Например, если пользователи обращаются к файлам в общей сетевой папке с помощью IP-адреса общей папки. Дополнительные сведения см. в разделе Файлы, расположенные в общей сетевой папке или на доверенном веб-сайте.

Важно!

Еще до этого изменения, которое мы представляем, организации могли использовать политику Блокировать выполнение макросов в файлах Office из Интернета , чтобы запретить пользователям непреднамеренно открывать файлы из Интернета, содержащие макросы. Мы рекомендуем включить эту политику в рамках базовых показателей безопасности для Приложения Microsoft 365 для предприятий. Если вы настроите политику, это изменение по умолчанию не повлияет на вашу организацию.

Дополнительные сведения см. в статье Использование политик для управления тем, как Office обрабатывает макросы.

Подготовка к этому изменению

Подготовьтесь к этому изменению, работая с подразделениями организации, которые используют макросы в файлах Office. Эти файлы часто открываются из таких расположений, как общие сетевые ресурсы интрасети или веб-сайты интрасети. Вы хотите определить эти макросы и определить, какие действия следует предпринять , чтобы продолжить использование этих макросов. Работайте с независимыми поставщиками программного обеспечения , которые предоставляют макросы в файлах Office из этих расположений. Например, чтобы узнать, могут ли они цифрово подписать свой код, и вы можете рассматривать их как доверенного издателя.

Кроме того, ознакомьтесь со следующими сведениями:

Действие подготовки Дополнительная информация
Сведения о том, какая версия в каждом канале обновления содержит это изменение Версии Office, затронутые этим изменением
Просмотрите блок-схему процесса, выполняемого Office, чтобы определить, следует ли запускать макросы в файле Как Office определяет, следует ли запускать макросы в файлах из Интернета
Сведения о политиках, которые можно использовать для управления выполнением макросов VBA Использование политик для управления обработкой макросов в Office

Действия, которые необходимо предпринять, чтобы разрешить выполнение макросов VBA в файлах, которым вы доверяете

Разрешение выполнения макросов VBA в файлах, которым вы доверяете, зависит от расположения этих файлов или типа файла.

В следующей таблице перечислены различные распространенные сценарии и возможные подходы к разблокировкам макросов VBA и их запуску. Вам не нужно делать все возможные подходы для конкретного сценария. В случаях, когда мы перечислим несколько подходов, выберите тот, который лучше всего подходит вашей организации.

Сценарий Возможные подходы для принятия
Отдельные файлы
• Установите флажок Разблокировать на вкладке Общие диалогового окна Свойства файла.
• Использование командлета Unblock-File в PowerShell

Дополнительные сведения см. в разделе Удаление метки из Интернета из файла.
Файлы, расположенные централизованно в общей сетевой папке или на доверенном веб-сайте Разблокируйте файл, используя подход, указанный в разделе "Отдельные файлы".

Если флажок Разблокировать не установлен и вы хотите доверять всем файлам в этом сетевом расположении:
• Назначение расположения в качестве надежного сайта
• Добавление расположения в зону локальной интрасети

Дополнительные сведения см. в разделе Файлы, расположенные в общей сетевой папке или на доверенном веб-сайте.
Файлы, хранящиеся в OneDrive или SharePoint, включая сайт, используемый каналом Teams • Пользователи должны открыть файл напрямую с помощью параметра Открыть в классическом приложении .
• Если пользователи скачивают файл локально перед его открытием, удалите метку Из локальной копии файла (см. подходы в разделе "Отдельные файлы")
• Назначение расположения в качестве надежного сайта

Дополнительные сведения см. в статье Файлы в OneDrive или SharePoint.
Файлы шаблонов с поддержкой макросов для Word, PowerPoint и Excel Если файл шаблона хранится на устройстве пользователя:
• Удалите метку в Интернете из файла шаблона (см. подходы в разделе "Отдельные файлы")
• Сохранение файла шаблона в надежном расположении

Если файл шаблона хранится в сетевом расположении:
• Использование цифровой подписи и доверие издателю
• Доверяйте файлу шаблона (см. подходы в разделе "Файлы, централизованно расположенные в общей сетевой папке или на доверенном веб-сайте")

Дополнительные сведения см. в статье Файлы шаблонов с поддержкой макросов для Word, PowerPoint и Excel.
Файлы надстроек с поддержкой макросов для PowerPoint • Удаление метки в Интернете из файла надстройки
• Использование цифровой подписи и доверие издателю
• Сохранение файла надстройки в надежном расположении

Дополнительные сведения см. в разделе Файлы надстроек с поддержкой макросов для PowerPoint и Excel.
Файлы надстроек с поддержкой макросов для Excel • Удаление метки в Интернете из файла надстройки
• Сохранение файла надстройки в надежном расположении

Дополнительные сведения см. в разделе Файлы надстроек с поддержкой макросов для PowerPoint и Excel.
Макросы, подписанные доверенным издателем [рекомендуется] Разверните общедоступный сертификат подписи кода для доверенного издателя для пользователей и запретите пользователям добавлять доверенных издателей.
• Удалите метку в Интернете из файла и добавьте издателя макроса в качестве доверенного издателя.

Дополнительные сведения см. в разделе Макросы, подписанные доверенным издателем.
Группы файлов, сохраненных в папках на устройстве пользователя Назначение папки надежным расположением

Дополнительные сведения см. в разделе Надежные расположения.

Версии Office, затронутые этим изменением

Это изменение влияет только на Office на устройствах под управлением Windows и затрагивает только следующие приложения: Access, Excel, PowerPoint, Visio и Word.

В следующей таблице показано, когда это изменение стало доступно в каждом канале обновления.

Ветвь обновлений Версия Date
Актуальный канал (предварительная версия) Версия 2203 Начало развертывания 12 апреля 2022 г.
Актуальный канал Версия 2206 Начало развертывания 27 июля 2022 г.
Ежемесячный канал (корпоративный) Версия 2208 11 октября 2022 г.
Полугодовой канал (предварительная корпоративная версия) Версия 2208 11 октября 2022 г.
Полугодовой канал (корпоративный) Версия 2208 10 января 2023 г.

Это изменение не влияет на Office на mac, Office на устройствах Android или iOS или Office в Интернете.

Как Office определяет, следует ли запускать макросы в файлах из Интернета

На следующем рисунке блок-схемы показано, как Office определяет, следует ли запускать макросы в файле из Интернета.

Блок-схема, показывающая, как Office определяет, следует ли запускать макросы в файлах из Интернета

Ниже описаны сведения на блок-схеме, за исключением файлов надстройки Excel. Дополнительные сведения об этих файлах см. в статье Файлы надстроек с поддержкой макросов для PowerPoint и Excel. Кроме того, если файл находится в общей сетевой папке, которая не находится в зоне локальной интрасети или не является доверенным сайтом, макросы в этом файле блокируются.

  1. Пользователь открывает файл Office, содержащий макросы, полученные из Интернета. Например, вложение электронной почты. Файл содержит Метку интернета (MOTW).

Примечание.

  • Метка в Интернете добавляется Windows к файлам из ненадежного расположения, например Из Интернета или ограниченной зоны. Например, скачивание в браузере или вложения электронной почты. Дополнительные сведения см. в разделе Метка веб-сайтов и зон.
  • Метка в Интернете применяется только к файлам, сохраненным в файловой системе NTFS, а не к файлам, сохраненным на устройствах в формате FAT32.
  1. Если файл находится в надежном расположении, он открывается с включенными макросами. Если файл не находится в надежном расположении, оценка продолжается.

  2. Если макросы имеют цифровую подпись и устройство имеет соответствующий сертификат доверенного издателя, откроется файл с включенными макросами. Если нет, оценка продолжится.

  3. Проверяются политики, чтобы узнать, разрешены или заблокированы макросы. Если для политик задано значение Не настроено, оценка продолжится до шага 6.

  4. (a) Если макросы блокируются политикой, макросы блокируются.
    (b) Если макросы включены политикой, они включены.

  5. Если пользователь ранее открывал файл, перед этим изменением в поведении по умолчанию и выбрал включить содержимое на панели доверия, макросы будут включены, так как файл считается доверенным.

Примечание.

  1. На этом шаге вступает в силу изменение поведения Office по умолчанию. При этом изменении макросы в файлах из Интернета блокируются, и пользователи видят баннер "Риск безопасности " при открытии файла.

Примечание.

Ранее, до этого изменения поведения по умолчанию, приложение проверка, чтобы узнать, включена ли политика параметров уведомлений макросов VBA и как она была настроена.

Если для политики задано значение Отключено или Не настроено, приложение проверка параметры в разделе Параметры файлов>Параметры>центра>управления безопасностью...>Параметры макроса. По умолчанию установлено значение "Отключить все макросы с уведомлением", что позволяет пользователям включать содержимое на панели доверия.

Руководство по запуску макросов VBA в файлах, которым вы доверяете

Удаление метки в Интернете из файла

Чтобы разблокировать макросы в файле, например из Интернета или вложении электронной почты, удалите метку из Интернета на локальном устройстве. Чтобы удалить файл, щелкните файл правой кнопкой мыши, выберите пункт Свойства, а затем установите флажок Разблокировать на вкладке Общие .

Диалоговое окно свойств файла с вариантом разблокировки

Примечание.

Вы также можете использовать командлет Unblock-File в PowerShell, чтобы удалить значение ZoneId из файла. Удаление значения ZoneId позволяет выполнять макросы VBA по умолчанию. Командлет выполняет то же самое, что и при выборе флажка Разблокировать на вкладке Общие диалогового окна Свойства для файла. Дополнительные сведения о значении ZoneId см. в разделе Mark of the Web and zone.

Файлы, расположенные централизованно в общей сетевой папке или на доверенном веб-сайте

Если пользователи получают доступ к файлам с доверенного веб-сайта или внутреннего файлового сервера, можно выполнить одно из следующих действий, чтобы макросы из этих расположений не блокировались.

  • Назначение расположения в качестве надежного сайта
  • Если сетевое расположение находится в интрасети, добавьте его в зону локальной интрасети .

Примечание.

  • Если вы добавляете что-то в качестве доверенного сайта, вы также предоставляете всему сайту повышенные разрешения для сценариев, не связанных с Office.
  • При подходе к локальной зоне интрасети рекомендуется сохранять файлы в расположении, которое уже считается частью зоны локальной интрасети , вместо добавления новых расположений в эту зону.
  • Как правило, рекомендуется использовать надежные сайты, так как они имеют некоторые дополнительные зоны безопасности по сравнению с зоной локальной интрасети .

Например, если пользователи получают доступ к общей сетевой папке с помощью его IP-адреса, макросы в этих файлах блокируются, если общий файловый ресурс не находится в зоне "Доверенные сайты " или "Локальная интрасеть ".

Совет

  • Чтобы просмотреть список доверенных сайтов или то, что находится в зоне локальной интрасети, перейдите в раздел панель управления>Параметры> сетиИзменение параметров безопасности на устройстве с Windows.
  • Сведения о проверка, если отдельный файл находится на доверенном сайте или в локальной интрасети, см. в разделе Метка веб-сайтов и зон.

Например, можно добавить файловый сервер или сетевую папку в качестве доверенного сайта, добавив его полное доменное имя или IP-адрес в список доверенных сайтов.

Диалоговое окно

Если вы хотите добавить URL-адреса, начинающиеся с http:// или общих сетевых ресурсов, снимите флажок Требовать проверку сервера (https:) для всех сайтов в этой зоне .

Важно!

Так как макросы не блокируются в файлах из этих расположений, следует тщательно управлять этими расположениями. Убедитесь, что вы контролируете, кому разрешено сохранять файлы в этих расположениях.

Вы можете использовать групповая политика и политику "Список назначений между зонами" для добавления расположений в качестве доверенных сайтов или в зону локальной интрасети для устройств Windows в вашей организации. Эта политика находится в разделе Компоненты Windows\Internet Обозреватель\Internet панель управления\Страница безопасности в консоли управления групповая политика. Он доступен в разделах Конфигурация компьютера\Политики\Административные шаблоны и Конфигурация пользователя\Политики\Административные шаблоны.

Файлы в OneDrive или SharePoint

  • Если пользователь скачивает файл в OneDrive или SharePoint с помощью веб-браузера, настройка зоны безопасности Интернета Windows (панель управления>Интернет-безопасность>) определяет, будет ли браузер устанавливать метку в Интернете. Например, Microsoft Edge задает метку в Интернете в файле, если он находится из зоны Интернета.

  • Если пользователь выбирает Открыть в классическом приложении в файле, открытом с веб-сайта OneDrive или с сайта SharePoint (включая сайт, используемый каналом Teams), файл не будет иметь метку в Интернете.

  • Если у пользователя запущен клиент приложение синхронизации OneDrive и клиент синхронизации скачивает файл, то файл не будет иметь метку в Интернете.

  • Файлы, которые находятся в известных папках Windows ("Рабочий стол", "Документы", "Изображения", "Снимки экрана" и "Альбом камеры") и синхронизируются с OneDrive, не имеют метки в Интернете.

  • Если у вас есть группа пользователей, например финансовый отдел, которая должна использовать файлы из OneDrive или SharePoint без блокировки макросов, ниже приведены некоторые возможные варианты.

    • Пусть они открывают файл с помощью параметра Открыть в классическом приложении

    • Пусть они скачивают файл в надежное расположение.

    • Задайте для назначения зоны безопасности Интернета Windows для доменов OneDrive или SharePoint значение Доверенные сайты. Администраторы могут использовать политику "Список назначений между сайтами и зонами" и настроить политику для размещения https://{your-domain-name}.sharepoint.com (для SharePoint) или https://{your-domain-name}-my.sharepoint.com (для OneDrive) в зону доверенных сайтов.

      • Эта политика находится в разделе Компоненты Windows\Internet Обозреватель\Internet панель управления\Страница безопасности в консоли управления групповая политика. Он доступен в разделах Конфигурация компьютера\Политики\Административные шаблоны и Конфигурация пользователя\Политики\Административные шаблоны.

      • Разрешения SharePoint и общий доступ к OneDrive не изменяются путем добавления этих расположений на надежные сайты. Управление доступом имеет важное значение. Любой пользователь с разрешениями на добавление файлов в SharePoint может добавлять файлы с активным содержимым, например макросы. Пользователи, скачивающие файлы из доменов в зоне "Доверенные сайты", объехивают макросы по умолчанию.

Файлы шаблонов с поддержкой макросов для Word, PowerPoint и Excel

Файлы шаблонов с поддержкой макросов для Word, PowerPoint и Excel, скачанные из Интернета, имеют метку Из Интернета. Например, файлы шаблонов со следующими расширениями:

  • DOT
  • .Dotm
  • .Горшок
  • .potm
  • .Xlt
  • .Xltm

Когда пользователь открывает файл шаблона с поддержкой макросов, он блокирует выполнение макросов в файле шаблона. Если пользователь доверяет источнику файла шаблона, он может удалить из файла шаблона метку в Интернете, а затем снова открыть файл шаблона в приложении Office.

Если у вас есть группа пользователей, которым необходимо использовать шаблоны с поддержкой макросов без блокировки макросов, можно выполнить одно из следующих действий:

  • Используйте цифровую подпись и доверяйте издателю.
  • Если вы не используете цифровые подписи, вы можете сохранить файл шаблона в надежном расположении , чтобы пользователи получили файл шаблона из этого расположения.

Файлы надстроек с поддержкой макросов для PowerPoint и Excel

Файлы надстроек с поддержкой макросов для PowerPoint и Excel, скачанные из Интернета, имеют метку в Интернете. Например, надстройка содержит следующие расширения:

  • .Ppa
  • .Ppam
  • .Xla
  • .Xlam

Когда пользователь пытается установить надстройку с поддержкой макросов, с помощьюнадстроекпараметров>файла> или с помощью ленты разработчика надстройка загружается в отключенном состоянии, и пользователь блокирует использование надстройки. Если пользователь доверяет источнику файла надстройки, он может удалить из файла надстройки метку в Интернете, а затем снова открыть PowerPoint или Excel для использования надстройки.

Если у вас есть группа пользователей, которым необходимо использовать файлы надстроек с поддержкой макросов без блокировки макросов, можно выполнить следующие действия.

Для файлов надстроек PowerPoint:

  • Удалите метку в Интернете из PPA-файла или PPAM-файла.
  • Используйте цифровую подпись и доверяйте издателю.
  • Сохраните файл надстройки в надежном расположении , чтобы пользователи их извлекли.

Для файлов надстройки Excel:

  • Удалите метку из веб-файла XLA или XLAM.
  • Сохраните файл надстройки в надежном расположении , чтобы пользователи их извлекли.

Примечание.

Использование цифровой подписи и доверие издателю не подходит для файлов надстройки Excel с меткой в Интернете. Это поведение не является новым для файлов надстроек Excel с меткой в Интернете. Он работает таким образом с 2016 года в результате предыдущих усилий по защите безопасности (связанных с Бюллетенем по безопасности Майкрософт MS16-088).

Макросы, подписанные доверенным издателем

Если макрос подписан и вы проверили сертификат и доверяете источнику, его можно сделать доверенным издателем. По возможности рекомендуется управлять доверенными издателями для пользователей. Дополнительные сведения см. в разделе Доверенные издатели для файлов Office.

Если у вас всего несколько пользователей, вы можете заставить их удалить метку в Интернете из файла , а затем добавить источник макроса в качестве доверенного издателя на своих устройствах.

Предупреждение

  • Все макросы, которые действительно подписаны с помощью одного сертификата, распознаются как поступающие от доверенного издателя и выполняются.
  • Добавление доверенного издателя может повлиять на сценарии, не связанные с Office, так как доверенный издатель является параметром для всей Windows, а не только для Office.

Надежные расположения

Сохранение файлов из Интернета в надежное расположение на устройстве пользователя игнорирует проверка для Метки в Интернете и открывается с включенными макросами VBA. Например, бизнес-приложение может отправлять отчеты с макросами на регулярной основе. Если файлы с макросами сохраняются в надежном расположении, пользователям не нужно переходить к свойствам файла и выбрать Команду Разблокировать , чтобы разрешить выполнение макросов.

Так как макросы не блокируются в файлах, сохраненных в надежном расположении, следует тщательно управлять доверенными расположениями и использовать их с осторожностью. Сетевые расположения также можно задать в качестве надежного расположения, но это не рекомендуется. Дополнительные сведения см. в разделе Надежные расположения для файлов Office.

Дополнительные сведения о марке в Интернете

Метка веб-документов и доверенных документов

Когда файл загружается на устройство под управлением Windows, в файл добавляется метка Интернета, определяя его источник как из Интернета. В настоящее время, когда пользователь открывает файл с помощью метки в Интернете, появляется баннер предупреждение о безопасности с кнопкой Включить содержимое . Если пользователь выбирает Включить содержимое, файл считается доверенным документом, а макросы могут выполняться. Макросы будут продолжать выполняться даже после того, как будет реализовано изменение поведения по умолчанию для блокировки макросов в файлах из Интернета, так как файл по-прежнему считается доверенным документом.

После изменения поведения по умолчанию для блокировки макросов в файлах из Интернета пользователи увидят другой баннер при первом открытии файла с макросами из Интернета. В этом баннере SECURITY RISK нет параметра Включить содержимое. Но пользователи могут перейти в диалоговое окно Свойства для файла и выбрать Разблокировать, что удалит метку из Интернета из файла и разрешит выполнение макросов, если политика или параметры центра управления безопасностью не блокируются.

Метка веб-сайтов и зон

По умолчанию метка в Интернете добавляется только в файлы из зон Интернет или ограниченных сайтов .

Совет

Чтобы просмотреть эти зоны на устройстве с Windows, перейдите по панель управления>Параметры> сетиИзменение параметров безопасности.

Чтобы просмотреть значение ZoneId для файла, выполните следующую команду в командной строке и замените {name of file} именем файла.

notepad {name of file}:Zone.Identifier

При выполнении этой команды в Блокноте откроется и отобразится ZoneId в разделе [ZoneTransfer].

Ниже приведен список значений ZoneId и того, с какой зоной они сопоставлены.

  • 0 = мой компьютер
  • 1 = локальная интрасеть
  • 2 = надежные сайты
  • 3 = Интернет
  • 4 = ограниченные сайты

Например, если параметр ZoneId равен 2, макросы VBA в этом файле не будут блокироваться по умолчанию. Но если параметр ZoneId равен 3, макросы в этом файле будут заблокированы по умолчанию.

Чтобы удалить значение ZoneId из файла, можно использовать командлет Unblock-File в PowerShell. Удаление значения ZoneId позволяет выполнять макросы VBA по умолчанию. Командлет выполняет то же самое, что и при выборе флажка Разблокировать на вкладке Общие диалогового окна Свойства для файла.

Использование политик для управления обработкой макросов в Office

Политики можно использовать для управления обработкой макросов в Office. Рекомендуется использовать политику Блокировать выполнение макросов в файлах Office из Интернета . Но если эта политика не подходит для вашей организации, другой вариант — политика параметров уведомлений макросов VBA .

Дополнительные сведения о развертывании этих политик см. в статье Средства, доступные для управления политиками.

Важно!

Политики можно использовать только при использовании Приложения Microsoft 365 для предприятий. Политики недоступны для Приложения Microsoft 365 для бизнеса.

Блокировка запуска макросов в файлах Office из Интернета

Эта политика запрещает пользователям непреднамеренно открывать файлы, содержащие макросы, из Интернета. Когда файл загружается на устройство под управлением Windows или открывается из общей сетевой папки, в файл добавляется метка Интернета, идентифицируя, что он был получен из Интернета.

Мы рекомендуем включить эту политику в рамках базовых показателей безопасности для Приложения Microsoft 365 для предприятий. Эту политику следует включить для большинства пользователей и делать исключения только для определенных пользователей по мере необходимости.

Для каждого из пяти приложений существует отдельная политика. В следующей таблице показано, где можно найти каждую политику в консоли управления групповая политика в разделе Конфигурация пользователя\Политики\Административные шаблоны:

Приложение Расположение политики
Access Microsoft Access 2016\Параметры приложения\Безопасность\Центр управления безопасностью
Excel Microsoft Excel 2016\Excel Options\Security\Trust Center
PowerPoint Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word Options\Security\Trust Center

То, какое состояние выбрано для политики, определяет уровень защиты, который вы предоставляете. В следующей таблице показан текущий уровень защиты, который вы получаете с каждым состоянием, прежде чем будет реализовано изменение поведения по умолчанию.

Значок Уровень защиты Состояние политики Описание
Зеленый кружок с белой проверка меткой Защищено [рекомендуется] Включено Пользователи не могут запускать макросы в файлах, полученных из Интернета.

Часть рекомендуемых майкрософт базовых показателей безопасности.
Красный круг с белым X Не защищено Отключено Будет учитывать параметры, настроенные в разделеПараметрыцентрауправления безопасностью> параметров >файлов>...>Параметры макроса.
Красный круг с белым X Не защищено Not Configured Будет учитывать параметры, настроенные в разделеПараметрыцентрауправления безопасностью> параметров >файлов>...>Параметры макроса.

Примечание.

  • Если задать для этой политики значение Отключено, пользователи по умолчанию увидят предупреждение системы безопасности при открытии файла с помощью макроса. Это предупреждение сообщит пользователям о том, что макросы отключены, но позволит им запускать макросы, нажав кнопку Включить содержимое .
  • Это предупреждение является тем же предупреждением, что пользователи отображали ранее, до этого недавнего изменения, реализованного для блокировки макросов.
  • Не рекомендуется постоянно устанавливать для этой политики значение Отключено. Но в некоторых случаях это может быть целесообразно сделать временно, когда вы проверите, как новая блокировка макросов влияет на вашу организацию, и при разработке решения для безопасного использования макросов.

После реализации изменений в поведении по умолчанию уровень защиты изменяется, если для политики задано значение Не настроено.

Значок Уровень защиты Состояние политики Описание
Зеленый кружок с белой проверка меткой Защищенный Not Configured Пользователи не могут запускать макросы в файлах, полученных из Интернета.

Пользователи видят баннер "Риск безопасности" с кнопкой "Подробнее"

Параметры уведомлений макросов VBA

Если вы не используете политику "Блокировать выполнение макросов в файлах Office из Интернета", вы можете использовать политику "Параметры уведомлений о макросах VBA", чтобы управлять обработкой макросов в Office.

Эта политика предотвращает заманив пользователей в включение вредоносных макросов. По умолчанию Office настроен на блокировку файлов, содержащих макросы VBA и отображение панели доверия с предупреждением о том, что макросы присутствуют и отключены. При необходимости пользователи могут проверять и редактировать файлы, но не могут использовать отключенные функции, пока не наберут на панели доверия пункт Включить содержимое . Если пользователь выбирает Включить содержимое, файл добавляется как доверенный документ, и макросы могут выполняться.

Для каждого из пяти приложений существует отдельная политика. В следующей таблице показано, где можно найти каждую политику в консоли управления групповая политика в разделе Конфигурация пользователя\Политики\Административные шаблоны:

Приложение Расположение политики
Access Microsoft Access 2016\Параметры приложения\Безопасность\Центр управления безопасностью
Excel [1] Microsoft Excel 2016\Excel Options\Security\Trust Center
PowerPoint Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word Options\Security\Trust Center

Примечание.

  • [1] Для Excel политика называется Параметры уведомлений макросов.
  • Политика "Параметры уведомлений макросов VBA" также доступна для Project и Publisher.

То, какое состояние выбрано для политики, определяет уровень защиты, который вы предоставляете. В следующей таблице показан уровень защиты, который вы получаете с каждым состоянием.

Значок Уровень защиты Состояние политики Значение политики
Зеленый кружок с белой проверка меткой Защищено [рекомендуется] Включено Отключите все, кроме макросов с цифровой подписью (и выберите "Требовать подпись макросов доверенным издателем")
Зеленый кружок с белой проверка меткой Защищенный Включено Отключить все без уведомления.
Оранжевый кружок с белой проверка меткой Частично защищено Включено Отключить все с уведомлением.
Оранжевый кружок с белой проверка меткой Частично защищено Отключено (То же поведение, что и "Отключить все с уведомлением")
Красный круг с белым X Не защищено Включено Включить все макросы (не рекомендуется)

Важно!

Защита макросов важна. Для пользователей, которым не нужны макросы, отключите все макросы, выбрав "Отключить все без уведомления".

Наша рекомендация по базовым показателям безопасности заключается в том, что вы должны выполнить следующие действия.

  • Включите политику "Параметры уведомлений макросов VBA".
  • Для пользователей, которым нужны макросы, выберите "Отключить все, кроме макросов с цифровой подписью", а затем выберите "Требовать подпись макросов доверенным издателем". Сертификат должен быть установлен в качестве доверенного издателя на устройствах пользователей.

Если политика не настроена, пользователи могут настроить параметры защиты макросов в разделеПараметрыцентра управления безопасностьюцентра> управления безопасностью параметров >файлов>...>Параметры макроса.

В следующей таблице показаны варианты, которые пользователи могут сделать в разделе Параметры макросов , а также уровень защиты, который предоставляет каждый параметр.

Значок Уровень защиты Выбранный параметр
Зеленый кружок с белой проверка меткой Защищенный Отключить все макросы кроме макросов с цифровой подписью
Зеленый кружок с белой проверка меткой Защищенный Отключить все макросы без уведомления
Оранжевый кружок с белой проверка меткой Частично защищено Отключение всех макросов с уведомлением (по умолчанию)
Красный круг с белым X Не защищено Включить все макросы (не рекомендуется, возможен запуск опасной программы)

Примечание.

В значениях параметров политики и пользовательском интерфейсе продукта для Excel слово "all" заменяется на "VBA". Например, "Отключить макросы VBA без уведомления".

Средства, доступные для управления политиками

Существует несколько средств для настройки и развертывания параметров политики для пользователей в организации.

Облачная политика

Вы можете использовать облачную политику для настройки и развертывания параметров политики на устройствах в организации, даже если устройство не присоединено к домену. Облачная политика — это веб-средство, доступное в Центре администрирования Приложения Microsoft 365.

В разделе Политика облака вы создаете конфигурацию политики, назначаете ее группе, а затем выбираете политики для включения в конфигурацию политики. Чтобы выбрать политику для включения, можно выполнить поиск по имени политики. Облачная политика также показывает, какие политики входят в рекомендуемый майкрософт базовый план безопасности. Политики, доступные в облачной политике, являются теми же политиками конфигурации пользователей, которые доступны в консоли управления групповая политика.

Дополнительные сведения см. в статье Обзор службы облачной политики для Microsoft 365.

Центр администрирования Microsoft Intune

В центре администрирования Microsoft Intune можно использовать каталог параметров (предварительная версия) или административные шаблоны для настройки и развертывания параметров политики для пользователей для устройств, работающих Windows 10 или более поздней версии.

Чтобы приступить к работе, перейдите к разделуПрофили> конфигурации устройств>Создать профиль. В поле Платформа выберите Windows 10 и более поздних версий, а затем выберите тип профиля.

Дополнительные сведения см. в следующих статьях:

Консоль управления групповыми политиками

Если в вашей организации развернуты Windows Server и доменные службы Active Directory (AD DS), политики можно настроить с помощью групповая политика. Чтобы использовать групповая политика, скачайте последние файлы административных шаблонов (ADMX/ADML) для Office, которые включают параметры политики для Приложения Microsoft 365 для предприятий. После копирования файлов административных шаблонов в AD DS можно использовать консоль управления групповая политика для создания объектов групповая политика, которые включают параметры политики для пользователей и устройств, присоединенных к домену.