Доверенные издатели для файлов Office

  • Статья

Область применения:Приложения Microsoft 365, Office LTSC 2021, Office 2019 и Office 2016

Издатель — это пользователь или компания, которая опубликовала программное обеспечение, например макрос, элемент ActiveX или надстройку. Прежде чем решить, что издатель является надежным и может быть доверенным, следует знать удостоверение издателя и допустимость учетных данных издателя.

Если Office предупреждает вас о потенциально небезопасном коде в файле, вы можете просмотреть дополнительные сведения о коде и издателе, прежде чем принимать решение о том, следует ли доверять коду или издателю. Если вы получаете предупреждение о том, что подпись отсутствует или что подпись недопустима, не следует включать содержимое или доверять издателю, если вы не уверены, что код поступает из надежного источника. Как правило, сообщение о том, что подпись недействительна, означает, что код был изменен после того, как автор подписал его.

Если макрос, используемый в файле Office, подписан и вы проверили сертификат и доверяете источнику, вы можете сделать его доверенным издателем. По возможности рекомендуется управлять доверенными издателями для пользователей.

Примечание

Если ваша организация разрабатывает и распространяет макросы в файлах Office для внутренних пользователей или внешних клиентов, разработчикам макросов рекомендуется подписать код VBA. Код обычно подписывается цифровым сертификатом из коммерческого центра сертификации (ЦС) перед распространением макросов.

Чтобы стать доверенным издателем, необходимо добавить общедоступный сертификат подписи кода, используемый для подписи макроса, в хранилище сертификатов доверенных издателей на устройстве.

Предупреждение

  • Все макросы, которые действительно подписаны с помощью одного сертификата, распознаются как поступающие от доверенного издателя и выполняются.
  • Добавление доверенного издателя может повлиять на сценарии, не связанные с Office, так как доверенный издатель является параметром для всей Windows, а не только для Office.

Использование групповая политика для управления доверенными издателями

Вы можете использовать групповая политика для распространения на устройства в организации общедоступного сертификата подписи кода, используемого для подписи макроса. Чтобы распространить сертификат, в средстве управления групповая политика выполните следующие действия.

  1. Go Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies, щелкните правой кнопкой мыши Доверенные издатели и выберите импорт.
  2. Запустите мастер импорта сертификатов и импортируйте соответствующий файл сертификата в хранилище сертификатов доверенных издателей.

Для пользователей, которые должны запускать только макросы VBA, подписанные доверенным издателем, следует задать для политики параметров уведомлений о макросах VBA значение Включено и выполнить следующие действия в разделе Параметры:

  • В раскрывающемся списке выберите Отключить все, кроме макросов с цифровой подписью .
  • Установите флажок Требовать подпись макросов доверенным издателем .

Примечание

Если выбрать эти параметры для Excel, макросы Excel 4.0 будут заблокированы.

Если вы хотите указать дополнительные ограничения, в разделе Параметры можно установить флажок Блокировать сертификаты от доверенных издателей, которые установлены только в текущем хранилище сертификатов пользователя . Этот параметр запрещает пользователям вручную добавлять доверенного издателя на свое устройство, если у них нет разрешений администратора на своем устройстве.

Использование программы командной строки для распространения сертификата для доверенного издателя

Если вы не можете использовать или не используете групповая политика в вашей организации, вы также можете распространить общедоступный сертификат подписи кода с помощью команды certutil в скрипте или вручную на устройстве. С помощью параметра -addstore можно добавить сертификат подписи кода в хранилище TrustedPublisher на устройстве.

Добавление пользователем доверенного издателя вручную

Если у вас есть только несколько пользователей, которым нужно настроить доверенного издателя, вы можете сделать это вручную на каждом устройстве. Пользователям нужно сделать это только один раз для каждого издателя.

Пользователи могут следовать этим инструкциям, чтобы добавить источник доверенного издателя. Если файл имеет метку в Интернете, пользователи должны сначала удалить из файла Метку Интернета, прежде чем они смогут добавить источник в качестве доверенного издателя. Дополнительные сведения см. в этой статье.