Office 文件的受信任发布者
适用于:Microsoft 365 应用版、Office LTSC 2021、Office 2019 和 Office 2016
发布者是已发布软件(如宏、ActiveX 控件或加载项)的人员或公司。 在确定发布者可靠且可信任之前,应知道发布者的标识以及发布者的凭据是否有效。
如果 Office 警告你文件中可能不安全的代码,则可以在决定是信任代码还是发布者之前查看有关代码和发布者的详细信息。 如果收到警告,指出不存在签名或签名无效,则不应启用内容或信任发布者,除非确定代码来自可靠的源。 通常,签名无效的消息意味着代码在作者签名后被篡改。
如果 Office 文件中使用的宏已签名,并且你已验证证书并信任源,则可以使该源成为受信任的发布者。 建议尽可能为用户管理受信任的发布者。
备注
如果你的组织在 Office 文件中开发宏并将其分发给内部用户或外部客户,则宏开发人员应签署其 VBA 代码作为最佳做法。 代码通常在分发宏之前使用商业证书颁发机构 (CA) 的数字证书进行签名。
若要成为受信任的发布者,需要将用于对宏进行签名的公共代码签名证书添加到设备上的受信任发布者证书存储中。
警告
- 使用同一证书有效签名的所有宏都会被识别为来自受信任的发布者并运行。
- 添加受信任的发布者可能会影响与 Office 相关的方案以外的方案,因为受信任的发布者是 Windows 范围的设置,而不仅仅是特定于 Office 的设置。
使用组策略管理受信任的发布者
可以使用组策略将用于对宏进行签名的公共代码签名证书分发到组织中的设备。 若要分发证书,可以在 组策略 管理工具中执行以下步骤:
- 转到“计算机配置\策略\Windows 设置\安全设置\公钥策略”,右键单击“ 受信任的发布者”,然后选择“ 导入”。
- 运行 证书导入向导 并将相应的证书文件导入受信任的发布者证书存储。
对于仅应运行由受信任发布者签名的 VBA 宏的用户,应将 VBA 宏通知设置 策略设置为 “已启用 ”,并在 “选项”下执行以下步骤:
- 从下拉列表中选择 “禁用除数字签名宏以外的所有宏 ”。
- 选中“ 要求由受信任的发布者对宏进行签名 ”复选框。
备注
如果为 Excel 选择这些设置,将阻止 Excel 4.0 宏。
如果要提供更多限制,可以在 “选项” 下选中“ 阻止仅安装在当前用户证书存储中的受信任发布者的证书 ”复选框。 该设置可防止用户在其设备上手动添加受信任的发布者,除非他们对自己的设备具有管理员权限。
使用命令行程序为受信任的发布者分发证书
如果无法在组织中使用或不使用 组策略,还可以通过在脚本中使用 certutil 命令或在设备上手动分发公共代码签名证书。 可以使用 -addstore 参数 将代码签名证书添加到设备上的 TrustedPublisher 存储。
让用户手动添加受信任的发布者
如果只有几个用户需要设置受信任的发布者,则可以在每个设备上手动执行此操作。 用户只需为每个发布者执行此操作一次。
用户可以 按照这些说明 将源添加为受信任的发布者。 如果文件具有 Web 标记,则用户必须先从文件中删除 Web 标记,然后才能将源添加为受信任的发布者。 有关详细信息, 请查看本文中的信息。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈