在 2007 Office system 中規劃 ActiveX 控制項、增益集和巨集的安全性設定
更新日期: 2009年2月
適用於: Office Resource Kit
上次修改主題的時間: 2015-03-09
2007 Microsoft Office 系統 包含數個設定,可讓您變更 ActiveX 控制項、增益集和 Visual Basic for Applications (VBA) 巨集的行為。若要為 ActiveX 控制項、增益集和巨集進行規劃,請使用下列各節中的最佳作法和建議的指導方針:
規劃 ActiveX 控制項的安全性設定
規劃增益集的安全性設定
規劃巨集的安全性設定
規劃 ActiveX 控制項的安全性設定
2007 Office System 提供數個安全性設定,可讓您控制 ActiveX 控制項運作的方式,以及控制通知使用者有關可能不安全的 ActiveX 控制項之方法。這些設定通常是用來:
停用所有文件中的 ActiveX 控制項。
允許所有的 ActiveX 控制項初始化並且不通知即執行。
根據安全的初始化 (SFI) 和不安全的初始化 (UFI) 參數來修改初始化 ActiveX 控制項的方式。
若要規劃 ActiveX 控制項的安全性設定,請使用下列各節中的最佳作法和建議的指導方針。這些指導方針是根據企業用戶端 (EC) 環境,而非專業安全性限制功能 (SSLF) 環境。EC 環境代表具有一般安全性需求的組織。它適用於在安全性和功能之間尋求平衡的中型和大型組織。SSLF 環境代表比較不一樣的組織,其安全性是最重要的議題。它僅適用於有嚴格安全性標準的中型和大型組織,因為其安全性比應用程式功能還重要。
停用所有文件中的 ActiveX 控制項
如果安全性架構非常嚴格,而且您想要協助將 ActiveX 控制項的潛在風險降到最低,可以停用 ActiveX 控制項。停用 ActiveX 控制項可防止在開啟檔案時,初始化 (也就是,載入) 檔案中的所有 ActiveX 控制項。在某些情況下,停用的 ActiveX 控制項可能在檔案中顯示成紅色的 x 或是某些其他符號,但是如果使用者按一下該符號,將會停用該控制項且不會發生任何動作。另外當您停用 ActiveX 控制項時,不會通知使用者已停用 ActiveX 控制項。
若要停用 ActiveX 控制項,請依照下表的建議來設定任何其中一個設定。
| 設定名稱 | 建議的設定 | 描述 |
|---|---|---|
停用所有 ActiveX |
未設定 |
根據預設,會提示使用者啟用 ActiveX 控制項。當您啟用這個設定時,會停用所有的 ActiveX 控制項,而且當使用者開啟一個包含 ActiveX 控制項的檔案時不會初始化。另外,當您啟用此設定時,不會通知使用者已停用 ActiveX 控制項。在 Office 自訂工具 (OCT) 中以及透過 2007 Office System 系統管理範本 (.adm 檔案) 可以完成此設定。這個設定只適用於 2007 Office System 中的應用程式。這個設定不會停用舊版的 Office 所開啟的檔案中之 ActiveX 控制項。 |
不安全的 ActiveX 初始化 |
選取這個設定:[不提示並停用所有控制項] |
根據預設,[不安全的 ActiveX 初始化] 設定是 [提示使用者使用持續性資料]。當您選取 [不提示並停用所有控制項] 時,而且在使用者開啟包含 ActiveX 控制項的檔案時,會停用並且不會初始化所有的 ActiveX 控制項。此外,不會通知使用者已停用 ActiveX 控制項。這個設定只存在於 OCT 中。這個設定只適用於 2007 Office System.中的應用程式。這個設定不會停用舊版的 Office 所開啟的檔案中之 ActiveX 控制項。 |
.gif "Note") 附註: |
|---|
| 無法停用儲存在信任位置檔案中的 ActiveX 控制項。從某個信任位置開啟檔案時,即使您停用 ActiveX 控制項,仍然會初始化並允許執行檔案中的所有主動式內容,而不予以通知。 |
如果您停用 ActiveX 控制項,請務必確定:
通知使用者已停用 ActiveX 控制項,而且在開啟包含停用的 ActiveX 控制項的檔案時,將不會出現任何通知。
測試停用 ActiveX 控制項對貴組織可能會造成的影響。因為許多 Office 解決方案使用 ActiveX 控制項來建置,所以停用 ActiveX 控制項可能會造成未預期的行為並阻礙應用程式正常運作。
將設定記錄於安全性規劃文件和安全性作業文件中。
允許所有的 ActiveX 控制項不通知即初始化並執行
您可以設定 2007 Office System,使得在不通知的情況下即初始化和執行所有的 ActiveX 控制項。這對於某些測試和開發環境以及有補強安全性機制 (例如防火牆、病毒偵測程式以及侵入偵測程式) 以協助確保檔案不包含惡意內容的隔離環境特別有用。
.gif "Important") 重要事項: |
|---|
| 我們不建議您在實際執行環境中,於不警告的情況下即允許初始化和執行 ActiveX 控制項。不警告即允許 ActiveX 控制項初始化和執行,可能會大幅增加被攻擊的風險,並且可能會降低組織的安全性。 |
若要允許在不通知的情況下初始化和執行 ActiveX 控制項,請依照下表的建議來設定任一項設定。
| 設定名稱 | 建議的設定 | 描述 |
|---|---|---|
不安全的 ActiveX 初始化 |
選取這個設定:[不提示] |
根據預設,[不安全的 ActiveX 初始化] 設定是 [提示使用者使用持續性資料]。當您選取 [不提示] 時,若使用者開啟包含 ActiveX 控制項的檔案,會以最少的限制 (也就是,持續值) 啟用和初始化所有的 ActiveX 控制項。另外,也不會通知使用者已啟用 ActiveX 控制項,而且在安全模式不會啟用是 SFI 的 ActiveX 控制項。此設定只存在於 OCT 中。而且只適用於 2007 Office System 及舊版的 Office。 |
ActiveX 控制項初始化 |
選取這個設定:2 |
根據預設,這項設定有 6 的值。當您將這個項目變更為 2 時,SFI 和 UFI 控制項會以最少的限制 (也就是,持續值) 初始化。如果沒有可用的持續值,會使用 InitNew 方法以預設值初始化控制項。在安全模式會初始化 SFI 控制項,而且不會通知使用者啟用 ActiveX 控制項。這個設定只能使用 2007 Office System 系統管理範本 (.adm files) 來設定。此設定適用於 2007 Office System 及舊版的 Office。 |
當您變更設定時,會以最少的限制 (也就是,持續值) 初始化 SFI 和 UFI 控制項。如果沒有可用的持續值,會使用 InitNew 方法以預設值初始化控制項。在安全模式會初始化 SFI 控制項,而且不會通知使用者已啟用 ActiveX 控制項。這個設定只能使用 2007 Office System 系統管理範本 (.adm files) 來設定。此設定適用於 2007 Office System 及舊版的 Office。
如需所有設定的清單,請參閱 2007 Microsoft Office 安全性指南 (威脅和因應對策:2007 Office System 中的安全性設定) (https://technet.microsoft.com/zh-tw/library/cc500475.aspx) 。
如果您允許在不通知的情況下初始化並執行 ActiveX 控制項,請務必:
通知使用者已啟用 ActiveX 控制項,而且開啟包含 ActiveX 控制項的檔案時,將不會出現任何通知。
將設定記錄於安全性規劃文件和安全性作業文件中。
修改根據 SFI 和 UFI 參數初始化 ActiveX 控制項的方式
2007 Office System 提供數個設定,可讓您控制根據 SFI、UFI 和安全模式參數來初始化 ActiveX 控制項的方式。SFI、UFI 和安全模式是在建立 ActiveX 控制項時,開發人員可以設定的參數。標示為 SFI 的 ActiveX 控制項使用安全的資料來源進行初始化。安全的資料來源是一個受信任和已知的來源,而且不會造成安全性違反。未標記 SFI 的控制項會視為 UFI。
安全模式是另一種安全性機制,開發人員可以用來協助您確保 ActiveX 控制項的安全性。當開發人員建立可實作安全模式的 ActiveX 控制項時,可以使用兩種方式來初始化控制項:以安全的模式和以不安全的模式。當在安全模式中初始化 ActiveX 控制項時,會在控制項上強制某些限制功能的限制。反過來說,在不安全模式中初始化 ActiveX 控制項時,對其功能並沒有任何限制。例如,只有在安全模式中初始化的讀取和寫入檔案之 ActiveX 控制項,可以讀取檔案,而且在不安全模式中初始化該控制項時,才能夠讀取及寫入檔案。只有是 SFI 的 ActiveX 控制項,可以在安全模式中初始化。UFI 類型的 ActiveX 控制項永遠都會在不安全模式中初始化。
根據預設,在 2007 Office System 中會依照下列方式初始化 ActiveX 控制項:
如果檔案包含 VBA 專案,會提示使用者啟用或停用檔案中的 ActiveX 控制項。如果使用者選擇啟用 ActiveX 控制項,會以最少的限制 (也就是,使用持續值) 初始化所有的 SFI 和 UFI 控制項。如果沒有可用的持續值,會使用 InitNew 方法以預設值初始化控制項。SFI 控制項是在安全模式中初始化。
如果檔案不包含 VBA 專案,且檔案只包含 SFI 控制項,則會以最少的限制 (也就是,使用持續值) 來初始化 SFI 控制項。如果沒有可用的持續值,會使用 InitNew 方法以預設值初始化控制項。SFI 控制項是在安全模式中初始化。
如果檔案不包含 VBA 專案,而且檔案同時包含 SFI 與 UFI 控制項,會提示使用者啟用或停用檔案中的 ActiveX 控制項。如果使用者選擇啟用 ActiveX 控制項,會以最少的限制 (也就是,使用持續值) 初始化 SFI 控制項。而且會使用 InitNew 方法以預設值來初始化 UFI 控制項。SFI 控制項是在安全模式中初始化。
如果這個預設行為不適合貴組織,但是您不想要停用 ActiveX 控制項,則當檔案包含 VBA 專案時,可以強制以預設值而非最少的限制來初始化 UFI 控制項,以強化初始化 ActiveX 控制項的方法。若要執行這項操作,請按照下表所建議,設定下列其中一項設定。
| 設定名稱 | 建議的設定 | VBA 專案存在時的初始化行為 | VBA 專案不存在時的初始化行為 |
|---|---|---|---|
不安全的 ActiveX 初始化 |
選取這個設定:[提示使用者使用控制項預設值] |
會提示使用者啟用或停用控制項。如果使用者啟用控制項,會以最少的限制 (也就是,使用持續值) 來初始化 SFI 控制項,而且會使用 InitNew 方法以預設值來初始化 UFI 控制項。SFI 控制項會在安全模式中初始化。只有 OCT 中才有此設定。此設定適用於 2007 Office System 和較舊版本的 Office。 |
如果檔案只包含 SFI 控制項,則會以最少的限制 (也就是,使用持續值) 來初始化 SFI 控制項。如果沒有可用的持續值,會使用 InitNew 方法以預設值來初始化 SFI 控制項。SFI 控制項是在安全模式中初始化。不會提示使用者啟用控制項 如果檔案包含 UFI 控制項,會提示使用者啟用或停用控制項。如果使用者啟用控制項,會以最少的限制初始化 SFI 控制項,並使用 InitNew 方法以預設值初始化 UFI 控制項。SFI 控制項是在安全模式中初始化。 |
ActiveX 控制項初始化 |
選取這個設定:4 |
與 [不安全的 ActiveX 初始化] 設定之行為相同。 |
與 [不安全的 ActiveX 初始化] 設定之行為相同。 |
您可以設定 ActiveX 控制項設定以配合更多的安全性案例。如需在 2007 Office System 中的 ActiveX 控制項設定詳細資訊 (包括所有的設定說明以及 OCT、群組原則和「信任中心」設定的比較),請參閱<Office 系統中的安全性原則和設定>。如需設定 ActiveX 控制項設定的詳細資訊,請參閱<在 2007 Office system 中設定 ActiveX 控制項、增益集和巨集的安全性設定>。
規劃增益集的安全性設定
2007 Office System 提供一些設定,可讓您變更增益集的運作方式。增益集又稱為應用程式延伸模組,是用以擴充應用程式功能的補充程式或元件。增益集必須加以安裝和登錄,而且可能包含:
元件物件模型 (COM) 增益集。
智慧標籤。
自動化增益集。
RealTimeData (RTD) 伺服器。
應用程式增益集 (例如,.wll, .xll 和.xlam 檔案)。
XML 擴充套件。
XML 樣式表。
根據預設,安裝且已註冊的增益集可以在不通知的情況下執行。不過,您可以使用增益集的安全性設定來變更此行為。您可以:
針對每個應用程式停用增益集。
需要受信任的發行者簽署增益集。
停用未簽署增益集的通知。
停用每個應用程式的增益集
如果您的安全性架構非常嚴格,而且希望將增益集的潛在風險降到最低,可以停用增益集。當您停用增益集時,可以防止增益集執行,而且不會通知使用者已停用增益集。
您無法以全域方式停用增益集。只能針對每個應用程式來為下列應用程式停用增益集:
Microsoft Office Access 2007
Microsoft Office Excel 2007
Microsoft Office PowerPoint 2007
Microsoft Office Publisher 2007
Microsoft Office Visio 2007
Microsoft Office Word 2007
若要停用增益集,請設定下表中所建議的任一項設定。
| 設定名稱 | 建議的設定 | 描述 |
|---|---|---|
停用所有的應用程式增益集 |
未設定 |
根據預設,會啟用增益集。當您選取這個選項時,會停用增益集,而且不會通知使用者已停用增益集。此設定可以在 OCT 中以及使用 2007 Office System 系統管理範本 (.adm 檔案) 來設定。您必須針對每個應用程式完成此設定。 |
應用程式增益集警告選項 |
選取這個設定:[停用所有應用程式延伸模組] |
根據預設,[應用程式增益集警告選項] 設定是 [啟用所有已安裝的應用程式增益集]。當您選取 [停用所有應用程式延伸模組],會停用所有的增益集,而且不會通知使用者已停用增益集。只有 OCT 中才有此設定。您必須針對每個應用程式來完成此設定。 |
如果您停用增益集,請務必確定:
通知使用者已停用增益集。
將設定記錄於安全性規劃文件和安全性作業文件中。
需要受信任的發行者簽署增益集
如果您不要停用增益集,但是仍要增加增益集的安全性,可以要求受信任的發行者簽署增益集。當您這樣做時,會發生下列行為:
「信任的增益集」不經通知便會執行。信任的增益集是儲存在信任位置中的增益集,或是由 [受信任的發行者] 清單中的發行者所簽署的增益集。
會停用未簽署的增益集,但是不會提示使用者啟用或停用增益集。
會停用不是在 [受信任的發行者] 清單上之發行者所簽署的增益集,但是會提示使用者啟用或停用增益集。
您無法全域設定需要受信任的發行者簽署增益集之設定。您必須針對每個應用程式來完成此設定,而且只能為下列應用程式進行設定:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
若需要受信任的發行者簽署增益集,請設定下表中所建議的其中一個設定。
| 設定名稱 | 建議的設定 | 描述 |
|---|---|---|
應用程式增益集必須經過受信任的發行者簽署 |
未設定 |
根據預設,會啟用增益集。當您選取這個選項時,由 [受信任的發行者] 清單上的發行者所簽署的增益集,將不會通知便執行。將會停用不在 [受信任的發行者] 清單上的發行者所簽署的增益集。此設定可以在 OCT 中以及使用 2007 Office System 系統管理範本 (.adm 檔案) 來設定。您必須針對每個應用程式來完成此設定。 |
應用程式增益集警告選項 |
選取這個設定:[應用程式延伸模組必須經過受信任的發行者簽署] |
根據預設,[應用程式增益集警告選項] 設定是 [啟用所有已安裝的應用程式增益集]。當您選取 [應用程式延伸模組必須經過受信任的發行者簽署] 時,由 [受信任的發行者] 清單上的發行者所簽署的增益集,將不會通知便執行。將會停用未簽署的增益集以及不在 [受信任的發行者] 清單上的發行者所簽署的增益集,但是會提示使用者啟用或停用增益集。這個設定只有 OCT 中才有。您必須針對每個應用程式來完成此設定。 |
請務必將設定記錄於安全性規劃文件和安全性作業文件中。
停用未簽署增益集的通知
即使您需要由受信任的發行者簽署增益集,使用者仍然可以透過 [訊息列] 來啟用未簽署的增益集。如果您不希望使用者啟用未簽署的增益集,可以停用未簽署增益集的通知。您只能針對每個應用程式來完成此作業,而且只能針對下列應用程式進行設定:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
若要執行這項操作,請按照下表所建議,設定其中一項設定。
| 設定名稱 | 建議的設定 | 描述 |
|---|---|---|
停用未簽署的應用程式增益集的信任列通知 |
未設定 |
根據預設,會啟用增益集。當您選取此選項時,會停用不受信任之已簽署的增益集,但是會提示使用者啟用或停用增益集。也會停用未簽署的增益集,但是不會通知使用者,而且不會提示他們啟用或停用未簽署的增益集。這個設定必須與 [應用程式增益集必須經過受信任的發行者簽署] 設定搭配使用者。此設定可以在 OCT 中以及使用 2007 Office System 系統管理範本 (.adm 檔案) 來設定。您必須針對每個應用程式來完成此設定。 |
應用程式增益集警告選項 |
延伸模組必須經過簽署,且會自動停用未簽署的延伸模組 |
根據預設,[應用程式增益集警告選項] 設定是 [啟用所有已安裝的應用程式增益集]。當您選取 [延伸模組必須經過簽署,且會自動停用未簽署的延伸模組],會停用不受信任之已簽署的增益集,但是會提示使用者啟用或停用增益集。也會停用未簽署的增益集,但是不會通知使用者,而且不會提示他們啟用或停用未簽署的增益集。只有 OCT 中才有此設定。您必須針對每個應用程式來完成此設定。 |
如果您停用未簽署增益集的通知,請務必確定:
通知使用者已自動停用未簽署的增益集。
將設定記錄於安全性規劃文件和安全性作業文件中。
如需 2007 Office System 增益集設定的詳細資訊 (包括設定描述以及 OCT、[群組原則] 及 [信任中心] 設定的比較),請參閱<Office 系統中的安全性原則和設定>。如需設定增益集設定的詳細資訊,請參閱<在 2007 Office system 中設定 ActiveX 控制項、增益集和巨集的安全性設定>
規劃巨集的安全性設定
2007 Office System 提供數個安全性設定,讓您控制巨集和 VBA 的行為方式。您可以使用這些設定來:
變更巨集的預設安全性設定。這包括停用巨集、啟用所有巨集以及變更通知使用者有關巨集的方式。
變更 VBA 的行為方式。這包括停用 VBA 和允許自動化用戶端能夠以程式設計方式存取 VBA 專案。
變更透過「自動化」以程式設計方式啟動的應用程式中巨集的行為方式。
避免掃描加密的巨集是否有病毒。
若要規劃巨集的安全性設定,請使用下列各節中的最佳作法和建議的指導方針。
變更巨集的預設安全性設定
2007 Office System 提供數個設定,可讓您變更巨集的預設行為。根據預設,允許不通知即執行信任的巨集。這包括儲存在信任位置中文件內的巨集,以及符合下列準則的巨集:
巨集已經由開發人員利用數位簽章完成簽署。
數位簽章有效。
這是現用的數位簽章 (尚未過期)。
與此數位簽章相關聯的憑證是由有信譽的憑證授權單位 (CA) 所發行。
簽署該巨集的開發人員為受信任的發行者。
不受信任的巨集將不允許執行,使用者必須按一下 [訊息列] 並選擇啟用巨集才能執行 (有些應用程式沒有 [訊息列],在這些情況下,通知會出現在對話方塊中)。
| 附註: |
|---|
| 巨集的預設安全性設定在 Microsoft Office Outlook 2007 中不同。如需詳細資訊,請參閱 Office Outlook 2007 安全性文件。 |
如果巨集的預設安全性設定不符合組織的需求,您可以執行下列其中一項動作:
不事先通知,停用不受信任的巨集。
停用未經簽署巨集的通知,但是允許未簽署巨集的通知。
不事先通知,停用不受信任的巨集
當您不事先通知即停用不受信任的巨集,將不會載入不受信任的巨集,且不會通知使用者已停用不受信任的巨集。允許不通知即執行信任的巨集。如果貴組織具有受限的安全性模型,而您不想讓使用者執行不受信任的巨集,這項設定會很有用。
若要不事先通知即停用不受信任的巨集,請設定下表中所述的其中一項設定。必須針對每個應用程式來完成這些設定,而且只能針對下列應用程式進行設定:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
| 設定名稱 | 建議的設定 | 描述 |
|---|---|---|
VBA 巨集警告設定 |
選取此選項:啟用 選取這個設定:[所有巨集都不會顯示警告,但停用所有巨集] |
根據預設,會通知使用者檔案中有不受信任的巨集存在,而且使用者可以啟用或停用不受信任的巨集。當您選取 [停用所有 VBA 巨集] 和 [所有巨集都不會顯示警告,但停用所有巨集] 時,會停用不受信任的巨集,不會通知使用者停用不受信任的巨集,而且使用者無法啟用不受信任的巨集。允許不通知即執行信任的巨集。這個設定只能使用 2007 Office System 系統管理範本 (.adm files) 來設定。 |
停用未簽署的巨集通知
當您停用未簽署的巨集通知時,會自動停用未簽署的巨集,但是會通知使用者有關簽署的巨集,而且可以啟用或停用未簽署的巨集。允許不通知即執行信任的巨集。如果您的環境需要防護未簽署的巨集,這項設定將非常有用。
若要停用未簽署巨集的通知,請設定下表中所述的其中一項設定。必須針對每個應用程式來完成這些設定,而且只能針對下列應用程式進行設定:
Office Access 2007
Office Excel 2007
Office PowerPoint 2007
Office Publisher 2007
Office Visio 2007
Office Word 2007
| 設定名稱 | 建議的設定 | 描述 |
|---|---|---|
VBA 巨集警告設定 |
選取此選項:啟用 選取這個設定:只有數位簽章的巨集會顯示信任列警告 (未簽署的巨集將停用) |
根據預設,會通知使用者檔案中有不受信任的巨集,而且使用者可以啟用或停用不受信任的巨集。當您選取 [只有數位簽章的巨集會顯示信任列警告 (未簽署的巨集將停用)],會發生下列狀況:
這個設定只能使用 2007 Office System 系統管理範本 (.adm files) 來設定。 當您選取 [停用未簽署之 VBA 巨集的信任列警告 (將停用未簽署的程式碼)],會發生下列狀況:
這項設定只能在 OCT 中設定。 |
控制 VBA 的行為方式
2007 Office System 提供兩個設定,可讓您控制 VBA 的行為方式。根據預設,若已安裝 VBA 則會啟用它,而自動化用戶端無法以程式設計方式存取 VBA 專案。。您可以用下列方式變更這個行為:
您可以提供自動化用戶端以程式設計方式存取 VBA 專案。
您可以停用 VBA。
除了在 2007 Office System 中的這些安全性設定之外,Office Visio 2007 提供數項設定,可讓您控制在 Office Visio 2007 中 VBA 的行為方式。如需詳細資訊,請參閱<VBA 巨集設定>。
提供自動化用戶端以程式設計方式存取 VBA 專案
當您提供自動化用戶端以程式設計方式存取 VBA 專案時,自動化用戶端具有使用 VBA 物件模型的能力。
若要提供自動化用戶端以程式設計方式存取 VBA 專案,請設定下表所述的設定。此設定必須針對每個應用程式來進行設定,而且可以針對下列應用程式來設定:
Office Excel 2007
Office PowerPoint 2007
Office Word 2007
| 設定名稱 | 建議的設定 | 描述 |
|---|---|---|
對 Visual Basic 專案的信任存取 |
選取此選項:停用 |
根據預設,自動化用戶端無法以程式設計方式存取 VBA 專案。當您選取此選項時,自動化用戶端可以用程式設計方式存取 VBA 物件模型。這項設定可以在 OCT 中以及使用 2007 Office System 系統管理範本(.adm 檔案) 來設定。 |
| 重要事項: |
|---|
| 如果您提供自動化用戶端以程式設計方式存取 VBA 專案,可能會增加遭到建立自我複製程式碼的未經授權程式攻擊之風險。 |
停用 VBA
當您停用 VBA 時,巨集及其他程式設計內容將不會執行。如果您有限制的安全性模型,而且不想讓使用者執行巨集,或是如果組織在安全性攻擊的風險之下,而且希望暫時防止巨集執行。
若要停用 VBA,請設定下表中所述的設定。這是適用於下列應用程式的全域設定:
Office Excel 2007
Office Outlook 2007
Office PowerPoint 2007
Office Publisher 2007
Microsoft Office SharePoint Designer 2007
Office Word 2007
| 設定名稱 | 建議的設定 | 描述 |
|---|---|---|
停用 Office 應用程式的 VBA |
未設定 |
根據預設,若已安裝 VBA,會將之啟用。當您選取此選項時,VBA 將無法運作,而且使用者無法執行巨集及其他程式設計內容。這項設定可以在 OCT 中以及使用 2007 Office System 系統管理範本(.adm 檔案) 來設定。 |
停用 VBA 可防止巨集及其他內容執行。如需停用 VBA 會造成的結果之詳細資訊,請參閱 Microsoft 知識庫中的下列文章:停用 Office 中的 VBA 考量 (https://go.microsoft.com/fwlink/?linkid=85867\&clcid=0x404) 。
如果您停用 VBA,請務必確定:
通知使用者已停用 VBA。
將設定記錄於安全性規劃文件和安全性作業文件中。
除了在 2007 Office System 中的這些安全性設定之外,Office Visio 2007 提供數項設定,可讓您變更在 Office Visio 2007 中 VBA 的行為方式。如需詳細資訊,請參閱<Office 系統中的安全性原則和設定>。
變更透過自動化以程式設計方式啟動的應用程式中巨集的行為方式
2007 Office System 提供單一設定,可讓您控制在透過「自動化」以程式設計方式所啟動的應用程式中執行巨集的行為方式。「自動化」是一種程式設計工具,可讓開發人員從另一個應用程式存取某個應用程式的功能。例如,開發人員可以建立使用 Office Outlook 2007 電子郵件功能和排程功能的專案管理應用程式。根據預設值,當應用程式使用「自動化」來啟動在 2007 Office System 中的應用程式時,會啟用並允許執行巨集,而不會執行任何安全性檢查。您可以使用兩種方式來變更這個行為:
您可以停用在以程式設計方式啟動的應用程式中之巨集。當您這樣做時,不會通知使用者已停用巨集,而且不會提示使用者啟用或停用巨集。如果貴組織具有限制的安全性模型,而且不想讓使用者執行巨集時,這項設定將會很有用。
您可以根據以程式設計方式啟動的應用程式中所設定的安全性設定來執行巨集。當您這樣做時,巨集行為是由以程式設計方式啟動的應用程式中所設定的安全性設定所指定。例如,如果您需要數位簽署 Office Excel 2007 中的所有巨集,而且應用程式使用「自動化」來啟動 Office Excel 2007,巨集將不會執行,除非它們已經過數位簽署。如果您希望組織的巨集安全性設定延伸至透過「自動化」所啟動的應用程式,這項設定將會很有用。
若要變更在透過「自動化」以程式設計方式啟動的應用程式中預設的巨集行為,請使用下表中所建議的其中一項設定。您可以在 OCT 中以及使用 2007 Office System 系統管理範本 (.adm 檔案) 來設定。這些設定都是全域的並且可套用至下列應用程式:
Office Excel 2007
Office PowerPoint 2007
Office Word 2007
| 設定名稱 | 建議的設定 | 描述 |
|---|---|---|
自動化安全性 |
選取此選項:啟用 選取這個設定:使用應用程式巨集安全性層級 |
根據預設,[自動安全性] 設定是 [已啟用巨集]。當您選取 [使用應用程式巨集安全性層級] 時,巨集會根據透過「自動化」以程式設計方式所啟動的應用程式之安全性設定來執行。 當您選取 [根據預設停用巨集] 時,會停用在透過「自動化」所啟動的 2007 Office System 應用程式中的巨集。不會通知使用者已停用巨集,而且不會提示使用者啟用巨集。 |
如果您變更「自動化」安全性設定,請務必確定:
徹底測試所有的應用程式,以確定您的變更並不會造成無法預期的行為或限制應用程式中的功能。某些應用程式會使用「自動化」自動啟動 2007 Office System 中的應用程式。
將組態設定記錄在安全性規劃文件及安全性作業文件中。
除了在 2007 Office System 中的這些安全性設定之外,Office Publisher 2007 提供數項設定,可讓您設定在 Office Publisher 2007 中巨集的「自動化」安全性。如需詳細資訊,請參閱<Office 系統中的安全性原則和設定>。
避免掃描加密的巨集是否有病毒
2007 Office System 提供數個設定,可讓您避免掃描加密的巨集是否有病毒。如果您的病毒掃描程式不支援 Microsoft Antivirus 應用程式發展介面 (API),這將會很有用。
根據預設,當您加密並將檔案以 Office Open XML 格式儲存時會加密巨集。如果您的病毒掃描程式不支援 Microsoft Antivirus API,病毒掃描程式無法掃描加密的巨集。因此,將會停用加密的巨集。若要避免防毒軟體程式掃描加密的巨集,請依下表所建議進行設定。
| 設定名稱 | 建議的設定 | 描述 |
|---|---|---|
決定是否強制掃描 Microsoft Excel Open XML 活頁簿中加密的巨集 |
選取此選項:停用 |
根據預設,當您開啟包含巨集的加密活頁簿時,病毒掃描程式會掃描加密的巨集。當您啟用這個選項時,病毒掃描程式不會掃描加密的巨集,這表示加密的巨集將會根據您已設定的巨集安全性設定來執行。這項設定只適用於 Office Excel 2007。您可以在 OCT 中以及使用 2007 Office System 系統管理範本 (.adm 檔案) 來完成設定。 |
決定是否強制掃描 Microsoft PowerPoint Open XML 簡報中加密的巨集 |
選取此選項:啟用 |
根據預設,當您開啟包含巨集的加密簡報時,病毒掃描程式會掃描加密的巨集。當您選取這個選項時,病毒掃描程式不會掃描加密的巨集,這表示加密的巨集將會根據您已設定的巨集安全性設定來執行。這項設定只適用於 Office PowerPoint 2007。您可以在 OCT 中以及使用 2007 Office System 系統管理範本 (.adm 檔案) 來完成設定。 |
決定是否強制掃描 Microsoft Word Open XML 文件中加密的巨集 |
選取此選項:啟用 |
根據預設,當您開啟包含巨集的加密文件時,病毒掃描程式會掃描加密的巨集。當您選取這個選項時,病毒掃描程式不會掃描加密的巨集,這表示加密的巨集將會根據您已設定的巨集安全性設定來執行。這項設定只適用於 Office Word 2007。您可以在 OCT 中以及使用 2007 Office System 系統管理範本 (.adm 檔案) 來完成設定。 |
如果您變更掃描加密的巨集之預設設定,請務必確定:
將設定記錄在安全性規劃文件中。
將設定記錄在安全性作業文件中。