Office 默认阻止来自 Internet 的宏

VBA 宏是恶意行为者获取访问权限以部署恶意软件和勒索软件的常用方法。 因此，为了帮助提高 Office 的安全性，我们正在更改 Office 应用程序的默认行为，以阻止来自 Internet 的文件中的宏。

此更改会影响用户与来自 Internet 的文件（如包含宏的电子邮件附件）的交互方式。 现在，当用户打开此类文件时，他们会看到以下消息：

“了解更多”按钮将定向到面向最终用户和信息工作者的文章，其中介绍了使用宏的不良行为者的安全风险、防止网络钓鱼和恶意软件的安全做法，以及有关如何启用这些宏的说明（如果需要）。

在某些情况下，如果文件来自 Intranet 中的某个位置且未被标识为受信任，则用户也会看到该消息。 例如，如果用户使用共享 IP 地址访问网络共享上的文件。 有关详细信息，请参阅集中位于网络共享或受信任网站中的文件。

重要

甚至在我们引入此更改之前，组织也可以使用阻止宏在来自 Internet 的 Office 文件策略中运行策略来防止用户无意中打开包含宏的 Internet 文件。 建议启用此策略作为 Microsoft 365 企业应用版安全基线的一部分。 如果确实配置了该策略，则组织不会受到此默认更改的影响。

有关详细信息，请参阅使用策略管理 Office 处理宏的方式。

通过与组织中使用 Office 文件中的宏的业务部门合作，为此更改做好准备。 这些文件通常从 Intranet 网络共享或 Intranet 网站等位置打开。 你希望识别这些宏，并确定要采取哪些步骤来继续使用这些宏。 与这些位置的 Office 文件中的宏的独立软件供应商 (ISV) 合作。 例如，若要查看他们是否可以对其代码进行数字签名，你可以将其视为受信任的发布者。

此外，请查看以下信息：

如何允许 VBA 宏在信任的文件中运行取决于这些文件所在的位置或文件类型。

下表列出了各种常见场景以及解除阻止 VBA 宏并允许它们运行所采取的可能方法。 遇到给定场景，无需执行所有可能的方法。 我们在此列出了多种方法，请选择最适合组织的方法。

有关详细信息，请参阅从文件中删除 Web 标记。

如果没有“取消阻止”复选框，并且你希望信任该网络位置中的所有文件：• 将该位置指定为受信任的站点 • 将该位置添加到“本地 Intranet”区域

有关详细信息，请参阅集中位于网络共享或受信任网站中的文件。

有关详细信息，请参阅 OneDrive 或 SharePoint 上的文件。

如果模板文件存储在网络位置：• 使用数字签名并信任发布者• 信任模板文件（请参阅“集中位于网络共享或受信任网站中的文件”下提供的方法）

有关详细信息，请参阅 Word、PowerPoint 和 Excel 的启用宏的模板文件。

有关详细信息，请参阅 PowerPoint 和 Excel 的启用宏的加载项文件。

有关详细信息，请参阅 PowerPoint 和 Excel 的启用宏的加载项文件。

有关详细信息，请参阅由受信任的发布者签名的宏。

有关详细信息，请参阅可信位置。

此更改仅影响运行 Windows 的设备上的 Office，并且仅影响以下应用程序：Access、Excel、PowerPoint、Visio 和 Word。

下表显示了此更改在各更新通道中可用的时间。

此更改不会影响 Mac 上的 Office、Android 或 iOS 设备上的 Office 或 Office 网页版。

以下流程图显示 Office 如何确定是否在 Internet 文件中运行宏。

以下步骤解释流程图中的信息，Excel 加载项文件除外。 有关这些文件的详细信息，请参阅 PowerPoint 和 Excel 的启用宏的加载项文件。 此外，如果文件所在的网络共享不在本地 Intranet 区域或者不是受信任的站点，则会在该文件中阻止宏。

注意

如果文件来自可信位置，则打开文件并启用宏。 如果文件不是来自可信位置，则评估将继续进行。

如果宏具有数字签名，并且你的设备具有相应的受信任发布者证书，则打开文件并启用宏。 如果没有，则继续进行评估。

检查策略以查看是允许还是阻止宏。 如果策略设置为“未配置”，则评估将继续到步骤 6。

(a) 如果策略阻止宏，则阻止宏。 (b) 如果策略启用宏，则启用宏。

如果用户在默认行为发生此更改之前打开了该文件，并从信任栏中选择了“启用内容”，则会启用宏，因为该文件被视为受信任。

注意

注意

以前，在默认行为发生此更改之前，应用会检查 VBA 宏通知设置策略是否已启用以及其配置方式。

如果策略设置为“已禁用”或“未配置”，则应用将检查“文件”>“选项”>“信任中心”>“信任中心设置...”>“宏设置”下的设置。 默认设置为“禁用所有宏，并发出通知”，因此用户可以在信任栏中启用内容。

若要取消阻止文件（例如来自 Internet 的文件或电子邮件附件）中的宏，请删除本地设备上的 Web 标记。 若要删除，请右键单击该文件，选择“属性”，然后在“常规”选项卡上选中“取消阻止”复选框。

注意

还可以在 PowerShell 中使用 Unblock-File cmdlet 从文件中删除 ZoneId 值。 删除 ZoneId 值允许 VBA 宏默认运行。 使用该 cmdlet 与在文件的“属性”对话框的“常规”选项卡上选择“取消阻止”复选框等效。 有关 ZoneId 值的详细信息，请参阅 Web 标记和区域。

如果让用户访问受信任的网站或内部文件服务器中的文件，则可以执行以下任一步骤，以便来自这些位置的宏不会被阻止。

注意

例如，如果用户使用其 IP 地址访问网络共享，则会阻止这些文件中的宏，除非文件共享位于“受信任的站点”或“本地 Intranet”区域。

提示

例如，可以通过将 FQDN 或 IP 地址添加到受信任的站点列表，将文件服务器或网络共享添加为受信任的站点。

如果要添加以 http:// 或网络共享开头的 URL，请取消勾选“对该区域中的所有站点要求服务器验证(https:)”复选框。

重要

由于这些位置的文件不会阻止宏，因此应谨慎管理这些位置。 请确保控制可以将文件保存到这些位置的人员。

可以使用组策略和“站点到区域分配列表”策略将位置添加为受信任的站点或添加到组织中 Windows 设备的“本地 Intranet”区域。 此策略位于组策略管理控制台的“Windows 组件\Internet Explorer\Internet 控制面板\安全页面”。 它在“计算机配置\策略\管理模板”和“用户配置\策略\管理模板”下可用。

如果用户使用 Web 浏览器下载 OneDrive 或 SharePoint 上的文件，则 Windows Internet 安全区域（“控制面板”>“Internet 选项”>“安全性”）的配置将确定浏览器是否设置 Web 标记。 例如，如果文件来自 Internet 区域，则 Microsoft Edge 会在该文件上设置 Web 标记。

如果用户在从 OneDrive 网站或 SharePoint 站点（包括 Teams 频道使用的站点）打开的文件中选择“在桌面应用中打开”，则该文件将不具有 Web 标记。

如果用户正在运行 OneDrive 同步客户端，并且该同步客户端下载了文件，则该文件将不具有 Web 标记。

位于 Windows 已知文件夹（桌面、文档、图片、屏幕截图和本机照片）并同步到 OneDrive 的文件没有 Web 标记。

如果你有一组用户（例如财务部门），他们需要在不阻止宏的情况下使用 OneDrive 或 SharePoint 中的文件，下面是一些可能的选项：

让他们使用“在桌面应用中打开”选项打开文件

让他们将文件下载到 可信位置。

将 OneDrive 或 SharePoint 域的 Windows Internet 安全区域分配设置为受信任的站点。 管理员可以使用“站点到区域分配列表”策略，并将该策略配置为将 https://{your-domain-name}.sharepoint.com（对于 SharePoint）或 https://{your-domain-name}-my.sharepoint.com（对于 OneDrive）放置到“受信任的站点”区域。

此策略位于组策略管理控制台的“Windows 组件\Internet Explorer\Internet 控制面板\安全页面”。 它在“计算机配置\策略\管理模板”和“用户配置\策略\管理模板”下可用。

将这些位置添加到受信任的站点不会更改 SharePoint 权限和 OneDrive 共享。 维护访问控制非常重要。 有权向 SharePoint 添加文件的任何人都可以添加具有活动内容（例如宏）的文件。 从“受信任的站点”区域中的域下载文件的用户将绕过默认设置来阻止宏。

从 Internet 下载的 Word、PowerPoint 和 Excel 的启用宏的模板文件具有 Web 标记。 例如，具有以下扩展名的模板文件：

当用户打开启用宏的模板文件时，将阻止用户在模板文件中运行宏。 如果用户信任模板文件的来源，他们可以从模板文件中删除 Web 标记，然后在 Office 应用中重新打开模板文件。

如果你有一组用户，他们需要使用启用宏的模板并且不阻止宏，则可以执行以下任一操作：

从 Internet 下载的 PowerPoint 和 Excel 的启用宏的加载项文件具有 Web 标记。 例如，具有以下扩展名的加载项文件：

当用户尝试使用“文件”>“选项”>“加载项”或使用“开发人员”功能区安装启用宏的加载项时，加载项将以禁用状态加载，并且用户无法使用加载项。 如果用户信任加载项文件的来源，他们可以从加载项文件中删除 Web 标记，然后重新打开 PowerPoint 或 Excel 以使用加载项。

如果你有一组用户，他们需要使用启用宏的加载项文件并且不阻止宏，则可以执行以下操作。

对于 PowerPoint 加载项文件：

对于 Excel 加载项文件：

注意

使用数字签名并信任发布者不适用于具有 Web 标记的 Excel 加载项文件。 此行为对于具有 Web 标记的 Excel 加载项文件来说并不新鲜。 由于之前的安全强化工作（与 Microsoft 安全公告 MS16-088 有关），自 2016 年以来，它一直以这种方式工作。

如果宏已签名，并且你验证了证书并信任来源，则可以使该来源成为受信任的发布者。 如果可能，建议为用户管理受信任的发布者。 有关详细信息，请参阅 Office 文件的受信任发布者。

如果只有少数用户，则可以让他们从文件中删除 Web 标记，然后在其设备上将宏的来源添加为受信任的发布者。

警告

将来自 Internet 的文件保存到用户设备上的可信位置会忽略对 Web 标记进行检查，并且在打开时会启用 VBA 宏。 例如，业务线应用程序可以定期发送包含宏的报告。 如果包含宏的文件保存到可信位置，则用户无需转到该文件的“属性”，然后选择“取消阻止”允许宏运行。

由于在保存到可信位置的文件中不会阻止宏，因此应谨慎管理可信位置并谨慎使用它们。 网络位置也可设置为可信位置，但不建议这样做。 有关详细信息，请参阅 Office 文件的可信位置。

文件下载到运行 Windows 的设备时，Web 标记将添加到该文件中，将其来源标识为来自 Internet。 目前，当用户打开包含 Web 标记的文件时，将显示一个“安全警告”横幅，以及一个“启用内容”按钮。 如果用户选择“启用内容”，则该文件被视为受信任的文档，并允许宏运行。 即使实施了默认行为更改以阻止来自 Internet 的文件中的宏，宏仍将继续运行，因为该文件仍被视为受信任的文档。

更改默认行为以阻止来自 Internet 的文件中的宏后，用户在首次打开来自 Internet 的包含宏的文件时会看到其他横幅。 此“安全风险”横幅没有“启用内容”选项。 但用户可以转到文件的“属性”对话框，然后选择“取消阻止”，这将从文件中删除 Web 标记并允许宏运行，前提是没有策略或信任中心设置加以阻止。

默认情况下，Web 标记添加到仅来自“Internet”或“受限站点”区域的文件。

提示

若要在 Windows 设备上查看这些区域，请转到“控制面板”>“Internet 选项”>“更改安全设置”。

可以通过在命令提示符处运行以下命令并将 {name of file} 替换为文件名来查看文件的 ZoneId 值。

运行此命令时，记事本将打开并显示 [ZoneTransfer] 部分下的 ZoneId。

下面列出了 ZoneId 值及其对应的区域。

例如，如果 ZoneId 为 2，则默认情况下不会阻止该文件中的 VBA 宏。 但如果 ZoneId 为 3，则默认情况下会阻止该文件中的宏。

可以在 PowerShell 中使用 Unblock-File cmdlet 从文件中删除 ZoneId 值。 删除 ZoneId 值允许 VBA 宏默认运行。 使用该 cmdlet 与在文件的“属性”对话框的“常规”选项卡上选择“取消阻止”复选框等效。

可以使用策略来管理 Office 处理宏的方式。 建议使用阻止在来自 Internet 的 Office 文件中运行宏策略。 但如果该策略不适合你的组织，另一个选项是 VBA 宏通知设置策略。

有关如何部署这些策略的详细信息，请参阅可用于管理策略的工具。

重要

仅当使用 Microsoft 365 企业应用版时，才能使用策略。 策略不适用于 Microsoft 365 商业应用版。

此策略可防止用户无意中打开来自 Internet 的包含宏的文件。 文件下载到运行 Windows 的设备或从网络共享位置打开时，Web 标记将添加到该文件，以标识其源自 Internet。

建议启用此策略作为 Microsoft 365 企业应用版安全基线的一部分。 应为大多数用户启用此策略，并且仅根据需要为某些用户设置例外。

这五个应用程序中的每一个都有一个单独的策略。 下表显示了在“用户配置\策略\管理模板”下的组策略管理控制台中可以找到的各个策略的位置：

你为策略选择的状态决定了你提供的保护级别。 下表显示了在实施默认行为更改之前，在每个状态下获得的当前保护级别。

Microsoft 推荐的安全基线的一部分。

注意

实施对默认行为的更改后，当策略设置为“未配置”时，保护级别会更改。

用户会看到“安全风险”横幅，以及“了解详细信息”按钮

如果不使用“阻止在来自 Internet 的 Office 文件中运行宏”策略，则可以使用“VBA 宏通知设置”策略来管理 Office 处理宏的方式。

此策略可防止用户被诱使启用恶意宏。 默认情况下，Office 配置为阻止包含 VBA 宏的文件并显示信任栏，其中有一条警告，内容是宏存在并已禁用。 如果适用，用户可以检查和编辑文件，但在信任栏上选择“启用内容”之前无法使用任何禁用的功能。 如果用户选择“启用内容”，则会将该文件添加为受信任的文档，并允许宏运行。

这五个应用程序中的每一个都有一个单独的策略。 下表显示了在“用户配置\策略\管理模板”下的组策略管理控制台中可以找到的各个策略的位置：

注意

你为策略选择的状态决定了你提供的保护级别。 下表显示了每个状态下获得的保护级别。

重要

保护宏非常重要。 对于不需要宏的用户，请通过选择“全部禁用，但不发出通知”来关闭所有宏。

我们的安全基线建议是，应执行以下操作：

如果未配置策略，用户可以在“文件”>“选项”>“信任中心”>“信任中心设置...”>“宏设置”下配置宏保护设置。

下表显示了用户在“宏设置”下可以做出的选择，以及每个设置提供的保护级别。

注意

在 Excel 的策略设置值和产品 UI 中，“所有”一词替换为“VBA”。例如，“禁用 VBA 宏，但不发出通知”。

你可以使用多种工具向组织中的用户配置和部署策略设置。

即使设备未加入域，也可使用云策略向组织中的设备配置和部署策略设置。 云策略是基于 Web 的工具，可在 Microsoft 365 应用版管理中心找到。

在云策略中，创建策略配置，将其分配给组，然后选择要在策略配置添加的策略。 若要选择要添加的策略，可以按策略名称进行搜索。 云策略还显示哪些策略是 Microsoft 建议的安全基线的一部分。 云策略中提供的策略与组策略管理控制台中提供的用户配置策略相同。

若要了解更多信息，请参阅适用于 Microsoft 365 的云策略服务概述。

在 Microsoft Intune 管理中心，可以使用设置目录（预览版）或管理模板向运行 Windows 10 或更高版本的设备的用户配置和部署策略设置。

要开始使用，请转到“设备”>“配置文件”>“创建配置文件”。 对于“平台”，请选择“Windows 10 及更高版本”，然后选择配置文件类型。

有关详细信息，请参阅以下文章：

如果已经在组织中部署了 Windows Server 和 Active Directory 域服务 (AD DS)，则可以通过使用组策略来配置策略。 若要使用组策略，请下载最新的 Office 管理模板文件 (ADMX/ADML)，其中包括 Microsoft 365 企业应用版的策略设置。 将管理模板文件复制到 AD DS 后，可以使用组策略管理控制台创建组策略对象 (GPO)，其中包括针对用户和已加入域的设备的策略设置。