VBA 宏是恶意参与者获取部署恶意软件和勒索软件访问权限的常见方式。 因此，为了帮助提高 Office 的安全性，我们将更改 Office 应用程序的默认行为，以阻止来自 Internet 的文件中的宏。

通过此更改，当用户打开来自 Internet 的文件（如电子邮件附件）并且该文件包含宏时，将显示以下消息：

“ 了解详细信息 ”按钮转到 面向最终用户和信息工作者的文章 ，其中包含有关使用宏的不良参与者的安全风险的信息、防止钓鱼和恶意软件的安全做法，以及有关如何在绝对需要) 时启用这些宏 (的说明。

在某些情况下，如果文件来自 Intranet 中未标识为受信任的位置，则用户也会看到消息。 例如，如果用户使用共享的 IP 地址访问网络共享上的文件。 有关详细信息，请参阅 位于网络共享或受信任网站上的文件。

重要

即使在我们引入此更改之前，组织也可以使用 “阻止宏从 Internet 在 Office 文件中运行 ”策略，以防止用户无意中打开包含宏的 Internet 中的文件。 建议启用此策略作为Microsoft 365 企业应用版安全基线的一部分。 如果配置策略，则组织不会受到此默认更改的影响。

有关详细信息，请参阅 使用策略管理 Office 处理宏的方式。

若要准备此更改，我们建议你与组织中使用 Office 文件中宏的业务单位协作，这些宏是从 Intranet 网络共享或 Intranet 网站等位置打开的。 你需要标识这些宏，并确定 要继续使用这些宏所要执行的步骤 。 你还需要与独立软件供应商合作， (ISV) 从这些位置在 Office 文件中提供宏。 例如，若要查看他们是否可以对其代码进行数字签名，并且你可以将其视为受信任的发布者。

此外，请查看以下信息：

如何允许 VBA 宏在你信任的文件中运行取决于这些文件所在的位置或文件类型。

下表列出了取消阻止 VBA 宏并允许其运行的不同常见方案和可能的方法。 不必为给定方案执行所有可能的方法。 如果列出了多种方法，请选择最适合组织的方法。

有关详细信息，请参阅 从文件中删除 Web 标记。

如果没有“ 取消阻止 ”复选框，并且你想要信任该网络位置中的所有文件：• 将位置指定为受信任的站点 • 将位置添加到 本地 Intranet 区域

有关详细信息，请参阅 位于网络共享或受信任网站上的文件。

有关详细信息，请参阅 OneDrive 或 SharePoint 上的文件。

如果模板文件存储在网络位置：• 使用数字签名并信任发布者• 信任模板文件 (查看“位于网络共享或受信任网站上的文件集中”下的方法)

有关详细信息，请参阅 Word、PowerPoint 和 Excel 的已启用宏的模板文件。

有关详细信息，请参阅 PowerPoint 和 Excel 的已启用宏的加载项文件。

有关详细信息，请参阅 PowerPoint 和 Excel 的已启用宏的加载项文件。

有关详细信息，请参阅 由受信任的发布者签名的宏。

有关详细信息，请参阅 受信任位置。

此更改仅影响运行 Windows 的设备上的 Office，并且仅影响以下应用程序：Access、Excel、PowerPoint、Visio 和 Word。

下表显示了此更改何时在每个更新通道中可用。

此更改不会影响 Mac 上的 Office、Android 或 iOS 设备上的 Office 或Office web 版。

下面的流程图显示了 Office 如何确定是否从 Internet 运行文件中的宏。

以下步骤说明流程图中的信息，Excel 外接程序文件除外。 有关这些文件的详细信息，请参阅 PowerPoint 和 Excel 的已启用宏的加载项文件。 此外，如果文件位于不在 本地 Intranet 区域中或不是受信任站点的网络共享上，则会阻止该文件中的宏。

注意

如果文件来自受信任的位置，则打开该文件并启用宏。 如果文件不是来自受信任位置，则评估将继续。

如果宏经过数字签名，并且设备上安装了匹配的受信任发布服务器证书，则会在启用宏的情况下打开该文件。 如果没有，则继续评估。

检查策略以查看宏是否被允许或阻止。 如果策略设置为“未配置”，则评估将继续执行步骤 6。

() 如果宏被策略阻止，则会阻止宏。 (b) 如果宏由策略启用，则会启用宏。

如果用户之前打开了文件，在默认行为发生此更改之前，并选择了“从信任栏 启用内容” ，则启用宏，因为该文件被视为受信任。

注意

注意

以前，在默认行为发生此更改之前，应用会检查是否启用了 VBA 宏通知设置 策略以及该策略的配置方式。

如果策略设置为“禁用”或“未配置”，则应用将检查 “文件>选项>信任中心信任中心>设置...”下的设置。>宏设置。 默认设置为“禁用所有带有通知的宏”，这允许用户在信任栏中启用内容。

对于单个文件（例如从 Internet 位置下载的文件或用户保存到其本地设备的电子邮件附件），取消阻止宏的最简单方法是删除 Web 标记。 若要删除，请右键单击文件，选择“属性”，然后选中“常规”选项卡上的“取消阻止”复选框。

注意

还可以使用 PowerShell 中的 Unblock-File cmdlet 从文件中删除 ZoneId 值。 删除 ZoneId 值将允许默认情况下运行 VBA 宏。 使用 cmdlet 的作用与选中文件的“属性”对话框的“常规”选项卡上的“取消阻止”复选框相同。 有关 ZoneId 值的详细信息，请参阅 Web 和区域的标记。

如果让用户从受信任的网站或内部文件服务器访问文件，则可以执行以下步骤之一，以便不会阻止来自这些位置的宏。

注意

例如，如果用户使用网络共享的 IP 地址访问网络共享，除非文件共享位于 受信任的站点 或 本地 Intranet 区域中，否则将阻止这些文件中的宏。

提示

例如，可以通过将文件服务器或网络共享的 FQDN 或 IP 地址添加到受信任的站点列表中，将其添加为受信任的站点。

如果要添加以 http:// 或网络共享开头的 URL，请清除 “要求对此区域中所有站点进行服务器验证 (https：) ”复选框。

重要

由于宏不会阻止来自这些位置的文件中，因此应仔细管理这些位置。 请确保控制允许谁将文件保存到这些位置。

可以使用组策略和“站点到区域分配列表”策略将位置添加为受信任的站点，或添加到组织中 Windows 设备的本地 Intranet 区域。 此策略位于 组策略 管理控制台的 Windows 组件\Internet Explorer\Internet 控制面板\安全页下。 它在计算机配置\策略\管理模板和用户配置\策略\管理模板下均可用。

如果用户使用 Web 浏览器在 OneDrive 或 SharePoint 上下载文件，则 Windows Internet 安全区域 (配置控制面板>Internet Options>Security) 将确定浏览器是否设置 Web 标记。 例如，如果确定文件来自 Internet 区域，Microsoft Edge 会设置文件的 Web 标记。

如果用户在从 OneDrive 网站或 SharePoint 网站打开的文件中选择“ 在桌面应用中打开 ” (包括 Teams 频道) 使用的网站，则该文件将不具有 Web 标记。

如果用户运行 OneDrive 同步 客户端，并且同步客户端下载了文件，则该文件将没有 Web 标记。

Windows 已知文件夹中的文件 (桌面、文档、图片、屏幕截图和本机照片) 并同步到 OneDrive，没有 Web 标记。

如果你有一组用户（例如财务部门）需要使用 OneDrive 或 SharePoint 中的文件而不阻止宏，下面是一些可能的选项：

让他们使用“ 在桌面应用中打开 ”选项打开文件

让他们将文件下载到 受信任位置。

将 OneDrive 或 SharePoint 域的 Windows Internet 安全区域分配设置为“受信任的站点”。 管理员可以使用“站点到区域分配列表”策略，并将策略配置为将 https://{your-domain-name}.sharepoint.com SharePoint) (或 https://{your-domain-name}-my.sharepoint.com oneDrive () 放入“受信任的站点”区域。

此策略位于 组策略 管理控制台的 Windows 组件\Internet Explorer\Internet 控制面板\安全页下。 它在计算机配置\策略\管理模板和用户配置\策略\管理模板下均可用。

通过将这些位置添加到受信任的网站，SharePoint 权限和 OneDrive 共享不会更改。 维护访问控制非常重要。 有权将文件添加到 SharePoint 的任何人都可以添加包含活动内容的文件，例如宏。 从“受信任的站点”区域中的域下载文件的用户将绕过默认设置来阻止宏。

从 Internet 下载的 Word、PowerPoint 和 Excel 已启用宏的模板文件将具有 Web 标记。 例如，具有以下扩展名的模板文件：

当用户打开启用了宏的模板文件时，将阻止用户运行模板文件中的宏。 如果用户信任模板文件的源，他们可以从模板文件中删除 Web 标记，然后在 Office 应用中重新打开模板文件。

如果有一组用户需要使用启用了宏的模板而不阻止宏，则可以执行以下操作之一：

从 Internet 下载的 PowerPoint 和 Excel 的已启用宏的外接程序文件将具有 Web 标记。 例如，具有以下扩展名的外接程序文件：

当用户尝试使用“文件>选项加载项”或“开发人员”>功能区安装启用了宏的外接程序时，外接程序将以禁用状态加载，并且将阻止用户使用外接程序。 如果用户信任外接程序文件的源，则可以从外接程序文件中删除 Web 标记，然后重新打开 PowerPoint 或 Excel 以使用外接程序。

如果你有一组需要使用启用了宏的外接程序文件而不阻止宏，则可以执行以下操作。

对于 PowerPoint 外接程序文件：

对于 Excel 外接程序文件：

注意

使用数字签名并信任发布者不适用于具有 Web 标记的 Excel 外接程序文件。 对于具有 Web 标记的 Excel 外接程序文件来说，此行为并不新。 自 2016 年以来，由于先前的安全强化工作 (与 Microsoft 安全公告 MS16-088) 相关，因此它一直以这种方式工作。

如果宏已签名，并且你已验证证书并信任源，则可以使该源成为受信任的发布者。 建议尽可能为用户管理受信任的发布者。 有关详细信息，请参阅 Office 文件的受信任发布者。

如果只有几个用户，则可以让他们 从文件中删除 Web 标记， 然后在其设备上 将宏的源添加为受信任的发布者 。

警告

将文件从 Internet 保存到用户设备上的“受信任位置”会忽略“Web 标记”的检查，并在启用 VBA 宏的情况下打开。 例如，业务线应用程序可以定期发送包含宏的报表。 如果将包含宏的文件保存到“受信任位置”，则用户无需转到该文件 的“属性” ，然后选择“ 取消阻止 ”以允许宏运行。

由于宏不会在保存到受信任位置的文件中被阻止，因此应仔细管理受信任位置并谨慎使用它们。 网络位置也可以设置为“受信任位置”，但不建议这样做。 有关详细信息，请参阅 Office 文件的受信任位置。

将文件下载到运行 Windows 的设备时，Web 标记将添加到该文件，并将其源标识为来自 Internet。 目前，当用户打开带有“Web 标记”的文件时，将显示一个 “安全警告” 横幅，其中包含 “启用内容 ”按钮。 如果用户选择 “启用内容”，则该文件被视为“受信任的文档”，并允许宏运行。 即使实现默认行为更改以阻止来自 Internet 的文件中的宏，宏仍将继续运行，因为该文件仍被视为受信任的文档。

更改默认行为以阻止来自 Internet 的文件中的宏后，用户在第一次打开包含来自 Internet 的宏的文件时将看到不同的横幅。 此 安全风险 横幅没有 “启用内容”选项。 但用户将能够转到文件的 “属性 ”对话框，并选择“ 取消阻止”，这将从文件中删除 Web 标记并允许宏运行，前提是没有阻止策略或信任中心设置。

默认情况下，Web 标记仅从 Internet 或 受限站点 区域添加到文件中。

提示

若要在 Windows 设备上查看这些区域，请转到控制面板>“Internet 选项>”“更改安全设置”。

可以通过在命令提示符处运行以下命令，并将 {name of file} 替换为文件名来查看文件的 ZoneId 值。

运行此命令时，记事本将打开并在 [ZoneTransfer] 部分下显示 ZoneId。

下面是 ZoneId 值及其映射到的区域的列表。

例如，如果 ZoneId 为 2，则默认情况下不会阻止该文件中的 VBA 宏。 但是，如果 ZoneId 为 3，则默认情况下会阻止该文件中的宏。

可以使用 PowerShell 中的 Unblock-File cmdlet 从文件中删除 ZoneId 值。 删除 ZoneId 值将允许默认情况下运行 VBA 宏。 使用 cmdlet 的作用与选中文件的“属性”对话框的“常规”选项卡上的“取消阻止”复选框相同。

若要识别可能阻止运行 VBA 宏的文件，可以使用适用于 Office 加载项和 VBA 的就绪工具包，这是从 Microsoft 免费下载的。

Readiness Toolkit 包括可从命令行或脚本中运行的独立可执行文件。 可以在用户的设备上运行就绪工具包，查看用户设备上的文件。 或者，可以从设备运行它，以查看网络共享上的文件。

运行 Readiness Toolkit 的独立可执行版本时，会使用收集的信息创建 JSON 文件。 需要将 JSON 文件保存在中心位置，例如网络共享。 然后，你将运行就绪情况报告创建者，它是就绪工具包的 UI 向导版本。 此向导将以 Excel 文件的形式将单独的 JSON 文件中的信息合并到单个报表中。

若要使用就绪工具包识别可能受影响的文件，请按照以下基本步骤操作：

从 Microsoft 下载中心下载最新版本的就绪工具包。 请确保至少使用 2022 年 6 月 14 日发布的版本 1.2.22161。

安装就绪工具包。

在命令提示符下，转到安装就绪工具包的文件夹，并使用 blockinternetscan 选项运行 ReadinessReportCreator.exe 命令。

例如，如果要扫描 c：\officefiles 文件夹中的文件 (及其所有子文件夹在设备上) ，并将包含结果的 JSON 文件保存到 Server01 上的 Finance 共享，则可以运行以下命令。

有关使用就绪工具包的更多详细信息，请参阅使用就绪工具包评估Microsoft 365 应用版的应用程序兼容性。

可以使用策略来管理 Office 处理宏的方式。 建议使用 “阻止宏从 Internet 在 Office 文件中运行” 策略。 但是，如果该策略不适合你的组织，另一个选项是 VBA 宏通知设置 策略。

有关如何部署这些策略的详细信息，请参阅 可用于管理策略的工具。

重要

仅当使用Microsoft 365 企业应用版时，才能使用策略。 策略不适用于Microsoft 365 商业应用版。

此策略可防止用户无意中打开包含来自 Internet 的宏的文件。 将文件下载到运行 Windows 的设备，或者从网络共享位置打开文件时，Web 标记将添加到文件中，标识该文件源自 Internet。

建议启用此策略作为Microsoft 365 企业应用版安全基线的一部分。 应为大多数用户启用此策略，并且仅根据需要为某些用户创建例外。

这五个应用程序各有一个单独的策略。 下表显示了可在 组策略 管理控制台的用户配置\策略\管理模板下找到每个策略的位置：

你为策略选择哪个状态决定了你提供的保护级别。 下表显示了在实现默认行为更改之前，每种状态的当前保护级别。

Microsoft 建议的安全基线的一部分。

注意

实现对默认行为的更改后，当策略设置为“未配置”时，保护级别会更改。

用户将看到带有“了解详细信息”按钮的安全风险横幅

如果不使用“阻止宏从 Internet 在 Office 文件中运行”策略，则可以使用“VBA 宏通知设置”策略来管理 Office 如何处理宏。

此策略可防止用户被引诱启用恶意宏。 默认情况下，Office 配置为阻止包含 VBA 宏的文件，并显示信任栏，并警告宏存在且已被禁用。 用户可以检查和编辑文件（如果适用），但在信任栏上选择“ 启用内容 ”之前，不能使用任何禁用的功能。 如果用户选择“ 启用内容”，则文件将添加为“受信任的文档”，并允许宏运行。

这五个应用程序各有一个单独的策略。 下表显示了可在 组策略 管理控制台的用户配置\策略\管理模板下找到每个策略的位置：

注意

你为策略选择哪个状态决定了你提供的保护级别。 下表显示了每种状态可获得的保护级别。

重要

保护宏非常重要。 对于不需要宏的用户，可以通过选择“禁用所有宏而不通知”来关闭所有宏。

我们的安全基线建议是，应执行以下操作：

如果未配置策略，用户可以在“文件>选项>信任中心信任中心>设置...”下配置宏保护设置。>宏设置。

下表显示了用户可以在 “宏设置” 下做出的选择，以及每个设置提供的保护级别。

注意

在 Excel 的策略设置值和产品 UI 中，“all”一词将替换为“VBA”。例如，“禁用 VBA 宏而不发出通知”。

可以使用多种工具来配置策略设置并将其部署到组织中的用户。

可以使用云策略配置策略设置并将其部署到组织中的设备，即使设备未加入域。 云策略是基于 Web 的工具，可在Microsoft 365 应用版管理中心找到。

在云策略中，创建策略配置，将其分配给组，然后选择要包含在策略配置中的策略。 若要选择要包含的策略，可以按策略名称进行搜索。 云策略还显示哪些策略属于 Microsoft 建议的安全基线。 云策略中可用的策略与 组策略 管理控制台中提供的相同用户配置策略。

有关详细信息，请参阅 Microsoft 365 云策略服务概述。

在Microsoft Intune管理中心，可以使用设置目录 (预览) 或管理模板为运行Windows 10或更高版本的设备配置和部署策略设置。

若要开始，请转到 “设备>配置文件”>“创建配置文件”。 对于“平台”，请选择“Windows 10及更高版本”，然后选择配置文件类型。

有关详细信息，请参阅以下文章：

如果你在组织中部署了 Windows Server 和 Active Directory 域服务 (AD DS) ，则可以使用 组策略 配置策略。 若要使用组策略，请下载最新的管理模板文件 (ADMX/ADML) for Office，其中包括Microsoft 365 企业应用版的策略设置。 将管理模板文件复制到 AD DS 后，可以使用 组策略 管理控制台创建组策略对象 (GPO) ，其中包含用户和已加入域的设备的策略设置。