在 Office 中使用 GPO 和 Intune 阻止未簽名宏

最後更新: 17/12/2025
作者: 艾薩克
  • 阻止來自互聯網的巨集和未簽名宏可以大幅降低勒索軟體的風險。 惡意軟件 透過 Office 文件分發。
  • GPO、Intune 和雲端策略可讓您強制執行集中式原則:預設為停用 VBA,並且只允許受信任的發布者簽署的巨集。
  • Mark of the Web、受信任位置、發布者憑證和 Defender ASR 規則共同控制巨集何時以及如何運作。
  • 定期查看 Defender 中的受信任發布者清單和事件日誌對於長期維護安全的巨集環境至關重要。

GPO 配置以阻止未簽署宏

控制 Office 中哪些巨集運行是一項任務,如果操作得當,可以為您省去很多麻煩。 勒索軟體、惡意軟體和基於辦公室文件的攻擊在企業環境中,僅僅「教育用戶」已經不夠了:必須採取安全設計策略,使用 GPO、Intune、數位簽章、受信任位置以及阻止來自 Internet 的巨集的新選項。

本文將以非常詳細且實際的方式,向您展示如何 使用群組原則物件 (GPO) 封鎖未簽章巨集。如何將其與 Intune 和雲端策略相結合,Office 在 Internet 巨集方面的行為發生了哪些變化,以及如何建立一個成熟的模型,其中只運行由受信任的發布者簽署的宏,記錄事件,並定期審查憑證清單。

為什麼使用群組原則物件 (GPO) 阻止未簽署巨集是抵禦勒索軟體的關鍵

VBA 巨集仍然是引入函數最廣泛使用的方法之一。 企業網路中的勒索軟體和木馬這不是什麼新技術,但它非常有效,以至於攻擊者不會輕易放棄:只需要一封精心準備的電子郵件、一個帶有巨集的 Office 附件,以及一個不小心點擊了不該點擊的地方的用戶。

多年來,標準保護幾乎完全基於… 受保護的視圖和信任欄使用者開啟文件後會看到通知,並可選擇啟用內容。問題顯而易見:很多情況下,使用者會在不加思考的情況下啟用該功能,尤其是在郵件看起來很正規,或來自所謂的供應商或老闆時。

為了減少這種風險,微軟在 Office ADMX 範本中添加了特定的設置,允許 完全阻止執行來自互聯網的文件中的巨集。此外,即使不配置任何 GPO,也能強化預設行為。這些選項,結合阻止未簽署巨集和使用受信任的發布者,現在已成為安全基線(例如 ACSC(澳洲網路安全中心)的基線)中的建議標準。

最穩健的方法包含三大支柱: 屏蔽互聯網宏,禁用不需要巨集的用戶的宏,並且只允許受信任的發布者簽署的宏供高度控制的群體使用。所有這些都可以使用經典的 GPO、Office 管理範本、Intune 和雲端策略進行協調。

最近 Office 對 Internet 巨集的行為進行了更改

在 Office 中封鎖未簽名宏

從相對較新的版本來看 微軟365 應用程式 以及現代的永久版 Office 應用程式(Access、Excel、 WordPowerPoint、Project、Publisher 和 Visio Windows)改變了方式 它們處理標記為來自互聯網的文件中的巨集。.

當使用者開啟從 Internet 下載的 Office 檔案(例如電子郵件附件、外部入口網站上的文件等)時,Windows 檔案系統通常會新增以下內容: 網路標記(MOTW),一個使用值指示原產地區域的元數據 區域 ID如果該檔案包含巨集,Office 不僅會顯示經典的黃色條,還可能顯示其他資訊。 安全風險橫幅 如果沒有「啟用內容」選項,就會直接封鎖巨集。

當未設定「阻止從 Internet 在 Office 檔案上執行巨集」策略時,預設會套用此行為,從而改變了先前的情況。現在,無需修改 GPO,即可獲得以下結果: MOTW 檔案額外保護這樣可以降低使用者隨意啟用巨集所帶來的影響。

微軟已分通路逐步推出此項變更:目前通路、每月企業通路和半年企業通路,並針對 Access、Excel、Word、PowerPoint、Visio、Publisher 和 Project 的特定版本進行更新。此變更僅影響… Windows 設備也不是辦公室 免費下載安卓/iOS 版 Office 和網頁版 Office 皆不受此特定功能的影響。

在混合場景或使用內網資源時,即使在文件中,您也可能會看到巨集鎖定。 內部共享資源 如果存取是透過 Windows 無法識別為本機 Intranet 或受信任網站的 IP 位址或路徑進行的,則會發生這種情況。因此,正確配置受信任網站、本機 Intranet 和受信任位置(如適用)至關重要。

Office 如何決定是否在 Internet 檔案上執行巨集

Office 處理來自互聯網的文件的決策過程比表面看起來複雜得多。總的來說,我們可以將其概括如下,其中有幾個要點: GPO、信任中心、MOTW 和證書 直接影響:

  • 使用 MOTW 開啟文件使用者開啟一個帶有 Web 標記(Web 標記,ZoneId 通常為 3)的巨集的文件。
  • 可信位置驗證如果檔案位於標記為受信任的位置,則巨集將開啟而不會被阻止。
  • 簽名驗證和可信任發布者如果巨集已簽名,且發布者的憑證在受信任的發布者儲存中,則允許使用這些巨集。
  • 辦公室政策評估審查 GPO 和雲端策略:阻止來自 Internet 的巨集、VBA 通知設定、停用 VBA…
  • 政策成果的實施根據選項的組合(停用所有巨集、僅允許簽章巨集、顯示通知等),巨集會被封鎖或啟用,並發出或多或少的警告。
  • 現有可信任文檔如果使用者在新變更之前已經將文件標記為受信任,則仍然允許使用巨集。
  • 新的預設行為對於未通過上述過濾器的互聯網文件,巨集將被阻止,並且會顯示「安全風險」橫幅,但沒有啟用按鈕。
  如何使用鍵盤重新啟動電腦:完整指南

該模型清楚地表明: 群組原則物件 (GPO) 的優先權高於本地信任中心設定。MOTW 的存在與否對於決定文件是否被視為潛在危險內容至關重要。

網路標誌、區域及其與巨集的關係

當檔案從瀏覽器、電子郵件用戶端或某些應用程式下載到 Windows 系統時, 具有 ZoneId 識別碼的替代資料流 在 [ZoneTransfer] 部分。此元資料是著名的 Web 標記 (MOTW),Office 正是利用它來實現強大的巨集阻止功能。

很多 最常用值 ZoneId 值如下,它們決定了 Windows 將檔案關聯到的安全區域:

  • 0 我的團隊
  • 1 = 本地內網
  • 2 = 可信任站點
  • 3 = 網際網路
  • 4 = 受限網站

如果一個文件有 ZoneId 3(網際網路) 或 4(受限網站),如果啟用了該策略或使用了新的預設行為,Office 會將資料視為來自 Internet,並套用來自 Internet 的巨集封鎖。要手動檢查 ZoneId,您可以打開控制台並運行:

notepad nombredearchivo:Zone.Identifier

您可以在那裡看到 [ZoneTransfer] 部分及其對應的值。您也可以使用 cmdlet 從網站中刪除該標記。 解除文件阻塞 PowerShell的這會移除 ZoneId 流,使檔案不包含 MOTW,從而允許巨集按照應用程式的一般策略運行。

更直觀地說,用戶可以前往 資源管理器中的檔案屬性轉到“常規”選項卡,然後選取“解除封鎖”複選框。此操作與「解除檔案封鎖」指令的效果完全相同:它會刪除檔案來自 Internet 的訊息,前提是沒有其他群組原則物件 (GPO) 仍在封鎖巨集。

啟用可信任巨集的典型場景和安全性方法

並非所有宏都應該一視同仁。合法的內部範本、可靠的第三方外掛程式、業務應用程式產生的報表等等,都屬於此類。關鍵在於既要滿足這些需求,也要避免為匿名或惡意巨集開啟方便之門。讓我們來看看其中幾個主要的例子。 典型場景和策略 以可控制的方式允許使用巨集。

從互聯網或電子郵件下載的單一文件

孤立文件 對於透過電子郵件或網路下載方式收到的包含巨集的文件,通常有以下幾種選擇:

  • 勾選「移除 MOTW」即可移除 MOTW 文件屬性中的“解鎖” 在本地設備上。
  • 使用 cmdlet 解除文件阻止 在 PowerShell 中作為一部分 腳本 IT部門控制。

在衛生和安全標準良好的環境中,這並非由使用者自行決定,而是由相關部門或個人決定。 之前驗證過該文件的管理員或團隊 在隔離環境下進行測試,然後再「釋放」它。

分享網路資源或內部網站上的文件

許多組織將帶有巨集的文檔集中儲存在 內部網路資料夾或公司網站如果這些資源沒有正確分配給本地內網區域或受信任的站點,檔案將繼續收到 MOTW 並被鎖定。

在不降低安全性的前提下 為避免這個問題,您可以:

  • 將文件伺服器或內部 URL 指定為 可信任站點 在 Windows 網際網路安全性設定中。
  • 將資源的 FQDN 或 IP 位址新增至區域中 本地內聯網 透過「站點到區域分配清單」政策。

該指令在兩種情況下均可使用。 設備和使用者配置 此設定位於「Windows 元件」>「Internet Explorer」>「Internet 控制面板」>「安全性」頁面中,並透過群組原則管理控制台進行管理。值得注意的是,如果您要新增未加密的 HTTP 資源或共用資源,則必須… 取消選取 https 要求 針對相應區域。

OneDrive、SharePoint 和 Teams 中的文件

隨著 儲存在微軟雲端的文檔使用儲存在微軟雲端的文檔是很常見的。 MOTW 的行為會根據檔案取得方式的不同而有所差異:

  • 如果使用者使用瀏覽器從 Windows 認為不安全的網站下載文件 網際網路瀏覽器通常會新增 Web 標記,並且會阻止巨集的使用。
  • 如果使用者選擇 直接從網頁介面選擇“在桌面應用程式中開啟” 來自 OneDrive 或 的SharePoint該文件將沒有本週最佳影片 (MOTW)。
  • 如果您使用 OneDrive 同步客戶端 這樣可以下載文件,但 MOTW 也沒有被加進去。
  • 預設情況下,同步到 OneDrive 的常用資料夾(桌面、文件、圖片等)中的文件不會帶有 Web 標記。

財務等部門 對於依賴儲存在 SharePoint 中的巨集的區域,最可靠的替代方案是:

  • 強制使用 “在桌面應用程式中開啟” 透過內部培訓和指導方針。
  • 讓他們下載檔案。 受信任位置 之前已配置。
  • 將組織的 OneDrive 和 SharePoint 網域放置在該區域中 受信任的網站 使用網站到區域的分配策略,使用諸如以下 URL: https://{tu-dominio}.sharepoint.com y https://{tu-dominio}-my.sharepoint.com.

透過後一種方法,從這些網域下載的檔案將不再被視為來自純粹的互聯網,但有必要進行維護。 嚴格控制權限和共享 在 SharePoint 中,因為任何具有寫入權限的人都可以上傳帶有巨集的檔案。

  如何在 Windows 中停用快速啟動而不存取 BIOS

啟用巨集的模板和插件

從互聯網下載的帶有 .dot、.dotm、.xlt、.xltm、.potm 等擴展名的 Word、Excel 和 PowerPoint 模板,以及帶有 .ppa、.ppam、.xla 和 .xlam 等加載項的文件,都帶有 MOTW(Many Times On Work,多次工作)保護。 它們被有意阻擋。.

讓他們安全離開 您有以下幾種選擇:

  • 從模板或外掛程式檔案移除「Mark of the Web」字樣 驗證後 在一個孤立的環境中。
  • 將模板和外掛程式儲存到 GPO 配置的受信任位置用戶總是從中獲取資源。
  • 如果是第三方模板或插件, 使用數位簽名 並透過在受信任的發布者憑證儲存區中安裝其憑證來信任該發布者。

最後一種方法最符合成熟模型:它不會盲目信任資料夾,而是信任那些已經證明良好實踐並在簽名之前對其程式碼進行評估的特定發布者。

可信地點及其風險

Office 的受信任位置允許使用以下方式開啟儲存在那裡的文件: 啟用巨集時無需額外檢查對於定期使用巨集產生報表的內部應用程式來說,這非常方便,因為使用者只需儲存到該路徑即可,無需手動解鎖檔案。

但是,使用這些地點時務必格外謹慎:建議 限制其數量,限制只有受信任的使用者才能寫入,並儘可能避免將其放置在網路位置。任何一個管控不嚴的可信位置都可能成為惡意程式碼的入口。

Office GPO 阻止 Internet 巨集和未簽章巨集

實施同質化宏觀政策的標準方法是使用… 辦公室管理範本(ADMX/ADML) 除了群組原則物件 (GPO) 之外,如果您想超越每個使用者的本機配置,這就是方法。

阻止從互聯網執行 Office 文件中的宏

這條指令是防止基於應用程式外部發送文件的攻擊的基石。它按應用程式分類,位於如下路徑中:

  • 使用者配置 > 管理範本 > Microsoft Excel中 2016 > Excel 選項 > 安全性 > 信任中心。
  • 使用者配置 > 管理範本 > 微軟Word 2016 > Word 選項 > 安全性 > 信任中心。
  • 以及適用於 PowerPoint、Access、Visio、Publisher 和 Project 的等效程式。

如果你把它設定為 已啟用無論使用者在信任中心的巨集設定如何,任何使用者都無法對標記為源自 Internet 的檔案執行巨集。這是……的一部分。 微軟推薦的安全基線 以及 ACSC 等組織。

當指令是 已停用或未配置此行為取決於使用者選擇的選項或巨集設定部分中其他策略的強制執行。隨著 Office 新行為的更改,即使是「未配置」選項也變得更加嚴格,會阻止 MOTW 檔案中的宏,並顯示安全風險橫幅。

VBA 巨集通知設定

“VBA 巨集通知設定”策略可讓您控制 使用者開啟包含巨集的文件時會看到什麼?:

  • 停用數位簽章的巨集之外的所有宏:Pure and simple Spain 適用於企業用途;僅執行由可信任發布者簽署的巨集。
  • 禁用所有宏,無需通知所有東西都鎖上了,不問任何問題。
  • 透過通知禁用所有巨集 (許多使用者的預設值):它們處於停用狀態,但會顯示一則通知,提示手動啟用它們。
  • 啟用所有巨集不建議在生產環境中使用,僅在隔離的分析環境中使用。

如果您未配置此策略,使用者可以變更選項。 檔案 > 選項 > 信任中心 > 信任中心設定 > 巨集設置在受管控的環境中,不宜將此因素交由最終使用者自行決定。

在 Office 應用程式中停用 VBA

另一項補充指令是: 完全禁用 VBA 在所有 Office 應用程式中都有此選項。它通常以「停用 Office 應用程式的 VBA」之類的名稱出現。如果啟用,使用者將無法執行巨集(即使是已簽署的巨集),也無法編寫 VBA 程式碼。

如果您希望大多數使用者完全不使用巨集,同時為能夠執行巨集的使用者保留一部分帳戶,則此選項非常有用。 由可信任發布者簽署的宏請依照澳洲資訊安全手冊 (ISM) 控制措施的建議。

使用 Intune、Cloud Policy 和中央 GPO 存儲

在現代組織中,這些策略的管理不僅限於本地群組原則物件 (GPO):它們也被用於其他用途。 Microsoft Intune、Microsoft 365 雲端策略服務以及集中式管理範本庫 活動目錄。

管理範本(PolicyDefinitions)的中央儲存庫

為避免網域控制站之間出現不匹配,最佳實務是配置一個 GPO中央倉庫。過程包括:

  • 複製文件夾 c:\Windows\PolicyDefinitions 從控制器到路由 \系統磁碟區策略\策略定義.
  • 確保所有必要的 ADMX/ADML 檔案(例如,來自 Office 2016/2019/Microsoft 365 應用的檔案)都在該資料夾中。

完成上述步驟後,開啟 GPO 編輯器,您會看到管理範本已從下列位置載入: 中央倉庫這樣可以確保任何編輯策略的管理員都能看到相同的選項和版本,包括新的巨集安全策略。

  關於 PatchGuard:Windows 中的核心保護

載入 Office 管理模板

若要設定所有特定的 Office 策略(包括封鎖 Internet 巨集、VBA 通知、範本路徑等),您需要: 下載 Office ADMX 文件 從微軟取得並整合到中央倉庫。

典型程序是:

  • 下載 Office 2016/2019/Microsoft 365 管理範本套件。
  • 運行安裝程序,將檔案解壓縮到臨時資料夾。
  • 複製資料夾內的所有內容 廣告 到中央儲存庫的 PolicyDefinitions 目錄。

此後,在建立或編輯 GPO 時,您將能夠導航至以下位置: 電腦/使用者配置 > 管理範本 > 微軟的Office 及其子資料夾,以應用我們一直在討論的所有策略。

使用 Intune 和雲端策略集中管理 Office 策略

如果您的設備未加入網域,或者您希望統一管理本機和遠端設備,則可以使用:

  • 雲端策略 (Microsoft 365 雲端策略服務)用於設定 Office 使用者策略,包括與巨集相關的策略。它允許您定義設定、將其指派給群組,並套用與 GPO 相同的策略。
  • Microsoft Intune 若要在 Windows 10/11 裝置上部署設定描述文件、腳本和管理模板,您可以從管理中心使用設定目錄建立描述文件,或使用 Office 管理範本來複製相同的經典 GPO。

此外,Intune 還提供了導入選項。 ACSC建議的預定義加固指南此外,還編寫了 PowerShell 腳本來阻止 OLE 套件的啟動、強制使用受信任的位置以及應用與 Office 巨集相關的攻擊面減少 (ASR) 規則。

基於簽章巨集和可信任發布者的安全模型

對於真正有自動化需求的組織而言,最穩健的方法是將多個控制層結合起來,以便: 只有經過可信任發布者簽署的巨集才能執行。而其餘使用者則因策略原因停用了巨集。

將使用者分成具有不同權限等級的群組

受 ACSC 指南啟發而設計的典型方案是建立至少兩個群組:

  • 一大群 “所有 Office 使用者”並應用了一項策略,該策略完全禁用所有應用程式中的 VBA。
  • 一小群人 “允許巨集執行:受信任的發布者”,他/她被排除在前一種政策之外,並且受另一種政策的約束,該政策只允許簽名宏。

這樣,你就遵守了最小特權原則: 只有那些能夠證明自己有真正業務需求的人才有資格運行巨集。即使如此,也僅限於那些經過特定出版商數位簽名的版本。

為每個群組配置 GPO 或 Intune 設定文件

對於一般使用者群體而言,合適的策略是為每個應用程式啟用以下選項: 停用 Office 應用程式的 VBA這滿足以下控制要求:

  • 阻止未證明有必要的使用者執行巨集。
  • 無法透過介面變更巨集安全設定。

對於可以使用巨集的受限群體,會匯入並套用一項策略。 “已為受信任的發布者啟用巨集”此組態包含「停用數位簽章巨集以外的所有巨集」選項。這些使用者還擁有來自受信任發布者的證書,這些證書是透過從 Intune 或群組原則物件 (GPO) 部署的證書策略實現的。

受信任發布者憑證管理

該模型的核心在於 受信任的發布者憑證存儲 Windows 系統。對於組織中支援的每個巨集編輯器,您必須:

  • 取得您的程式碼簽署憑證。
  • 使用 Intune 憑證原則或 GPO 將其匯入至受信任的發布者儲存區。
  • 為每個發布商制定單獨的策略(而不是將多個策略混合在一個策略中),以便於審核和撤銷。

內部分發的宏必須先經過一個 審核和掃描過程 只有在一個隔離的環境中,啟用安全加固規則並執行 Microsoft Defender,才能對檔案進行簽署並將其提供給受信任的使用者。

將宏與 Defender 和攻擊面縮減規則集成

阻止未簽章巨集是一種很好的防禦措施,但您可以透過將此策略與以下方式結合使用來進一步提高安全性: Microsoft Defender for Endpoint (MDE) 以及攻擊面縮減(ASR)規則。

Defender for Endpoint 利用 Windows 中的行為感測器、雲端分析和威脅情報來源來 偵測源自巨集的可疑行為 (例如,啟動 PowerShell、下載程式碼或操作登錄的巨集)。透過與 Intune 集成,您可以:

  • 使用特定設定檔將受管設備整合到 MDE 中。
  • 啟用 ASR 規則 “阻止 Office 巨集呼叫 Win32 API” (GUID 92E97FA1-2EDF-4476-BDD6-9DD0B4DDDC7B).
  • 強制 巨集運行時進行 AV 掃描 提供「強制運行時防毒掃描」和「掃描範圍:所有文件」等選項。

這套措施與一些控制措施一致,例如在執行巨集之前對其進行檢查,以防止它們呼叫危險的底層API; 詳細記錄巨集啟動的進程 以供進一步分析。