Gérer le contenu actif dans les documents Office

Remarque

Les fonctionnalités décrites dans cet article sont en préversion, ne sont pas disponibles pour tout le monde et sont susceptibles d’être modifiées.

Les documents Office peuvent être automatiquement actualisés, mis à jour ou exécutés lorsqu’ils contiennent du contenu actif. Les macros, les contrôles ActiveX et les compléments Office sont des exemples de contenu actif. Le contenu actif peut fournir des fonctionnalités puissantes et utiles aux utilisateurs, mais les attaquants peuvent également utiliser du contenu actif pour fournir des programmes malveillants.

Les administrateurs peuvent créer des stratégies organization (stratégies de groupe ou stratégies cloud) qui limitent l’utilisation du contenu actif à des ensembles d’utilisateurs spécifiques, ou pour désactiver entièrement le contenu actif. Les utilisateurs peuvent configurer leurs propres paramètres de sécurité et de confidentialité dans le Centre de gestion de la confidentialité Office dans leurs applications Office dans> leCentre de gestion de la confidentialitéOptions> de fichiers.

Auparavant, lorsque les utilisateurs identifiaient des documents comme des documents approuvés, leur sélection permettait l’exécution du contenu actif, même si un administrateur configure des stratégies pour bloquer le contenu actif dans les documents Office. Désormais, les stratégies définies par les administrateurs sont prioritaires sur l’identification utilisateur des documents approuvés. Ce changement de comportement peut entraîner des problèmes pour les utilisateurs.

La logique du Centre de gestion de la confidentialité mise à jour est décrite dans le diagramme suivant :

Organigramme décrivant la logique du centre de gestion de la confidentialité dans le portail Microsoft Defender

  1. Un utilisateur ouvre un document Office qui contient du contenu actif.

  2. Si le document provient d’un emplacement approuvé, le document est ouvert avec le contenu actif activé. Si le document ne provient pas d’un emplacement approuvé, l’évaluation se poursuit.

  3. C’est ici que le comportement mis à jour prend effet :

    • Auparavant, le paramètre évalué suivant aurait été si l’utilisateur avait identifié ce document comme un document approuvé. Si c’est le cas, le document s’ouvre avec le contenu actif activé.

    • Maintenant, le fait que l’utilisateur ait identifié le document comme un document approuvé n’est pas pris en compte ici (maintenant à l’étape 8).

      Le changement de comportement fondamental est décrit comme suit : les stratégies cloud (étape 4), les stratégies de groupe (étape 6) et les paramètres locaux (étape 7) sont vérifiés avant même que la désignation utilisateur d’un document approuvé ne soit prise en compte. Si l’une de ces étapes bloque l’accès au contenu actif et qu’aucune des étapes n’autorise les remplacements par l’utilisateur, l’identification du document en tant que document approuvé par l’utilisateur n’est pas pertinente.

  4. Les stratégies cloud sont vérifiées pour voir si ce type de contenu actif est autorisé ou bloqué. Si le contenu actif n’est pas bloqué, l’évaluation se poursuit à l’étape 6.

    Si le contenu actif est bloqué par la stratégie, l’expérience est décrite à l’étape 5.

  5. L’ouverture du document est bloquée avec une notification dans la barre d’approbation. Ce qui se passe ensuite est contrôlé par les paramètres de remplacement de l’utilisateur dans la stratégie : a. Remplacement de l’utilisateur non autorisé : l’utilisateur ne peut pas ouvrir le document et l’évaluation s’arrête. b. Remplacement de l’utilisateur autorisé : l’utilisateur peut cliquer sur le lien dans la barre d’approbation pour ouvrir le document avec le contenu actif activé.

  6. Les stratégies de groupe sont vérifiées pour voir si ce type de contenu actif est autorisé ou bloqué. Si le contenu actif n’est pas bloqué, l’évaluation se poursuit à l’étape 7.

    Si le contenu actif est bloqué par la stratégie, l’expérience est décrite à l’étape 5.

  7. Les paramètres locaux sont vérifiés pour voir si ce type de contenu actif est autorisé ou bloqué. Si le contenu actif est bloqué, l’ouverture du document est bloquée avec une notification dans la barre d’approbation. Si le contenu actif n’est pas bloqué, l’évaluation se poursuit.

  8. Si l’utilisateur a précédemment identifié le document comme un document approuvé, le document est ouvert avec le contenu actif activé. Si ce n’est pas le cas, l’ouverture du document est bloquée.

Qu’est-ce qu’un document approuvé ?

Les documents approuvés sont des documents Office qui s’ouvrent sans invite de sécurité pour les macros, les contrôles ActiveX et d’autres types de contenu actif dans le document. Le mode protégé ou Protection d'application n’est pas utilisé pour ouvrir le document. Lorsque les utilisateurs ouvrent un document approuvé et que tout le contenu actif est activé. Même si le document contient un nouveau contenu actif ou des mises à jour du contenu actif existant, les utilisateurs ne recevront pas d’invites de sécurité la prochaine fois qu’ils ouvriront le document.

En raison de ce comportement, les utilisateurs doivent approuver clairement les documents uniquement s’ils approuvent la source du document.

Si un administrateur bloque le contenu actif à l’aide d’une stratégie, ou si les utilisateurs définissent un paramètre du Centre de gestion de la confidentialité qui bloque le contenu actif, le contenu actif reste bloqué.

Si vous souhaitez en savoir plus, consultez les articles suivants :

Configurer les paramètres de document approuvé dans les stratégies Office

Les administrateurs disposent de nombreuses façons de configurer Office dans un organization. Par exemple :

Problèmes connus

  • Lorsque la stratégie Notifications de macro VBA (Access, PowerPoint, Visio, Word) ou Notifications macro (Excel) est définie sur la valeur Désactiver toutes les macros à l’exception des macros signées numériquement, la barre de confiance attendue ne s’affiche pas et les informations de sécurité dans les backstages ne répertorient pas les détails des macros bloquées, même si le paramètre fonctionne comme prévu. L’équipe Office travaille actuellement à la résolution de ce problème.

Administration options pour restreindre le contenu actif

Il existe une grande différence dans le niveau de confiance dans le contenu créé en interne par rapport au contenu que les utilisateurs téléchargent à partir d’Internet. Envisagez d’autoriser le contenu actif dans les documents internes et de ne pas autoriser globalement le contenu actif dans les documents provenant d’Internet.

Si vos utilisateurs n’ont pas besoin de types spécifiques de contenu actif, votre option la plus sécurisée consiste à utiliser des stratégies pour désactiver l’accès utilisateur à ce contenu actif et autoriser des exceptions si nécessaire.

Les stratégies suivantes sont disponibles :

  • Désactiver les emplacements approuvés : exceptions pour les groupes disponibles.
  • Désactiver les documents approuvés : exceptions pour les groupes disponibles.
  • Désactiver tout le contenu actif : exceptions pour les individus.

Les tableaux des sections suivantes décrivent les paramètres qui contrôlent le contenu actif. Ces stratégies, si elles sont appliquées aux utilisateurs, seront appliquées sur les documents approuvés, et l’expérience précédente de l’utilisateur final peut ne pas être la même. Les tables incluent également le paramètre de bases de référence de sécurité recommandées et identifient les autres paramètres où l’invite utilisateur à remplacer est disponible (ce qui permet à l’utilisateur d’activer le contenu actif).

HKEY_CURRENT_USER paramètres


Catégorie Application Nom de la stratégie Base de référence de sécurité
paramètre (recommandé)
Définition avec l’invite de l’utilisateur
et remplacer disponible ?
Activex Office Initialisation du contrôle ActiveX 6 Oui pour les valeurs suivantes :
  • 3
  • 4
  • 5
  • 6
Activex Office Autoriser les formulaires one-off active X Charger uniquement les contrôles Outlook Non
Activex Office Vérifier les objets ActiveX Ce n’est pas un paramètre de base de référence de sécurité. Non
Activex Office Désactiver tous les contrôles ActiveX Ce n’est pas un paramètre de base de référence de sécurité. Oui pour les valeurs suivantes :
  • Disabled
  • Non configuré
Activex Office Charger des contrôles dans Forms3 1 Oui pour les valeurs suivantes :
  • 2
  • 3
Compléments & extensibilité Excel

PowerPoint

Project

Publisher

Visio

Word

Désactiver la notification de la barre de confiance pour les compléments d’application non signés et les bloquer Enabled Oui pour la valeur Disabled.
Compléments & extensibilité Excel

PowerPoint

Project

Publisher

Visio

Word

Exiger la signature des compléments d’applications par un éditeur approuvé Enabled Non
Compléments & extensibilité Excel Ne pas afficher l’alerte d’avertissement de republication automatique Disabled Non
Compléments & extensibilité Excel Paramètres de notification de la fonction WEBSERVICE Désactiver tout avec notification Oui pour les valeurs suivantes :
  • Désactiver tout avec notification
  • Disabled
  • Non configuré
Compléments & extensibilité Office Désactiver le client Office d’interroger sharePoint Server pour les liens publiés Disabled Non
Compléments & extensibilité Office Désactiver l’interface utilisateur provenant des documents et des modèles Interdire dans Word = True

Interdire dans Project = False

Interdire dans Excel = True

Interdire dans Visio= False

Interdire dans PowerPoint = True

Interdire dans Access = True

Interdire dans Outlook = True

Interdire dans Publisher = True

Interdire dans InfoPath = True

Non
Compléments & extensibilité Outlook Configurer l'invite du modèle objet Outlook lors de l'accès à un carnet d'adresses Refuser automatiquement Oui pour les valeurs suivantes :
  • Demander à l’utilisateur
  • Demander à l’utilisateur en fonction de la sécurité de l’ordinateur
  • Disabled
  • Non configuré
Compléments & extensibilité Outlook Configurer l’invite de modèle objet Outlook Lors de l’accès à la propriété Formula d’un objet UserProperty Refuser automatiquement Oui pour les valeurs suivantes :
  • Demander à l’utilisateur
  • Demander à l’utilisateur en fonction de la sécurité de l’ordinateur
  • Disabled
  • Non configuré
Compléments & extensibilité Outlook Configurer l'invite du modèle objet Outlook lors de l'exécution de l'opération Enregistrer sous Refuser automatiquement Oui pour les valeurs suivantes :
  • Demander à l’utilisateur
  • Demander à l’utilisateur en fonction de la sécurité de l’ordinateur
  • Disabled
  • Non configuré
Compléments & extensibilité Outlook Configurer l'invite du modèle objet Outlook lors de la lecture d'informations relatives à des adresses Refuser automatiquement Oui pour les valeurs suivantes :
  • Demander à l’utilisateur
  • Demander à l’utilisateur en fonction de la sécurité de l’ordinateur
  • Disabled
  • Non configuré
Compléments & extensibilité Outlook Configurer l'invite du modèle objet Outlook lors de la réponse à des demandes de réunion et de tâches Refuser automatiquement Oui pour les valeurs suivantes :
  • Demander à l’utilisateur
  • Demander à l’utilisateur en fonction de la sécurité de l’ordinateur
  • Disabled
  • Non configuré
Compléments & extensibilité Outlook Configurer l'invite du modèle objet Outlook lors de l'envoi d'un message Refuser automatiquement Oui pour les valeurs suivantes :
  • Demander à l’utilisateur
  • Demander à l’utilisateur en fonction de la sécurité de l’ordinateur
  • Disabled
  • Non configuré
Compléments & extensibilité Outlook Définir l’invite d’exécution des actions personnalisées du modèle objet Outlook Refuser automatiquement Oui pour les valeurs suivantes :
  • Demander à l’utilisateur
  • Demander à l’utilisateur en fonction de la sécurité de l’ordinateur
  • Disabled
  • Non configuré
Compléments & extensibilité PowerPoint Exécuter des programmes désactiver (n’exécutez aucun programme) Oui pour la valeur Enable (inviter l’utilisateur avant d’exécuter)
Compléments & extensibilité Word

Excel

Désactiver l’utilisation des manifestes par Smart Document Enabled Non
DDE Excel Ne pas autoriser le lancement du serveur DDE (Dynamic Data Exchange) dans Excel Enabled Oui pour la valeur Non configuré.
DDE Excel Ne pas autoriser la recherche de serveur DDE (Dynamic Data Exchange) dans Excel Enabled Oui pour les valeurs suivantes :
  • Disabled
  • Non configuré
DDE Word Échange dynamique de données Disabled Non
Jscript & VBScript Outlook Autoriser les scripts dans les formulaires Outlook uniques Disabled Non
Jscript & VBScript Outlook Ne pas autoriser les scripts de modèle objet Outlook à s’exécuter pour les dossiers publics Enabled Non
Jscript & VBScript Outlook Ne pas autoriser les scripts de modèle objet Outlook à s’exécuter pour les dossiers partagés Enabled Non
Macros Excel Macro Notifications Désactiver toutes les macros à l’exception des macros signées numériquement Oui pour les valeurs suivantes :
  • Disabled
  • Non configuré
Macros Access

PowerPoint

Project

Publisher

Visio

Word

Paramètres de notification de macro VBA Désactiver toutes les macros à l’exception des macros signées numériquement

et

Exiger que les macros soient signées par un éditeur approuvé

Oui pour les valeurs suivantes :
  • Disabled
  • Non configuré
Macros Access

Excel

PowerPoint

Visio

Word

Bloquer l’exécution des macros dans les fichiers Office à partir d’Internet Enabled Oui pour les valeurs suivantes :
  • Disabled
  • Non configuré
Macros Excel Analyser des macros chiffrées dans des classeurs Excel Open XML Analyser les macros chiffrées (par défaut) Non
Macros Office Autoriser VBA à charger des références typelib par chemin d’accès à partir d’emplacements intranet non approuvés Disabled Non
Macros Office Sécurité de l’automatisation Utiliser le niveau de sécurité des macros de l'application Non
Macros Office Désactiver les autres vérifications de sécurité sur les références de bibliothèque VBA qui peuvent faire référence à des emplacements non sécurisés sur l’ordinateur local Disabled Non
Macros Office Étendue de l’analyse du runtime de macro Activer pour tous les documents Non
Macros Office Approuver uniquement les macros VBA qui utilisent des signatures V3 Ce n’est pas un paramètre de base de référence de sécurité. Non
Macros Outlook Mode de sécurité Outlook Utiliser les stratégie de groupe de sécurité Outlook Obligatoire pour activer tous les paramètres d’objet de stratégie de groupe Outlook.

Mentionné comme dépendance (cette stratégie ne bloque pas le contenu actif lui-même).

Macros Outlook Paramètre de sécurité pour les macros Avertir pour signé, désactiver unsigned Oui pour les valeurs suivantes :
  • Toujours avertir
  • Avertir pour signé, désactiver unsigned
  • Disabled
  • Non configuré
Macros PowerPoint Analyser les macros chiffrées dans les présentations Open XML PowerPoint Analyser les macros chiffrées (par défaut) Non
Macros Publisher Niveau de sécurité De l’automatisation des éditeurs Par interface utilisateur (confirmation) Non
Macros Word Analyser des macros chiffrées dans Word documents Open XML Analyser les macros chiffrées (par défaut) Non

HKEY_LOCAL_MACHINE paramètres


Catégorie Application Nom de la stratégie Base de référence de sécurité
paramètre (recommandé)
Définition avec l’invite de l’utilisateur
et remplacer disponible ?
Activex Office Restreindre l’installation ActiveX excel.exe = True

exprwd.exe = True

groove.exe = True

msaccess.exe = True

mse7.exe = True

mspub.exe = True

onent.exe = True

outlook.exe = True

powerpnt.exe = True

pptview.exe = True

spDesign.exe = True

visio.exe = True

winproj.exe = True

winword.exe = True

Non
Compléments & extensibilité Office Gestion des modules complémentaires excel.exe = True

exprwd.exe = True

groove.exe = True

msaccess.exe = True

mse7.exe = True

mspub.exe = True

onent.exe = True

outlook.exe = True

powerpnt.exe = True

pptview.exe = True

spDesign.exe = True

visio.exe = True

winproj.exe = True

winword.exe = True

Non
Compléments & extensibilité Office Bloquer l’activation Flash dans les documents Office Consultez les fichiers ADMX/ADML du Guide de sécurité Microsoft pour obtenir la liste des killbits COM afin de bloquer toute activation de Flash sur les applications Microsoft 365. Les fichiers ADMX/ADML pour les bases de référence de sécurité d’entreprise sont disponibles dans le Kit de ressources de conformité de la sécurité. Non
Jscript & VBScript Office Restreindre l’exécution JScript héritée pour Office Activé :

Accès : 69632

Excel : 69632

OneNote : 69632

Outlook : 69632

PowerPoint : 69632

Projet : 69632

Éditeur : 69632

Visio : 69632

Word : 69632

Non
Jscript & VBScript Office Restrictions de sécurité de scripts de fenêtres excel.exe = True

exprwd.exe = True

groove.exe = True

msaccess.exe = True

mse7.exe = True

mspub.exe = True

onent.exe = True

outlook.exe = True

powerpnt.exe = True

pptview.exe = True

spDesign.exe = True

visio.exe = True

winproj.exe = True

winword.exe = True

Non