Macros da Internet são bloqueadas por padrão no Office
As macros VBA são uma forma comum de agentes mal-intencionados obterem acesso para implantar malware e ransomware. Portanto, para ajudar a melhorar a segurança no Office, estamos alterando o comportamento padrão dos aplicativos do Office para bloquear macros em arquivos da Internet.
Essa alteração afeta a forma como os usuários interagem com arquivos da Internet, como anexos de email contendo macros. Agora, quando os usuários abrem esse arquivo, eles veem a seguinte mensagem:
O botão Saiba mais leva a um artigo para usuários finais e profissionais da informação que contém informações sobre o risco de segurança de atores mal-intencionados usando macros, práticas seguras para evitar phishing e malware e instruções sobre como habilitar essas macros (se necessário ).
Em alguns casos, os usuários também verão a mensagem se o arquivo for de um local na sua intranet e não for identificado como confiável. Por exemplo, se os usuários estiverem acessando arquivos em um compartilhamento de rede usando o endereço IP do compartilhamento. Para obter mais informações, veja Arquivos localizados centralmente em um compartilhamento de rede ou site confiável.
Importante
Mesmo antes dessa alteração que estamos introduzindo, as organizações podiam usar a política Bloquear a execução de macros em arquivos do Office da Internet para evitar que os usuários abrissem inadvertidamente arquivos da Internet que contenham macros. Recomendamos habilitar esta política como parte da linha de base de segurança do Microsoft 365 Apps para Grandes Empresas. Se você configurar a política, sua organização não será afetada por essa alteração padrão.
Para obter mais informações, veja Usar políticas para gerenciar como o Office lida com macros.
Prepare-se para essa alteração
Prepare-se para essa alteração trabalhando com as unidades de negócios da sua organização que utilizam macros em arquivos do Office. Esses arquivos geralmente são abertos em locais como compartilhamentos de rede de intranet ou sites de intranet. Você deseja identificar essas macros e determinar quais etapas tomar para continuar usando essas macros. Trabalhe com ISVs (fornecedores independentes de software) que fornecem macros em arquivos do Office desses locais. Por exemplo, para ver se eles podem assinar digitalmente seu código e se você pode tratá-los como um editor confiável.
Além disso, revise as seguintes informações:
| Ação de preparação | Mais informações |
|---|---|
| Entenda qual versão de cada canal de atualização possui essa alteração | Versões do Office afetadas por essa alteração |
| Veja um fluxograma do processo que o Office executa para determinar se as macros devem ser executadas em um arquivo | Como o Office determina se deve executar macros em arquivos da Internet |
| Saiba mais sobre as políticas que você pode usar para controlar a execução de macros VBA | Use políticas para gerenciar como o Office lida com macros |
Etapas a serem seguidas para permitir que macros VBA sejam executadas em arquivos confiáveis
A maneira como você permite que macros VBA sejam executadas em arquivos confiáveis depende de onde esses arquivos estão localizados ou do tipo de arquivo.
A tabela a seguir lista diferentes cenários comuns e possíveis abordagens para desbloquear macros VBA e permitir sua execução. Você não precisa fazer todas as abordagens possíveis para um determinado cenário. Nos casos em que listamos múltiplas abordagens, escolha aquela que melhor se adapta à sua organização.
| Cenário | Possíveis abordagens a serem adotadas |
|---|---|
| Arquivos individuais |
• Marque a caixa de seleção Desbloquear na guia Geral da caixa de diálogo Propriedades do arquivo • Use o cmdlet Unblock-File no PowerShell Para obter mais informações, veja Remover Marca da Web de um arquivo. |
| Arquivos localizados centralmente em um compartilhamento de rede ou site confiável | Desbloqueie o arquivo usando uma abordagem listada em “Arquivos individuais”. Se não houver uma caixa de seleção Desbloquear e você quiser confiar em todos os arquivos nesse local de rede: • Designe o local como um site confiável • Adicione o local à zona Intranet local Para obter mais informações, veja Arquivos localizados centralmente em um compartilhamento de rede ou site confiável. |
| Arquivos armazenados no OneDrive ou Microsoft Office SharePoint Online, incluindo um site usado por um canal do Teams | • Faça com que os usuários abram o arquivo diretamente usando a opção Abrir no aplicativo de desktop • Se os usuários baixarem o arquivo localmente antes de abri-lo, remova o Mark of the Web da cópia local do arquivo (veja as abordagens em "Arquivos individuais") • Designe o local como um site confiável Para obter mais informações, veja Arquivos no OneDrive ou Microsoft Office SharePoint Online. |
| Arquivos de modelo habilitados para macro para Word, PowerPoint e Excel | Se o arquivo de modelo estiver armazenado no dispositivo do usuário: • Remover Marca da Web do arquivo de modelo (veja as abordagens em "Arquivos Individuais") • Salve o arquivo de modelo em um local confiável Se o arquivo de modelo estiver armazenado em um local de rede: • Use uma assinatura digital e confie no editor • Confie no arquivo de modelo (veja as abordagens em "Arquivos localizados centralmente em um compartilhamento de rede ou site confiável") Para obter mais informações, veja Arquivos de modelo habilitados para macro para Word, PowerPoint e Excel. |
| Arquivos de suplementos habilitados para macro para PowerPoint | • Remova a Marca da Web do arquivo Suplemento • Use uma assinatura digital e confie no editor • Salve o arquivo do suplemento em um local confiável Para obter mais informações, veja Arquivos de suplementos habilitados para macro para PowerPoint e Excel. |
| Arquivos de suplementos habilitados para macro para Excel | • Remova a Marca da Web do arquivo Suplemento • Salve o arquivo do suplemento em um local confiável Para obter mais informações, veja Arquivos de suplementos habilitados para macro para PowerPoint e Excel. |
| Macros assinadas por um editor confiável | • [recomendado] Implante o certificado de assinatura de código público do editor confiável para seus usuários e evite que eles próprios adicionem editores confiáveis. • Remova Mark of the Web do arquivo e peça ao usuário para adicionar o editor da macro como um editor confiável. Para obter mais informações, veja Macros assinadas por um editor confiável. |
| Grupos de arquivos salvos em pastas no dispositivo do usuário | Designe a pasta como um local confiável Para obter mais informações, veja Locais confiáveis. |
Versões do Office afetadas por essa alteração
Esta alteração afeta apenas o Office em dispositivos com o Windows e afeta apenas as seguintes aplicações: Access, Excel, PowerPoint, Project, Publisher, Visio e Word.
A tabela seguinte mostra quando esta alteração ficou disponível em cada canal de atualização para o Access, Excel, PowerPoint, Visio e Word.
| Canal de Atualização | Versão | Data |
|---|---|---|
| Canal Atual (Visualização) | Versão 2203 | Lançamento iniciado em 12 de abril de 2022 |
| Canal Atual | Versão 2206 | Lançamento iniciado em 27 de julho de 2022 |
| Canal Empresarial Mensal | Versão 2208 | 11 de outubro de 2022 |
| Canal Empresarial Semestral (Visualização) | Versão 2208 | 11 de outubro de 2022 |
| Canal Empresarial Semestral | Versão 2208 | 10 de janeiro de 2023 |
A tabela seguinte mostra quando esta alteração ficou disponível em cada canal de atualização do Publisher.
| Canal de Atualização | Versão | Data |
|---|---|---|
| Canal Atual | Versão 2301 | 14 de fevereiro de 2023 |
| Canal Empresarial Mensal | Versão 2212 | 14 de fevereiro de 2023 |
| Canal Empresarial Mensal | Versão 2211 | 14 de fevereiro de 2023 |
| Canal Empresarial Semestral (Visualização) | Versão 2208 | 14 de fevereiro de 2023 |
| Canal Empresarial Semestral | Versão 2208 | 14 de fevereiro de 2023 |
| Canal Empresarial Semestral | Versão 2202 | 14 de fevereiro de 2023 |
| Canal Empresarial Semestral | Versão 2108 | 14 de fevereiro de 2023 |
A tabela seguinte mostra quando esta alteração ficou disponível em cada canal de atualização do Project.
| Canal de Atualização | Versão | Data |
|---|---|---|
| Canal Atual | Versão 2407 | 13 de agosto de 2024 |
| Canal Empresarial Mensal | Versão 2406 | 13 de agosto de 2024 |
| Canal Empresarial Mensal | Versão 2405 | 13 de agosto de 2024 |
| Canal Empresarial Semestral (Visualização) | Versão 2402 | 13 de agosto de 2024 |
| Canal Empresarial Semestral | Versão 2402 | 13 de agosto de 2024 |
| Canal Empresarial Semestral | Versão 2308 | 13 de agosto de 2024 |
| Canal Empresarial Semestral | Versão 2302 | 13 de agosto de 2024 |
A alteração não afeta o Office em um Mac, o Office em dispositivos Android ou iOS ou o Office na Web.
Como o Office determina se deve executar macros em arquivos da Internet
O gráfico de fluxograma a seguir mostra como o Office determina se as macros devem ser executadas em um arquivo da Internet.
As etapas a seguir explicam as informações no gráfico do fluxograma, exceto para arquivos de Suplemento do Excel. Para obter mais informações sobre esses arquivos, veja Arquivos de suplementos habilitados para macro para PowerPoint e Excel. Além disso, se um arquivo estiver localizado em um compartilhamento de rede que não esteja na zona Intranet local ou não seja um site confiável, as macros serão bloqueadas nesse arquivo.
Um usuário abre um arquivo do Office contendo macros obtidas na Internet. Por exemplo, um anexo de email. O arquivo possui Marca da Web (MOTW).
Observação
- A Marca da Web é adicionada pelo Windows a arquivos de um local não confiável, como a Internet ou Zona Restrita. Por exemplo, downloads do navegador ou anexos de email. Para mais informações, veja Marca da Web e zonas.
- A Marca da Web se aplica apenas a arquivos salvos em um sistema de arquivos NTFS, não a arquivos salvos em dispositivos formatados em FAT32.
Se o arquivo for de um local confiável, o arquivo será aberto com as macros habilitadas. Se o arquivo não for de um local confiável, a avaliação continuará.
Se as macros tiverem uma assinatura digital e seu dispositivo tiver o certificado de Trusted Publisher correspondente, o arquivo será aberto com as macros habilitadas. Caso contrário, a avaliação continua.
As políticas são verificadas para ver se as macros são permitidas ou bloqueadas. Se as políticas estiverem definidas como Não configuradas, a avaliação continuará na Etapa 6.
(a) Se as macros forem bloqueadas por política, as macros serão bloqueadas.
(b) Se as macros forem habilitadas pela política, as macros serão habilitadas.Se o usuário abriu o arquivo anteriormente, antes dessa alteração no comportamento padrão, e selecionou Habilitar conteúdo na Barra de Confiança, então as macros serão habilitadas porque o arquivo é considerado confiável.
Observação
- Para obter mais informações, veja Novas políticas de reforço de segurança para documentos confiáveis.
- Para versões perpétuas do Office, como Office LTSC 2021 ou Office 2019, essa etapa ocorre após a Etapa 3 e antes da Etapa 4 e não é afetada pela alteração no comportamento padrão.
Essa etapa é onde a alteração no comportamento padrão do Office entra em vigor. Com essa alteração, macros em arquivos da internet são bloqueadas e os usuários veem o banner Risco de Segurança ao abrir o arquivo.
Observação
Anteriormente, antes dessa alteração no comportamento padrão, o aplicativo verificava se a política Configurações de notificação de macro do VBA estava habilitada e como estava configurada. Se a política fosse definida como Desabilitada ou Não configurada, o aplicativo verificaria as configurações em Arquivo>Opções>Central de confiabilidade>Configurações da central de confiabilidade...>Configurações de macro. O padrão é definido como “Desabilitar todas as macros com notificação”, o que permite aos usuários habilitar o conteúdo na Barra de Confiança.
Orientação sobre como permitir que macros VBA sejam executadas em arquivos confiáveis
Remover Marca da Web de um arquivo
Para desbloquear macros em um arquivo, como um da Internet ou um anexo de email, remova a Marca da Web no seu dispositivo local. Para remover, clique com o botão direito no arquivo, escolha Propriedades e marque a caixa de seleção Desbloquear na guia Geral.
Observação
- Em alguns casos, geralmente para arquivos em um compartilhamento de rede, os usuários podem não ver a caixa de seleção Desbloquear para um arquivo onde as macros estão sendo bloqueadas. Para esses casos, veja Arquivos localizados centralmente em um compartilhamento de rede ou site confiável.
- Mesmo que a caixa de seleção Desbloquear esteja disponível para um arquivo em um compartilhamento de rede, marcar a caixa de seleção não terá nenhum efeito se o compartilhamento for considerado na zona Internet. Para mais informações, veja Marca da Web e zonas.
Você também pode usar o cmdlet Unblock-File no PowerShell para remover o valor ZoneId do arquivo. A remoção do valor ZoneId permite que macros VBA sejam executadas por padrão. Usar o cmdlet faz o mesmo que marcar a caixa de seleção Desbloquear na guia Geral da caixa de diálogo Propriedades do arquivo. Para obter mais informações sobre o valor ZoneId, veja Marca da Web e zonas.
Arquivos localizados centralmente em um compartilhamento de rede ou site confiável
Se seus usuários acessarem arquivos de um site confiável ou de um servidor de arquivos interno, você poderá executar uma das etapas a seguir para que as macros desses locais não sejam bloqueadas.
Designe o local como um site confiável
Se o local da rede estiver na intranet, adicione o local à zona Intranet local
Observação
- Se você adicionar algo como um site confiável, também estará concedendo permissões elevadas a todo o site para cenários não relacionados ao Office.
- Para a abordagem da zona Intranet local, recomendamos que você salve os arquivos em um local que já seja considerado parte da zona Intranet local, em vez de adicionar novos locais a essa zona.
- Em geral, recomendamos que você use sites confiáveis, pois eles possuem alguma segurança adicional em comparação à zona da Intranet local.
Por exemplo, se os usuários estiverem acessando um compartilhamento de rede usando seu endereço IP, as macros nesses arquivos serão bloqueadas, a menos que o compartilhamento de arquivos esteja na zona Sites confiáveis ou na zona Intranet local.
Dica
- Para ver uma lista de sites confiáveis ou o que está na zona Intranet local, vá para Painel de controle>Opções da Internet>Alterar configurações de segurança em um dispositivo Windows.
- Para verificar se um arquivo individual é de um site confiável ou local da intranet local, veja Marca da Web e zonas.
Por exemplo, você pode adicionar um servidor de arquivos ou compartilhamento de rede como site confiável, adicionando seu FQDN ou endereço IP à lista de sites confiáveis.
Se você quiser adicionar URLs que começam com http:// ou compartilhamentos de rede, desmarque a caixa de seleção Exigir verificação do servidor (https:) para todos os sites nesta zona.
Importante
Como as macros não são bloqueadas em arquivos desses locais, você deve gerenciá-los com cuidado. Certifique-se de controlar quem tem permissão para salvar arquivos nesses locais.
Você pode usar a Política de Grupo e a política "Lista de Atribuição de Site a Zona" para adicionar locais como sites confiáveis ou à zona Intranet local para dispositivos Windows em sua organização. Essa política é encontrada em Componentes do Windows\Internet Explorer\Painel de Controle da Internet\Página de Segurança no Console de Gerenciamento de Política de Grupo. Ele está disponível em Configuração do Computador\Políticas\Modelos Administrativos e Configuração do Usuário\Políticas\Modelos Administrativos.
Arquivos no OneDrive ou Microsoft Office SharePoint Online
Se um usuário baixar um arquivo no OneDrive ou Microsoft Office SharePoint Online usando um navegador da web, a configuração da zona de segurança da Internet do Windows (Painel de Controle>Opções da Internet>Segurança) determina se o navegador define a Marca da Web. Por exemplo, o Microsoft Edge define Marca da Web em um arquivo se ele for da zona da Internet.
Se um usuário selecionar Abrir no aplicativo de desktop em um arquivo aberto no site do OneDrive ou em um site do Microsoft Office SharePoint Online (incluindo um site usado por um canal do Teams), o arquivo não terá a Marca da Web.
Se um usuário tiver o cliente de sincronização do OneDrive em execução e o cliente de sincronização baixar um arquivo, o arquivo não terá a Marca da Web.
Os arquivos que estão em pastas conhecidas do Windows (Área de Trabalho, Documentos, Imagens, Capturas de tela e Rolo da Câmera) e são sincronizados com o OneDrive não possuem Marca da Web.
Se você tem um grupo de usuários, como o departamento financeiro, que precisa usar arquivos do OneDrive ou do Microsoft Office SharePoint Online sem que as macros sejam bloqueadas, aqui estão algumas opções possíveis:
Peça-lhes que abram o arquivo usando a opção Abrir no aplicativo de desktop
Peça-lhes que baixem o arquivo para um local confiável.
Defina a atribuição da zona de segurança da Internet do Windows para domínios do OneDrive ou do Microsoft Office SharePoint Online como Sites Confiáveis. Os administradores podem usar a política "Lista de atribuições de site para zona" e configurar a política para colocar
https://{your-domain-name}.sharepoint.com(para Microsoft Office SharePoint Online) ouhttps://{your-domain-name}-my.sharepoint.com(para OneDrive) na zona de Sites Confiáveis.Essa política é encontrada em Componentes do Windows\Internet Explorer\Painel de Controle da Internet\Página de Segurança no Console de Gerenciamento de Política de Grupo. Ele está disponível em Configuração do Computador\Políticas\Modelos Administrativos e Configuração do Usuário\Políticas\Modelos Administrativos.
As permissões do Microsoft Office SharePoint Online e o compartilhamento do OneDrive não são alterados com a adição desses locais a Sites Confiáveis. Manter o controle de acesso é importante. Qualquer pessoa com permissão para adicionar arquivos ao Microsoft Office SharePoint Online poderá adicionar arquivos com conteúdo ativo, como macros. Os usuários que baixam arquivos de domínios na zona Sites confiáveis ignoram o padrão para bloquear macros.
Arquivos de modelo habilitados para macro para Word, PowerPoint e Excel
Arquivos de modelo habilitados para macro para Word, PowerPoint e Excel baixados da Internet têm Marca da Web. Por exemplo, arquivos de modelo com as seguintes extensões:
- .dot
- .dotm
- .pot
- .potm
- .xlt
- .xltm
Quando o usuário abre o arquivo de modelo habilitado para macro, ele é impedido de executar as macros no arquivo de modelo. Se o usuário confiar na origem do arquivo de modelo, ele poderá remover o Mark of the Web do arquivo de modelo e, em seguida, reabrir o arquivo de modelo no Aplicativo do Office.
Se você tiver um grupo de usuários que precisa usar modelos habilitados para macro sem que as macros sejam bloqueadas, você poderá realizar uma das seguintes ações:
- Use uma assinatura digital e confie no editor.
- Se não estiver usando assinaturas digitais, você pode salvar o arquivo de modelo em um Local confiável e fazer com que os usuários obtenham o arquivo de modelo nesse local.
Arquivos de suplementos habilitados para macro para PowerPoint e Excel
Arquivos de suplemento habilitados para macro para PowerPoint e Excel baixados da Internet têm Marca da Web. Por exemplo, arquivos de suplemento com as seguintes extensões:
- .ppa
- .ppam
- .xla
- .xlam
Quando o usuário tenta instalar o suplemento habilitado para macro, usando Arquivo>Opções>Suplementos ou usando a faixa Desenvolvedor, o suplemento é carregado em um estado desabilitado e o usuário é impedido de usar o suplemento. Se o usuário confiar na origem do arquivo do Suplemento, ele poderá remover a Marca da Web do arquivo do Suplemento e reabrir o PowerPoint ou Excel para usar o Suplemento.
Se você tiver um grupo de usuários que precisa usar arquivos de suplemento habilitados para macro sem que as macros sejam bloqueadas, você pode executar as seguintes ações.
Para arquivos de suplementos do PowerPoint:
- Remova a Marca da Web do arquivo .ppa ou .ppam.
- Use uma assinatura digital e confie no editor.
- Salve o arquivo do suplemento em um Local confiável para que os usuários possam recuperá-lo.
Para arquivos de suplementos do Excel:
- Remova a Marca da Web do arquivo .xla ou .xlam.
- Salve o arquivo do suplemento em um Local confiável para que os usuários possam recuperá-lo.
Observação
Usar uma assinatura digital e confiar no editor não funciona para arquivos de suplemento do Excel que possuem Marca da Web. Esse comportamento não é novo para arquivos de suplemento do Excel que possuem Marca da Web. Funciona dessa forma desde 2016, como resultado de um esforço anterior de fortalecimento da segurança (relacionado ao Boletim de Segurança da Microsoft MS16-088).
Macros assinadas por um editor confiável
Se a macro estiver assinada e você validar o certificado e confiar na fonte, poderá tornar essa fonte um publicador confiável. Recomendamos, se possível, que você gerencie editores confiáveis para seus usuários. Para obter mais informações, veja Editores confiáveis para arquivos do Office.
Se você tiver apenas alguns usuários, poderá fazer com que eles removam o Mark of the Web do arquivo e então adicionem a fonte da macro como um editor confiável em seus dispositivos.
Aviso
- Todas as macros assinadas validamente com o mesmo certificado são reconhecidas como provenientes de um editor confiável e são executadas.
- Adicionar um editor confiável pode afetar cenários além daqueles relacionados ao Office, porque um editor confiável é uma configuração para todo o Windows, e não apenas uma configuração específica do Office.
Locais Confiáveis.
Salvar arquivos da Internet em um local confiável no dispositivo de um usuário ignora a verificação de Marca da Web e abre com macros VBA habilitadas. Por exemplo, um aplicativo de linha de negócios poderia enviar relatórios com macros de forma recorrente. Se os arquivos com macros forem salvos em um local confiável, os usuários não precisam acessar as Propriedades do arquivo e selecionar Desbloquear para permitir a execução das macros.
Como as macros não são bloqueadas em arquivos salvos em um local confiável, você deve gerenciar os locais confiáveis com cuidado e usá-los com moderação. Os locais de rede também podem ser definidos como locais confiáveis, mas isso não é recomendado. Para obter mais informações, veja Locais confiáveis para arquivos do Office.
Informações adicionais sobre Marca da Web
Marca da Web e documentos confiáveis
Quando um arquivo é baixado para um dispositivo com Windows, a Marca da Web é adicionada ao arquivo, identificando sua origem como sendo da internet. Atualmente, quando um usuário abre um arquivo com Marca da Web, aparece um banner AVISO DE SEGURANÇA, com um botão Habilitar conteúdo. Se o usuário selecionar Habilitar conteúdo, o arquivo será considerado um documento confiável e as macros poderão ser executadas. As macros continuarão a ser executadas mesmo após a implementação da alteração de comportamento padrão para bloquear macros em arquivos da Internet, pois o arquivo ainda é considerado um Documento Confiável.
Após a alteração do comportamento padrão para bloquear macros em arquivos da internet, os usuários verão um banner diferente na primeira vez que abrirem um arquivo com macros da internet. Esse banner RISCO DE SEGURANÇA não tem a opção de Habilitar conteúdo. Mas os usuários podem ir para a caixa de diálogo Propriedades do arquivo e selecionar Desbloquear, o que removerá o Mark of the Web do arquivo e permitirá que as macros sejam executadas, desde que nenhuma política ou configuração da Central de Confiabilidade esteja bloqueando.
Marca da Web e zonas
Por padrão, a Marca da Web é adicionada aos arquivos apenas das zonas Internet ou Sites restritos.
Dica
Para ver essas zonas em um dispositivo Windows, vá para Painel de Controle>Opções da Internet >Alterar configurações de segurança.
Você pode visualizar o valor ZoneId de um arquivo executando o comando a seguir em um prompt de comando e substituindo {name of file} pelo nome do arquivo.
notepad {name of file}:Zone.Identifier
Ao executar este comando, o Bloco de notas abrirá e exibirá o ZoneId na seção [ZoneTransfer].
Aqui está uma lista de valores ZoneId e para qual zona eles mapeiam.
- 0 = Meu Computador
- 1 = Intranet local
- 2 = Sites confiáveis
- 3 = Internet
- 4 = Sites restritos
Por exemplo, se ZoneId for 2, as macros VBA nesse arquivo não serão bloqueadas por padrão. Mas se ZoneId for 3, as macros nesse arquivo serão bloqueadas por padrão.
Você pode usar o cmdlet Unblock-File no PowerShell para remover o valor ZoneId do arquivo. A remoção do valor ZoneId permite que macros VBA sejam executadas por padrão. Usar o cmdlet faz o mesmo que marcar a caixa de seleção Desbloquear na guia Geral da caixa de diálogo Propriedades do arquivo.
Use políticas para gerenciar como o Office lida com macros
Você pode usar políticas para gerenciar como o Office lida com macros. Recomendamos que você use a política Impedir a execução de macros em arquivos do Office a partir da Internet. Mas se essa política não for apropriada para sua organização, a outra opção é a política Configurações de notificação de macro VBA.
Para obter mais informações sobre como implantar essas políticas, veja Ferramentas disponíveis para gerenciar políticas.
Importante
Você só poderá usar políticas se estiver usando o Microsoft 365 Apps para Grandes Empresas. As políticas não estão disponíveis para Microsoft 365 Apps para Pequenos e Médios negócios.
Impedir a execução de macros em arquivos do Office da Internet
Essa política impede que os usuários abram inadvertidamente arquivos contendo macros da Internet. Quando um arquivo é baixado para um dispositivo com Windows ou aberto em um local de compartilhamento de rede, a Marca da Web é adicionada ao arquivo, identificando que ele foi originado da Internet.
Recomendamos habilitar esta política como parte da linha de base de segurança do Microsoft 365 Apps para Grandes Empresas. Você deve habilitar esta política para a maioria dos usuários e abrir exceções apenas para determinados usuários, conforme necessário.
Existe uma política separada para cada uma das sete aplicações. A tabela a seguir mostra onde cada política pode ser encontrada no Console de gerenciamento de política de grupo em Configuração do usuário\Políticas\Modelos administrativos:
| Application | Localização da política |
|---|---|
| Access | Microsoft Access 2016\Configurações do aplicativo\Segurança\Central de confiabilidade |
| Excel | Microsoft Excel 2016\Opções do Excel\Segurança\Central de Confiabilidade |
| PowerPoint | Microsoft PowerPoint 2016\Opções do PowerPoint\Segurança\Central de Confiabilidade |
| Project | Microsoft Project 2016\Project Options\Security\Trust Center |
| Publisher | Microsoft Publisher 2016\Opções do Publisher\Segurança\Centro de Confiança |
| Visio | Microsoft Visio 2016\Opções do Visio\Segurança\Central de Confiabilidade |
| Word | Microsoft Word 2016\Opções do Word\Segurança\Central de Confiabilidade |
O estado que você escolhe para a apólice determina o nível de proteção que você oferece. A tabela a seguir mostra o nível atual de proteção que você obtém com cada estado, antes que a alteração no comportamento padrão seja implementada.
| Ícone | Nível de Proteção | Estado da política | Descrição |
|---|---|---|---|
|
Proteção [recomendada] | Habilitado | Os usuários são impedidos de executar macros em arquivos obtidos da Internet. Parte da linha de base de segurança recomendada pela Microsoft. |
|
Não protegido | Desabilitado | Respeitará as configurações definidas em Arquivo>Opções>Central de Confiabilidade>Configurações da Central de Confiabilidade...>Configurações de Macro. |
|
|
Não protegido | Não Configurado | Respeitará as configurações definidas em Arquivo>Opções>Central de Confiabilidade>Configurações da Central de Confiabilidade...>Configurações de Macro. |
Observação
- Se você definir essa política como Desabilitada, os usuários verão, por padrão, um aviso de segurança ao abrirem um arquivo com uma macro. Esse aviso informará aos usuários que as macros foram desabilitadas, mas permitirá que eles executem as macros escolhendo o botão Habilitar conteúdo.
- Esse aviso é o mesmo que os usuários receberam anteriormente, antes desta mudança recente que estamos implementando para bloquear macros.
- Não recomendamos definir essa política como Desabilitada permanentemente. Mas, em alguns casos, pode ser prático fazê-lo temporariamente enquanto você testa como o novo comportamento de bloqueio de macros afeta sua organização e enquanto desenvolve uma solução para permitir o uso seguro de macros.
Depois de implementarmos a alteração no comportamento padrão, o nível de proteção altera quando a política é definida como Não configurada.
| Ícone | Nível de Proteção | Estado da política | Descrição |
|---|---|---|---|
|
|
Protegido | Não Configurado | Os usuários são impedidos de executar macros em arquivos obtidos da Internet. Os usuários veem o banner Risco de segurança com um botão Saiba mais |
Configurações de notificação de macro VBA
Se você não usar a política "Bloquear a execução de macros em arquivos do Office da Internet", poderá usar a política "Configurações de notificação de macro do VBA" para gerenciar como as macros são tratadas pelo Office.
Essa política evita que os usuários sejam induzidos a habilitar macros maliciosas. Por padrão, o Office está configurado para bloquear arquivos que contenham macros VBA e exibir uma barra de confiança com um aviso de que as macros estão presentes e foram desabilitadas. Os usuários podem inspecionar e editar os arquivos, se apropriado, mas não podem usar nenhuma funcionalidade desabilitada até selecionarem Habilitar Conteúdo na Barra de Confiança. Se o usuário selecionar Habilitar Conteúdo, o arquivo será adicionado como um Documento Confiável e as macros poderão ser executadas.
Existe uma política separada para cada uma das sete aplicações. A tabela a seguir mostra onde cada política pode ser encontrada no Console de gerenciamento de política de grupo em Configuração do usuário\Políticas\Modelos administrativos:
| Application | Localização da política |
|---|---|
| Access | Microsoft Access 2016\Configurações do aplicativo\Segurança\Central de confiabilidade |
| Excel [1] | Microsoft Excel 2016\Opções do Excel\Segurança\Central de Confiabilidade |
| PowerPoint | Microsoft PowerPoint 2016\Opções do PowerPoint\Segurança\Central de Confiabilidade |
| Project | Microsoft Project 2016\Project Options\Security\Trust Center |
| Publisher | Microsoft Publisher 2016\Opções do Publisher\Segurança\Centro de Confiança |
| Visio | Microsoft Visio 2016\Opções do Visio\Segurança\Central de Confiabilidade |
| Word | Microsoft Word 2016\Opções do Word\Segurança\Central de Confiabilidade |
Observação
- [1] No Excel, a política é denominada Configurações de notificação de macro.
O estado que você escolhe para a apólice determina o nível de proteção que você oferece. A tabela a seguir mostra o nível de proteção que você obtém em cada estado.
| Ícone | Nível de Proteção | Estado da política | Valor da política |
|---|---|---|---|
|
|
Proteção [recomendada] | Habilitado | Desabilite todas as macros, exceto as assinadas digitalmente (e selecione "Exigir que as macros sejam assinadas por um editor confiável") |
|
|
Protegido | Habilitado | Desabilitar tudo sem notificação |
|
Parcialmente protegido | Habilitado | Desabilitar tudo com notificação |
|
|
Parcialmente protegido | Desabilitado | (Mesmo comportamento de "Desabilitar tudo com notificação") |
|
|
Não protegido | Habilitado | Habilite todas as macros (não recomendado) |
Importante
Proteger macros é importante. Para usuários que não precisam de macros, desative todas as macros escolhendo “Desabilitar todas sem notificação”.
Nossa recomendação básica de segurança é que você faça o seguinte:
- Habilite a política "Configurações de notificação de macro VBA".
- Para usuários que precisam de macros, escolha "Desabilitar todos, exceto macros assinadas digitalmente" e selecione "Exigir que as macros sejam assinadas por um editor confiável". O certificado precisa ser instalado como Publicador confiável nos dispositivos dos usuários.
Se você não configurar a política, os usuários poderão definir as configurações de proteção de macro em Arquivo>Opções>Central de confiabilidade>Configurações da central de confiabilidade...>Configurações de macro.
A tabela a seguir mostra as escolhas que os usuários podem fazer em Configurações de Macro e o nível de proteção que cada configuração oferece.
| Ícone | Nível de Proteção | Configuração escolhida |
|---|---|---|
|
|
Protegido | Desabilitar todas as macros, exceto as digitalmente assinadas |
|
|
Protegido | Desabilitar todas as macros sem notificação |
|
|
Parcialmente protegido | Desabilitar todas as macros com notificação (padrão) |
|
|
Não protegido | Habilitar todas as macros (não recomendável; pode ser executado código possivelmente perigoso) |
Observação
Nos valores de configuração de política e na interface do usuário do produto para Excel, a palavra "todos" é substituída por "VBA". Por exemplo, "Desabilitar macros VBA sem notificação".
Ferramentas disponíveis para gerenciar políticas
Existem diversas ferramentas disponíveis para você definir e implantar configurações de política para usuários em sua organização.
- Política de Nuvem
- Centro de administração do Microsoft Intune
- Console de Gerenciamento de Política de Grupo
Política de Nuvem
Você pode usar o Cloud Policy para definir e implantar configurações de política em dispositivos na sua organização, mesmo que o dispositivo não esteja ingressado no domínio. O Cloud Policy é uma ferramenta baseada na Web e pode ser encontrada no Centro de administração do Microsoft 365 Apps.
No Cloud Policy, você cria uma configuração de política, atribui a um grupo e, em seguida, seleciona políticas a serem incluídas na configuração de política. Para selecionar uma política a ser incluída, você pode pesquisar pelo nome da política. A Política de Nuvem também mostra quais políticas fazem parte da linha de base de segurança recomendada pela Microsoft. As políticas disponíveis no Cloud Policy são as mesmas políticas de configuração do usuário disponíveis no Group Policy Management Console.
Para obter mais informações, veja Visão geral do serviço Cloud Policy para Microsoft 365.
Centro de administração do Microsoft Intune
No Centro de administração do Microsoft Intune, você pode usar o catálogo de configurações (versão prévia) ou os modelos administrativos para definir e implantar configurações de política para seus usuários em dispositivos que executam o Windows 10 ou posterior.
Para começar, vá para Dispositivos>Perfis de configuração>Criar perfil. Para Plataforma, escolha Windows 10 e posterior e depois escolha o tipo de perfil.
Para saber mais, confira os seguintes artigos:
- Usar o catálogo de configurações para definir configurações em dispositivos Windows e macOS – versão prévia
- Usar Windows 10/11 para definir configurações de política de grupo no Microsoft Intune
Console de Gerenciamento de Política de Grupo
Se você tiver o Windows Server e os Serviços de Domínio Active Directory (AD DS) implantados em sua organização, poderá configurar políticas usando a Política de Grupo. Para usar a Política de Grupo, baixe os arquivos de modelo administrativo (ADMX/ADML) mais recentes para Office, que incluem as configurações de política para Microsoft 365 Apps para Grandes Empresas. Depois de copiar os arquivos do modelo administrativo para o AD DS, você poderá usar o Console de gerenciamento de política de grupo para criar objetos de política de grupo (GPOs) que incluam configurações de política para seus usuários e para dispositivos ingressados no domínio.