Le macro da Internet vengono bloccate per impostazione predefinita in Office
Le macro VBA sono un modo comune per gli attori malintenzionati di ottenere l'accesso per distribuire malware e ransomware. Pertanto, per migliorare la sicurezza in Office, si modifica il comportamento predefinito delle applicazioni di Office per bloccare le macro nei file da Internet.
Questa modifica influisce sul modo in cui gli utenti interagiscono con i file da Internet, ad esempio gli allegati di posta elettronica contenenti macro. Ora, quando gli utenti aprono un file di questo tipo, visualizzano il messaggio seguente:
Il pulsante Altre informazioni è disponibile in un articolo per gli utenti finali e gli information worker che contiene informazioni sul rischio di sicurezza degli attori malintenzionati che usano macro, procedure sicure per prevenire phishing e malware e istruzioni su come abilitare queste macro (se necessario).
In alcuni casi, gli utenti visualizzano anche il messaggio se il file proviene da un percorso all'interno della intranet e non viene identificato come attendibile. Ad esempio, se gli utenti accedono ai file in una condivisione di rete usando l'indirizzo IP della condivisione. Per altre informazioni, vedere File in posizione centrale in una condivisione di rete o in un sito Web attendibile.
Importante
Anche prima dell'introduzione di questa modifica, le organizzazioni possono usare le macro Blocca in esecuzione nei file di Office dai criteri Internet per impedire agli utenti di aprire inavvertitamente file da Internet contenenti macro. È consigliabile abilitare questo criterio come parte della baseline di sicurezza per Microsoft 365 Apps for enterprise. Se si configurano i criteri, l'organizzazione non sarà interessata da questa modifica predefinita.
Per altre informazioni, vedere Usare i criteri per gestire il modo in cui Office gestisce le macro.
Prepararsi per questa modifica
Per prepararsi a questa modifica, usare le business unit dell'organizzazione che utilizzano macro nei file di Office. Questi file vengono spesso aperti da posizioni come condivisioni di rete Intranet o siti Web Intranet. Si desidera identificare tali macro e determinare i passaggi da eseguire per continuare a usare tali macro. Collaborare con fornitori di software indipendenti (ISV) che forniscono macro nei file di Office da tali posizioni. Ad esempio, per verificare se possono firmare digitalmente il codice ed è possibile considerarlo come un editore attendibile.
Esaminare anche le informazioni seguenti:
| Azione di preparazione | Ulteriori informazioni |
|---|---|
| Informazioni sulla versione in ogni canale di aggiornamento con questa modifica | Versioni di Office interessate da questa modifica |
| Vedere un diagramma di flusso del processo eseguito da Office per determinare se eseguire macro in un file | Come Office determina se eseguire macro in file da Internet |
| Informazioni sui criteri che è possibile usare per controllare l'esecuzione di macro VBA | Usare i criteri per gestire il modo in cui Office gestisce le macro |
Passaggi da eseguire per consentire l'esecuzione di macro VBA in file attendibili
La modalità di esecuzione delle macro VBA in file attendibili dipende dalla posizione dei file o dal tipo di file.
Nella tabella seguente sono elencati diversi scenari comuni e possibili approcci da adottare per sbloccare le macro VBA e consentirne l'esecuzione. Non è necessario eseguire tutti gli approcci possibili per un determinato scenario. Nei casi in cui vengono elencati più approcci, scegliere quello più adatto all'organizzazione.
| Scenario | Possibili approcci da adottare |
|---|---|
| Singoli file |
• Selezionare la casella di controllo Sblocca nella scheda Generale della finestra di dialogo Proprietà per il file • Usare il cmdlet Unblock-File in PowerShell Per altre informazioni, vedere Rimuovere il segno del Web da un file. |
| File in posizione centrale in una condivisione di rete o in un sito Web attendibile | Sbloccare il file usando un approccio elencato in "Singoli file". Se non è presente una casella di controllo Sblocca e si vuole considerare attendibili tutti i file in tale percorso di rete: • Designare la posizione come sito attendibile • Aggiungere il percorso all'area Intranet locale Per altre informazioni, vedere File in posizione centrale in una condivisione di rete o in un sito Web attendibile. |
| File archiviati in OneDrive o SharePoint, incluso un sito usato da un canale di Teams | • Fare in modo che gli utenti aprano direttamente il file usando l'opzione Apri nell'app desktop • Se gli utenti scaricano il file in locale prima di aprirlo, rimuovere Mark of the Web dalla copia locale del file (vedere gli approcci in "Singoli file") • Designare la posizione come sito attendibile Per altre informazioni, vedere File in OneDrive o SharePoint. |
| File di modello abilitati per le macro per Word, PowerPoint ed Excel | Se il file modello è archiviato nel dispositivo dell'utente: • Rimuovere Mark of the Web dal file modello (vedere gli approcci in "Singoli file") • Salvare il file modello in un percorso attendibile Se il file modello è archiviato in un percorso di rete: • Usare una firma digitale e considerare attendibile l'editore • Considerare attendibile il file modello (vedere gli approcci in "File posizionati centralmente in una condivisione di rete o in un sito Web attendibile") Per altre informazioni, vedere File di modello abilitati per macro per Word, PowerPoint ed Excel. |
| File del componente aggiuntivo abilitati per le macro per PowerPoint | • Rimuovere il segno del Web dal file del componente aggiuntivo • Usare una firma digitale e considerare attendibile l'editore • Salvare il file del componente aggiuntivo in un percorso attendibile Per altre informazioni, vedere File di componenti aggiuntivi abilitati per la macro per PowerPoint ed Excel. |
| File del componente aggiuntivo abilitati per le macro per Excel | • Rimuovere il segno del Web dal file del componente aggiuntivo • Salvare il file del componente aggiuntivo in un percorso attendibile Per altre informazioni, vedere File di componenti aggiuntivi abilitati per la macro per PowerPoint ed Excel. |
| Macro firmate da un autore attendibile | • [consigliato] Distribuire il certificato di firma del codice pubblico per l'autore attendibile agli utenti e impedire agli utenti di aggiungere autori attendibili. • Rimuovere Mark of the Web dal file e fare in modo che l'utente aggiusti l'autore della macro come autore attendibile. Per altre informazioni, vedere Macro firmate da un autore attendibile. |
| Gruppi di file salvati in cartelle nel dispositivo dell'utente | Designare la cartella un percorso attendibile Per altre informazioni, vedere Percorsi attendibili. |
Versioni di Office interessate da questa modifica
Questa modifica influisce solo su Office nei dispositivi che eseguono Windows e riguarda solo le applicazioni seguenti: Access, Excel, PowerPoint, Visio e Word.
La tabella seguente mostra quando questa modifica è diventata disponibile in ogni canale di aggiornamento.
| Canale di aggiornamento | Versione | Data |
|---|---|---|
| Canale corrente (anteprima) | Versione 2203 | Avvio dell'implementazione il 12 aprile 2022 |
| Canale corrente | Versione 2206 | Avvio dell'implementazione il 27 luglio 2022 |
| Canale Enterprise mensile | Versione 2208 | 11 ottobre 2022 |
| Canale Enterprise semestrale (Anteprima) | Versione 2208 | 11 ottobre 2022 |
| Canale Enterprise semestrale | Versione 2208 | 10 gennaio 2023 |
La modifica non influisce su Office in un Mac, Office in dispositivi Android o iOS o Office sul web.
Come Office determina se eseguire macro in file da Internet
L'immagine del diagramma di flusso seguente mostra come Office determina se eseguire macro in un file da Internet.
I passaggi seguenti illustrano le informazioni nell'immagine del diagramma di flusso, ad eccezione dei file del componente aggiuntivo di Excel. Per altre informazioni su tali file, vedere File di componenti aggiuntivi abilitati per la macro per PowerPoint ed Excel. Inoltre, se un file si trova in una condivisione di rete che non si trova nell'area Intranet locale o non è un sito attendibile, le macro vengono bloccate in tale file.
- Un utente apre un file di Office contenente macro ottenute da Internet. Ad esempio, un allegato di posta elettronica. Il file contiene mark of the Web (MOTW).
Nota
- Il contrassegno del Web viene aggiunto da Windows ai file da un percorso non attendibile, ad esempio Internet o l'area con restrizioni. Ad esempio, download del browser o allegati di posta elettronica. Per altre informazioni, vedere Contrassegno del Web e delle zone.
- Il contrassegno del Web si applica solo ai file salvati in un file system NTFS, non ai file salvati nei dispositivi in formato FAT32.
Se il file proviene da un percorso attendibile, il file viene aperto con le macro abilitate. Se il file non proviene da un percorso attendibile, la valutazione continua.
Se le macro hanno una firma digitale e il dispositivo ha il certificato autore attendibile corrispondente, il file viene aperto con le macro abilitate. In caso contrario, la valutazione continua.
I criteri vengono controllati per verificare se le macro sono consentite o bloccate. Se i criteri sono impostati su Non configurato, la valutazione continua al passaggio 6.
(a) Se le macro sono bloccate dai criteri, le macro vengono bloccate. (b) Se le macro sono abilitate dai criteri, le macro sono abilitate.
Se l'utente ha aperto il file in precedenza, prima di questa modifica nel comportamento predefinito e ha selezionato Abilita contenuto dalla barra di attendibilità, le macro vengono abilitate perché il file è considerato attendibile.
Nota
- Per altre informazioni, vedere Nuovi criteri di protezione avanzata per i documenti attendibili.
- Per le versioni perpetue di Office, ad esempio Office LTSC 2021 o Office 2019, questo passaggio si verifica dopo il passaggio 3 e prima del passaggio 4 e non è interessato dalla modifica del comportamento predefinito.
- In questo passaggio viene applicata la modifica al comportamento predefinito di Office. Con questa modifica, le macro nei file da Internet vengono bloccate e gli utenti visualizzano il banner Rischi per la sicurezza quando aprono il file.
Nota
In precedenza, prima di questa modifica nel comportamento predefinito, l'app controllava se i criteri impostazioni di notifica macro VBA erano abilitati e come è stato configurato.
Se il criterio è stato impostato su Disabilitato o Non configurato, l'app controllerà le impostazioni inOpzioni>file> Impostazionicentro>protezione...>Impostazioni macro. Il valore predefinito è "Disabilita tutte le macro con notifica", che consente agli utenti di abilitare il contenuto nella barra di attendibilità.
Indicazioni su come consentire l'esecuzione di macro VBA nei file attendibili
Rimuovere il segno del Web da un file
Per sbloccare le macro in un file, ad esempio uno da Internet o un allegato di posta elettronica, rimuovere il segno del Web nel dispositivo locale. Per rimuovere, fare clic con il pulsante destro del mouse sul file, scegliere Proprietà e quindi selezionare la casella di controllo Sblocca nella scheda Generale .
Nota
- In alcuni casi, in genere per i file in una condivisione di rete, gli utenti potrebbero non visualizzare la casella di controllo Sblocca per un file in cui le macro vengono bloccate. Per questi casi, vedere File in posizione centrale in una condivisione di rete o in un sito Web attendibile.
- Anche se la casella di controllo Sblocca è disponibile per un file in una condivisione di rete, la selezione della casella di controllo non avrà alcun effetto se la condivisione viene considerata nell'area Internet . Per altre informazioni, vedere Contrassegno del Web e delle zone.
È anche possibile usare il cmdlet Unblock-File in PowerShell per rimuovere il valore ZoneId dal file. La rimozione del valore ZoneId consente l'esecuzione delle macro VBA per impostazione predefinita. L'uso del cmdlet consente di selezionare la casella di controllo Sblocca nella scheda Generale della finestra di dialogo Proprietà per il file. Per altre informazioni sul valore ZoneId, vedere Contrassegno del Web e delle zone.
File in posizione centrale in una condivisione di rete o in un sito Web attendibile
Se gli utenti accedono ai file da un sito Web attendibile o da un file server interno, è possibile eseguire una delle operazioni seguenti in modo che le macro di tali posizioni non vengano bloccate.
- Designare il percorso come sito attendibile
- Se il percorso di rete si trova nella intranet, aggiungere il percorso all'area Intranet locale
Nota
- Se si aggiunge un elemento come sito attendibile, si assegnano anche all'intero sito autorizzazioni elevate per scenari non correlati a Office.
- Per l'approccio area Intranet locale , è consigliabile salvare i file in un percorso che è già considerato parte dell'area Intranet locale , anziché aggiungere nuove posizioni a tale area.
- In generale, è consigliabile usare siti attendibili, perché hanno una sicurezza aggiuntiva rispetto all'area Intranet locale .
Ad esempio, se gli utenti accedono a una condivisione di rete usando il relativo indirizzo IP, le macro in tali file vengono bloccate a meno che la condivisione file non si trovi nei siti attendibili o nell'area Intranet locale .
Consiglio
- Per visualizzare un elenco di siti attendibili o gli elementi presenti nell'area Intranet locale, passare a Pannello di controllo>Opzioni> internetModificare le impostazioni di sicurezza in un dispositivo Windows.
- Per verificare se un singolo file proviene da un sito attendibile o da un percorso Intranet locale, vedere Contrassegno del Web e delle zone.
Ad esempio, è possibile aggiungere un file server o una condivisione di rete come sito attendibile aggiungendone il nome di dominio completo o l'indirizzo IP all'elenco di siti attendibili.
Se si desidera aggiungere URL che iniziano con http:// o condivisioni di rete, deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti in questa zona .
Importante
Poiché le macro non sono bloccate nei file da queste posizioni, è consigliabile gestirle con attenzione. Assicurarsi di controllare chi può salvare i file in questi percorsi.
È possibile usare Criteri di gruppo e i criteri "Elenco assegnazioni da sito a zona" per aggiungere posizioni come siti attendibili o all'area Intranet locale per i dispositivi Windows nell'organizzazione. Questo criterio è disponibile nella pagina Componenti di Windows\Internet Explorer\Internet Pannello di controllo\Sicurezza nella console di gestione Criteri di gruppo. È disponibile in Configurazione computer\Criteri\Modelli amministrativi e Configurazione utente\Criteri\Modelli amministrativi.
File in OneDrive o SharePoint
Se un utente scarica un file in OneDrive o SharePoint usando un Web browser, la configurazione dell'area di sicurezza Internet di Windows (Pannello di controllo>Internet Options>Security) determina se il browser imposta Mark of the Web. Ad esempio, Microsoft Edge imposta Mark of the Web in un file se proviene dall'area Internet.
Se un utente seleziona Apri nell'app desktop in un file aperto dal sito Web di OneDrive o da un sito di SharePoint (incluso un sito usato da un canale di Teams), il file non avrà il segno del Web.
Se un utente ha il client sincronizzazione OneDrive in esecuzione e il client di sincronizzazione scarica un file, il file non avrà il contrassegno del Web.
I file che si trovano in cartelle note di Windows (desktop, documenti, immagini, screenshot e rullino fotografico) e vengono sincronizzati con OneDrive, non hanno il segno del Web.
Se si dispone di un gruppo di utenti, ad esempio il reparto Finanze che deve usare i file di OneDrive o SharePoint senza che le macro vengano bloccate, ecco alcune opzioni possibili:
Fare in modo che aprano il file usando l'opzione Apri nell'app desktop
Fare in modo che scarichino il file in un percorso attendibile.
Impostare l'assegnazione dell'area di sicurezza Internet di Windows per i domini di OneDrive o SharePoint su Siti attendibili. Gli amministratori possono usare i criteri "Elenco di assegnazione da sito a zona" e configurare i criteri da inserire
https://{your-domain-name}.sharepoint.com(per SharePoint) ohttps://{your-domain-name}-my.sharepoint.com(per OneDrive) nell'area Siti attendibili.Questo criterio è disponibile nella pagina Componenti di Windows\Internet Explorer\Internet Pannello di controllo\Sicurezza nella console di gestione Criteri di gruppo. È disponibile in Configurazione computer\Criteri\Modelli amministrativi e Configurazione utente\Criteri\Modelli amministrativi.
Le autorizzazioni di SharePoint e la condivisione di OneDrive non vengono modificate aggiungendo queste posizioni ai siti attendibili. Mantenere il controllo di accesso è importante. Chiunque disponga delle autorizzazioni per aggiungere file a SharePoint può aggiungere file con contenuto attivo, ad esempio macro. Gli utenti che scaricano file da domini nell'area Siti attendibili ignorano l'impostazione predefinita per bloccare le macro.
File di modello abilitati per le macro per Word, PowerPoint ed Excel
I file di modello abilitati per le macro per Word, PowerPoint ed Excel scaricati da Internet hanno Mark of the Web.Enabled template files for Word, PowerPoint, and Excel that are downloaded from the Internet have Mark of the Web. Ad esempio, i file modello con le estensioni seguenti:
- .dot
- .dotm
- .Pot
- .potm
- .Xlt
- .xltm
Quando l'utente apre il file modello abilitato per le macro, all'utente viene impedito di eseguire le macro nel file modello. Se l'utente considera attendibile l'origine del file modello, può rimuovere Mark of the Web dal file di modello e quindi riaprire il file modello nell'app di Office.
Se si dispone di un gruppo di utenti che devono usare modelli abilitati per le macro senza che le macro vengano bloccate, è possibile eseguire una delle azioni seguenti:
- Usare una firma digitale e considerare attendibile l'autore.
- Se non si usano firme digitali, è possibile salvare il file modello in un percorso attendibile e fare in modo che gli utenti ottengano il file modello da tale percorso.
File del componente aggiuntivo abilitati per le macro per PowerPoint ed Excel
I file di componenti aggiuntivi abilitati per le macro per PowerPoint ed Excel scaricati da Internet hanno Mark of the Web.Enabled Add-in files for PowerPoint and Excel that are downloaded from the Internet have Mark of the Web. Ad esempio, i file del componente aggiuntivo con le estensioni seguenti:
- .Ppa
- .ppam
- .Xla
- .xlam
Quando l'utente tenta di installare il componente aggiuntivo abilitato per la macro, usandoi componenti aggiuntiviopzioni>file> o la barra multifunzione Sviluppo, il componente aggiuntivo viene caricato in uno stato disabilitato e all'utente viene impedito di usare il componente aggiuntivo. Se l'utente considera attendibile l'origine del file del componente aggiuntivo, può rimuovere Mark of the Web dal file del componente aggiuntivo e quindi riaprire PowerPoint o Excel per usare il componente aggiuntivo.
Se si dispone di un gruppo di utenti che devono usare file del componente aggiuntivo abilitati per le macro senza che le macro vengano bloccate, è possibile eseguire le azioni seguenti.
Per i file del componente aggiuntivo di PowerPoint:
- Rimuovere Mark of the Web dal file con estensione ppa o ppam.
- Usare una firma digitale e considerare attendibile l'autore.
- Salvare il file del componente aggiuntivo in un percorso attendibile da recuperare per gli utenti.
Per i file del componente aggiuntivo di Excel:
- Rimuovere Mark of the Web dal file con estensione xla o xlam.
- Salvare il file del componente aggiuntivo in un percorso attendibile da recuperare per gli utenti.
Nota
L'uso di una firma digitale e l'attendibilità dell'autore non funziona per i file del componente aggiuntivo di Excel con contrassegno del Web. Questo comportamento non è nuovo per i file del componente aggiuntivo di Excel con contrassegno del Web. Ha funzionato in questo modo dal 2016, come risultato di un precedente sforzo di protezione avanzata (correlato al Bollettino microsoft sulla sicurezza MS16-088).
Macro firmate da un autore attendibile
Se la macro è firmata e il certificato è stato convalidato e l'origine è attendibile, è possibile impostare tale origine come autore attendibile. Se possibile, è consigliabile gestire server di pubblicazione attendibili per gli utenti. Per altre informazioni, vedere Autori attendibili per i file di Office.
Se sono presenti solo alcuni utenti, è possibile rimuoverli da Mark of the Web dal file e quindi aggiungere l'origine della macro come autore attendibile nei propri dispositivi.
Avviso
- Tutte le macro firmate validamente con lo stesso certificato vengono riconosciute come provenienti da un autore attendibile e vengono eseguite.
- L'aggiunta di un server di pubblicazione attendibile potrebbe influire sugli scenari oltre a quelli correlati a Office, perché un autore attendibile è un'impostazione a livello di Windows, non solo un'impostazione specifica di Office.
Percorsi attendibili
Il salvataggio di file da Internet in un percorso attendibile nel dispositivo di un utente ignora il controllo del segno del Web e si apre con le macro VBA abilitate. Ad esempio, un'applicazione line-of-business potrebbe inviare report con macro su base ricorrente. Se i file con macro vengono salvati in un percorso attendibile, gli utenti non devono passare a Proprietà per il file e selezionare Sblocca per consentire l'esecuzione delle macro.
Poiché le macro non sono bloccate nei file salvati in un percorso attendibile, è consigliabile gestire con attenzione i percorsi attendibili e usarli con cautela. Anche i percorsi di rete possono essere impostati come percorso attendibile, ma non è consigliabile. Per altre informazioni, vedere Percorsi attendibili per i file di Office.
Altre informazioni su Mark of the Web
Contrassegno dei documenti Web e attendibili
Quando un file viene scaricato in un dispositivo che esegue Windows, al file viene aggiunto Il contrassegno del Web, identificandone l'origine come proveniente da Internet. Attualmente, quando un utente apre un file con Contrassegno del Web, viene visualizzato un banner DI AVVISO DI SICUREZZA con un pulsante Abilita contenuto . Se l'utente seleziona Abilita contenuto, il file viene considerato un documento attendibile e le macro possono essere eseguite. Le macro continueranno a essere eseguite anche dopo l'implementazione della modifica del comportamento predefinito per bloccare le macro nei file da Internet, perché il file è ancora considerato un documento attendibile.
Dopo la modifica del comportamento predefinito per bloccare le macro nei file da Internet, gli utenti visualizzeranno un banner diverso la prima volta che aprono un file con macro da Internet. Questo banner SECURITY RISK non ha la possibilità di abilitare il contenuto. Tuttavia, gli utenti possono passare alla finestra di dialogo Proprietà per il file e selezionare Sblocca, che rimuoverà Mark of the Web dal file e consentirà l'esecuzione delle macro, purché non vengano bloccati criteri o impostazioni del Centro protezione.
Contrassegno del Web e delle zone
Per impostazione predefinita, Mark of the Web viene aggiunto ai file solo dalle zone Internet o Siti con restrizioni .
Consiglio
Per visualizzare queste zone in un dispositivo Windows, passare a Pannello di controllo>Opzioni internet>Modificare le impostazioni di sicurezza.
È possibile visualizzare il valore ZoneId per un file eseguendo il comando seguente al prompt dei comandi e sostituendo {nome del file} con il nome del file.
notepad {name of file}:Zone.Identifier
Quando si esegue questo comando, il Blocco note verrà aperto e verrà visualizzato il Valore ZoneId nella sezione [ZoneTransfer].
Ecco un elenco dei valori ZoneId e della zona a cui eseguono il mapping.
- 0 = My Computer
- 1 = Intranet locale
- 2 = Siti attendibili
- 3 = Internet
- 4 = Siti con restrizioni
Ad esempio, se zoneId è 2, le macro VBA nel file non verranno bloccate per impostazione predefinita. Tuttavia, se zoneId è 3, le macro in tale file verranno bloccate per impostazione predefinita.
È possibile usare il cmdlet Unblock-File in PowerShell per rimuovere il valore ZoneId dal file. La rimozione del valore ZoneId consente l'esecuzione delle macro VBA per impostazione predefinita. L'uso del cmdlet consente di selezionare la casella di controllo Sblocca nella scheda Generale della finestra di dialogo Proprietà per il file.
Usare i criteri per gestire il modo in cui Office gestisce le macro
È possibile usare i criteri per gestire il modo in cui Office gestisce le macro. È consigliabile usare le macro Blocca dall'esecuzione nei file di Office dai criteri Internet . Se tuttavia tale criterio non è appropriato per l'organizzazione, l'altra opzione è il criterio Impostazioni di notifica macro VBA .
Per altre informazioni su come distribuire questi criteri, vedere Strumenti disponibili per gestire i criteri.
Importante
È possibile usare i criteri solo se si usa Microsoft 365 Apps for enterprise. I criteri non sono disponibili per Microsoft 365 Apps for business.
Impedire l'esecuzione di macro in file di Office da Internet
Questo criterio impedisce agli utenti di aprire inavvertitamente file contenenti macro da Internet. Quando un file viene scaricato in un dispositivo che esegue Windows o aperto da un percorso di condivisione di rete, Mark of the Web viene aggiunto al file che lo identifica come origine da Internet.
È consigliabile abilitare questo criterio come parte della baseline di sicurezza per Microsoft 365 Apps for enterprise. È consigliabile abilitare questo criterio per la maggior parte degli utenti e fare eccezioni solo per determinati utenti in base alle esigenze.
È disponibile un criterio separato per ognuna delle cinque applicazioni. La tabella seguente mostra dove è possibile trovare ogni criterio nella console di gestione Criteri di gruppo in Configurazione utente\Criteri\Modelli amministrativi:
| Applicazione | Percorso dei criteri |
|---|---|
| Accesso | Microsoft Access 2016\Application Settings\Security\Trust Center |
| Excel | Microsoft Excel 2016\Opzioni di Excel\Sicurezza\Centro protezione |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center |
Lo stato scelto per i criteri determina il livello di protezione fornito. La tabella seguente illustra il livello di protezione corrente ottenuto con ogni stato, prima che venga implementata la modifica del comportamento predefinito.
| Icona | Livello di protezione | Stato dei criteri | Descrizione |
|---|---|---|---|
 |
Protetto [consigliato] | Abilitato | Agli utenti viene impedito di eseguire macro in file ottenuti da Internet. Parte della baseline di sicurezza consigliata da Microsoft. |
 |
Non protetto | Disabilitato | Rispetterà le impostazioni configurate inOpzioni>file> Impostazionicentro>protezione...>Impostazioni macro. |
|
Non protetto | Not Configured | Rispetterà le impostazioni configurate inOpzioni>file> Impostazionicentro>protezione...>Impostazioni macro. |
Nota
- Se si imposta questo criterio su Disabilitato, gli utenti visualizzeranno, per impostazione predefinita, un avviso di sicurezza quando aprono un file con una macro. Questo avviso segnalerà agli utenti che le macro sono state disabilitate, ma consentirà loro di eseguire le macro scegliendo il pulsante Abilita contenuto .
- Questo avviso è lo stesso avviso visualizzato in precedenza dagli utenti, prima di questa modifica recente si sta implementando per bloccare le macro.
- Non è consigliabile impostare questo criterio su Disabilitato in modo permanente. In alcuni casi, tuttavia, potrebbe essere pratico farlo temporaneamente mentre si verifica come il nuovo comportamento di blocco delle macro influisce sull'organizzazione e quando si sviluppa una soluzione per consentire un uso sicuro delle macro.
Dopo aver implementato la modifica al comportamento predefinito, il livello di protezione cambia quando il criterio è impostato su Non configurato.
| Icona | Livello di protezione | Stato dei criteri | Descrizione |
|---|---|---|---|
|
Protetto | Not Configured | Agli utenti viene impedito di eseguire macro in file ottenuti da Internet. Gli utenti visualizzano il banner Rischi per la sicurezza con un pulsante Altre informazioni |
Impostazioni di notifica macro VBA
Se non si usa il criterio "Blocca l'esecuzione di macro in file di Office da Internet", è possibile usare il criterio "Impostazioni di notifica macro VBA" per gestire la gestione delle macro da Parte di Office.
Questo criterio impedisce agli utenti di essere attirati nell'abilitazione di macro dannose. Per impostazione predefinita, Office è configurato per bloccare i file che contengono macro VBA e visualizzare una barra di attendibilità con un avviso che indica che le macro sono presenti e sono state disabilitate. Gli utenti possono esaminare e modificare i file, se appropriato, ma non possono usare alcuna funzionalità disabilitata fino a quando non selezionaNo Abilita contenuto sulla barra di attendibilità. Se l'utente seleziona Abilita contenuto, il file viene aggiunto come documento attendibile e le macro possono essere eseguite.
È disponibile un criterio separato per ognuna delle cinque applicazioni. La tabella seguente mostra dove è possibile trovare ogni criterio nella console di gestione Criteri di gruppo in Configurazione utente\Criteri\Modelli amministrativi:
| Applicazione | Percorso dei criteri |
|---|---|
| Accesso | Microsoft Access 2016\Application Settings\Security\Trust Center |
| Excel [1] | Microsoft Excel 2016\Opzioni di Excel\Sicurezza\Centro protezione |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center |
Nota
- [1] Per Excel, il criterio è denominato Impostazioni di notifica macro.
- Il criterio "Impostazioni di notifica macro VBA" è disponibile anche per Project e Publisher.
Lo stato scelto per i criteri determina il livello di protezione fornito. La tabella seguente illustra il livello di protezione ottenuto con ogni stato.
| Icona | Livello di protezione | Stato dei criteri | Valore dei criteri |
|---|---|---|---|
|
Protetto [consigliato] | Abilitato | Disabilitare tutte le macro ad eccezione di quelle firmate digitalmente (e selezionare "Richiedi la firma delle macro da parte di un autore attendibile") |
|
Protetto | Abilitato | Disattiva tutte le macro senza notifica. |
 |
Parzialmente protetto | Abilitato | Disattiva tutte le macro con notifica. |
|
Parzialmente protetto | Disabilitato | (Stesso comportamento di "Disabilita tutto con notifica") |
|
Non protetto | Abilitato | Abilitare tutte le macro (scelta non consigliata) |
Importante
La protezione delle macro è importante. Per gli utenti che non necessitano di macro, disattivare tutte le macro scegliendo "Disabilita tutto senza notifica".
La raccomandazione della baseline di sicurezza prevede che si esercino le operazioni seguenti:
- Abilitare il criterio "Impostazioni di notifica macro VBA".
- Per gli utenti che necessitano di macro, scegliere "Disabilita tutte tranne le macro firmate digitalmente" e quindi selezionare "Richiedi la firma delle macro da parte di un autore attendibile". Il certificato deve essere installato come autore attendibile nei dispositivi degli utenti.
Se non si configurano i criteri, gli utenti possono configurare le impostazioni di protezione delle macro inOpzioni>file> Impostazionicentro>protezione...>Impostazioni macro.
La tabella seguente mostra le scelte che gli utenti possono effettuare in Impostazioni macro e il livello di protezione fornito da ogni impostazione.
| Icona | Livello di protezione | Impostazione scelta |
|---|---|---|
|
Protetto | Disattiva tutte le macro tranne quelle con firma digitale |
|
Protetto | Disattiva tutte le macro senza notifica |
|
Parzialmente protetto | Disabilitare tutte le macro con notifica (impostazione predefinita) |
|
Non protetto | Attiva tutte le macro (scelta non consigliata; potrebbe venire eseguito codice pericoloso) |
Nota
Nei valori dell'impostazione dei criteri e nell'interfaccia utente del prodotto per Excel, la parola "all" viene sostituita da "VBA". Ad esempio, "Disabilita macro VBA senza notifica".
Strumenti disponibili per gestire i criteri
Sono disponibili diversi strumenti per configurare e distribuire le impostazioni dei criteri agli utenti dell'organizzazione.
Criteri cloud
È possibile usare Criteri cloud per configurare e distribuire le impostazioni dei criteri nei dispositivi dell'organizzazione, anche se il dispositivo non è aggiunto a un dominio. Criteri cloud è uno strumento basato sul Web e si trova nell'interfaccia di amministrazione Microsoft 365 Apps.
In Criteri cloud si crea una configurazione dei criteri, la si assegna a un gruppo e quindi si selezionano i criteri da includere nella configurazione dei criteri. Per selezionare un criterio da includere, è possibile eseguire la ricerca in base al nome del criterio. Criteri cloud mostra anche quali criteri fanno parte della baseline di sicurezza consigliata da Microsoft. I criteri disponibili in Criteri cloud sono gli stessi criteri di configurazione utente disponibili nella console di gestione Criteri di gruppo.
Per altre informazioni, vedere Panoramica del servizio Criteri cloud per Microsoft 365.
interfaccia di amministrazione Microsoft Intune
Nell'interfaccia di amministrazione Microsoft Intune è possibile usare il catalogo impostazioni (anteprima) o i modelli amministrativi per configurare e distribuire le impostazioni dei criteri agli utenti per i dispositivi che eseguono Windows 10 o versioni successive.
Per iniziare, passare aProfili di configurazionedei dispositivi>>Create profilo. Per Piattaforma scegliere Windows 10 e versioni successive e quindi scegliere il tipo di profilo.
Per altre informazioni, vedere gli articoli seguenti:
- Usare il catalogo delle impostazioni per configurare le impostazioni nei dispositivi Windows e macOS - anteprima
- Usare i modelli Windows 10/11 per configurare le impostazioni di Criteri di gruppo in Microsoft Intune
Console Gestione Criteri di gruppo
Se si dispone di Windows Server e Active Directory Domain Services (AD DS) distribuiti nell'organizzazione, è possibile configurare i criteri usando Criteri di gruppo. Per usare Criteri di gruppo, scaricare i file del modello amministrativo più recente (ADMX/ADML) per Office, che includono le impostazioni dei criteri per Microsoft 365 Apps for enterprise. Dopo aver copiato i file del modello amministrativo in Servizi di dominio Active Directory, è possibile usare Criteri di gruppo Management Console per creare oggetti Criteri di gruppo che includono le impostazioni dei criteri per gli utenti e per i dispositivi aggiunti al dominio.
Articoli correlati
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per