規劃 Office 2013 VBA 巨集的安全性設定

發行項
12/21/2017

適用版本： Office 365 ProPlus

上次修改主題的時間： 2016-12-16

摘要說明 VBA 和 VBA 巨集設定如何控制 Visual Basic for Applications (VBA) 和 VBA 巨集在 Office 2013 中的行為。

對象： IT 專業人員

如果您要控制 Visual Basic for Applications (VBA) 和 VBA 巨集的行為，您可以變更下列應用程式的 Office 2013 VBA 和 VBA 巨集設定：Access 2013、Excel 2013、PowerPoint 2013、Publisher 2013、Visio 2013 及 Word 2013。

Office 安全性之指南的藍圖箭號

本文為＜Office 2013 安全性的內容藍圖＞的一部分。請使用藍圖做為協助您評估 Office 2013 安全性之文章、下載檔、海報及影片的起點。

您在尋找有關個別 Office 2013 應用程式的安全性資訊嗎？您可在 Office.com 上搜尋「2013 安全性」，即可找到此資訊。

本文內容：

規劃 VBA 和 VBA 巨集安全性設定
變更 VBA 巨集的 Office 2013 安全性警告設定
在 Office 2013 中停用 VBA
在以程式方式啟動的應用程式中變更 Office 2013 VBA 巨集的行為
在 Office 2013 中變更掃描加密 VBA 巨集是否有病毒的方式
相關的 Office 2013 VBA 巨集設定

規劃 VBA 和 VBA 巨集安全性設定

Office 2013 提供幾項設定讓您控制 VBA 和 VBA 巨集的行為。在這些設定中，您可以執行下列動作：

變更 VBA 巨集的安全性警告設定。其中包括停用 VBA 巨集、啟用所有 VBA 巨集，以及變更向使用者通知 VBA 巨集的方式。
停用 VBA。
在透過 Automation 利用程式設計方式啟動的應用程式中變更 VBA 巨集的行為。
變更防毒軟體掃描加密 VBA 巨集的方式。

如需如何在 Office 自訂工具 (OCT) 和 Office 2013 系統管理範本中進行設定的詳細資訊，請參閱＜使用 OCT 或群組原則設定 Office 2013 的安全性＞。

預設會啟用 VBA 且允許執行信任的 VBA 巨集。其中包括儲存在信任位置的文件中的 VBA 巨集、信任的文件中的 VBA 巨集，以及符合下列準則的 VBA 巨集：

由使用數位簽章的開發人員所簽署的巨集。
數位簽章有效。
此數位簽署是最新的 (未過期)。
與數位簽署相關聯的憑證由聲譽卓著的憑證授權單位 (CA) 所發行。
簽署巨集的開發人員是受信任的發行者。

附註：
巨集的預設安全性設定在 Outlook 2013 中不同。如需詳細資訊，請參閱 Outlook 2013 安全性文件。

不允許執行未受信任的 VBA 巨集，除非使用者按一下訊息列並選擇啟用 VBA 巨集。

使用 Office 2013 遙測儀表板查看 VBA 巨集使用狀況資料

您可以在 Office 2013Telemetry Dashboard中檢閱資料，輕鬆瞭解組織中使用 VBA 巨集的情況。名為「庫存」的內建報告會收集並顯示每一個受監視 Office 解決方案的唯一執行個體資料。其中包括 Office 文件是否使用 VBA 巨集。

附註：
您可以使用滑鼠、快速鍵或觸控等方式完成所有 Office 2013 套裝軟體中的工作。如需如何使用 Office 產品與服務中的快速鍵和觸控功能的詳細資訊，請參閱＜快速鍵＞與＜Office 觸控指南＞。

若要使用下列程序，您必須先部署和設定 OfficeTelemetry Dashboard。如需 OfficeTelemetry Dashboard 的概觀資訊，請參閱＜Office 遙測概觀＞。如需如何部署 Office 遙測的詳細資訊，請參閱＜部署遙測儀表板＞。

在 Office 2013 遙測儀表板報告中檢視 VBA 巨集使用狀況

開啟 [Telemetry Dashboard]，並連線至遙測資料庫。
在 Telemetry Dashboard的功能窗格中，選擇 [自訂報告]。
[自訂報告] 頁面開啟時，選擇 [建立自訂報告]。
在 [樞紐分析表欄位] 清單的 [庫存] 區段中，尋找並選取 [具有 VBA]。檢閱報告中是否有任何 VBA 相關警告。如需進一步調查，請在 [庫存] 表格選取其他欄位。
儲存資料，然後關閉 Telemetry Dashboard。

變更 Office 2013 的 VBA 巨集安全性警告設定

Office 2013 提供一項設定讓您變更 VBA 巨集的安全性警告設定和行為。如果您要變更如何向使用者通知未受信任 VBA 巨集的方式，或要變更 VBA 巨集的預設行為，請使用下列準則來決定如何進行此設定。

**群組原則設定名稱：**VBA 巨集通知設定

**描述：**此設定控制應用程式向使用者提出 Visual Basic for Applications (VBA) 巨集警告的方式。您可以分別為 Access 2013、Excel 2013、PowerPoint 2013、Publisher 2013、Visio 2013 及 Word 2013 等個別的應用程式進行此設定。此設定有四種可能的選項：

  **全部停用 (事先通知)** 不論巨集是否已簽署，應用程式會對所有巨集顯示信任列。此為預設設定。

  **除了經數位簽署的巨集外，停用所有巨集** 應用程式會對數位簽署的巨集顯示信任列。這可讓使用者啟用巨集或維持停用。會停用任何未簽署的巨集，而使用者不會收到通知，也無法啟用未簽署的巨集。

  **全部停用 (不事先通知)** 不論巨集是否已簽署，應用程式會停用所有巨集，且不會通知使用者。

  **啟用所有巨集 (不建議使用；會執行有潛在危險的程式碼)** 不論巨集是否已簽署，啟用所有巨集。此選項會讓危險的程式碼在未經過偵測之下執行，因而大幅降低安全性。

**影響：**如果您啟用此設定並選取 [除了經數位簽章的巨集外，停用所有巨集] 選項，則包含未簽署巨集的文件和範本會失去這些巨集提供的所有功能。為了避免失去功能，使用者可將包含巨集的檔案放在信任的位置。

<table>
<thead>
<tr class="header">
<th><img src="images/Cc179097.important(Office.15).gif" title="重要事項" alt="重要事項" /><strong>重要事項：</strong></th>
</tr>
</thead>
<tbody>
<tr class="odd">
<td>如果選取 <strong>[除了經數位簽章的巨集外，停用所有巨集]</strong>，則使用者無法開啟未簽署的 Access 2013 資料庫。</td>
</tr>
</tbody>
</table>

如果您選取 **\[全部停用 (不事先通知)\]**，則包含未簽署和已簽署巨集的文件和範本會失去這些巨集提供的所有功能。即使巨集已簽署，且發行者列在 \[受信任的發行者\] 清單中，也是如此。

**指導方針：**安全性環境十分嚴格的組織通常會啟用此設定，且會選取 [除了經數位簽章的巨集外，停用所有巨集] 選項。不允許使用者執行巨集的組織通常會啟用此設定，且會選取 [全部停用 (不事先通知)]。

在 Office 2013 中停用 VBA

Office 2013 提供群組原則設定讓您啟用或停用 VBA。預設會啟用 VBA。如果您要停用 VBA，請使用下列準則來決定如何進行此設定。

附註：
您只能使用群組原則來停用 VBA。沒有對等的「信任中心」。

**群組原則設定名稱：**停用 Office 應用程式的 VBA

**描述：**此設定會在 Excel 2013、Outlook 2013、PowerPoint 2013、Publisher 2013、SharePoint Designer 2013 及 Word 2013 中停用 VBA，並防止在這些應用程式中執行任何 VBA 程式碼。您無法針對個別應用程式來進行此設定。這是通用設定。啟用此設定不會在使用者的電腦上安裝或移除任何 VBA 相關程式碼。
**影響：**如果您啟用此設定，則 VBA 程式碼不會執行。如果組織在運作上必須使用有 VBA 程式碼的文件，請勿啟用此設定。
**準則：**具有極嚴格安全性環境的組織通常會啟用此設定。

在以程式方式啟動的應用程式中變更 Office 2013 VBA 巨集的行為

Office 2013 提供一項設定，讓您在透過 Automation 利用程式設計方式啟動的應用程式中變更 VBA 巨集的行為。根據預設，當使用另一個程式利用程式設計方式啟動 Excel 2013、PowerPoint 2013 或 Word 2013 時，在利用程式設計方式啟動的應用程式中可以執行任何巨集。如果您要執行下列動作，請使用這些準則來決定如何進行此設定：

在透過 Automation 利用程式設計方式啟動的應用程式中防止巨集執行。
針對透過 Automation 利用程式設計方式啟動的應用程式，允許根據設定的 VBA 巨集安全性設定來執行 VBA 巨集。

**群組原則設定名稱：**自動安全性

**描述：**此設定控制在另一個應用程式利用程式設計方式開啟的應用程式中，是否可執行巨集。此設定是通用設定，適用於 Excel 2013、PowerPoint 2013 及 Word 2013。您無法針對個別應用程式進行此設定。此設定有三種選項供您選擇：

  **根據預設停用巨集** 在利用程式設計方式開啟的應用程式中會停用所有巨集。

  **已啟用巨集 (預設)** 在利用程式設計方式開啟的應用程式中允許執行巨集。此選項會強制執行預設設定。

  **使用應用程式巨集安全性層級** 根據您如何為每一個應用程式設定 **\[VBA 巨集警告設定\]** 來決定巨集功能。

**影響：**如果您啟用此設定並選取 [根據預設停用巨集] 選項，則在利用程式設計方式啟動的應用程式中不會執行巨集。如果應用程式利用程式設計方式啟動，然後開啟包含巨集的文件或範本，則會造成問題。在此情況下，無法使用巨集所提供的功能。如果您選取 [使用應用程式巨集安全性層級] 選項，且使用 [VBA 巨集警告設定] 來停用巨集，也會發生相同的狀況。
**指導方針：**大多數組織會啟用此設定，且會選取 [使用應用程式巨集安全性層級] 選項。但是，安全性環境十分嚴格的組織通常會啟用此設定，且會選取 [根據預設停用巨集] 選項。

在 Office 2013 中變更掃描加密 VBA 巨集是否有病毒的方式

Office 2013 提供一項設定，讓您在 Excel 2013、PowerPoint 2013 及 Word 2013 中變更防毒軟體掃描加密 VBA 巨集的方式。根據預設，如果文件、簡報或活頁簿已加密且包含 VBA 巨集，則除非用戶端電腦上已安裝防毒軟體，否則會停用 VBA 巨集。此外，當使用者開啟的文件含有加密巨集時，用戶端電腦的防毒軟體會掃描加密的 VBA 巨集。如果您要執行下列動作，請使用這些準則來決定如何進行此設定：

不經過防毒軟體掃描，允許執行所有加密的 VBA 巨集。
如果已安裝防毒軟體，則掃描加密的 VBA 巨集，但如果未安裝防毒軟體，則啟用加密的 VBA 巨集。

**群組原則設定名稱：**掃描 Excel Open XML 文件的加密巨集、掃描 PowerPoint Open XML 文件的加密巨集、掃描 Word Open XML 文件的加密巨集

**描述：**此設定控制對加密 VBA 巨集進行病毒掃描的方式。此設定可針對個別應用程式為 Excel 2013、PowerPoint 2013 及 Word 2013 來分別設定。此設定有三個選項供您選擇：

  **掃描加密的巨集 (預設值)**。除非經過防毒軟體掃描，否則會停用所有加密的 VBA 巨集。此選項會強制執行預設設定。

  **可使用防毒軟體時即掃描**。除非經過防毒軟體掃描，否則會停用加密的 VBA 巨集。不過，如果用戶端電腦上未安裝防毒軟體，則會啟用所有加密的 VBA 巨集。

  **載入巨集而不掃描**。不論用戶端電腦上是否安裝防毒軟體，一律啟用且不掃描加密的 VBA 巨集。

**影響：**如果您啟用此設定，並選取 [載入巨集而不掃描] 選項，則未經病毒掃描的加密巨集會造成安全性大幅降低。如果用戶端電腦未安裝防毒軟體，且您啟用此設定並選取 [可使用防毒軟體時即掃描] 選項，則也會發生相同的狀況。
**準則：**大多數組織會使用此設定的預設設定，且不會變更此設定。

附註：
如需原則設定的最新資訊，請參閱 Office 2013 系統管理範本檔案中包含的 Excel 2013 活頁簿 Office2013GroupPolicyAndOCTSettings_Reference.xls。如需詳細資訊，請參閱＜Office 2013 系統管理範本檔案 (ADMX/ADML) 與 Office 自訂工具＞Technet 文章。

另請參閱

Office 2013 安全性的內容藍圖
 Office 2013 安全性概觀
 了解 Office 2013 的安全性威脅與計數器測量
 規劃 Office 2013 增益集的安全性設定
 為 Office 2013 規劃 ActiveX 控制項的安全性設定