Firma Microsoft wykryła lukę w podpisywaniu projektu makr języka VBA (Office Visual Basic for Applications). Ta luka może umożliwić złośliwym użytkownikom manipulowanie podpisanym projektem VBA bez unieważniania jego podpisu cyfrowego. Dlatego zalecamy użytkownikom stosowanie aktualizacji zabezpieczeń wymienionych w liście typowych luk w zabezpieczeniach i ekspozycjach firmy Microsoft CVE-2020-0760.

Aby zwiększyć bezpieczeństwo podpisywania projektu makr VBA pakietu Office, firma Microsoft udostępnia bezpieczniejszą wersję schematu podpisu projektu VBA: podpis V3. Podpis V3 jest dostępny w następujących produktach: 

Zalecamy, aby organizacje stosować podpis V3 do wszystkich makr w celu usunięcia ryzyka naruszenia. 

Domyślnie w celu zapewnienia zgodności z poprzednimi wersjami pliki VBA z istniejącymi podpisami będą nadal działać, a pliki podpisane przy użyciu podpisu V3 można otwierać i uruchamiać we wcześniejszych wersjach pakietu Office lub w klientach pakietu Office bez aktualizacji. Jednak zalecamy, aby administratorzy uaktualnili istniejące podpisy VBA do podpisu V3 jak najszybciej po uaktualnieniu pakietu Office do wymienionych wersji. Gdy administratorzy zweryfikują, że organizacja nie ma utraty zgodności, mogą wyłączyć stare podpisy VBA, włączając ustawienie zasad Ufaj tylko makrom VBA, które używają zasad Podpisy V3. Aby uzyskać więcej informacji na temat tego ustawienia zasad, zobacz sekcję "Włącz ustawienie zasad: ufaj tylko makrom VBA, które używająpodpisów V3".

Uaktualnianie podpisanych plików VBA do podpisu V3

Administratorzy mogą skorzystać z poniższych tematów, aby uaktualnić istniejące pliki podpisów VBA do podpisu V3.

Tworzenie spisu podpisanych plików VBA

Jeśli masz już spis wszystkich istniejących podpisanych plików VBA, możesz pominąć tę sekcję. Jeśli nie, użyj zestawu narzędzi Readiness Toolkit dla dodatków pakietu Office i VBA, aby utworzyć spis istniejących podpisanych plików VBA, które muszą zostać uaktualnione. Narzędzie wygeneruje raport, który zawiera listę plików, które należy uaktualnić wraz z ich lokalizacjami plików. Aby uzyskać więcej informacji na temat zestawu narzędzi Readiness Toolkit, zobacz Ocenianie zgodności aplikacji platformy Microsoft 365przy użyciu tego zestawu narzędzi.

  1. Pobierz zestaw narzędzi Readiness Toolkit dla dodatków pakietu Office i VBA.

  2. Uruchom program PowerShell lub otwórz okno wiersza polecenia jako administrator, a następnie przejdź do folderu instalacji zestawu narzędzi Readiness Toolkit:

    C:\Program Files (x86)\Microsoft Readiness Toolkit for Office

  3. Uruchom następujące polecenie, aby przeskanować folder, w którym znajdują się pliki VBA (na przykład C:\Test_ToolKit):

    ReadinessReportCreator.exe -sigkan -p C:\Test_ToolKit -r -output C:\output

    Uruchamianie wiersza polecenia w celu przeskanowania folderu

    Po zakończeniu skanowania w folderze C:\output jest tworzony plik wyników JSON.

  4. W folderze instalacji readiness Toolkit uruchom plik ReadinessReportCreator.exe, aby otworzyć plik wyników.

    Zrzut ekranu przedstawiający uruchomione ReadinessReportCreator.exe

    W pliku wyników znajdź wszystkie niebezpieczne pliki makr, których uaktualnienie do podpisu V3 jest bardzo niebezpieczne.

    Zrzut ekranu przedstawiający plik wyników

    Zrzut ekranu przedstawiający niebezpieczne podpisy makr

Ponowne podpisywanie plików VBA za pomocą Edytora VBA 

Jeśli masz prywatne certyfikaty, użyj Edytora języka Visual Basic for Applications (VBA) dostępnego w aplikacji pakietu Office, aby ponownie podpisać pliki VBA.

  1. Aby ponownie podpisać plik VBA, naciśnij klawisze Alt+F11 z poziomu pliku w celu otwarcia Edytora VBA.

  2. Aby zastąpić istniejący podpis podpisem V3, wybierz pozycję Narzędzia> podpis cyfrowy. Zostanie otwarte okno dialogowe Podpis cyfrowy.

    Uwaga: Aby można było podpisać projekt VBA, klucz prywatny musi być zainstalowany poprawnie. Aby uzyskać więcej informacji, zobacz Cyfrowe podpisywanie projektu makra.

    Zrzut ekranu przedstawiający wybieranie podpisu cyfrowego

  3. Wybierz pozycję Wybierz, aby wybrać klucz prywatny certyfikatu do podpisywania projektu VBA, a następnie wybierz przycisk OK.

    Wybierz certyfikat

  4. Aby wygenerować nowe podpisy, zapisz plik ponownie. Nowe podpisy cyfrowe zastąpią poprzednie podpisy.

Ponowne podpisywanie plików VBA przy użyciu narzędzia SignTool

Narzędzie SignTool w zestawie SDK systemu Windows 10 może ułatwić ponowne podpisanie plików VBA za pomocą wiersza polecenia. Aby wsadować prace w celu ponownego podpisywania z listą zasobów w spisie wskazanej w sekcji "Tworzenie spisu podpisanych plikówVBA",możesz zintegrować narzędzie SignTool z własnymi narzędziami administracyjnym.

Uwaga: Obecnie narzędzie SignTool nie obsługuje programu Microsoft Access.

Aby ponownie podpisać pliki VBA przy użyciu narzędzia SignTool, wykonaj następujące czynności:

  1. Pobierz i zainstaluj zestaw SDK systemu Windows 10.

  2. Pobierz Officesips.exe z pakietów Microsoft Office Subject Interface Packages dla projektów VBA podpisywania cyfrowego.

  3. Aby podpisać pliki i zweryfikować podpisy w plikach, zarejestruj Msosip.dll i Msosipx.dll, a następnie uruchom Offsign.bat. Szczegółowe instrukcje znajdują się w pliku Readme.txt w folderze instalacji pakietu Officesips.exe.

Uwaga: Użyj x86 wersji narzędzia SignTool w folderze "C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86" podczas uruchamiania programu Offsign.bat.

Ustawienie włącz zasady: "Ufaj tylko makrom VBA, które używają podpisów V3"

Po zakończeniu uaktualniania do podpisów V3 zalecamy włączenie ustawienia Ufaj tylko makrom VBA, które używają zasad podpisów V3, aby upewnić się, że tylko pliki z podpisami V3 są zaufane.

To ustawienie zasad jest dostępne w zasady grupy lub usłudze zasad pakietu Office w chmurze. Znajduje się on w folderze User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center. Jeśli to ustawienie jest włączone, tylko podpis V3 będzie uznawany za prawidłowy podczas sprawdzania poprawności podpisu cyfrowego w plikach przez pakiet Office. Podpisy w formacie wcześniejszym w plikach VBA są ignorowane.

Analizowanie efektu stosowania ustawienia zasad przy użyciu doradcy zasad zabezpieczeń

Doradca zasad zabezpieczeń jest dostępny w Centrum administracyjnym aplikacji w wersji 2103 platformy Microsoft 365 (kompilacja 16.0.13824.10000) i w nowszych wersjach bieżącego kanału. Zawiera informacje na temat zabezpieczeń i produktywności stosowania tylko zaufanych makr VBA, które używają ustawienia zasad podpisów V3.

Aby przeanalizować efekt produktywności, administratorzy mogą sprawdzić okienko szczegółów zalecenia, aby sprawdzić, którzy użytkownicy są chronieni po zastosowaniu tego ustawienia zasad. Szczegółowe informacje mogą ułatwić administratorom podejmowanie świadomych decyzji przez mierzenie korzyści i kosztów związanych z stosowaniem ustawień zasad.

Wyświetlanie wpływu stosowania ustawień zasad za pomocą spa

Ponadto administratorzy mogą użyć wdrożenia jednym kliknięciem w celu ustawienia zasad. Doradca zasad zabezpieczeń wymusza ustawienia zasad pakietu Office dla aplikacji platformy Microsoft 365 dla przedsiębiorstw bezpośrednio z chmury za pomocą usługi zasad pakietu Office w chmurze. Działa to zarówno w przypadku urządzeń zarządzanych, jak i nieza zarządzania. Po wdrożeniu ustawienia zasad przy użyciu usługi zasad pakietu Office w chmurze administratorzy mogą ponownie przejść do okienka Szczegółów zalecenia, aby monitorować, jak ustawienie zasad wpływa na użytkowników.

Aby uzyskać więcej informacji na temat włączania doradcy zasad zabezpieczeń w środowisku, zobacz Omówienie doradcy ds. zasad zabezpieczeń dla aplikacji platformy Microsoft 365 dla przedsiębiorstw.

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Jaka jest jakość tłumaczenia?
Co wpłynęło na Twoje wrażenia?

Dziękujemy za opinię!

×