如果计算机上的防病毒软件通知 Office 应用程序 ((如 Word、Excel 或 PowerPoint) ),Visual Basic for Applications (VBA) 或 Excel 4.0 (XLM) 宏在文件中执行了防病毒软件认为是恶意操作,则会出现此对话框。
注意: Excel 4.0 (XLM) 宏是用旧宏语言创建的宏,它们仅在 Excel 中运行。 尽管Microsoft 365 专属 Excel仍运行 XLM 宏,但我们建议将其迁移到最新版本的 Microsoft Visual Basic for Applications (VBA) 。
宏可自动执行经常使用的任务,从而节省键击和鼠标操作的时间。 如果一遍又一遍地执行相同的操作,可以将这些步骤记录为宏,以便宏可以为你执行这些步骤,从而节省时间。
许多宏都是使用Visual Basic for Applications (VBA)创建的,并由软件开发人员负责编写。 但是,某些 VBA 宏会引发潜在的安全风险。 宏通常由有恶意意图的人使用,在你的计算机上或组织的网络中悄悄地安装恶意软件(如病毒)。
这是怎么发生的?
从 Windows 10 开始,Windows 中提供了反恶意软件扫描接口 (AMSI) 功能。 此功能允许系统上运行的应用程序 ((如 Word 或 PowerPoint) )将应用程序中运行的脚本或宏的行为信息传递到支持 AMSI 接口的计算机上运行的反恶意软件服务。 然后,如果操作模式在 Office 运行代码之前显示有害,防病毒软件会通知 Office。
如果防病毒软件发现宏正在执行恶意操作,Office 会通知你,然后终止 Office 进程,而不运行恶意指令。
如果看到此对话框...
-
打开的文件可能正在尝试执行防病毒软件认为是恶意操作。
-
如果觉得 Office 文件被错误地报告为恶意文件,可以将该文件移动到 Office 中“受信任位置”功能一部分的位置, 将文件的当前位置添加到“受信任位置”,或对 文档中的 VBA 宏进行数字签名。
注意: Excel 4.0 (XLM) 宏无法签名。
-
如果在执行步骤 2 中的一项操作后,文件仍被报告为恶意文件,则可能设置了恶意软件运行时扫描功能设置,以验证所有文件,而不考虑信任。 可以使用 组策略 配置何时启用 AMSI 扫描 (请参阅以下) 。
恶意软件运行时扫描功能的设置
默认情况下,Office 将为 Office 文件中运行的 VBA 或 XLM 宏启用恶意软件运行时扫描。
有两个例外:
-
该文件从向 Office 应用程序注册的受信任位置之一打开。 有关详细信息,请参阅: 添加、删除或更改受信任位置。
-
该文件包含由受信任的签名提供程序进行数字签名的 VBA 宏。有关详细信息,请参阅:对 宏项目进行数字签名。
此行为可以通过设置宏运行时扫描范围组策略控制。
如果设备由组织管理,则必须联系 IT 管理员才能对此设置进行更改。