為因應使用物件封裝程式控件在 Office 檔中內嵌惡意對象 的持續攻擊趨勢 ,Office 已變更 Office 應用程式中 Packager 物件的預設啟用模型。
在此更新之前,當使用者按兩下檔中的內嵌物件時, (e.g. EXE、JS、VBS) 內嵌的可執行檔或腳本可以啟用。 對於 Windows 視為高風險的物件,使用者會看到安全性警告,如下所示。
如果使用者按兩下 [開啟],物件會以登入使用者的許可權執行。 攻擊者會藉由說服使用者按兩下這個警告提示,藉此向量向社交工程師使用者啟用內嵌在 Office 檔中的惡意程式。
為了保護使用者, Microsoft 365 應用程式預設會封鎖被視為高風險對象的啟用。 Outlook 用來封鎖附件的擴充功能清單會相同。 您可以在 Outlook 的 [封鎖的附件] 中找到延伸模組清單。
此行為看起來像什麼?
Office 應用程式不再允許啟用連結至高風險延伸模組的物件。 當使用者嘗試啟用這類物件時,會顯示下列通知:
Office 已封鎖下列內嵌物件的存取權,以確保您的安全。
我可以自定義被封鎖的擴充功能嗎?
是的,Office 提供兩個 群組原則 選項,可讓系統管理員自定義哪些擴充功能遭到封鎖。 您會在 [ Office/Security Settings/底下找到每一個。
允許擴展名進行 OLE 內嵌
此原則設定可讓您使用物件封裝程式控制項,指定哪些擴展名 Office 不會在 Office 檔案中內嵌為 OLE 套件時加以封鎖。 如果您啟用此原則設定,請輸入允許的擴展名,並以分號分隔。
例如: exe;vbs;js
警告: 惡意腳本和可執行檔可以內嵌為 OLE 封裝,如果使用者按兩下可能會造成傷害。 如果擴充功能已新增至此允許清單,則會降低 Office 的安全性。
封鎖 OLE 內嵌的其他擴展名
此原則設定可讓您使用物件封裝程式控制項,指定 Office 在 Office 檔案中內嵌為 OLE 封裝時會封鎖的其他擴展名。
如果您啟用此原則設定,請輸入要封鎖的其他擴展名,並以分號分隔。
例如: py;Rb
附註: 如果您在 「允許 OLE 內嵌的擴展名」和「封鎖 OLE 內嵌的擴展名」底下新增擴展名,則會封鎖該擴展名。
如何? 變更此行為?
若要針對 Word 或 Excel 等特定應用程式變更此行為,您可以建立下列登錄機碼: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office 應用程式>\Security\PackagerPrompt
注意: 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。 可能需要重新安裝作業系統才能解決這些問題。 Microsoft 不保證這些問題都能順利解決。 Modify the registry at your own risk.
若要建立登錄機碼:
-
結束您可能已開啟的任何 Office 應用程式。
-
按兩下 [開始] (或按鍵盤上的 Windows 鍵來啟動登錄 編輯器) 然後輸入 Regedit 並按 Enter 鍵。
-
找出下列登入機碼:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office application>\Security\
Office 應用程式應為下列其中一項:
-
Word
-
Excel
-
PowerPoint
-
Visio
-
Publisher
-
-
以滑鼠右鍵按兩下,並新增稱為 PackagerPrompt 的新REG_DWORD十六進位值,其中一個值如下:
-
0 – 當使用者按兩下、物件執行時,不會收到 Office 的提示
-
1 - 當使用者按兩下、物件執行時,Office 提示您
-
2 – 沒有提示,物件不會執行
-
有我們未回答的 Office 相關問題嗎?
流覽 Microsoft Answers 社群 以查看其他人張貼的問題與解答,或取得您自己的問題的解答。
