為因應使用物件套件控制項在 Office檔中內嵌惡意物件的攻擊趨勢,Office針對 Office 應用程式中 Packager 物件的預設啟用模型進行變更。
在此更新之前,可執行檔或腳本 (例如 EXE、JS、VBS) 使用物件套件控制項內嵌,當使用者按兩下檔內的內嵌物件時,即可啟用。 對於Windows視為高風險的物件,使用者會看到安全性警告,如下所示。
如果使用者按一下 [開啟],物件會以登入使用者的許可權執行。 攻擊者會濫用此向量給社交工程師使用者,藉由說服使用者按一下此警告提示,以啟用內嵌在檔Office中的惡意程式。
為了保護使用者, Microsoft 365 應用程式預設會封鎖被視為高風險物件的啟用。 封鎖的擴充功能清單與Outlook用來封鎖附件的擴充功能清單相同。 延伸模組清單可在Outlook 中封鎖的附件中找到。
此行為看起來像什麼?
Office應用程式不再允許啟用連結至高風險延伸模組的物件。 當使用者嘗試啟用這類物件時,會顯示下列通知:
Office已封鎖下列内嵌物件的存取,以確保您的安全。
我可以自訂被封鎖的擴充功能嗎?
是,Office提供兩個群組原則選項,可讓系統管理員自訂哪些擴充功能遭到封鎖。 您會在 [ Office/Security Settings/底下找到每一個。
允許副檔名進行 OLE 內嵌
此原則設定可讓您使用物件套件控制項,指定哪些副檔名Office在Office檔案中內嵌為 OLE 封裝時不會封鎖。 如果您啟用此原則設定,請輸入允許的副檔名,並以分號分隔。
例如: exe;vbs;js
警告: 惡意腳本和可執行檔可以內嵌為 OLE 封裝,如果使用者按一下可能會造成傷害。 如果擴充功能已新增至此允許清單,則會降低Office安全性。
封鎖 OLE 內嵌的其他副檔名
此原則設定可讓您指定額外的副檔名,Office會使用物件套件控制項,在 Office 檔案中以 OLE 封裝方式內嵌時封鎖這些副檔名。
如果您啟用此原則設定,請輸入要封鎖的其他副檔名,並以分號分隔。
例如: py;rb
附註: 如果您在 「允許 OLE 內嵌的副檔名」和「封鎖 OLE 內嵌的副檔名」底下新增副檔名,則會封鎖該副檔名。
如何?變更此行為?
若要變更 Word 或 Excel 等特定應用程式的此行為,您可以建立下列登錄機碼: HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office 應用程式>\Security\PackagerPrompt
注意: 如果您使用「登錄編輯程式」或其他方法時未能正確修改登錄,可能會發生嚴重問題。 這些問題可能需要您重新安裝作業系統。 Microsoft 不保證這些問題都能順利解決。 請自行承擔修改登錄的風險。
若要建立登錄機碼:
-
結束您可能已開啟的任何Office應用程式。
-
按一下 [開始] (或按鍵盤上的Windows鍵來啟動登錄編輯程式) 然後輸入Regedit並按 Enter 鍵。
-
找出下列登錄機碼:
HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\<Office application>\Security\
Office應用程式應為下列其中一項:
-
Word
-
Excel
-
PowerPoint
-
Visio
-
Publisher
-
-
以滑鼠右鍵按一下,並新增稱為 PackagerPrompt 的新REG_DWORD十六進位值,其中一個值如下:
-
0 – 當使用者按一下、物件執行時,不會收到Office的提示
-
1 - 當使用者按一下、物件執行時,Office提示
-
2 – 沒有提示,物件不會執行
-
有我們未回答的Office問題嗎?
請流覽Microsoft Answers Community查看其他人張貼的問題與解答,或取得您自己的問題的解答。
