答案1
答案取决于您对 Office 的业务用途。许多组织依靠 Office 宏来实现业务自动化,因此完全关闭它们不是一个选择。
最重要的第一步是确保所有电脑的安全性
- 所有用户(包括管理员)都必须以标准用户身份登录(管理员应该具有非常受限制的配置文件,以便他们在使用管理员帐户登录时无法执行电子邮件和办公宏等操作)
- 所有电脑都必须有良好的防病毒软件
- 所有 PC 都必须配置为运行白名单应用程序 - 这是目前可用的最佳保护。如果您缺少合适的企业安全工具,则可以使用 Microsoft 提供的免费 EMET 工具,该工具可提供一定的安全性。
- 如果你有合适的基础设施来颁发证书,你应该只强制执行签名脚本
- 如果您无法轻松颁发证书,我建议仅允许脚本从特定的受信任位置运行并以此方式保持控制。也许只有在经过审核流程后才允许在该位置运行文档?
- 当然,当从任何不受信任的位置(例如 USB 记忆棒和电子邮件)打开文档时应该阻止脚本。
- 在任何情况下都不应允许脚本直接从电子邮件运行。
有趣的是,我看到了最近的一次安全检查的结果,它通过从 GMail 帐户向系统管理员发送包含脚本的文档成功入侵了整个网络!他们本应该更清楚这一点,但显然他们不知道,他们无视了安全警告。