为所有用户全局禁用所有 Microsoft Office 宏

tag-icon tag-icon microsoft-office macros windows-server-2012-r2
为所有用户全局禁用所有 Microsoft Office 宏

由于流行的“locky”和类似的恶意软件,我需要禁用宏对于所有已安装微软办公软件产品(Word、Excel......)全球任何用户谁登录到运行 Windows Server 2012 R2 的特定服务器。

怎么做?

该服务器不是域控制器,因此我没有可用的管理模板,正如我读过的一些资源所建议的那样。

谢谢你!

答案1

可以通过组策略和适当的管理模板来完成。本 HOWTO 适用于没有 GPO 中央存储的计算机 [1]。您可以使用经典模板 (ADM) [2],也可以使用新模板 (ADMX)。我推荐 ADMX,不仅因为它较新且不过时,更主要的是因为它允许您All Settings一次在 GPO 中浏览。

  1. 下载模板:前往https://www.microsoft.com/en-us/download并搜索“Office 20xx 管理模板文件”,其中 xx 是您安装的 Office 版本。
  2. 将文件解压到某个临时位置(通常是自解压的 exe 或 msi 包)。以下是如何从 msi 中提取文件 [3]。
  3. 将所有 ADMX 文件复制到%systemroot%\PolicyDefinitions\并将包含的语言文件复制到%systemroot%\PolicyDefinitions\<appropiate_language_directory>(可能en-US
  4. 设置 GPO:
    1. 在用户配置 -> 管理模板 -> Microsoft Office 20xx -> 安全设置 -> 启用禁用 Office 应用程序的 VBA
    2. [可选] 您可能还想启用禁用所有 ActiveX同一分支中的选项。
    3. 转到用户配置->管理模板->Microsoft 20xx->选项->安全->信任中心->启用VBA 宏通知设置作为“禁用所有,不通知”

提示:组策略编辑器是“gpedit.msc”

[1]https://support.microsoft.com/en-us/help/929841/how-to-create-the-central-store-for-group-policy-administrative-template-files-in-windows-vista

[2]https://superuser.com/a/1073064/440382

[3]如何从 MSI 包中提取文件?

答案2

它可以通过组策略并安装/导入适当的管理模板来完成。

  1. 下载模板:前往https://www.microsoft.com/en-us/download并搜索“Office 20xx 管理模板文件”,其中 xx 是您安装的 Office 版本。
  2. 将它们导入到组策略编辑器:右键单击用户配置 -> 管理模板,然后单击“添加/删除模板” -> 添加 -> 浏览到保存模板的文件夹(浏览到 ADM 文件夹) -> 确定
  3. 设置一切:
    1. 在用户配置 -> 管理模板 -> 经典管理模板 (ADM) -> Microsoft Office 20xx -> 安全设置 -> 启用禁用 Office 应用程序的 VBA
    2. 在同一个分支中选择所有要禁用宏的产品(通常是 Word、Excel 和 Powerpoint),然后转到 Microsoft 20xx -> 选项 -> 安全 -> 信任中心 -> 启用VBA 宏通知设置作为“禁用所有通知”

提示:组策略编辑器是“gpedit.msc”

相关内容