Отключите все макросы Microsoft Office глобально для всех пользователей

4

Из-за популярного «локого» и подобного вредоносного ПО мне нужно отключить макросы для всех установленных Microsoft Office продукты (Word, Excel ...) во всем мире для любой пользователь кто входит на конкретный сервер под управлением Windows Server 2012 R2.

Как это сделать?

Сервер не является контроллером домена, поэтому у меня нет доступных административных шаблонов, так как я предлагаю некоторые ресурсы, которые я прочитал.

Спасибо!

crysman
источник
Надеюсь, вы знаете, что есть другие векторы заражения, которые использует locky, и только отключение офисных макросов не обеспечит 100% защиту от этого вредоносного ПО. Нам нужно знать больше о конфигурации вашего сервера, чтобы помочь.
Ramhound
@Ramhound они также используют файлы .js, но это происходит благодаря включенной усиленной безопасности Internet Explorer (IEES), которая отключает все сайты, кроме белых, для запуска сайтов / файлов для запуска JavaScript
crysman

Ответы:

2

Это можно сделать с помощью групповой политики при наличии соответствующих административных шаблонов. Это HOWTO для машин без центрального магазина GPO [1]. Вы можете использовать классические шаблоны (ADM) [2] или новые (ADMX). Я рекомендую ADMX Не только потому, что он новее и не устарел, но и потому, что он позволяет просматривать All Settings в объектах групповой политики сразу.

  1. Скачать шаблоны: перейти к https://www.microsoft.com/en-us/download и найдите «Файлы административных шаблонов Office 20xx», где xx - установленная версия Office.
  2. Извлеките файлы в какое-то временное расположение (обычно это самораспаковывающийся exe-файл или пакет msi). Вот как извлечь файлы из msi [3].
  3. Скопируйте все файлы ADMX в %systemroot%\PolicyDefinitions\ и включены языковые файлы в %systemroot%\PolicyDefinitions\<appropiate_language_directory> (наверное en-US )
  4. Настройте объекты групповой политики:
    1. в разделе «Конфигурация пользователя» - & gt; Административные шаблоны - & gt; Microsoft Office 20xx - & gt; Настройки безопасности - & gt; включить Отключить VBA для приложений Office ,
    2. [опционально] вы также можете включить Отключить все ActiveX вариант в той же ветке.
    3. перейдите в Конфигурация пользователя - & gt; Административные шаблоны - & gt; Microsoft 20xx - & gt; Параметры - & gt; Безопасность - & gt; Траст-центр - & gt; включить Настройки уведомлений о макросах VBA как "Отключить все с уведомлением"

подсказка: редактор групповой политики - это "gpedit.msc"

[1] https://support.microsoft.com/en-us/help/929841/how-to-create-the-central-store-for-group-policy-administrative-template-files-in-windows-vista

[2] https://superuser.com/a/1073064/440382

[3] Как извлечь файлы из пакета MSI?

crysman
источник
1

Это можно сделать с помощью групповой политики с установленными / импортированными соответствующими административными шаблонами.

  1. Скачать шаблоны: перейти к https://www.microsoft.com/en-us/download и найдите «Файлы административных шаблонов Office 20xx», где xx - установленная версия Office
  2. Импортируйте их в Редактор групповой политики: щелкните правой кнопкой мыши на Конфигурация пользователя - & gt; Административные шаблоны и нажмите «Добавить / удалить шаблоны» - & gt; Добавить - & gt; перейдите в папку, в которую вы сохранили шаблоны (перейдите в папку ADM) - & gt; Хорошо
  3. Установите все это:
    1. в разделе «Конфигурация пользователя» - & gt; Административные шаблоны - & gt; Классические административные шаблоны (ADM) - & gt; Microsoft Office 20xx - & gt; Настройки безопасности - & gt; включить Отключить VBA для приложений Office
    2. в той же ветке выберите все продукты, для которых вы хотите отключить макросы (обычно Word, Excel и Powerpoint) и перейдите в Microsoft 20xx - & gt; Параметры - & gt; Безопасность - & gt; Траст-центр - & gt; включить Настройки уведомлений о макросах VBA как "Отключить все с уведомлением"

подсказка: редактор групповой политики - это "gpedit.msc"

TheStarvingGeek
источник
Машины автора не подключены к контроллеру домена, поэтому использование групповой политики будет довольно сложно реализовать.
Ramhound
Да .. Я видел подобные подсказки ... но у меня их там нет. Когда я иду в редактор групповой политики - & gt; Политика локального компьютера - & gt; Конфигурация компьютера - & gt; Административные шаблоны - & gt; Все настройки ... "VBA Macro ..." нет и в ветке "Конфигурация пользователя"
crysman
перейти к началу и введите gpedit.msc и нажмите Enter
TheStarvingGeek
1
microsoft.com/en-us/download/details.aspx?id=35554 скачать шаблон здесь
TheStarvingGeek
1
в gpediter щелкните правой кнопкой мыши «Административные шаблоны» и нажмите «Добавить / Удалить шаблоны», затем «Добавить», затем перейдите к шаблону
TheStarvingGeek