Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:корпоративные версии Канала долгосрочных служб Office (LTSC) 2024, Office LTSC 2021, Office 2019 и Office 2016 (включая Project и Visio)
Издатель — это пользователь или компания, которая публикует программное обеспечение, например макрос, элемент ActiveX или надстройку. Прежде чем вы решите доверять издателю, убедитесь, что вы знаете, кто является издателем и являются ли его учетные данные допустимыми.
Если Office предупреждает вас о потенциально небезопасном коде в файле, вы можете просмотреть дополнительные сведения о коде и издателе, прежде чем принимать решение о том, следует ли доверять коду или издателю. Если вы видите предупреждение об отсутствии или недопустимой подписи, не включайте содержимое или не доверяйте издателю, если вы не уверены, что код поступает из надежного источника. Как правило, сообщение о том, что подпись недействительна, означает, что код был изменен после того, как автор подписал его.
Если макрос в файле Office подписан и вы проверили сертификат и доверяете источнику, вы можете пометить источник как доверенный издатель. По возможности централизованно управляйте доверенными издателями, чтобы уменьшить количество запросов пользователей и обеспечить безопасность макросов.
Примечание.
Если ваша организация создает макросы и предоставляет общий доступ к ним в файлах Office (внутренним пользователям или внешним клиентам), разработчикам макросов следует подписать код Visual Basic для приложений (VBA), как рекомендуется. Код обычно подписывается цифровым сертификатом из коммерческого центра сертификации (ЦС) перед распространением макросов.
Чтобы стать доверенным издателем, необходимо добавить общедоступный сертификат подписи кода, используемый для подписи макроса, в хранилище сертификатов доверенных издателей на устройстве.
Предупреждение
- Все макросы, которые действительно подписаны с помощью одного сертификата, распознаются как поступающие от доверенного издателя и выполняются.
- Добавление доверенного издателя влияет не только на Office. Так как это параметр для всей Windows, он может применяться к другим сценариям, помимо Office.
Использование групповая политика для управления доверенными издателями
Вы можете использовать групповая политика для распространения на устройства в организации общедоступного сертификата подписи кода, используемого для подписи макроса. Чтобы распространить сертификат, в средстве управления групповая политика выполните следующие действия.
- Go Computer Configuration\Policies\Windows Settings\Security Settings\Public Key Policies, щелкните правой кнопкой мыши Доверенные издатели и выберите Импорт.
- Запустите мастер импорта сертификатов и импортируйте соответствующий файл сертификата в хранилище сертификатов доверенных издателей.
Для пользователей, которые должны запускать только макросы VBA, подписанные доверенным издателем, следует установить политику параметров уведомлений о макросах VBAзначение Включено и выполнить следующие действия в разделе Параметры:
- В раскрывающемся списке выберите Отключить все, кроме макросов с цифровой подписью .
- Установите флажок Требовать подпись макросов доверенным издателем .
Примечание.
Если выбрать эти параметры для Excel, макросы Excel 4.0 будут заблокированы.
Если вы хотите указать дополнительные ограничения, в разделе Параметры можно установить флажок Блокировать сертификаты от доверенных издателей, которые установлены только в текущем хранилище сертификатов пользователя . Этот параметр запрещает пользователям вручную добавлять доверенного издателя на свое устройство, если у них нет разрешений администратора на своем устройстве.
Использование программы командной строки для распространения сертификата для доверенного издателя
Если ваша организация не использует групповая политика, вы можете распространить общедоступный сертификат подписи кода вручную или с помощью команды certutil в скрипте. С помощью параметра -addstore можно добавить сертификат подписи кода в хранилище TrustedPublisher на устройстве.
Добавление пользователем доверенного издателя вручную
Если у вас есть только несколько пользователей, которым нужно настроить доверенного издателя, вы можете сделать это вручную на каждом устройстве. Пользователям нужно сделать это только один раз для каждого издателя.
Пользователи могут следовать этим инструкциям, чтобы добавить источник в качестве доверенного издателя. Если файл имеет метку в Интернете, пользователи должны сначала удалить метку Интернета из файла, прежде чем добавить источник в качестве доверенного издателя. Дополнительные сведения см. в этой статье.