Microsoft je pri podpisovanju projektov z makri za Office VBA (VBA) odkril ranljivost. Ta ranljivost lahko zlonamernim uporabnikom omogoči spreminjanje podpisanega projekta VBA, ne da bi razveljavil njegov digitalni podpis. Zato priporočamo, da uporabniki uporabijo varnostne posodobitve, ki so navedene v razdelku Microsoftove skupne ranljivosti in izpostavljenosti CVE-2020-0760.
Za izboljšanje varnosti podpisovanja projekta z makri VBA za Office, Microsoft zagotavlja varnejšo različico sheme podpisa projekta VBA: podpis V3. Podpis V3 je na voljo v teh izdelkih:
-
Microsoft 365 različica 2102 (graditev 16.0.13801.20266) in novejše različice trenutnega kanala
-
Različice sistema Office 2019, različica 1808 (graditev 10372.20060) in novejše različice, s količinskimi licenci
-
Maloprodajne različice izdaj »zagon s klikom« sistema Office 2016 in sistema Office 2019, različica 2102 (graditev 16.0.13801.20266) in novejše različice
-
Izdaje sistema Office 2016, ki temeljijo na .msi (Microsoft Installer) in imajo te posodobitve ali novejše različice posodobitev:
Priporočamo, da organizacije uporabijo podpis V3 za vse makre, da odpravijo tveganje nedovoljenega spreminjanje.
Za zagotavljanje združljivosti s starejšimi različicami bodo datoteke VBA, ki imajo obstoječe podpise, še naprej delovale, datoteke, ki so podpisane s podpisom V3, pa lahko odprete in zaženete v starejših različicah Officea ali v ne posodobljenem Officeovem odjemalcu. Vendar pa priporočamo, da skrbniki obstoječe podpise VBA čim prej po nadgradnji Officea na navedene različice nadgrajijo na podpis V3. Ko skrbniki preverijo, da v organizaciji ni izgube združljivosti, lahko onemogočijo stare podpise VBA tako, da omogočijo nastavitev Pravilnika za podpise V3, ki omogočajo le zaupanje makrom VBA. Če želite več informacij o tej nastavitvi pravilnika, glejte razdelek »Omogočanje nastavitve pravilnika: zaupaj le makrom VBA, ki uporabljajo podpise V3«.
Nadgradite podpisane datoteke VBA v podpis V3
Skrbniki lahko uporabijo te teme za nadgradnjo obstoječih datotek s podpisi VBA na podpis V3.
Uporaba urejevalnika VBA za vnovično podpisovanje datotek VBA
Če imate zasebna potrdila, uporabite urejevalnik VBA (VBA), ki je na voljo v Officeovi aplikaciji, da znova podpišete datoteke VBA.
-
Če želite znova podpisati datoteko VBA, pritisnite Alt + F11 iz datoteke, da odprete urejevalnik VBA.
-
Če želite obstoječi podpis zamenjati s podpisom V3, izberite Orodja za > podpis. Odpre se pogovorno okno Digitalni podpis.
Opomba: Če želite podpisati projekt VBA, mora biti zasebni ključ pravilno nameščen. Če želite več informacij, glejte Digitalno podpisovanje projekta z makri.
-
Izberite Izberi, da izberete zasebni ključ potrdila za podpis projekta VBA, nato pa izberite V redu.
-
Če želite ustvariti nove podpise, znova shranite datoteko. Novi digitalni podpisi bodo zamenjali prejšnje podpise.
Uporaba orodja SignTool za vnovično podpisovanje datotek VBA
Z orodjem SignTool Windows 10 SDK lahko znova podpišete datoteke VBA prek ukazne vrstice. Če želite paketno delo za vnovično podpisovanje v skladu s seznamom inventarja, ki je naveden v razdelku »Ustvarjanje inventarja podpisanih datotek VBA«, lahko orodje SignTool integrigrite v svoja skrbniška orodja.
Opomba: SignTool trenutno ne podpira Microsoft Accessa.
Če želite znova podpisati datoteke VBA z orodjem SignTool, sledite tem korakom:
-
Prenesite in namestite Windows 10 SDK.
-
Prenesite Officesips.exe paketov vmesnika Microsoft Office Subject Interface za digitalno podpisovanje projektov VBA.
-
Če želite podpisati datoteke in preveriti podpise v datotekah, registrirajte Msosip.dll in Msosipx.dll, nato pa zaženite Offsign.bat. Podrobna navodila so vključena v Readme.txt namestitvene mape programa Officesips.exe.
Opomba: Uporabite različico x86 orodja SignTool v mapi »C:\Program Files (x86)\Windows Kits\10\bin\10.0.18362.0\x86«, ko zaženete Offsign.bat.
Nastavitev za omogočanje pravilnika: »Zaupajte le makrom VBA, ki uporabljajo podpise V3«
Ko dokončate nadgradnjo na podpise V3, priporočamo, da omogočite nastavitev Pravilnika za podpise V3, ki uporablja le zaupanja vredne makre VBA in tako zagotovite, da so zaupanja vredne le podpisne datoteke V3.
Ta nastavitev pravilnika je na voljo v pravilnik skupine ali v storitvi Officeovega pravilnika v oblaku. Najdete ga v možnosti Uporabniška konfiguracija\Pravilniki\Skrbniške predloge\Microsoft Office 2016\Varnostne nastavitve\Središče zaupanja. Če je ta nastavitev omogočena, bo veljaven le podpis V3, ko Office preveri digitalni podpis v datotekah. Podpisi v starejši obliki zapisa v datotekah VBA bodo prezrti.