为所有用户全局禁用所有 Microsoft Office 宏

Question

由于流行的“locky”和类似的恶意软件，我需要为登录到运行 Windows Server 2012 R2 的特定服务器的任何用户全局禁用所有已安装的Microsoft Office产品（Word、Excel...）的宏。

怎么做？

服务器不是域控制器，因此我没有可用的管理模板，建议我阅读一些资源。

谢谢！

Answer 1

这可以通过组策略并使用适当的管理模板来完成。本 HOWTO 适用于没有 GPO 中央存储的机器 [1]。您可以使用经典模板 (ADM) [2] 或新模板 (ADMX)。我推荐 ADMX，不仅因为它更新且没有过时，而且主要是因为它允许您All Settings立即浏览 GPO。

1. 下载模板：转到https://www.microsoft.com/en-us/download并搜索“Office 20xx 管理模板文件”，其中 xx 是您安装的 Office 版本。
2. 将文件解压到某个临时位置（通常是自解压 exe 或 msi 包）。以下是如何从 msi 中提取文件 [3]。
3. 将所有 ADMX 文件复制到%systemroot%\PolicyDefinitions\并将包含的语言文件复制到%systemroot%\PolicyDefinitions\<appropiate_language_directory>（可能en-US）
4. 设置 GPO：
   1. 在“用户配置”->“管理模板”->“Microsoft Office 20xx”->“安全设置”-> 下启用“禁用 Office 应用程序的 VBA”。
   2. [可选]您可能还想在同一分支中启用“禁用所有 ActiveX”选项。
   3. 转至用户配置 -> 管理模板 -> Microsoft 20xx -> 选项 -> 安全 -> 信任中心 -> 启用VBA 宏通知设置为“禁用全部而不通知”

提示：组策略编辑器是“gpedit.msc”

[1] https://support.microsoft.com/en-us/help/929841/how-to-create-the-central-store-for-group-policy-administrative-template-files-in-windows-vista

[2] https://superuser.com/a/1073064/440382

[3]如何从 MSI 包中提取文件？