防范恶意滥用，微软正式关闭Excel 4.0宏

苹果技巧 • 2023年8月25日 15:50 • 投稿

为了防止骇客用来散布恶意程序，继去年年中的预告后，微软上周宣布正式关闭Excel 4.0 XLM宏。

XLM代码特性，像是更改字符串即可隐藏URL或文件名，使恶意程序容易躲避静态侦测产品。另一方面，Office 365整合了AMSI防范VBA恶意宏，迫使攻击者转向XLM宏，用它来呼叫Win32 API执行shell指令，Trickbot、Zloader和Ursnif等恶意程式都曾利用XLM宏攻击与散布。

去年7月微软发布新的Excel Trust Center设置选项，让管理员可手动限制Excel 4.0 XLM 宏使用。 10月微软再预告，针对未曾启用Excel 4.0 XLM宏设定，或是管理员未于群组政策中设定的Microsoft 365租户，将预设关闭Excel 4.0宏。已经启用或是群组政策启用这项设定者就不受影响。今天的宣布则是于最新版Excel（Build 16.0.14427.10000）中，默认关闭Excel 4.0 XLM宏，以防御安全威胁。

想要调整的管理员可以通过Microsoft 365应用程序的政策控制来调整。有2条路径。一为群组政策，可循「用户设置」>「管理员模板」>「Microsoft Excel 2016」>「Excel 选项」>「安全」>「信任中心（Trust Center）」下的「宏通知设置」来开启或关闭Excel宏设定。二为机码。机码路径为：Computer\HKEY_CURRENT_USER\SOFTWARE\Policies\

Microsoft\Office\16.0\excel\security。

管理员也可以经由Office云端政策服务（Office cloud policy service）部署云端原则，或从Microsoft端点管理员（Microsoft Endpoint Manager）设定ADMX原则。最后，管理员还能藉由开启群组政策编辑程序中的「封锁Excel执行XLM宏」选项，完全封锁所有XML宏的使用。

微软也提醒，在9月分叉版本Excel 16.0.14527.20000以后版本中即已经默认关闭XLM，它会包含于以下更新释出：

Current Channel builds 2110 以后（2021年10月释出）、Monthly Enterprise Channel builds 2110 以后（2021年12月释出）、Semi-Annual Enterprise Channel （Preview） builds 2201 及以后版本（2022年3月释出）及Semi-Annual Enterprise Channel builds 2201 及以后版本（2022年7月释出）。