Office 문서에서 활성 콘텐츠 관리
참고
이 문서에 설명된 기능은 미리 보기로 제공되며 모든 사용자가 사용할 수 없으며 변경될 수 있습니다.
Office 문서는 활성 콘텐츠가 포함된 경우 자동으로 새로 고치거나 업데이트하거나 실행할 수 있습니다. 활성 콘텐츠의 예로는 매크로, ActiveX 컨트롤 및 Office 추가 기능이 있습니다. 활성 콘텐츠는 사용자에게 강력하고 유용한 기능을 제공할 수 있지만 공격자는 활성 콘텐츠를 사용하여 맬웨어를 제공할 수도 있습니다.
관리자는 활성 콘텐츠의 사용을 특정 사용자 집합으로 제한하거나 활성 콘텐츠를 완전히 사용하지 않도록 설정하는 organization 정책(그룹 정책 또는 클라우드 정책)을 만들 수 있습니다. 사용자는 파일> 옵션보안 센터의 Office 앱에서 Office 보안 센터에서 자체 보안 및 개인 정보 설정을 구성할 수있습니다>.
이전에는 사용자가 문서를 신뢰할 수 있는 문서로 식별했을 때 관리자가 Office 문서의 활성 콘텐츠를 차단하도록 정책을 구성한 경우에도 해당 항목을 선택하면 활성 콘텐츠가 실행될 수 있습니다. 이제 관리자가 설정한 정책이 신뢰할 수 있는 문서의 사용자 식별보다 우선합니다. 이러한 동작 변경으로 인해 사용자에게 문제가 발생할 수 있습니다.
업데이트된 보안 센터 논리는 다음 다이어그램에 설명되어 있습니다.
사용자가 활성 콘텐츠가 포함된 Office 문서를 엽니다.
문서가 신뢰할 수 있는 위치에서 온 경우 활성 콘텐츠가 활성화된 상태로 문서가 열립니다. 문서가 신뢰할 수 있는 위치에 있지 않으면 평가가 계속됩니다.
업데이트된 동작이 적용됩니다.
이전에 평가된 다음 설정은 사용자가 이 문서를 신뢰할 수 있는 문서로 식별한 경우였습니다. 이 경우 활성 콘텐츠가 활성화된 상태로 문서가 열립니다.
이제 사용자가 문서를 신뢰할 수 있는 문서로 식별했는지 여부는 여기서 고려되지 않습니다(현재 8단계).
동작의 기본 변경 내용은 다음과 같습니다. 클라우드 정책(4단계), 그룹 정책(6단계) 및 로컬 설정(7단계)은 신뢰할 수 있는 문서의 사용자 지정도 고려 되기 전에 확인됩니다. 이러한 단계 중 하나라도 활성 콘텐츠에 대한 액세스를 차단 하고 사용자가 재정의할 수 있는 단계가 없는 경우 신뢰할 수 있는 문서로 문서의 사용자 식별은 관련이 없습니다.
이 유형의 활성 콘텐츠가 허용되거나 차단되었는지 확인하기 위해 클라우드 정책을 확인합니다. 활성 콘텐츠가 차단되지 않으면 평가는 6단계로 계속됩니다.
활성 콘텐츠가 정책에 의해 차단된 경우 환경은 5단계에서 설명합니다.
문서의 열기는 신뢰 표시줄에 알림과 함께 차단됩니다. 다음에 발생하는 작업은 사용자가 정책의 설정을 재정의하여 제어합니다. a. 사용자 재정의 허용 안 됨: 사용자가 문서를 열 수 없고 평가가 중지됩니다. b. 사용자 재정의 허용: 사용자는 신뢰 표시줄에서 링크를 클릭하여 활성 콘텐츠가 활성화된 문서를 열 수 있습니다.
이 유형의 활성 콘텐츠가 허용되거나 차단되었는지 확인하기 위해 그룹 정책을 확인합니다. 활성 콘텐츠가 차단되지 않으면 평가는 7단계로 계속됩니다.
활성 콘텐츠가 정책에 의해 차단된 경우 환경은 5단계에서 설명합니다.
이 유형의 활성 콘텐츠가 허용되거나 차단되었는지 확인하기 위해 로컬 설정이 확인됩니다. 활성 콘텐츠가 차단되면 트러스트 표시줄에 알림이 표시되어 문서 열기가 차단됩니다. 활성 콘텐츠가 차단되지 않으면 평가가 계속됩니다.
사용자가 이전에 문서를 신뢰할 수 있는 문서로 식별한 경우 활성 콘텐츠가 활성화된 상태로 문서가 열립니다. 그렇지 않은 경우 문서 열기가 차단됩니다.
신뢰할 수 있는 문서가란?
신뢰할 수 있는 문서는 문서의 매크로, ActiveX 컨트롤 및 기타 형식의 활성 콘텐츠에 대한 보안 프롬프트 없이 열리는 Office 문서입니다. 제한된 보기 또는 Application Guard 문서를 여는 데 사용되지 않습니다. 사용자가 신뢰할 수 있는 문서를 열면 모든 활성 콘텐츠가 활성화됩니다. 문서에 새 활성 콘텐츠 또는 기존 활성 콘텐츠에 대한 업데이트가 포함되어 있더라도 다음에 문서를 열 때 보안 프롬프트가 표시되지 않습니다.
이 동작으로 인해 사용자는 문서 원본을 신뢰하는 경우에만 문서를 명확하게 신뢰해야 합니다.
관리자가 정책을 사용하여 활성 콘텐츠를 차단하거나 사용자가 활성 콘텐츠를 차단하는 보안 센터 설정을 설정하면 활성 콘텐츠가 차단된 상태로 유지됩니다.
자세한 내용은 다음 문서를 참조하세요.
Office 정책에서 신뢰할 수 있는 문서 설정 구성
관리자는 여러 가지 방법으로 organization Office를 구성할 수 있습니다. 예를 들면
- Office 클라우드 정책 서비스: Microsoft Entra 계정으로 Office 앱의 파일에 액세스하는 모든 디바이스의 사용자에게 적용되는 사용자 기반 정책을 설정합니다. Office 클라우드 정책 서비스에서 Office 클라우드 정책 구성을 만드는 단계를 참조하세요.
- Intune의 Office 정책: Intune 설정 카탈로그 또는 관리 템플릿을 사용하여 WINDOWS 10 PC에 HKCU 정책을 배포합니다. 디바이스>구성 프로필 아래의 Intune 관리 센터에서.
- 그룹 정책: 온-프레미스 Active Directory 사용하여 사용자 및 컴퓨터에 GPO(그룹 정책 개체)를 배포합니다. 이 설정에 대한 GPO를 만들려면 최신 관리 템플릿 파일(ADMX/ADML) 및 office 사용자 지정 도구 for 엔터프라이즈용 Microsoft 365 앱, Office 2019 및 Office 2016을 다운로드합니다.
알려진 문제
- 정책 VBA 매크로 알림(Access, PowerPoint, Visio, Word) 또는 매크로 알림(Excel)이 디지털 서명된 매크로를 제외한 모든 매크로 사용 안 함 값으로 설정된 경우 예상되는 신뢰 표시줄이 표시되지 않으며 Backstage의 보안 정보는 설정이 예상대로 작동하더라도 차단된 매크로의 세부 정보를 나열하지 않습니다. Office 팀은 이 문제를 resolve 위해 노력하고 있습니다.
활성 콘텐츠를 제한하기 위한 관리 옵션
내부적으로 생성된 콘텐츠와 사용자가 인터넷에서 다운로드하는 콘텐츠에 대한 신뢰 수준에는 큰 차이가 있습니다. 내부 문서에서 활성 콘텐츠를 허용하고 인터넷의 문서에서 활성 콘텐츠를 전역적으로 허용하지 않는 것이 좋습니다.
사용자에게 특정 유형의 활성 콘텐츠가 필요하지 않은 경우 가장 안전한 옵션은 정책을 사용하여 해당 활성 콘텐츠에 대한 사용자 액세스를 해제하고 필요에 따라 예외를 허용하는 것입니다.
다음 정책을 사용할 수 있습니다.
- 신뢰할 수 있는 위치: 사용 가능한 그룹에 대한 예외를 끕니다.
- 신뢰할 수 있는 문서: 사용 가능한 그룹에 대한 예외를 끕니다.
- 모든 활성 콘텐츠: 개인에 대한 예외를 끕니다.
다음 섹션의 표에서는 활성 콘텐츠를 제어하는 설정에 대해 설명합니다. 사용자에게 적용되는 경우 이러한 정책은 신뢰할 수 있는 문서에 적용되며 이전 최종 사용자 환경은 동일하지 않을 수 있습니다. 테이블에는 권장 보안 기준 설정도 포함되며, 사용자가 재정의하라는 메시지를 표시할 수 있는 다른 설정을 식별합니다(사용자가 활성 콘텐츠를 사용하도록 설정할 수 있음).
HKEY_CURRENT_USER 설정
| 범주 | 앱 | 정책 이름 | 보안 기준 설정(권장) |
사용자 프롬프트를 사용하여 설정 및 재정의 가능 여부 |
|---|---|---|---|---|
| Activex | Office | ActiveX 컨트롤 초기화 | 6 | 다음 값에 대해 예:
|
| Activex | Office | 활성 X One Off 양식 허용 | Outlook 컨트롤만 로드 | 아니오 |
| Activex | Office | ActiveX 개체 확인 | 보안 기준 설정이 아닙니다. | 아니오 |
| Activex | Office | 모든 ActiveX 사용 안 함 | 보안 기준 설정이 아닙니다. | 다음 값에 대해 예:
|
| Activex | Office | Forms3에 컨트롤 로드 | 1 | 다음 값에 대해 예:
|
| 추가 기능 & 확장성 | Excel PowerPoint Project 게시자 Visio Word |
서명되지 않은 애플리케이션 추가 기능에 대한 신뢰 표시줄 알림을 사용하지 않도록 설정하고 차단합니다. | Enabled | 사용안 함 값에 대해 예입니다. |
| 추가 기능 & 확장성 | Excel PowerPoint Project 게시자 Visio Word |
응용 프로그램 추가 기능에 신뢰할 수 있는 게시자의 서명 필요 | Enabled | 아니오 |
| 추가 기능 & 확장성 | Excel | 자동 게시 경고 표시 안 함 | Disabled | 아니오 |
| 추가 기능 & 확장성 | Excel | WEBSERVICE 함수 알림 설정 | 모든 매크로 제외(알림 표시) | 다음 값에 대해 예:
|
| 추가 기능 & 확장성 | Office | 게시된 링크에 대해 SharePoint Server 폴링에서 Office 클라이언트 사용 안 함 | Disabled | 아니오 |
| 추가 기능 & 확장성 | Office | 문서 및 템플릿에서 UI 확장 사용 안 함 | Word 허용 불허 = True Project = False에서 허용 불가 Excel에서 허용 불허 = True Visio에서 허용 불허= False PowerPoint에서 허용 불허 = True Access에서 허용 불허 = True Outlook에서 허용 불허 = True 게시자에서 허용 불허 = True InfoPath에서 허용 불허 = True |
아니오 |
| 추가 기능 & 확장성 | Outlook | 주소록에 액세스할 때 Outlook 개체 모델 확인 구성 | 자동으로 거부 | 다음 값에 대해 예:
|
| 추가 기능 & 확장성 | Outlook | Outlook 개체 모델 구성 프롬프트 UserProperty 개체의 Formula 속성에 액세스할 때 | 자동으로 거부 | 다음 값에 대해 예:
|
| 추가 기능 & 확장성 | Outlook | 다른 이름으로 저장을 실행할 때 Outlook 개체 모델 확인 구성 | 자동으로 거부 | 다음 값에 대해 예:
|
| 추가 기능 & 확장성 | Outlook | 주소 정보를 읽을 때 Outlook 개체 모델 확인 구성 | 자동으로 거부 | 다음 값에 대해 예:
|
| 추가 기능 & 확장성 | Outlook | 모임 및 작업 요청에 응답할 때 Outlook 개체 모델 확인 구성 | 자동으로 거부 | 다음 값에 대해 예:
|
| 추가 기능 & 확장성 | Outlook | 메일을 보낼 때 Outlook 개체 모델 확인 구성 | 자동으로 거부 | 다음 값에 대해 예:
|
| 추가 기능 & 확장성 | Outlook | Outlook 개체 모델 사용자 지정 작업 실행 프롬프트 설정 | 자동으로 거부 | 다음 값에 대해 예:
|
| 추가 기능 & 확장성 | PowerPoint | 프로그램 실행 | disable(프로그램을 실행하지 않음) | 사용(실행하기 전에 사용자에게 프롬프트) 값에 대해 예입니다. |
| 추가 기능 & 확장성 | Word Excel |
스마트 문서의 매니페스트 사용 안 함 | Enabled | 아니오 |
| Dde | Excel | Excel에서 DDE(동적 데이터 교환) 서버 시작 허용 안 함 | Enabled | 구성되지 않음 값에 대해 예입니다. |
| Dde | Excel | Excel에서 DDE(동적 데이터 교환) 서버 조회를 허용하지 않음 | Enabled | 다음 값에 대해 예:
|
| Dde | Word | 동적 데이터 교환 | Disabled | 아니오 |
| Jscript & VBScript | Outlook | 일회용 Outlook 양식에 스크립트 허용 | Disabled | 아니오 |
| Jscript & VBScript | Outlook | 공용 폴더에 대해 Outlook 개체 모델 스크립트를 실행할 수 없습니다. | Enabled | 아니오 |
| Jscript & VBScript | Outlook | 공유 폴더에 대해 Outlook 개체 모델 스크립트를 실행할 수 없습니다. | Enabled | 아니오 |
| 매크로 | Excel | 매크로 알림 | 디지털 서명된 매크로를 제외한 모든 매크로 사용 안 함 | 다음 값에 대해 예:
|
| 매크로 | Access PowerPoint Project 게시자 Visio Word |
VBA 매크로 알림 설정 | 디지털 서명된 매크로를 제외한 모든 매크로 사용 안 함 및 신뢰할 수 있는 게시자가 매크로에 서명해야 합니다. |
다음 값에 대해 예:
|
| 매크로 | Access Excel PowerPoint Visio Word |
인터넷에서 Office 파일에서 매크로가 실행되는 것을 차단합니다. | Enabled | 다음 값에 대해 예:
|
| 매크로 | Excel | Excel Open XML 통합 문서에서 암호화된 매크로 검사 | 암호화된 매크로 검사(기본값) | 아니오 |
| 매크로 | Office | VBA가 신뢰할 수 없는 인트라넷 위치에서 경로별로 typelib 참조를 로드하도록 허용 | Disabled | 아니오 |
| 매크로 | Office | Automation 보안 | 응용 프로그램 매크로 보안 수준 사용 | 아니오 |
| 매크로 | Office | 로컬 컴퓨터의 안전하지 않은 위치를 참조할 수 있는 VBA 라이브러리 참조에서 다른 보안 검사를 사용하지 않도록 설정 | Disabled | 아니오 |
| 매크로 | Office | 매크로 런타임 검사 범위 | 모든 문서에 대해 사용 | 아니오 |
| 매크로 | Office | V3 서명을 사용하는 VBA 매크로만 신뢰 | 보안 기준 설정이 아닙니다. | 아니오 |
| 매크로 | Outlook | Outlook 보안 모드 | Outlook 보안 그룹 정책 사용 | 모든 Outlook GPO 설정을 사용하도록 설정하는 데 필요합니다. 종속성으로 언급됩니다(이 정책은 활성 콘텐츠 자체를 차단하지 않음). |
| 매크로 | Outlook | 매크로에 대한 보안 설정 | 서명된 경고, 서명되지 않음 사용 안 함 | 다음 값에 대해 예:
|
| 매크로 | PowerPoint | PowerPoint Open XML 프레젠테이션에서 암호화된 매크로 검사 | 암호화된 매크로 검사(기본값) | 아니오 |
| 매크로 | 게시자 | Publisher Automation 보안 수준 | UI 기준(메시지 표시) | 아니오 |
| 매크로 | Word | XML 문서 열기를 Word 암호화된 매크로 검사 | 암호화된 매크로 검사(기본값) | 아니오 |
HKEY_LOCAL_MACHINE 설정
| 범주 | 앱 | 정책 이름 | 보안 기준 설정(권장) |
사용자 프롬프트를 사용하여 설정 및 재정의 가능 여부 |
|---|---|---|---|---|
| Activex | Office | ActiveX 설치 제한 | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
아니오 |
| 추가 기능 & 확장성 | Office | 추가 기능 관리 | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
아니오 |
| 추가 기능 & 확장성 | Office | Office 문서에서 Flash 정품 인증 차단 | Microsoft 365 앱에서 Flash에 대한 모든 활성화를 차단하는 COM 킬비트 목록은 Microsoft 보안 가이드 ADMX/ADML 파일을 참조하세요. 엔터프라이즈 보안 기준의 ADMX/ADML 파일은 보안 준수 도구 키트에서 사용할 수 있습니다. | 아니오 |
| Jscript & VBScript | Office | Office에 대한 레거시 JScript 실행 제한 | 사용: 액세스: 69632 Excel: 69632 OneNote: 69632 Outlook: 69632 PowerPoint: 69632 프로젝트: 69632 게시자: 69632 Visio: 69632 Word: 69632 |
아니오 |
| Jscript & VBScript | Office | 스크립트된 창 보안 제한 | excel.exe = True exprwd.exe = True groove.exe = True msaccess.exe = True mse7.exe = True mspub.exe = True onent.exe = True outlook.exe = True powerpnt.exe = True pptview.exe = True spDesign.exe = True visio.exe = True winproj.exe = True winword.exe = True |
아니요 |