이 정책 설정은 VBA(Visual Basic for Applications) 매크로가 있을 때 지정된 응용 프로그램의 사용자에게 경고하는 방법을 제어합니다.
이 정책 설정을 사용하는 경우 네 가지 옵션 중 하나를 선택하여 지정된 응용 프로그램의 사용자에게 매크로에 대해 경고하는 방법을 결정할 수 있습니다.
- 모든 매크로 제외(알림 표시): 응용 프로그램에서 서명 여부와 관계없이 모든 매크로에 대해 보안 표시줄 알림을 표시합니다. 이 옵션은 Office의 기본 구성을 적용합니다.
- 디지털 서명된 매크로만 포함: 응용 프로그램에서 디지털 서명한 매크로에 대해 보안 표시줄 알림을 표시하여 사용자가 해당 매크로를 사용하거나 사용하지 않도록 설정할 수 있게 합니다. 서명이 없는 매크로는 사용하지 않고 사용자에게 알리지 않습니다.
- 모든 매크로 제외(알림 표시 없음): 응용 프로그램에서 서명 여부와 관계없이 모든 매크로를 사용하지 않고 사용자에게 알리지 않습니다.
- 모든 매크로 포함(권장하지 않음): 서명 여부와 관계없이 모든 매크로를 사용합니다. 이 옵션을 사용하면 위험성 있는 코드가 검색되지 않은 상태로 실행될 수 있으므로 보안 위험이 크게 증가할 수 있습니다.
이 정책 설정을 사용하지 않으면 "모든 매크로 제외(알림 표시)"가 기본 설정이 됩니다.
이 정책 설정을 구성하지 않은 경우 사용자가 지정된 응용 프로그램에서 VBA 매크로가 포함된 파일을 열면, 해당 응용 프로그램에서 매크로를 제외하고 파일을 열고 매크로를 사용하지 않도록 설정했음을 알리는 경고와 함께 보안 표시줄을 표시합니다. 사용자는 필요한 경우 파일을 검사하고 편집할 수 있지만, 사용할 수 없는 기능을 사용하려면 보안 표시줄에서 "콘텐츠 사용"을 클릭하여 사용하도록 설정해야 합니다. 사용자가 "콘텐츠 사용"을 클릭하면 문서가 신뢰할 수 있는 문서로 추가됩니다.
"디지털 서명된 매크로만 포함"을 선택하면 "신뢰할 수 있는 게시자가 매크로에 서명해야 함" 확인란을 선택하여 보안을 향상하도록 하는 것이 좋습니다.
"신뢰할 수 있는 게시자가 매크로에 서명해야 함" 확인란을 선택한 경우 디지털 서명이 있지만 신뢰할 수 있는 게시자가 서명하지 않은 매크로가 있는 파일을 여는 사용자는 매크로가 실행되지 않는다는 알림을 받습니다. 그리고 보안 향상을 위해 두 가지 추가 확인란을 선택하는 것이 좋습니다.
- 현재 사용자 인증서 저장소에 설치된 신뢰할 수 있는 게시자의 인증서 차단
- 신뢰할 수 있는 게시자의 인증서에 EKU(확장된 키 사용) 필요
참고: 이 두 확인란은 "신뢰할 수 있는 게시자가 매크로에 서명해야 함" 확인란을 선택한 경우에만 적용됩니다.
"로컬 컴퓨터 인증서 저장소에 설치된 신뢰할 수 있는 게시자의 인증서 차단" 확인란을 선택한 경우 신뢰할 수 있는 게시자의 인증서가 현재 사용자 인증서 저장소에 설치되어 있으면 매크로는 실행되지 않습니다. 매크로를 실행하려면 로컬 컴퓨터 인증서 저장소에 인증서가 설치되어 있어야 합니다. 컴퓨터에 대한 관리자 액세스 권한이 있는 계정만 로컬 컴퓨터 인증서 저장소에 인증서를 설치할 수 있습니다.
"신뢰할 수 있는 게시자의 인증서에 EKU(확장된 키 사용) 필요" 확인란을 선택한 경우 EKU는 인증서 사용 중 하나로 "코드 서명"을 포함해야 합니다.
중요: "디지털 서명된 매크로만 포함"을 선택하면 사용자가 서명이 없는 Access 데이터베이스를 열 수 없습니다.
또한, Microsoft Office에서는 신뢰할 수 있는 게시자에 대한 인증서를 Internet Explorer의 신뢰할 수 있는 게시자 저장소에 저장합니다. 이전 버전의 Microsoft Office에서는 Office의 특정 신뢰할 수 있는 게시자 저장소에 신뢰할 수 있는 게시자 인증서 정보(특히, 인증서 지문)를 저장합니다. Microsoft Office에서는 Office의 신뢰할 수 있는 게시자 저장소에서 신뢰할 수 있는 게시자 인증서 정보를 읽지만, 이 저장소에 정보를 기록하지는 않습니다.
따라서, 이전 버전의 Microsoft Office에서 신뢰할 수 있는 게시자 목록을 만들고 Office로 업그레이드하는 경우 신뢰할 수 있는 게시자 목록이 그대로 인식됩니다. 그러나 이 목록에 신뢰할 수 있는 게시자 인증서를 추가할 경우 해당 인증서는 Internet Explorer의 신뢰할 수 있는 게시자 저장소에 저장됩니다.
Registry Hive | HKEY_CURRENT_USER |
Registry Path | software\policies\microsoft\office\16.0\powerpoint\security |
Value Name | |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_CURRENT_USER |
Registry Path | software\policies\microsoft\office\16.0\powerpoint\security |
Value Name | vbadigsigtrustedpublishers |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_CURRENT_USER |
Registry Path | software\policies\microsoft\office\16.0\powerpoint\security |
Value Name | vbarequirelmtrustedpublisher |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |
Registry Hive | HKEY_CURRENT_USER |
Registry Path | software\policies\microsoft\office\16.0\powerpoint\security |
Value Name | vbarequiredigsigwithcodesigningeku |
Value Type | REG_DWORD |
Default Value | 0 |
True Value | 1 |
False Value | 0 |