A resposta depende do uso comercial do Office. Muitas organizações confiam nas macros do Office para fornecer automação de negócios, portanto, desativá-las completamente não é uma opção.
O primeiro passo mais importante é garantir a segurança correta em todos os PCs
- Todos os usuários (incluindo administradores) devem fazer login como usuários padrão (os administradores devem ter perfis muito restritos, para que não possam fazer coisas como macros de email e de escritório quando conectados com uma conta de administrador)
- Todos os PCs devem ter um bom software antivírus
- Todos os PCs devem ser configurados para executar aplicativos da lista branca - isso é de longe a melhor proteção disponível atualmente. Em um piscar de olhos, se você não tiver uma ferramenta de segurança corporativa adequada, poderá usar a ferramenta EMET gratuita da Microsoft, que fornece alguma segurança.
- Se você tiver uma infraestrutura adequada para emitir certificados, deverá aplicar somente scripts assinados
- Se você não puder emitir certificados com facilidade, recomendamos que os scripts sejam executados somente em locais confiáveis específicos e mantenham o controle dessa maneira. Talvez apenas permita documentos nessa localização depois de um processo de revisão?
- Certamente, os scripts devem ser bloqueados quando os documentos forem abertos de qualquer local não confiável, como um pen drive USB & email.
- Em nenhuma circunstância, os scripts devem ter permissão para serem executados diretamente de e-mails.
Era interessante que uma verificação de segurança recente, que eu vi a saída, conseguiu comprometer toda a rede enviando um documento contendo um script de uma conta do GMail para um administrador do sistema! Eles de todas as pessoas devem saber melhor, mas claramente não, eles cancelaram o aviso de segurança.