警惕文件陷阱:看似普通的文档,可能暗藏境外窃密阴谋

同样点开一份“简历.docx”，电脑既不弹警告也未执行宏，Microsoft Office 选择“禁用所有宏，不通知”使文档中的宏载荷直接失效。

变化现象+权威锚点：同样是收到“研究申请”邮件并点开加密Word简历，结果可以截然不同。国家安全机关通报的高校案例显示，发件人自称硕士生并附密码简历，文档经鉴定内置境外间谍情报机关研制的木马，打开即触发并可控制计算机、窃取数据；该专家未在计算机存储敏感信息并及时上报，未造成失泄密。

机制补充：Microsoft Office 宏是嵌入文档、可自动或按需运行的小程序。宏执行由“宏设置”统一控制，常见四档从高到低为：1）禁用所有宏，不通知；2）禁用所有宏，并发出通知；3）仅禁用无数字签名的宏；4）启用所有宏（不推荐）。第一档会直接静默阻断宏，第二档会在界面给出安全警告，需要用户点“启用内容”才会运行。

参数验证（用户可感知差异）：当 Microsoft Office 选择“禁用所有宏，并发出通知”时，打开含宏文档会看到黄色警告条，只有手动“启用内容”才会放行；当选择“禁用所有宏，不通知”时，界面不再提示，宏保持被拦截，文档内容正常显示但宏载荷不能运行。

设置路径（不同版本措辞差异）：在 Word/Excel/PPT 中，依次进入“文件—选项—信任中心—信任中心设置—宏设置”，将默认的“禁用所有宏，并发出通知”提升为“禁用所有宏，不通知”。早期版本中对应措辞略有差异，例如 Word 2013/2007 中显示为“禁用所有宏，并且不通知”，含义一致。

对比解释（组织级管控）：为避免个人误操作，企业/机构可用集中策略全局锁定 Microsoft Office 宏执行：通过组策略或在注册表使用 VBAWarnings 键值统一禁用宏，避免终端各自为政。这样可在服务器、科研终端等关键岗位形成一致的拦截基线。

自动宏的额外拦截：针对 Word 的自动执行宏（如 AutoExec、AutoOpen），除宏安全策略外，还可按官方方法临时阻断：以命令行开关“winword /m”或“winword /embedding”启动，或在启动 Word 时按住Shift键，以防文档或模板中的自动宏自启动。

风险边界与刚性规范：禁用宏能显著压缩文档投送木马的通路，但并不等于对所有攻击免疫。按权威要求，个人与涉密岗位需坚持“涉密不上网，上网不涉密”，并落实不点击不明链接、不扫码可疑二维码、不安装来源不明软件、不随意连接公共Wi‑Fi、及时关闭不必要权限、定期查杀与修补漏洞等操作规程。

单位侧落地：除 Microsoft Office 宏设置的统一收敛，机关和单位还需部署动态沙箱等检测手段拦截可疑文档、加强终端安全排查与后门清除、规范陌生邮件附件与PDF文件的处理流程，减少“指尖操作”带来的渗透面。

处置与举报：一旦误开可疑文档，立即断网并联系本单位网安与保密部门排查；发现可疑线索，可通过12339电话、www.12339.gov.cn、国家安全部微信公众号或当地国家安全机关进行举报。

把“宏永不自动运行”设为默认，再用组织级策略锁死，是把文档型木马拦在第一道门外的最低成本做法。