Dosya açıldığında "İçeriği Etkinleştir" (Enable Content) otomatik nasıl yapılır?

Dosya Ortak alanda ise bulunduğu klasörü "Güvenilen Konumlar" kısmına eklemeyi dener misiniz.

@resulsoydas hocam dosya ortak konumda degil mesela bir user"a imzali dosyayi mail ile yollarsam da acabilmeli.

Merhaba Fatih, aşağıdaki ayarı denedin mi?

File > Options > Trust Center > Trust Center Settings > Macro Settings and look at the option you have selected. If you want to run unsigned macros, you can either select “Disable all macros with notification” and then click “Enable Content” when you open the file, or select “Enable all macros (not recommended; potentially dangerous code can run)” and then click “OK”. However, be careful when you do this, as some macros can harm your computer or data.

Ama tabi bu riskli bir durum, kesinlikle önerilmez.

Dikkat edersen verdiği uyarı dosyada macro olduğu uyarısı ve fark sen dosyaları certificated yapıyorsun. Bu olmadığında macro ve diğer güvenlik uyarıları kaldırılır ama bildiğim kadarıyla bunu bil ve farkında ol şeklinde işliyor bu senaryo.

Bu arada şu bilgiler ile ekleyeyim yada düzeltiyim.

"Disable all macros except digitally signed macros"
Macro ayarını yapmalısın, yapmışsındır muhtemelen,

Ancak Rıza hocanın dediği gibi Desktop, Documents vs de 
Trusted Location
eklemek zorundasın. Diğer profile yolları da eklenebilir. Ben bizde uygulama farkından da bunu doğruluyorum birçok konumu trusted yapmışız. Ancak yine bildiğim kadarıyla dosyayı mail ve internete cloud'a koyarsan yine enabled alırsın çünkü geçici path'leri trusted yapamazsın bildiğim kadarıyla. Senin yaptıklarında şart konumu trusted yapmak gerekliymiş, yani mail temp'in de açıldığında onu trusted yapma ihtimali var mı onu araştırmalısın.

@ibrahimyildiz

Aslında mail sadece bir örnekti. Asıl söylemek istediğim şuydu:

Mesela ben sana mail ile Excel dosyasını yollayacağım, sen de onu alıp masaüstüne koyup açacaksın.

Ben dosyayı imzaladığım için ve sende de ben “Trusted Publisher” olarak tanımlı olduğum için, makronun doğrudan çalışmasını istiyorum.

 

Bu arada, evet, bahsettiğin ayarı yaptım aslında.

@hakanuzuner Abi,

Aslında imzalılar hariç devre dışı bırak seçeneğini kullandım.

Ancak yukarıda paylaştığım görseldeki gibi, dosyayı açtıktan sonra “File” → “Info” kısmına girip onay vermek istemiyorum.

Aşağıdaki önerileri de bir test edeyim diyorum.

Sanırım “Trusted Locations” ekleyince problem çözülecek gibi duruyor.

 

Edit: Trusted location eklersem de bu sefer imzalamamın anlamı kalmayacak gibi ama..

@resulsoydas

Hocam,

Trusted Location’a bir dosya eklersem ve dosyayı imzalamazsam, makrolu dosya yine de çalışır mı?

Bu durumda imzalamaya gerek kalmıyor gibi görünüyor.

Ancak ben, imzasız dosyaların asla çalışmamasını istiyorum.

Ben seni anlayamamıştım 🙂 yorgunluktan herhalde yazdığın herşeyi derleyince yapay zeka anlayabildi ve basitleştirincee bende anlayabildim. Buyur cevaplar : 🙂

Soruyu soran kişi aslında şunu kastediyor:

Ben dosyayı sana e-posta ile gönderiyorum. Sen dosyayı masaüstüne kaydediyorsun ve açıyorsun.

İmzalı olduğu için ve ben senin bilgisayarında Trusted Publisher olarak tanımlı olduğum için,

hiçbir ek onay vermeden (Enable Content demeden) doğrudan çalışsın istiyorum.

 

Ancak:

 

"Trusted Location" kullanırsam dosya doğrudan çalışıyor, doğru,

 

Fakat "Trusted Location" kullanınca, imza kontrolü bypass edilmiş oluyor.

(Yani, imzasız bir dosya da Trusted Location içindeyse çalışabiliyor.)

 

İşte burada şöyle bir kafa karışıklığı oluşuyor:

 

Trusted Location kullanırsam, imzalama zahmetine neden giriyorum ki?

 

Çünkü Trusted Location'a konan her dosya (imzalı ya da imzasız) makrolarıyla birlikte otomatik açılır.

Bu, imzasız dosyalar için de geçerli olur.

Dolayısıyla imzanın güvenlik katkısı kaybolmuş olur.

 

Soru soran kişinin temel endişesi şudur:

Ben sadece imzalı dosyaların çalışmasını istiyorum,

 

Trusted Location açarsam, imzasız dosyalar da çalışır, bu da güvenlik açığı olur,

 

O yüzden Trusted Location kullanmadan, sadece Trusted Publisher üzerinden sorunsuz çalışsın istiyorum.

 

Peki bu mümkün mü?

Trusted Publisher ile, dosya Trusted Location'a alınmadan, e-mail'den veya masaüstünden doğrudan açıldığında makro otomatik çalışabilir mi?

 

Cevap:

Normal Office davranışı gereği doğrudan mümkün değil.

Çünkü Office iki kat güvenlik kontrolü yapar:

 

Dosya kaynağı kontrolü (örneğin e-mail'den gelen dosyalara şüpheyle bakar, "Protected View" açar),

 

İçerik kontrolü (makro imzasına bakar).

 

İmza sadece makronun güvenliğini gösterir,

Ama dosyanın kaynağından dolayı gelen "Protected View" gibi koruma modları ayrıdır.

Bu koruma sadece Trusted Location veya güvenli ayarlarda kaldırılabiliyor.

 

Yani:

 

Trusted Publisher → makroyu güvenli sayar,

 

Trusted Location → dosyanın kaynağını güvenli sayar.

 

İkisini birden istemeden, sadece Publisher'a güvenerek dosya kaynağı korumasını atlatmak mümkün değil.

 

Özetle Soruyu Cevaplarsak:

Soran kişi şunu istiyor:

"Benim imzaladığım dosya, karşı tarafta doğrudan çalışsın. Dosyayı Trusted Location'a alma zahmeti olmasın."

 

Ama gerçek durum şu:

Office’in kendi güvenlik politikası buna izin vermiyor.

Trusted Location kullanılmazsa, her zaman bir şekilde kullanıcı müdahalesi ("Enable Content") gerekecek.

 

Bir ek bilgi daha:

Office 365 / Office 2021 gibi yeni sürümlerde, Protected View (Korunan Görünüm) ayarları biraz daha katılaştı.

Özellikle:

 

E-mail ile gelen dosyalar,

 

Internet zone (Outlook, Teams vb. kaynaklardan indirilenler)

otomatik olarak Protected View açılıyor.

Trusted Publisher bile olsa doğrudan açılmaz.

 

Bu yüzden:

 

Dosya doğrudan çalışacaksa, ya Trusted Location olacak,

 

Ya da önce kullanıcı dosyayı sağ tıklayıp "Unblock" (Engellemeyi kaldır) diyecek.

 

Çok kısa cümleyle toparlarsam:

📌 Sadece Trusted Publisher kullanarak, email ile gelen bir Excel dosyasının makrolarını kullanıcı müdahalesi olmadan çalıştırmak mümkün değil.

📌 Trusted Location kullanırsan mümkün olur, ama bu da imzalamayı önemsiz hale getirir.

📌 İmzalı ve güvenli çalıştırmak istiyorsan, dosyayı bir kez güvenli bir konuma taşıma şartı var.

 

İstersen bu konuyu biraz daha teknik seviyede (örneğin Office GPO ayarlarıyla, Protected View Exceptions açarak) "yarı otomatik" çözüm nasıl olur onu da anlatabilirim.

(örneğin özel registry ayarı veya GPO ile sadece belirli publisher'ların dosyalarını otomatik güvenli saydırmak gibi.)

 

 

Response 1

Tabii! Şimdi sana bu işin daha ileri düzey (pro admin seviyesi) nasıl çözülebileceğini anlatacağım.
Burada amaç:

• Dosyayı Trusted Location’a koymadan,
• Sadece Trusted Publisher üzerinden,
• Dosyayı açınca otomatik makro çalıştırmak
• Kullanıcıya "Enable Content" çıkmaması

Şu yollar mümkün:

1. Group Policy (GPO) ile "Trusted Publishers Only" Ayarı

(Gelişmiş Office ayarı ile Trusted Publisher'ı öncelikli yapabiliriz.)

Bunun için:

• Group Policy Management Console (GPMC) açılır.
• Şu ayar bulunur:

User Configuration → Administrative Templates → Microsoft Office → [Office Version] → Security Settings → Trust Center

Burada:

• "VBA Macro Notification Settings" bölümüne gidiyorsun.
• Ayarı şu şekilde yapıyorsun:
  → "Disable all macros except digitally signed macros" (Zaten yapmışsın.)
• "Trusted Publisher's Macros Always Enabled" gibi özel bir GPO var, onu açarsan,
  Eğer makro imzalıysa kullanıcıya hiçbir uyarı çıkarılmaz.

👉 Bu ayar, "Enable Content" kutusunu da bastırır.
(ama sadece imzalı dosyalar için)

Özetle:

• İmzalıysa otomatik çalışır,
• İmzasızsa bloklanır,
• Dosya kaynağına (mail, masaüstü vs.) bakmaz.

2. Protected View Ayarlarını Hafifletmek

Office, dış kaynaklardan gelen dosyaları "Protected View" modunda açıyor.
Bu moddayken dosya "read-only" açılıyor ve makrolar çalışmaz.
Bunu hafifletmek için:

GPO veya regedit'ten şu ayarları değiştirebilirsin:

• File Block Settings → Protected View'u sadece şüpheli kaynaklar için etkin tut.
• Protected View Settings altında:
  • Disable Protected View for Outlook attachments → Enabled
  • Disable Protected View for Internet files → Enabled

Yani Outlook ve Internet kaynaklı dosyalarda korumayı kaldırırsan, makrolar da doğrudan çalışır.

Risk:

• Eğer sadece kendi imzalı dosyaların geliyorsa bu güvenlidir.
• Ama başka yerlerden dosya gelebiliyorsa tehlikeli olur.

3. Registry Üzerinden Manuel Ayar

GPO erişimin yoksa, regedit ile de bu ayarları kendin elle girebilirsin.

Örnek:

reg

CopyEdit

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Excel\Security]

"VBAWarnings"=dword:00000003

Burada:

• 00000003: Sadece imzalı makrolara izin ver, imzasızları kapat.

Protected View için:

reg

CopyEdit

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Excel\Security\ProtectedView]

"DisableAttachmentsInPV"=dword:00000001

"DisableInternetFilesInPV"=dword:00000001

Bu ayarlar:

• Outlook eklerini Protected View açmaz,
• Internet kaynaklı dosyaları da normal açar.

(Buradaki 16.0 Office 2016 ve Office 365 için geçerli. Office versiyonuna göre değiştirmek gerekebilir.)

4. Çok Gelişmiş: "Trust Center Policy" ile Publisher'a Özel İzin

Bazı advanced senaryolarda, Registry veya GPO ile sadece belirli Publisher'lara tam otomatik izin veriliyor.

Örnek Registry yapısı:

reg

CopyEdit

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Common\Security\Trusted Publishers]

"Publisher"="CN=Fatih Turkoglu, O=SeninSirketin, C=TR"

Buraya imza bilgilerini girersen:

• Office bu publisher'dan gelen her dosyayı tam otomatik güvenli kabul eder.
• Ne makro uyarısı çıkar, ne Protected View çıkar.

Ama bu yöntem normal kullanıcılar için önerilmez; tam şirket içi sistemlerde kullanılır.

🎯 Sana Önerim

Senin amacın için en mantıklısı:

1. Makro ayarını zaten doğru yapmışsın: "Only digitally signed macros".
2. Bir GPO ya da registry ile Protected View'u sadece Outlook ve Internet dosyalarında kaldır.
3. İstersen sadece kendi Publisher bilgini Trusted Publisher listesine registry'den ekle.

Böylece:

• İmzalı dosyalar → doğrudan çalışır,
• İmzasız dosyalar → çalışmaz,
• Kullanıcı → "Enable Content" gibi bir şeye tıklamak zorunda kalmaz.
• Güvenlik → minimum seviyede açılır, tamamen açılmaz.

 

 

Response 2

​Evet, Office ortamında yalnızca Trusted Publisher (Güvenilir Yayıncı) üzerinden imzalanmış makroların, Trusted Location (Güvenilir Konum) kullanmadan otomatik olarak çalışmasını sağlamak mümkündür. Ancak, bu yapılandırma için bazı özel Grup İlkesi (Group Policy) ayarlarının yapılması gerekmektedir.​

🛠️ Grup İlkesi (GPO) ile Yapılandırma Adımları

1. Makro Ayarlarını Yapılandırma

Office uygulamalarında yalnızca dijital olarak imzalanmış makroların çalışmasına izin vermek için aşağıdaki adımları izleyin:​

• Grup İlkesi Yönetim Konsolu'nu (Group Policy Management Console) açın.
• Aşağıdaki yola gidin:

KopyalaDüzenle

User Configuration > Administrative Templates > Microsoft Office [sürüm] > Security Settings

perl

KopyalaDüzenle

:contentReference[oaicite:8]{index=8}

- :contentReference[oaicite:9]{index=9}

- :contentReference[oaicite:10]{index=10}​:contentReference[oaicite:11]{index=11}

 

#### 2. **Güvenilir Yayıncı Sertifikasını Dağıtma**

:contentReference[oaicite:12]{index=12}​:contentReference[oaicite:13]{index=13}

 

- :contentReference[oaicite:14]{index=14}

Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Publishers

pgsql

KopyalaDüzenle

:contentReference[oaicite:16]{index=16}

- :contentReference[oaicite:17]{index=17}​:contentReference[oaicite:18]{index=18}

 

:contentReference[oaicite:19]{index=19}​:contentReference[oaicite:20]{index=20}

 

```bash

certutil -addstore "TrustedPublisher" "sertifika_dosyası.cer"

3. Ek Güvenlik Önlemleri

Güvenliği artırmak için aşağıdaki ek ayarları da yapılandırabilirsiniz:​

• "Require macros to be signed by a trusted publisher" (Makroların güvenilir bir yayıncı tarafından imzalanmasını zorunlu kıl) seçeneğini etkinleştirin.
• "Block certificates from trusted publishers that are only installed in the current user certificate store" (Yalnızca geçerli kullanıcı sertifika deposuna yüklenmiş güvenilir yayıncı sertifikalarını engelle) seçeneğini etkinleştirin.
• "Require Extended Key Usage (EKU) for certificates from trusted publishers" (Güvenilir yayıncı sertifikaları için Genişletilmiş Anahtar Kullanımı (EKU) gerektir) seçeneğini etkinleştirin.​Reddit+1admx.help+1Reddit+2Microsoft Learn+2admx.help+2admx.help

Bu ayarlar, yalnızca belirli sertifikalarla imzalanmış makroların çalışmasına izin verir ve kullanıcıların manuel olarak güvenilir yayıncı eklemesini engeller. ​Microsoft Learn

🔒 Güvenlik Notları

• E-posta veya internet üzerinden indirilen dosyalar, "Mark of the Web" (MotW) özelliği nedeniyle korumalı görünümde açılabilir. Bu durumda, kullanıcıların dosya özelliklerinden "Engellemeyi Kaldır" seçeneğini işaretlemesi gerekebilir. ​
• Trusted Location kullanmadan yalnızca Trusted Publisher üzerinden makroların otomatik çalışmasını sağlamak, güvenliği artırırken kullanıcı müdahalesini de azaltır.​

✅ Sonuç

Yukarıdaki adımları takip ederek, Office ortamınızda yalnızca güvenilir yayıncılar tarafından imzalanmış makroların, Trusted Location kullanmadan otomatik olarak çalışmasını sağlayabilirsiniz. Bu yapılandırma, güvenliği artırırken kullanıcı deneyimini de iyileştirir.

 

------------------

Yalnız yukarıda yazmayan şey bu tür ayarların bazılarını yaptığında bazı dosyaların hiç açılmayabilir onu artık kendi ortamına, iş şartlarına göre değerlendireceksin. 

 

@ibrahimyildiz 

Hocam Merhaba,

Öncelikle detaylı açıklamalarınız ve vakit ayırıp yazdıklarınız için gerçekten çok teşekkür ederim.
Tüm bahsettiğiniz yöntemleri zaten daha önce tek tek denedim.

"Disable all macros except digitally signed macros" ayarını daha en başta yapmıştım.
Trusted Publisher sertifikasını da kullanıcı makinelerine ekledim ve ilgili güvenlik yapılandırmalarını uyguladım.
Bahsettiğiniz "Trusted Publisher's Macros Always Enabled" etkisini sağlayacak tüm GPO ayarlarını da inceledim ve uyguladım.

Benim asıl amacım şu:
Kullanıcı dosyayı açtığında hiçbir yere tıklamak zorunda kalmadan, özellikle "Enable Content" butonuna basmadan makronun doğrudan çalışmasını sağlamak.
Yani kullanıcı açısından tamamen sorunsuz ve kesintisiz bir deneyim oluşturmak istiyorum.

Trusted Location kullanırsam bu hedefe ulaşılabiliyor, ancak Trusted Location açarsam imzasız dosyalar da otomatik çalışabileceği için, güvenlik açısından bunu uygun görmüyorum.
Sonuçta imza atmamızın anlamı da kaybolmuş oluyor.

Bu konuda gerçekten ciddi anlamda araştırma yaptım.
Office tarafındaki tüm GPO ayarlarını CSV’ye export edip tek tek kontrol ettim.
Yetmedi, Process Monitor gibi araçlarla Excel ve Word’ün dosya açma sırasında hangi dosyalara, hangi registry anahtarlarına ve hangi sistem API'larına eriştiğini adım adım izledim.
Ayrıca, Windows'un internetten veya e-posta ile gelen dosyalara otomatik olarak eklediği Zone.Identifier (Mark of the Web - MotW) bilgisinin nasıl çalıştığını ve Office’in bu bilgiyi okuyarak Protected View gibi koruma katmanlarını nasıl devreye aldığını da detaylıca inceledim.

Yani konuyu sadece yüzeyde bırakmadım, neredeyse Windows'un güvenlik altyapısının derinliklerine kadar indim.
Ancak şu ana kadar bulduklarım, sadece Trusted Publisher ile Protected View ve dosya kaynağı kontrollerini tamamen aşmanın mümkün olmadığını gösteriyor.

Araştırmaya hâlâ devam ediyorum.
Farklı yöntemler ve özel senaryolar var mı diye bakıyorum.
Belki daha ileri düzey bir çözüm yolu bulabilirsem sizinle de paylaşırım...

Yukarıda yazdığı gibi, zaten sende mimarinin nasıl çalıştığının cevabını bulmuşsun. Reg yollarıyla örneklediği gibi publisher kısıtlayarakta olur ancak gerçek dünya senaryolarında o sorun üretir.
Sen sürecin tekil kullanıcı yönüne bakıyorsun ancak ortam güvenliği daha önemli, trusted location'ı biz desktop felan dedik ama onu öyle düşünmemelisin o; yönetim, yetki denetimi altına alınmış bir alan olabilir bir DMS store da olabilir.
Yani ortamına, iş şartlarına toplam bir değerlendirme yapman lazım yoksa kurallandığı gibi senin mantık senaryon eksik, basitçe sen hem ek kontroller altına alayım hem de kullanıcılar eskisi gibi hiçbirşey yokmuş gibi çalışsın istiyorsun. Kobi'lerden çok gelir böyle talepler ama dms'lerde, adobe secured'da felan da mümkün değil. Zaten en azıyla kullanıcı farkındalığı bekleniyor bu tür süreçlerde.