宏功能因其功能非常强大因此被很多商务人士们使用，但是宏强大的同时也存在安全隐患例如执行恶意代码。在最近五年里黑客通过宏功能发动的攻击非常多，究其原因主要是普通用户们并不清楚宏所以容易放松警惕。例如通过宏功能展开攻击最常用的手段就是群发垃圾邮件，当用户们打开特定文档时就会弹出启用宏的通知。在启用的瞬间携带恶意代码的宏模块就会执行恶意代码，进而配合其他漏洞直接获得用户操作系统管理权限。

微软提供的宏安全扫描服务：

宏安全扫描主要是依靠反恶意软件扫描接口实现的，其实也就是调用 Windows Defender 在线监测宏安全。对于 Windows Defender 无法识别的宏模块同样会被上传云端，由云端机器学习继续判断宏模块是否安全。即便是使用混淆技术的恶意宏模块也可以被识别出来，进而提高对文档类携带恶意宏的文件的安全防护能力。

记录行为和主动触发：

绝大多数恶意宏都会采用混淆技术以便躲过常规检测，因此微软本次也特别支持对经混淆的宏模块行为检测。按预设流程系统会首先记录宏模块的所有行为，接着触发宏模块的可以行为，最后如果判断恶意则立即拦截。云方面微软同时也集成WindowsDefender APT来进行云端识别，这样可以极大地提高对恶意宏的判断效率。

率先面向Microsoft Office 365推出：

目前这项功能已经率先面向Microsoft Office 365 订阅版用户推出，但后续是否支持其他版本暂时尚不清楚。用户无需进行任何操作默认情况下只要升级到最新版即支持此功能，启用携带宏模块的文档时就会触发扫描。需要提醒的是尽管微软提供防护但用户依然应该小心宏，从网上下载的携带宏的文档绝大部分都是恶意的宏。对于普通用户来说如果用不上宏模块可以直接将其关闭，避免某些时候可能不小心操作陷入钓鱼者的圈套中。