Tags: Office, Sicherheit, Gruppenrichtlinien
Wenn man Dokumente aus dem Internet herunterlädt, dann führen die Office-Apps darin enthaltene Makros standardmäßig nicht aus. Die Benutzer können die Makros aber mit einem Mausklick starten. Dies soll künftig nicht mehr möglich sein. Für verwaltete Umgebungen hat diese Änderung nur geringe Auswirkungen, sie nutzt primär Office 365 Business.
Der in Office-Dokumente eingebettete VBA-Code kann bekanntlich erheblichen Schaden anrichten und dient böswilligen Akteuren immer wieder als Vehikel für Angriffe auf Unternehmen. Microsoft bietet daher seit Jahren alle möglichen Mechanismen an, um Office-Makros zu entschärfen.
Halbherzige Blockade von Makros
So zeigen die Applikationen eine gelb hinterlegte Warnung an und blockieren die Ausführung von Makros, wenn die Dateien über das Web heruntergeladen oder als Mail-Anhang empfangen wurden. Die Herkunft von Dokumenten aus solch unsicheren Quellen speichert Windows in NTFS-Streams. Das entsprechende Attribut lässt sich in PowerShell mit Unblock-File zurücksetzen.
Microsoft möchte nun dieses Standardverhalten ändern. Benutzer erhalten nur mehr den Hinweis, dass die Ausführung von Makros blockiert wurde, und sie haben keine Möglichkeit mehr, sie manuell zu starten.
Strikte Makro-Sperrung für alle Channels
Diese Änderung betrifft ab April Access, Word, Excel, PowerPoint und Visio im Current Channel (Preview) der Version 2203. Der Current Channel, Monthly Enterprise Channel und Semi-Annual Enterprise Channel sollen folgen. Schließlich plant Microsoft diese Umstellung auch für die LTSC-Ausführungen 2013 bis 2021, allerdings derzeit noch ohne genauen Zeitpunkt.
Dieses neue Verhalten greift allerdings nur dann, wenn die Verarbeitung von Makros in Internet-Dokumenten nicht bereits durch andere Faktoren oder Policies bestimmt wird. Sind die Dateien etwa digital signiert und stammen von einem vertrauenswürdigen Herausgeber, dann starten die Makros.
Gleicher Effekt über GPO
Umgekehrt können Admins die Makros in heruntergeladenen Dokumenten schon heute über die folgende Gruppenrichtlinie vollständig deaktivieren: Ausführung von Makros in Office-Dateien aus dem Internet blockieren.
Eine Hintertüre für Benutzer stellen die vertrauenswürdigen Speicherorte dar. Solche lassen sich über das Trust Center definieren und alle von dort geöffneten Dokumente würden VBA-Code ausführen. Dies lässt sich aber ebenfalls über GPOs unterbinden.
Office 365 Business als Nutznießer
Den größten Nutzen hätte das neue Standardverhalten in den Anwendungen von Office 365 Business, weil sich diese nicht über Gruppenrichtlinien konfigurieren lassen. Eine Behelfslösung mittels Group Policy Preferences lässt sich relativ einfach umgehen, so dass hier die angekündigte Änderung die Sicherheit deutlich verbessern kann.
Die Ankündigung Microsofts erwähnt diese Ausführung von Office jedoch nicht explizit, aber es ist davon auszugehen, dass auch sie von der Änderung betroffen sein wird.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft Office mit den GPOs der Security Baseline absichern
- Office 365 Business: Makro-Sicherheit über Gruppenrichtlinien konfigurieren
- Makros in Microsoft Office einschränken oder blockieren mit Gruppenrichtlinien
- Sicherheitseinstellungen für Windows verwalten: Ansible und Gruppenrichtlinien im Vergleich
- Security Baseline für Windows 11 23H2: Neue Einstellungen für LAPS und Defender
Weitere Links