Microsoft Office blockiert Makros in Internet-Dokumenten nun vollständig


    Tags: , ,

    Office SecurityWenn man Doku­mente aus dem Internet herunter­lädt, dann führen die Office-Apps darin ent­haltene Makros standard­mäßig nicht aus. Die Benutzer können die Makros aber mit einem Maus­klick starten. Dies soll künftig nicht mehr möglich sein. Für ver­waltete Umge­bungen hat diese Änderung nur geringe Aus­­wirkungen, sie nutzt primär Office 365 Business.

    Der in Office-Dokumente eingebettete VBA-Code kann bekanntlich erheblichen Schaden anrichten und dient böswilligen Akteuren immer wieder als Vehikel für Angriffe auf Unternehmen. Microsoft bietet daher seit Jahren alle möglichen Mechanismen an, um Office-Makros zu entschärfen.

    Halbherzige Blockade von Makros

    So zeigen die Applikationen eine gelb hinterlegte Warnung an und blockieren die Ausführung von Makros, wenn die Dateien über das Web heruntergeladen oder als Mail-Anhang empfangen wurden. Die Herkunft von Dokumenten aus solch unsicheren Quellen speichert Windows in NTFS-Streams. Das entsprechende Attribut lässt sich in PowerShell mit Unblock-File zurücksetzen.

    Bei der Standardeinstellung können Benutzer bisher alle Makros zur Ausführung freigeben.

    Microsoft möchte nun dieses Standardverhalten ändern. Benutzer erhalten nur mehr den Hinweis, dass die Ausführung von Makros blockiert wurde, und sie haben keine Möglichkeit mehr, sie manuell zu starten.

    Strikte Makro-Sperrung für alle Channels

    Diese Änderung betrifft ab April Access, Word, Excel, PowerPoint und Visio im Current Channel (Preview) der Version 2203. Der Current Channel, Monthly Enterprise Channel und Semi-Annual Enterprise Channel sollen folgen. Schließlich plant Microsoft diese Umstellung auch für die LTSC-Ausführungen 2013 bis 2021, allerdings derzeit noch ohne genauen Zeitpunkt.

    Dieses neue Verhalten greift allerdings nur dann, wenn die Verarbeitung von Makros in Internet-Dokumenten nicht bereits durch andere Faktoren oder Policies bestimmt wird. Sind die Dateien etwa digital signiert und stammen von einem vertrauenswürdigen Herausgeber, dann starten die Makros.

    Das neue Standardverhalten für Makros greift erst nach Auswertung aller anderen Vorgaben.

    Gleicher Effekt über GPO

    Umgekehrt können Admins die Makros in heruntergeladenen Dokumenten schon heute über die folgende Gruppenrichtlinie vollständig deaktivieren: Ausführung von Makros in Office-Dateien aus dem Internet blockieren.

    Makros in Dokumenten, die aus dem Internet stammen, lassen sich via GPO blockieren.

    Eine Hintertüre für Benutzer stellen die vertrauenswürdigen Speicherorte dar. Solche lassen sich über das Trust Center definieren und alle von dort geöffneten Dokumente würden VBA-Code ausführen. Dies lässt sich aber ebenfalls über GPOs unterbinden.

    Office 365 Business als Nutznießer

    Den größten Nutzen hätte das neue Standardverhalten in den Anwendungen von Office 365 Business, weil sich diese nicht über Gruppenrichtlinien konfigurieren lassen. Eine Behelfslösung mittels Group Policy Preferences lässt sich relativ einfach umgehen, so dass hier die angekündigte Änderung die Sicherheit deutlich verbessern kann.

    Die Ankündigung Microsofts erwähnt diese Ausführung von Office jedoch nicht explizit, aber es ist davon auszugehen, dass auch sie von der Änderung betroffen sein wird.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links