Makros in Office 2016 / 2019 einschränken oder blockieren mit Gruppenrichtlinien

    Makro in Office 2016Mit VBA-Makros lassen sich schnell und ein­fach Anwen­dungen auf Basis von Office ent­wickeln. Aller­dings werden sie oft auch zur Program­mierung von Mal­ware miss­braucht. Da­gegen kann man sich mit Hilfe von GPOs schützen. Dafür gibt es gleich mehrere Ein­stellungen für alle oder einzelne Anwendungen.

    Excel- und Word-Makros gehören zu den populärsten Anwendungen überhaupt. Fort­geschrittene Benutzer in den Fach­abteilungen können mit VBA schon relativ rasch eine maß­geschneiderte Lösung für ihre Bedürf­nisse basteln. Aus diesem Grund kommt für die meisten Firmen ein komplettes Deaktivieren von Makros nicht in Frage.

    Schädliche Makros weiterhin eine Bedrohung

    Diesem Nutzen steht allerdings seit Jahren die Gefahr von bösartigen Makros entgegen. Obwohl Microsoft im Lauf der Zeit verschiedene Abwehr­mechanismen entwickelt hat, konnte diese Bedrohung nie ganz gebannt werden. Die kürzliche Verbreitung von Emotet, das Rechner über Makros infiziert, zeigt vielmehr, dass viele Systeme und User immer noch für solche Angriffe anfällig sind.

    Eine Lektion aus dieser Epidemie besteht auch darin, dass Viren­scanner alleine keinen aus­reichenden Schutz bieten. Vielmehr empfehlen sich mehrere vorbeugende Maßnahmen, wie etwa das Whitelisting für Applikationen. Unverzichtbar ist zudem eine wirksame Kontrolle von Office-Makros.

    Zentrale Policies für Office-Makros

    Grundsätzlich können Anwender dafür das Trust Center von Office verwenden. Dort lassen sich Regeln zur Ausführung von aktiven Inhalten wie ActiveX-Controls, Add-ins und VBA-Code definieren.

    Im Trust Center können Benutzer selbständig die Einstellungen für Makros ändern.

    Angesichts der großen Bedeutung, die dem Schutz gegen Malware zukommt, wird man diese Aufgabe aber nicht den End­benutzern überlassen. Vorzuziehen ist dafür eine zentrale Lösung auf Basis von Gruppen­richtlinien. Sie bieten seit der Version 2016 zusätzliche Einstellungen für das Management von Makros.

    Administrative Vorlagen installieren

    Falls die admini­strativen Vorlagen für Office noch nicht installiert sind, dann lädt man sie hier von Microsofts Website herunter.

    Die Templates liegen als separate Dateien für die 32- und 64-Bit-Version vor.

    Anschließend entpackt man sie unter %systemroot%\PolicyDefinitions auf der Admin-Workstation oder im Central Store auf einem Domain Controller. Die ADMX-Dateien sind für Office 2016 und 2019 identisch, GPOs für 2016 funktionieren auch mit der Version 2019.

    VBA ganz deaktivieren

    Eine radikale Maßnahme, die für die meisten Unternehmen aber wohl zu weit geht, besteht darin, VBA komplett zu deaktivieren. Die entsprechende Einstellung ("VBA für Office-Anwendungen deaktivieren") lässt sich sowohl für Computer als auch Benutzer konfigurieren. Sie findet sich unter Computer- bzw. Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Microsoft Office 2016 => Sicherheits­einstellungen.

    GPO-Einstellung, um VBA per Computer zu deaktivieren

    Wer jedoch VBA-Makros benötigt und sich gegen Schadcode schützen möchte, kann ihre Ausführung stattdessen gezielt einschränken. Hier liegt es nahe, nur signierte Makros zuzulassen. Dies muss man allerdings pro Anwendung tun.

    Die zuständige Option heißt Einstellungen für VBA-Makrobe­nach­richtigungen. Für Word findet sie sich beispielsweise unter Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Microsoft Word 2016 => Word-Optionen => Sicherheit => Trust Center.

    Die Einstellung für die Makro-Benachrichtigung bietet 4 Optionen. Eine davon erlaubt nur signierte Makros.

    Sie bietet 4 Auswahl­möglichkeiten an, wobei Alle Makros aktivieren keinen Sinn hat, wenn man die Sicherheit erhöhen möchte. Ähnliches gilt für Alle Makros ohne Benachrichtigung deaktivieren, weil damit eine ähnliche Wirkung erzielt wird wie mit dem Deaktivieren von VBA. Bleiben Alle Makros mit Benachrichtigung deaktivieren und Alle Makros außer digital signierten Makros deaktivieren.

    Die erste der beiden Optionen ist die Voreinstellung von Office und führt dazu, dass alle Makros blockiert werden. Allerdings erhält der Anwender in der Benach­richtigungs­leiste einen ent­sprechenden Hinweis und zudem die Möglichkeit, den Code auszuführen, indem er auf Inhalt aktivieren klickt.

    Bei der Standardeinstellung können Benutzer alle Makros zur Ausführung freigeben.

    Für zusätzliche Sicherheit erlaubt man hier nur signierte Makros. Unsignierter Code wird dann einfach unterdrückt, während der Anwender signierte Makros explizit starten muss. Damit reduziert man das Risiko von Fehlent­scheidungen der User bei gezielten Angriffen, weil sie Code aus unbe­kannter Herkunft nicht zulassen können.

    Allerdings kann eine solche Beschränkung hinderlich sein, wenn zum Beispiel viele bewährte, aber unsignierte Makros in der Firma vorhanden sind.

    Keine Makros aus dem Internet ausführen

    Neu hinzuge­kommen in Office 2016 ist die Möglichkeit, nur Code in solchen Dokumenten zu blockieren, die aus dem Internet stammen. Auch sie wird für jede Anwendung separat konfiguriert und findet sich ebenfalls unter Sicherheit => Trust Center ("Ausführung von Makros in Office-Dateien aus dem Internet blockieren").

    Im Abschnitt Trust Center findet sich auch eine Einstellung zum Blockieren von Makros aus dem Internet.

    Damit lassen sich nicht signierte Makros aus internen Quellen weiterhin nutzen, wogegen auch signierte Makros aus dem Internet nicht laufen (schließlich könnte auch Malware signiert sein). Allerdings könnte man durch die Kombination beider Einstellungen auch dafür sorgen, dass keine Makros aus dem Internet und nur signierte aus anderer Herkunft laufen.

    Office erkennt den Ursprung von Dateien im Internet durch die Zonen­information, die der Attachment Execution Service (AES) hinzufügt. Das erfolgt immer dann, wenn Doku­mente von Outlook, Internet Explorer oder ähnlichen Anwendungen herunter­geladen werden.

    Standardmäßig öffnen Dokumente aus dem Internet in der geschützten Ansicht, die keine Makros ausführt.

    Per Vorein­stellung zeigen die Office-Programme solche Dokumente in der geschützten Ansicht. Klickt man dort auf Bearbeitung aktivieren, dann greift im nächsten Schritt eine der Maßnahmen, die man gegen die unkontrollierte Ausführung von Makros ergriffen hat. Diese kann im Blockieren von unsignierten Makros bestehen oder von allen, die aus dem Internet stammen.

    Makros in Dokumenten, die aus dem Internet stammen, lassen sich blockieren.

    Vertrauenswürdige Speicherorte

    Lässt man nur die Ausführung von signiertem Code zu, dann kann dies zu restriktiv sein. Um bekannt sichere, aber unsignierte Makros dennoch starten zu können, kann man die betreffenden Doku­mente in Verzeich­nissen ablegen, die man als vertrauens­würdig einstuft.

    Bei diesem Mechanismus ist jedoch Vorsicht geboten, weil er die oben beschriebenen Maßnahmen zum Schutz gegen schädliche Makros aushebelt. Das trifft auch auf Dokumente aus dem Internet zu, die dann trotz Sperre durch ein GPO alle Makros ausführen.

    Wenn etwa ein Benutzer auf die Idee kommt, sein Downloads-Verzeichnis im Trust Center als vertrauens­würdig zu markieren, dann ist grund­sätzlich die Bahn frei für alle Makros in heruntergeladenen Dokumenten.

    Ohne Einschränkung durch Gruppenrichtlinien können User ihre eigenen vertrauenswürdigen Speicherorte im Trust Center eintragen.

    Deshalb sollte man tunlichst dafür sorgen, dass solche Speicherorte nur über GPOs und nicht durch den User festgelegt werden. Dazu deaktiviert man die Einstellung Mischung aus Richtlinien- und Benutzerspeicherorten zulassen. Sie findet sich unter Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Microsoft Office 2016 => Sicherheits­einstellungen => Trust Center. Sie gilt somit für alle Anwendungen.

    Per GPO kann verhindert werden, dass User selbst vertrauenswürdige Speicherorte definieren.

    Dort kann man dann gleich die Verzeichnisse hinzufügen, die global als vertrauens­würdig gelten sollen. Allerdings kann man diese auch für jede einzelne Anwendung ebenfalls unter Trust Center definieren.

    Überprüfung durch Virenscanner erzwingen

    Schließlich gibt es noch zwei Einstellungen, die weniger für die interaktive Nutzung von Office gedacht sind. Zum einen handelt es sich dabei um einen Schutz gegen Makros beim Steuern von Office-Programmen durch externe Anwendungen oder Scripts ("Automati­sierungs­sicherheit" unter Trust Center von Microsoft Office 2016).

    Die Einstellung Automatisierungssicherheit gilt für alle Office-Anwendungen.

    Zum anderen kann man erzwingen, dass verschlüsselte Makros vor ihrer Ausführung durch einen Virenscanner überprüft werden. Wenn ein solcher nicht vorhanden ist, dann lässt sich hier festlegen, dass solche Makros nicht starten.

    1 Kommentar

    Bild von alfred
    alfred sagt:
    18. Februar 2019 - 21:03

    der Witz mal wieder, dass nur wenige Office-Editionen mit den GPOs funktionieren. Nicht mal Office 365 Business/Business Prem. funktionieren

    The Administrative Template files (ADMX/ADML) in this download work with the following Office programs:
    Office 365 ProPlus, Visio Pro for Office 365, and Project Online Desktop Client.
    Volume licensed versions of Office 2019, Project 2019, and Visio 2019. For example, Office Standard 2019 and Visio Professional 2019.
    Volume licensed versions of Office 2016, Project 2016, and Visio 2016. For example, Office Professional Plus 2016 and Project Standard 2016.