Makros in Microsoft Office einschränken oder blockieren mit Gruppenrichtlinien

Diesem Nutzen steht allerdings seit Jahren die Gefahr von bösartigen Makros entgegen. Obwohl Microsoft im Lauf der Zeit verschiedene Abwehr­mechanismen entwickelt hat, konnte diese Bedrohung nie ganz gebannt werden. Die kürzliche Verbreitung von Emotet, das Rechner über Makros infiziert, zeigt vielmehr, dass viele Systeme und User immer noch für solche Angriffe anfällig sind.

Eine Lektion aus dieser Epidemie besteht auch darin, dass Viren­scanner alleine keinen aus­reichenden Schutz bieten. Vielmehr empfehlen sich mehrere vorbeugende Maßnahmen, wie etwa das Whitelisting für Applikationen. Unverzichtbar ist zudem eine wirksame Kontrolle von Office-Makros.

Zentrale Policies für Office-Makros

Grundsätzlich können Anwender dafür das Trust Center von Office verwenden. Dort lassen sich Regeln zur Ausführung von aktiven Inhalten wie ActiveX-Controls, Add-ins und VBA-Code definieren.

Angesichts der großen Bedeutung, die dem Schutz gegen Malware zukommt, wird man diese Aufgabe aber nicht den End­benutzern überlassen. Vorzuziehen ist dafür eine zentrale Lösung auf Basis von Gruppen­richtlinien. Sie bieten seit der Version 2016 zusätzliche Einstellungen für das Management von Makros.

Bei Office 365 Business hingegen kann man die Anwendungen generell nicht über GPOs verwalten. Hier kann man sich mit den Group Policy Preferences behelfen.

Administrative Vorlagen installieren

Falls die admini­strativen Vorlagen für Office noch nicht installiert sind, dann lädt man sie hier von Microsofts Website herunter.

Anschließend entpackt man sie unter %systemroot%\PolicyDefinitions auf der Admin-Workstation oder im Central Store auf einem Domain Controller. Die ADMX-Dateien sind für Office 2016 und 2019 identisch, GPOs für 2016 funktionieren auch mit der Version 2019.

VBA ganz deaktivieren

Eine radikale Maßnahme, die für die meisten Unternehmen aber wohl zu weit geht, besteht darin, VBA komplett zu deaktivieren. Die entsprechende Einstellung ("VBA für Office-Anwendungen deaktivieren") lässt sich sowohl für Computer als auch Benutzer konfigurieren. Sie findet sich unter Computer- bzw. Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Microsoft Office 2016 => Sicherheits­einstellungen.

Wer jedoch VBA-Makros benötigt und sich gegen Schadcode schützen möchte, kann ihre Ausführung stattdessen gezielt einschränken. Hier liegt es nahe, nur signierte Makros zuzulassen. Dies muss man allerdings pro Anwendung tun.

Die zuständige Option heißt Einstellungen für VBA-Makrobe­nach­richtigungen. Für Word findet sie sich beispielsweise unter Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Microsoft Word 2016 => Word-Optionen => Sicherheit => Trust Center.

Sie bietet 4 Auswahl­möglichkeiten an, wobei Alle Makros aktivieren keinen Sinn hat, wenn man die Sicherheit erhöhen möchte. Ähnliches gilt für Alle Makros ohne Benachrichtigung deaktivieren, weil damit eine ähnliche Wirkung erzielt wird wie mit dem Deaktivieren von VBA. Bleiben Alle Makros mit Benachrichtigung deaktivieren und Alle Makros außer digital signierten Makros deaktivieren.

Die erste der beiden Optionen ist die Voreinstellung von Office und führt dazu, dass alle Makros blockiert werden. Allerdings erhält der Anwender in der Benach­richtigungs­leiste einen ent­sprechenden Hinweis und zudem die Möglichkeit, den Code auszuführen, indem er auf Inhalt aktivieren klickt.

Für zusätzliche Sicherheit erlaubt man hier nur signierte Makros. Unsignierter Code wird dann einfach unterdrückt, während der Anwender signierte Makros explizit starten muss. Damit reduziert man das Risiko von Fehlent­scheidungen der User bei gezielten Angriffen, weil sie Code aus unbe­kannter Herkunft nicht zulassen können.

Allerdings kann eine solche Beschränkung hinderlich sein, wenn zum Beispiel viele bewährte, aber unsignierte Makros in der Firma vorhanden sind.

Keine Makros aus dem Internet ausführen

Neu hinzuge­kommen in Office 2016 ist die Möglichkeit, nur Code in solchen Dokumenten zu blockieren, die aus dem Internet stammen. Auch sie wird für jede Anwendung separat konfiguriert und findet sich ebenfalls unter Sicherheit => Trust Center ("Ausführung von Makros in Office-Dateien aus dem Internet blockieren").

Damit lassen sich nicht signierte Makros aus internen Quellen weiterhin nutzen, wogegen auch signierte Makros aus dem Internet nicht laufen (schließlich könnte auch Malware signiert sein). Allerdings könnte man durch die Kombination beider Einstellungen auch dafür sorgen, dass keine Makros aus dem Internet und nur signierte aus anderer Herkunft laufen.

Office erkennt den Ursprung von Dateien im Internet durch die Zonen­information, die der Attachment Execution Service (AES) hinzufügt. Das erfolgt immer dann, wenn Doku­mente von Outlook, Internet Explorer oder ähnlichen Anwendungen herunter­geladen werden.

Per Vorein­stellung zeigen die Office-Programme solche Dokumente in der geschützten Ansicht. Klickt man dort auf Bearbeitung aktivieren, dann greift im nächsten Schritt eine der Maßnahmen, die man gegen die unkontrollierte Ausführung von Makros ergriffen hat. Diese kann im Blockieren von unsignierten Makros bestehen oder von allen, die aus dem Internet stammen.

Vertrauenswürdige Speicherorte

Lässt man nur die Ausführung von signiertem Code zu, dann kann dies zu restriktiv sein. Um bekannt sichere, aber unsignierte Makros dennoch starten zu können, kann man die betreffenden Doku­mente in Verzeich­nissen ablegen, die man als vertrauens­würdig einstuft.

Bei diesem Mechanismus ist jedoch Vorsicht geboten, weil er die oben beschriebenen Maßnahmen zum Schutz gegen schädliche Makros aushebelt. Das trifft auch auf Dokumente aus dem Internet zu, die dann trotz Sperre durch ein GPO alle Makros ausführen.

Wenn etwa ein Benutzer auf die Idee kommt, sein Downloads-Verzeichnis im Trust Center als vertrauens­würdig zu markieren, dann ist grund­sätzlich die Bahn frei für alle Makros in heruntergeladenen Dokumenten.

Deshalb sollte man tunlichst dafür sorgen, dass solche Speicherorte nur über GPOs und nicht durch den User festgelegt werden. Dazu deaktiviert man die Einstellung Mischung aus Richtlinien- und Benutzerspeicherorten zulassen. Sie findet sich unter Benutzer­konfiguration => Richtlinien => Administrative Vorlagen => Microsoft Office 2016 => Sicherheits­einstellungen => Trust Center. Sie gilt somit für alle Anwendungen.

Dort kann man dann gleich die Verzeichnisse hinzufügen, die global als vertrauens­würdig gelten sollen. Allerdings kann man diese auch für jede einzelne Anwendung ebenfalls unter Trust Center definieren.

Überprüfung durch Virenscanner erzwingen

Schließlich gibt es noch zwei Einstellungen, die weniger für die interaktive Nutzung von Office gedacht sind. Zum einen handelt es sich dabei um einen Schutz gegen Makros beim Steuern von Office-Programmen durch externe Anwendungen oder Scripts ("Automati­sierungs­sicherheit" unter Trust Center von Microsoft Office 2016).

Zum anderen kann man erzwingen, dass verschlüsselte Makros vor ihrer Ausführung durch einen Virenscanner überprüft werden. Wenn ein solcher nicht vorhanden ist, dann lässt sich hier festlegen, dass solche Makros nicht starten.