Tags: Office, Gruppenrichtlinien, Scripts, Sicherheit
Mit VBA-Makros lassen sich schnell und einfach Anwendungen auf Basis von Office entwickeln. Allerdings werden sie oft auch zur Programmierung von Malware missbraucht. Dagegen kann man sich mit Hilfe von GPOs schützen. Dafür gibt es gleich mehrere Einstellungen für alle oder einzelne Anwendungen.
Excel- und Word-Makros gehören zu den populärsten Anwendungen überhaupt. Fortgeschrittene Benutzer in den Fachabteilungen können mit VBA schon relativ rasch eine maßgeschneiderte Lösung für ihre Bedürfnisse basteln. Aus diesem Grund kommt für die meisten Firmen ein komplettes Deaktivieren von Makros nicht in Frage.
Schädliche Makros weiterhin eine Bedrohung
Diesem Nutzen steht allerdings seit Jahren die Gefahr von bösartigen Makros entgegen. Obwohl Microsoft im Lauf der Zeit verschiedene Abwehrmechanismen entwickelt hat, konnte diese Bedrohung nie ganz gebannt werden. Die kürzliche Verbreitung von Emotet, das Rechner über Makros infiziert, zeigt vielmehr, dass viele Systeme und User immer noch für solche Angriffe anfällig sind.
Eine Lektion aus dieser Epidemie besteht auch darin, dass Virenscanner alleine keinen ausreichenden Schutz bieten. Vielmehr empfehlen sich mehrere vorbeugende Maßnahmen, wie etwa das Whitelisting für Applikationen. Unverzichtbar ist zudem eine wirksame Kontrolle von Office-Makros.
Zentrale Policies für Office-Makros
Grundsätzlich können Anwender dafür das Trust Center von Office verwenden. Dort lassen sich Regeln zur Ausführung von aktiven Inhalten wie ActiveX-Controls, Add-ins und VBA-Code definieren.
Angesichts der großen Bedeutung, die dem Schutz gegen Malware zukommt, wird man diese Aufgabe aber nicht den Endbenutzern überlassen. Vorzuziehen ist dafür eine zentrale Lösung auf Basis von Gruppenrichtlinien. Sie bieten seit der Version 2016 zusätzliche Einstellungen für das Management von Makros.
Bei Office 365 Business hingegen kann man die Anwendungen generell nicht über GPOs verwalten. Hier kann man sich mit den Group Policy Preferences behelfen.
Administrative Vorlagen installieren
Falls die administrativen Vorlagen für Office noch nicht installiert sind, dann lädt man sie hier von Microsofts Website herunter.
Anschließend entpackt man sie unter %systemroot%\PolicyDefinitions auf der Admin-Workstation oder im Central Store auf einem Domain Controller. Die ADMX-Dateien sind für Office 2016 und 2019 identisch, GPOs für 2016 funktionieren auch mit der Version 2019.
VBA ganz deaktivieren
Eine radikale Maßnahme, die für die meisten Unternehmen aber wohl zu weit geht, besteht darin, VBA komplett zu deaktivieren. Die entsprechende Einstellung ("VBA für Office-Anwendungen deaktivieren") lässt sich sowohl für Computer als auch Benutzer konfigurieren. Sie findet sich unter Computer- bzw. Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Microsoft Office 2016 => Sicherheitseinstellungen.
Wer jedoch VBA-Makros benötigt und sich gegen Schadcode schützen möchte, kann ihre Ausführung stattdessen gezielt einschränken. Hier liegt es nahe, nur signierte Makros zuzulassen. Dies muss man allerdings pro Anwendung tun.
Die zuständige Option heißt Einstellungen für VBA-Makrobenachrichtigungen. Für Word findet sie sich beispielsweise unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Microsoft Word 2016 => Word-Optionen => Sicherheit => Trust Center.
Sie bietet 4 Auswahlmöglichkeiten an, wobei Alle Makros aktivieren keinen Sinn hat, wenn man die Sicherheit erhöhen möchte. Ähnliches gilt für Alle Makros ohne Benachrichtigung deaktivieren, weil damit eine ähnliche Wirkung erzielt wird wie mit dem Deaktivieren von VBA. Bleiben Alle Makros mit Benachrichtigung deaktivieren und Alle Makros außer digital signierten Makros deaktivieren.
Die erste der beiden Optionen ist die Voreinstellung von Office und führt dazu, dass alle Makros blockiert werden. Allerdings erhält der Anwender in der Benachrichtigungsleiste einen entsprechenden Hinweis und zudem die Möglichkeit, den Code auszuführen, indem er auf Inhalt aktivieren klickt.
Für zusätzliche Sicherheit erlaubt man hier nur signierte Makros. Unsignierter Code wird dann einfach unterdrückt, während der Anwender signierte Makros explizit starten muss. Damit reduziert man das Risiko von Fehlentscheidungen der User bei gezielten Angriffen, weil sie Code aus unbekannter Herkunft nicht zulassen können.
Allerdings kann eine solche Beschränkung hinderlich sein, wenn zum Beispiel viele bewährte, aber unsignierte Makros in der Firma vorhanden sind.
Keine Makros aus dem Internet ausführen
Neu hinzugekommen in Office 2016 ist die Möglichkeit, nur Code in solchen Dokumenten zu blockieren, die aus dem Internet stammen. Auch sie wird für jede Anwendung separat konfiguriert und findet sich ebenfalls unter Sicherheit => Trust Center ("Ausführung von Makros in Office-Dateien aus dem Internet blockieren").
Damit lassen sich nicht signierte Makros aus internen Quellen weiterhin nutzen, wogegen auch signierte Makros aus dem Internet nicht laufen (schließlich könnte auch Malware signiert sein). Allerdings könnte man durch die Kombination beider Einstellungen auch dafür sorgen, dass keine Makros aus dem Internet und nur signierte aus anderer Herkunft laufen.
Office erkennt den Ursprung von Dateien im Internet durch die Zoneninformation, die der Attachment Execution Service (AES) hinzufügt. Das erfolgt immer dann, wenn Dokumente von Outlook, Internet Explorer oder ähnlichen Anwendungen heruntergeladen werden.
Per Voreinstellung zeigen die Office-Programme solche Dokumente in der geschützten Ansicht. Klickt man dort auf Bearbeitung aktivieren, dann greift im nächsten Schritt eine der Maßnahmen, die man gegen die unkontrollierte Ausführung von Makros ergriffen hat. Diese kann im Blockieren von unsignierten Makros bestehen oder von allen, die aus dem Internet stammen.
Vertrauenswürdige Speicherorte
Lässt man nur die Ausführung von signiertem Code zu, dann kann dies zu restriktiv sein. Um bekannt sichere, aber unsignierte Makros dennoch starten zu können, kann man die betreffenden Dokumente in Verzeichnissen ablegen, die man als vertrauenswürdig einstuft.
Bei diesem Mechanismus ist jedoch Vorsicht geboten, weil er die oben beschriebenen Maßnahmen zum Schutz gegen schädliche Makros aushebelt. Das trifft auch auf Dokumente aus dem Internet zu, die dann trotz Sperre durch ein GPO alle Makros ausführen.
Wenn etwa ein Benutzer auf die Idee kommt, sein Downloads-Verzeichnis im Trust Center als vertrauenswürdig zu markieren, dann ist grundsätzlich die Bahn frei für alle Makros in heruntergeladenen Dokumenten.
Deshalb sollte man tunlichst dafür sorgen, dass solche Speicherorte nur über GPOs und nicht durch den User festgelegt werden. Dazu deaktiviert man die Einstellung Mischung aus Richtlinien- und Benutzerspeicherorten zulassen. Sie findet sich unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Microsoft Office 2016 => Sicherheitseinstellungen => Trust Center. Sie gilt somit für alle Anwendungen.
Dort kann man dann gleich die Verzeichnisse hinzufügen, die global als vertrauenswürdig gelten sollen. Allerdings kann man diese auch für jede einzelne Anwendung ebenfalls unter Trust Center definieren.
Überprüfung durch Virenscanner erzwingen
Schließlich gibt es noch zwei Einstellungen, die weniger für die interaktive Nutzung von Office gedacht sind. Zum einen handelt es sich dabei um einen Schutz gegen Makros beim Steuern von Office-Programmen durch externe Anwendungen oder Scripts ("Automatisierungssicherheit" unter Trust Center von Microsoft Office 2016).
Zum anderen kann man erzwingen, dass verschlüsselte Makros vor ihrer Ausführung durch einen Virenscanner überprüft werden. Wenn ein solcher nicht vorhanden ist, dann lässt sich hier festlegen, dass solche Makros nicht starten.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Microsoft Office blockiert Makros in Internet-Dokumenten nun vollständig
- Microsoft Office mit den GPOs der Security Baseline absichern
- Office 365 Business: Makro-Sicherheit über Gruppenrichtlinien konfigurieren
- Sicherheitseinstellungen für Windows verwalten: Ansible und Gruppenrichtlinien im Vergleich
- Security Baseline für Windows 11 23H2: Neue Einstellungen für LAPS und Defender
Weitere Links
1 Kommentar
der Witz mal wieder, dass nur wenige Office-Editionen mit den GPOs funktionieren. Nicht mal Office 365 Business/Business Prem. funktionieren
The Administrative Template files (ADMX/ADML) in this download work with the following Office programs:
Office 365 ProPlus, Visio Pro for Office 365, and Project Online Desktop Client.
Volume licensed versions of Office 2019, Project 2019, and Visio 2019. For example, Office Standard 2019 and Visio Professional 2019.
Volume licensed versions of Office 2016, Project 2016, and Visio 2016. For example, Office Professional Plus 2016 and Project Standard 2016.