Tags: Office, Gruppenrichtlinien, Sicherheit
Die Anwendungen von MS Office sind komplex und über viele Jahre gewachsen. Besonders einige ältere Features sind im professionellen Umfeld nicht mehr erwünscht oder gar ein Sicherheitsrisiko. Microsoft stellt daher eine Security Baseline bereit, mit der Anwender die Angriffsfläche über GPOs reduzieren können.
Microsoft aktualisiert die Security Baseline für Windows 10 mit jedem Update des OS. Unternehmen sind angehalten, ihre PCs auf dieser Basis gegen Bedrohungen zu härten. Bei Office ist der Bedarf an solchen Maßnahmen nicht minder wichtig, da die Anwendungen aus Gründen der Kompatibilität noch viele alte und anfällige Technologien mitschleppen.
Unterstützung von Office-Versionen unklar
Aufgrund der unterschiedlichen Editionen und Lizenzmodelle fällt das Management von Office mittels Security Baseline aber nicht so einfach wie bei Windows. So lassen sich die Anwendungen bei Microsoft 365 Business überhaupt nicht über Gruppenrichtlinien verwalten.
Hier kann man zumindest versuchen, die Bedrohungen durch Makros abzuwenden, indem man die zuständigen Registry-Schlüssel über Group Policy Preferences setzt.
Hinzu kommt, dass die Office-Anwendungen in den Abonnements halbjährlich (SAC) aktualisiert werden, während die Versionen 2016 oder 2019 aus dem Long Term Service Channel keine neuen Features mehr erhalten.
Die jeweils aktuelle Security Baseline bezieht sich aber immer auf ein relativ neues SAC-Release (derzeit auf Microsoft Office 365 ProPlus, das es unter dieser Bezeichnung nicht mehr gibt). Die Dokumentation gibt jedoch keine Auskunft darüber, welche Einstellungen auch in Office 2016 oder 2019 unterstützt werden.
De facto bringen die Updates von Microsoft 365 kaum neue sicherheitsrelevante GPO-Einstellungen, so dass die Baseline ihren Zweck im Wesentlichen überall erfüllt.
Dort wo es solche Änderungen jedoch gibt, wie etwa die zuletzt eingeführte Unterstützung für "Ausführung von Makros in Office-Dateien aus dem Internet blockieren" in Access, bleibt diese bei älteren Versionen natürlich ohne Wirkung.
ADMX-Vorlagen für alle Office-Versionen
Diese Inkonsistenzen setzen sich bei den ADMX-Vorlagen für Office fort, die man als Voraussetzung für die Baseline natürlich installieren muss. Zwar hat sich die Major Version von Office intern seit 2016 nicht mehr verändert, so dass vorhandene GPOs auch für 2019 und 365 weiter funktionieren.
Dennoch kommen laufend neue Einstellungen hinzu, die aber für die älteren Versionen dann nicht gelten. Auf welche das zutrifft, kann man dem GPO-Editor nicht entnehmen, weil er nur die unterstützte Version von Windows, aber nicht von Office zeigt.
Inhalt der Security Baseline
Die aktuelle Security Baseline für Office ist im Security Compliance Toolkit enthalten. Wie jene für Windows besteht sie aus einem Backup der Muster-GPOs, GPO-Reports im HTML-Format, aus denen die konfigurierten Einstellungen hervorgehen, PowerShell-Scripts für den Import sowie einer Dokumentation (Word- und Excel-Dateien).
Hinzu kommt im Verzeichnis Template eine ADMX-Vorlage für Security-Einstellungen von Windows und Office, welche für das GPO MSFT Office 365 ProPlus 1908 - Computer benötigt wird. Deshalb sollte man sie samt englischer Sprachdatei in das lokale Verzeichnis PolicyDefinitions oder in den Central Store für die Gruppenrichtlinien kopieren.
Einstellungen in fünf GPOs
Sind diese Vorbereitungen getroffen, dann kann man überlegen, welche Einstellungen man aus der Baseline übernimmt. Sie ist auf fünf GPOs verteilt, wobei sich all jene, die in den meisten Umgebungen zu keinen unerwünschten Einschränkungen der Funktionalität führen dürften, in MSFT Office 365 ProPlus 1908 - Computer bzw. User befinden.
Drei weitere GPOs sind dafür zuständig, nur die Ausführung von signierten Makros zuzulassen, DDE für Excel zu deaktivieren und alte Dateiformate zu blockieren. Wenn Unternehmen noch viele Makros nutzen, die im Haus entwickelt, aber nicht signiert wurden, dann wird man die entsprechende Gruppenrichtlinie nicht anwenden.
Ähnliches gilt für die alten Binärformate wie .doc, .xls oder .ppt. Aufgrund ihrer Komplexität sind sie Microsoft zufolge nicht nur anfälliger für Angriffe, sondern stellen auch aufgrund der eingebetteten Makros eine größere Gefahr dar. Braucht man diese Dateiformate jedoch zum Beispiel für Datenaustausch, dann wird man auf das entsprechende GPO ebenfalls verzichten.
Baseline importieren
Der einfachste Weg, die von Microsoft empfohlenen Einstellungen zu übernehmen, besteht im Import der mitgelieferten GPO-Backups in die Gruppenrichtlinienverwaltung. Dazu legt man zuerst ein leeres GPO im Abschnitt Gruppenrichtlinienobjekte an, das die Einstellungen erhalten soll. Es ist sinnvoll, dabei den Namen aus der Baseline beizubehalten.
Um die Namen der GPOs vorab anzuzeigen, kann man das PowerShell-Script
.\Scripts\Tools\MapGuidsToGpoNames.ps1 $PWD | Format-Table -AutoSize
aus dem Wurzelverzeichnis des entpackten ZIP-Archivs ausführen.
Anschließend öffnet man das Kontextmenü des neuen GPO und führt den Befehl Einstellungen importieren aus. Der folgende Wizard bietet erst an, das GPO zu sichern, was in diesem Fall aber nicht nötig ist.
Anschließend wählt man das Verzeichnis GPOs aus der Baseline aus, worauf man eine Liste aller dort gesicherten Objekte bekommt. Hier wählt man jenes aus, dessen Einstellungen man importieren möchte.
Diesen Vorgang wiederholt man für die weiteren GPOs. Diese sind anschließend mit keiner Domäne oder OU verknüpft, so dass man ihre Einstellungen nochmal prüfen kann, bevor man sie bestimmten Benutzern bzw. PCs zuordnet.
Fazit
Microsoft bietet neben einer Security Baseline für das Betriebssystem auch eine solche für Office an. Ihren Einsatz sollte man unbedingt in Erwägung ziehen, da diese Anwendungen neben dem Web-Browser und dem OS zu den bevorzugten Angriffszielen gehören. Die zahlreichen technischen Altlasten stellen eine besondere Bedrohung dar, und sie lassen sich über die empfohlenen Einstellungen weitgehend deaktivieren.
Aufgrund der vielen verschiedenen Office-Varianten und einer ungenügenden Dokumentation ist nicht immer klar, welche Einstellung bei welcher Version greift. Die weit überwiegende Zahl der Gruppenrichtlinien sichert jedoch alle Office-Pakete seit 2016 ab.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Microsoft Office blockiert Makros in Internet-Dokumenten nun vollständig
- Office 365 Business: Makro-Sicherheit über Gruppenrichtlinien konfigurieren
- Makros in Microsoft Office einschränken oder blockieren mit Gruppenrichtlinien
- NTLM-Authentifizierung überwachen oder blockieren mit Gruppenrichtlinien
- Empfohlene Sicherheitseinstellungen und neue Gruppenrichtlinien für Microsoft Edge (ab 107)
Weitere Links