Microsoft Office mit den GPOs der Security Baseline absichern

Aufgrund der unter­schiedlichen Editionen und Lizenzmodelle fällt das Management von Office mittels Security Baseline aber nicht so einfach wie bei Windows. So lassen sich die Anwendungen bei Microsoft 365 Business überhaupt nicht über Gruppen­richtlinien verwalten.

Hier kann man zumindest versuchen, die Bedrohungen durch Makros abzuwenden, indem man die zuständigen Registry-Schlüssel über Group Policy Preferences setzt.

Hinzu kommt, dass die Office-Anwendungen in den Abonnements halbjährlich (SAC) aktualisiert werden, während die Versionen 2016 oder 2019 aus dem Long Term Service Channel keine neuen Features mehr erhalten.

Die jeweils aktuelle Security Baseline bezieht sich aber immer auf ein relativ neues SAC-Release (derzeit auf Microsoft Office 365 ProPlus, das es unter dieser Bezeichnung nicht mehr gibt). Die Dokumen­tation gibt jedoch keine Auskunft darüber, welche Einstellungen auch in Office 2016 oder 2019 unterstützt werden.

De facto bringen die Updates von Microsoft 365 kaum neue sicherheits­relevante GPO-Einstellungen, so dass die Baseline ihren Zweck im Wesentlichen überall erfüllt.

Dort wo es solche Änderungen jedoch gibt, wie etwa die zuletzt eingeführte Unterstützung für "Ausführung von Makros in Office-Dateien aus dem Internet blockieren" in Access, bleibt diese bei älteren Versionen natürlich ohne Wirkung.

ADMX-Vorlagen für alle Office-Versionen

Diese Inkonsistenzen setzen sich bei den ADMX-Vorlagen für Office fort, die man als Voraussetzung für die Baseline natürlich installieren muss. Zwar hat sich die Major Version von Office intern seit 2016 nicht mehr verändert, so dass vorhandene GPOs auch für 2019 und 365 weiter funktionieren.

Dennoch kommen laufend neue Einstellungen hinzu, die aber für die älteren Versionen dann nicht gelten. Auf welche das zutrifft, kann man dem GPO-Editor nicht entnehmen, weil er nur die unterstützte Version von Windows, aber nicht von Office zeigt.

Inhalt der Security Baseline

Die aktuelle Security Baseline für Office ist im Security Compliance Toolkit enthalten. Wie jene für Windows besteht sie aus einem Backup der Muster-GPOs, GPO-Reports im HTML-Format, aus denen die konfigurierten Einstellungen hervorgehen, PowerShell-Scripts für den Import sowie einer Dokumen­tation (Word- und Excel-Dateien).

Hinzu kommt im Verzeichnis Template eine ADMX-Vorlage für Security-Einstellungen von Windows und Office, welche für das GPO MSFT Office 365 ProPlus 1908 - Computer benötigt wird. Deshalb sollte man sie samt englischer Sprachdatei in das lokale Verzeichnis PolicyDefinitions oder in den Central Store für die Gruppen­richtlinien kopieren.

Einstellungen in fünf GPOs

Sind diese Vorbereitungen getroffen, dann kann man überlegen, welche Einstellungen man aus der Baseline übernimmt. Sie ist auf fünf GPOs verteilt, wobei sich all jene, die in den meisten Umgebungen zu keinen uner­wünschten Einschränkungen der Funktionalität führen dürften, in MSFT Office 365 ProPlus 1908 - Computer bzw. User befinden.

Drei weitere GPOs sind dafür zuständig, nur die Ausführung von signierten Makros zuzulassen, DDE für Excel zu deaktivieren und alte Dateiformate zu blockieren. Wenn Unternehmen noch viele Makros nutzen, die im Haus entwickelt, aber nicht signiert wurden, dann wird man die ent­sprechende Gruppen­richtlinie nicht anwenden.

Ähnliches gilt für die alten Binärformate wie .doc, .xls oder .ppt. Aufgrund ihrer Komplexität sind sie Microsoft zufolge nicht nur anfälliger für Angriffe, sondern stellen auch aufgrund der eingebetteten Makros eine größere Gefahr dar. Braucht man diese Dateiformate jedoch zum Beispiel für Daten­austausch, dann wird man auf das entsprechende GPO ebenfalls verzichten.

Baseline importieren

Der einfachste Weg, die von Microsoft empfohlenen Einstellungen zu übernehmen, besteht im Import der mitgelieferten GPO-Backups in die Gruppen­richtlinien­verwaltung. Dazu legt man zuerst ein leeres GPO im Abschnitt Gruppen­richtlinien­objekte an, das die Einstellungen erhalten soll. Es ist sinnvoll, dabei den Namen aus der Baseline beizubehalten.

Um die Namen der GPOs vorab anzuzeigen, kann man das PowerShell-Script

.\Scripts\Tools\MapGuidsToGpoNames.ps1 $PWD | Format-Table -AutoSize

aus dem Wurzel­verzeichnis des entpackten ZIP-Archivs ausführen.

Anschließend öffnet man das Kontextmenü des neuen GPO und führt den Befehl Einstellungen importieren aus. Der folgende Wizard bietet erst an, das GPO zu sichern, was in diesem Fall aber nicht nötig ist.

Anschließend wählt man das Verzeichnis GPOs aus der Baseline aus, worauf man eine Liste aller dort gesicherten Objekte bekommt. Hier wählt man jenes aus, dessen Einstellungen man importieren möchte.

Diesen Vorgang wiederholt man für die weiteren GPOs. Diese sind anschließend mit keiner Domäne oder OU verknüpft, so dass man ihre Einstellungen nochmal prüfen kann, bevor man sie bestimmten Benutzern bzw. PCs zuordnet.

Fazit

Microsoft bietet neben einer Security Baseline für das Betriebs­system auch eine solche für Office an. Ihren Einsatz sollte man unbedingt in Erwägung ziehen, da diese Anwendungen neben dem Web-Browser und dem OS zu den bevorzugten Angriffszielen gehören. Die zahlreichen technischen Altlasten stellen eine besondere Bedrohung dar, und sie lassen sich über die empfohlenen Einstellungen weitgehend deaktivieren.

Aufgrund der vielen verschiedenen Office-Varianten und einer ungenügenden Dokumentation ist nicht immer klar, welche Einstellung bei welcher Version greift. Die weit überwiegende Zahl der Gruppen­richtlinien sichert jedoch alle Office-Pakete seit 2016 ab.