Microsoft Office mit den GPOs der Security Baseline absichern

    Office SecurityDie Anwen­dungen von MS Office sind kom­plex und über viele Jahre ge­wachsen. Besonders einige ältere Features sind im profes­sionellen Um­feld nicht mehr er­wünscht oder gar ein Sicher­heits­risiko. Micro­soft stellt daher eine Security Baseline bereit, mit der Anwender die Angriffs­fläche über GPOs redu­zieren können.

    Microsoft aktualisiert die Security Baseline für Windows 10 mit jedem Update des OS. Unter­nehmen sind angehalten, ihre PCs auf dieser Basis gegen Bedrohungen zu härten. Bei Office ist der Bedarf an solchen Maßnahmen nicht minder wichtig, da die Anwendungen aus Gründen der Kompatibilität noch viele alte und anfällige Technologien mitschleppen.

    Unterstützung von Office-Versionen unklar

    Aufgrund der unter­schiedlichen Editionen und Lizenzmodelle fällt das Management von Office mittels Security Baseline aber nicht so einfach wie bei Windows. So lassen sich die Anwendungen bei Microsoft 365 Business überhaupt nicht über Gruppen­richtlinien verwalten.

    Hier kann man zumindest versuchen, die Bedrohungen durch Makros abzuwenden, indem man die zuständigen Registry-Schlüssel über Group Policy Preferences setzt.

    Hinzu kommt, dass die Office-Anwendungen in den Abonnements halbjährlich (SAC) aktualisiert werden, während die Versionen 2016 oder 2019 aus dem Long Term Service Channel keine neuen Features mehr erhalten.

    Die jeweils aktuelle Security Baseline bezieht sich aber immer auf ein relativ neues SAC-Release (derzeit auf Microsoft Office 365 ProPlus, das es unter dieser Bezeichnung nicht mehr gibt). Die Dokumen­tation gibt jedoch keine Auskunft darüber, welche Einstellungen auch in Office 2016 oder 2019 unterstützt werden.

    De facto bringen die Updates von Microsoft 365 kaum neue sicherheits­relevante GPO-Einstellungen, so dass die Baseline ihren Zweck im Wesentlichen überall erfüllt.

    Dort wo es solche Änderungen jedoch gibt, wie etwa die zuletzt eingeführte Unterstützung für "Ausführung von Makros in Office-Dateien aus dem Internet blockieren" in Access, bleibt diese bei älteren Versionen natürlich ohne Wirkung.

    ADMX-Vorlagen für alle Office-Versionen

    Diese Inkonsistenzen setzen sich bei den ADMX-Vorlagen für Office fort, die man als Voraussetzung für die Baseline natürlich installieren muss. Zwar hat sich die Major Version von Office intern seit 2016 nicht mehr verändert, so dass vorhandene GPOs auch für 2019 und 365 weiter funktionieren.

    Aus dem GPO-Editor geht nicht hervor, dass diese Einstellung Access aus dem M365-Abo erfordert.

    Dennoch kommen laufend neue Einstellungen hinzu, die aber für die älteren Versionen dann nicht gelten. Auf welche das zutrifft, kann man dem GPO-Editor nicht entnehmen, weil er nur die unterstützte Version von Windows, aber nicht von Office zeigt.

    Inhalt der Security Baseline

    Die aktuelle Security Baseline für Office ist im Security Compliance Toolkit enthalten. Wie jene für Windows besteht sie aus einem Backup der Muster-GPOs, GPO-Reports im HTML-Format, aus denen die konfigurierten Einstellungen hervorgehen, PowerShell-Scripts für den Import sowie einer Dokumen­tation (Word- und Excel-Dateien).

    Verzeichnisstruktur der Security Baseline für Microsoft Office

    Hinzu kommt im Verzeichnis Template eine ADMX-Vorlage für Security-Einstellungen von Windows und Office, welche für das GPO MSFT Office 365 ProPlus 1908 - Computer benötigt wird. Deshalb sollte man sie samt englischer Sprachdatei in das lokale Verzeichnis PolicyDefinitions oder in den Central Store für die Gruppen­richtlinien kopieren.

    Einstellungen in fünf GPOs

    Sind diese Vorbereitungen getroffen, dann kann man überlegen, welche Einstellungen man aus der Baseline übernimmt. Sie ist auf fünf GPOs verteilt, wobei sich all jene, die in den meisten Umgebungen zu keinen uner­wünschten Einschränkungen der Funktionalität führen dürften, in MSFT Office 365 ProPlus 1908 - Computer bzw. User befinden.

    Die meisten Einstellungen konfiguriert die Baseline im Zweig 'Benutzer'.

    Drei weitere GPOs sind dafür zuständig, nur die Ausführung von signierten Makros zuzulassen, DDE für Excel zu deaktivieren und alte Dateiformate zu blockieren. Wenn Unternehmen noch viele Makros nutzen, die im Haus entwickelt, aber nicht signiert wurden, dann wird man die ent­sprechende Gruppen­richtlinie nicht anwenden.

    Ähnliches gilt für die alten Binärformate wie .doc, .xls oder .ppt. Aufgrund ihrer Komplexität sind sie Microsoft zufolge nicht nur anfälliger für Angriffe, sondern stellen auch aufgrund der eingebetteten Makros eine größere Gefahr dar. Braucht man diese Dateiformate jedoch zum Beispiel für Daten­austausch, dann wird man auf das entsprechende GPO ebenfalls verzichten.

    Baseline importieren

    Der einfachste Weg, die von Microsoft empfohlenen Einstellungen zu übernehmen, besteht im Import der mitgelieferten GPO-Backups in die Gruppen­richtlinien­verwaltung. Dazu legt man zuerst ein leeres GPO im Abschnitt Gruppen­richtlinien­objekte an, das die Einstellungen erhalten soll. Es ist sinnvoll, dabei den Namen aus der Baseline beizubehalten.

    Um die Namen der GPOs vorab anzuzeigen, kann man das PowerShell-Script

    .\Scripts\Tools\MapGuidsToGpoNames.ps1 $PWD | Format-Table -AutoSize

    aus dem Wurzel­verzeichnis des entpackten ZIP-Archivs ausführen.

    Namen der Baseline-GPOs anzeigen mit PowerShell

    Anschließend öffnet man das Kontextmenü des neuen GPO und führt den Befehl Einstellungen importieren aus. Der folgende Wizard bietet erst an, das GPO zu sichern, was in diesem Fall aber nicht nötig ist.

    Wizard zum Import der Baseline in der Gruppenrichtlinienverwaltung starten.

    Anschließend wählt man das Verzeichnis GPOs aus der Baseline aus, worauf man eine Liste aller dort gesicherten Objekte bekommt. Hier wählt man jenes aus, dessen Einstellungen man importieren möchte.

    GPO mit den Einstellungen für Computer importieren

    Diesen Vorgang wiederholt man für die weiteren GPOs. Diese sind anschließend mit keiner Domäne oder OU verknüpft, so dass man ihre Einstellungen nochmal prüfen kann, bevor man sie bestimmten Benutzern bzw. PCs zuordnet.

    Fazit

    Microsoft bietet neben einer Security Baseline für das Betriebs­system auch eine solche für Office an. Ihren Einsatz sollte man unbedingt in Erwägung ziehen, da diese Anwendungen neben dem Web-Browser und dem OS zu den bevorzugten Angriffszielen gehören. Die zahlreichen technischen Altlasten stellen eine besondere Bedrohung dar, und sie lassen sich über die empfohlenen Einstellungen weitgehend deaktivieren.

    Aufgrund der vielen verschiedenen Office-Varianten und einer ungenügenden Dokumentation ist nicht immer klar, welche Einstellung bei welcher Version greift. Die weit überwiegende Zahl der Gruppen­richtlinien sichert jedoch alle Office-Pakete seit 2016 ab.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Keine Kommentare