Office 365 Business: Makro-Sicherheit über Gruppenrichtlinien konfigurieren

    Makro in Microsoft OfficeZu den größten Ein­schränkungen von Office 365 Business gehört, dass sich Word, Excel & Co. nicht über GPOs konfi­gurieren lassen. Dadurch ent­fällt die Möglich­keit, Ein­stellungen für Makros zentral vorzu­geben. Als Behelfs­lösung kann man Group Policy Preferences nutzen, um die ent­sprechenden Registry-Schlüssel zu setzen.

    Die Abonnements unter der Marke Office 365 Business richten sich an kleinere Unternehmen und beinhalten neben den traditionellen Desktop-Anwendungen eine Reihe von Cloud-Diensten. Obwohl Abos bis zu 300 Benutzer umfassen können, sieht Microsoft für solche Umgebungen kein zentrales Management für die Office-Programme über Gruppen­richtlinien vor (siehe dazu: Makros in Office einschränken oder blockieren mit Gruppenrichtlinien).

    Alternative Registry-Keys über GPP ansteuern

    In der Praxis wollen aber Admins auch in Firmen mit 100 oder 200 PCs sicherstellen, dass zumindest einige wesentliche Sicherheits­einstellungen einheitlich konfiguriert sind. Für diese Aufgabe bieten sich die Group Policy Preferences (GPP) an, um die jeweiligen Registry-Schlüssel zu setzen.

    Normale Group Policies für Office schreiben ihre benutzer­bezogenen Einstellungen unter HKCU:\software\policies\microsoft\office\16.0. Office 365 Business ignoriert diese Einträge jedoch. Ändert man bestimmte Optionen in Word oder Excel selbst, dann werden diese dagegen unter dem Zweig HKCU:\software\microsoft\office\16.0 gespeichert. Daher liegt es nahe, diese zentral zu verwalten.

    Benutzer können GPP-Einstellungen übersteuern

    Während die regulären Gruppen­richtlinien für Office verhindern, dass Benutzer eine vorgegebene Konfiguration verändern, indem die entsprechenden GUI-Optionen deaktiviert werden, können User solche Einstellungen, die von den GPP stammen, jedoch nach Belieben modifizieren.

    Bei einem standard­mäßigen Refresh-Intervall von 90 Minuten würden die Eingriffe der User in die vorgegebene Konfiguration jedoch schnell wieder rückgängig gemacht. Wenn es einem User nicht darum geht, die Vorgaben des Admins mit Absicht zu unter­laufen, dann stellen die GPP daher ein probates Mittel dar, um wichtige Sicherheits­einstellungen zu kontrollieren.

    Ein weiterer Mangel dieses Verfahrens besteht jedoch darin, dass es nicht für alle Einstellungen in den Richtlinien eine Entsprechung auf der GUI gibt. Das gilt etwa für die Option, Makros in Dokumenten generell zu blockieren, wenn diese aus dem Internet stammen. Die hier besprochene GPP-Lösung kann dieses Feature daher nicht aktivieren.

    Und schließlich sind die Registry-Keys nicht durch­gängig doku­mentiert, so dass man experi­mentieren muss, um zu herauszufinden, welche Optionen in den Anwendungen zu welchen Einträgen in der Registrier­datenbank führen.

    GPO für Makro-Einstellungen

    Eine besondere Gefahrenquelle in Office sind die in Dokumente eingebetteten Makros. Zwar sollte ein guter Viren-Scanner auch gegen Makro-Viren schützen, aber dennoch wird man nicht einfach jeden beliebigen VBA-Code ungehindert ausführen wollen.

    Optionen für die Ausführung von Makros in MS Word. Der Wert in Klammern entspricht jenem für VBAwarnings in der Registry.

    Die Office-Anwendungen kennen vier Einstellungen, um die Ausführung von Makros zu steuern:

    • Alle Makros aktivieren (nicht empfohlen) => (1)
    • Alle Makros mit Benachrichtigung deaktivieren => (2)
    • Alle Makros außer digital signierten Makros deaktivieren => (3)
    • Alle Makros ohne Benachrichtigung deaktivieren => (4)

    Sie wird unter HKCU:\software\microsoft\office\16.0\<Anwendung>\Security im Schlüssel VBAwarnings gespeichert, ein Wert von 1 bis 4 bildet die oben aufgelisteten Optionen auf.

    Um etwa zu gewährleisten, dass in Word gar keine Makros starten können, legt man ein neues GPO für die gewünschte Benutzer-OU an und öffnet dieses im Editor. Dort wechselt man zu Benutzer­konfiguration => Einstellungen => Windows-Einstellungen => Registrierung und startet dort aus dem Kontext­menü den Befehl Neu => Registrierungs­element.

    Registry-Schlüssel für die Makro-Sicherheit über GPP zentral festlegen

    Für Aktion wählt man Aktualisieren und bei Struktur HKEY_CURRENT_USER. Als Schlüsselpfad gibt man software\microsoft\office\16.0\Word\Security an, als Name VBAwarnungs, als Werttyp REG_DWORD und als Wert 2. Wenn man möchte, kann man unter Gemeinsame Optionen noch die Zielgruppe einschränken.

    Das Vorgehen für Excel funktioniert nach dem gleichem Muster, man muss einzig im Registry-Pfad "Word" durch "Excel" ersetzen.

    Geschützte Ansicht für Dokumente aus dem Internet

    Öffnet man ein Dokument, das man aus dem Internet herunter­geladen oder aus einer Mail gespeichert hat, dann zeigt Office dieses per Voreinstellung in einer geschützten Nur-Lese-Ansicht.

    Einstellungen für die geschützte Ansicht im Trust Center von Microsoft Word.

    Dem Benutzer steht es jedoch frei, diesen Schutz über das Trust Center abzuschalten. In diesem Fall schreibt die Office-Anwendung einen Wert für die drei verfügbaren Optionen unterhalb von Security\Protected View.

    Einstellungen für geschützte Ansicht durch Löschen von Benutzeraktionen periodisch auf die sicheren Standardwerte zurücksetzen.

    Um die Standard­einstellungen wiederher­zustellen, muss man nur den Zweig unter Protected View löschen. Auch dies lässt sich in regelmäßigen Abständen über die GPP bewerkstelligen. Dazu legt man wie oben ein Registrierelement an, ändert die Aktion auf Löschen und trägt als Pfad
    software\microsoft\office\16.0\Word\Security\Protected View
    ein. Die übrigen Felder kann man ignorieren.

    Vertrauenswürdige Speicherorte

    Definiert man bestimmte Verzeichnisse als vertrauenswürdig, dann gelten für dort abgelegte Dokumente einige Sicherheits­einstellungen nicht mehr. Auf diesem Weg lassen sich zum Beispiel die Makro-Einschränkungen umgehen.

    Ohne zentrale Vorgaben über reguläre GPOs dürfen User im Trust Center nach Belieben solche Speicherorte definieren. Mittels GPP lassen sich diese aber wieder in regelmäßigen Abständen abräumen.

    Die von Microsoft vorgegebenen vertrauenswürdigen Speicherplätze finden sich unter Location0 bis 2.

    Das Vorgehen ist das gleiche wie bei Protected View, nur mit dem Unterschied, dass es hier mehrere Zweige in der Registry gibt und man nicht alle wegputzen möchte.

    Per Voreinstellung existieren unter Security bereits die Container Location0, Location1 und Location2. Mithin richtet man GPOs beispielsweise für Location3 bis 6 ein, um die ersten drei vom Benutzer definierten Verzeichnisse zu entfernen.

    Vertrauenswürdige Speicherorte, die vom Benutzer eingerichtet wurden, über GPP entfernen

    Vertrauenswürdige Dokumente

    Ein weiteres Konzept in Office, um Ausnahmen von Security-Vorgaben zu erlangen, sind vertrauens­würdige Dokumente. Dieses Feature kann man ebenfalls über das Trust Center komplett abschalten, dies spiegelt sich dann im Registry-Schlüssel DisableTrustedDocuments unter Security\Trusted Documents im Wert 1 wider.

    Vertrauenswürdige Dokumente über Registry-Eintrag deaktivieren

    Das Vorgehen hier ist identisch wie bei VBAwarnungs, nur gibt man als Pfad software\microsoft\office\16.0\Word\Security\Trusted Documents und als Name DisableTrustedDocuments mit dem Wert 1 an.

    Fazit

    Nachdem Office 365 Business keine zentrale Verwaltung über Richtlinien zulässt, kann man wichtige sicherheits­relevante Einstellungen über GPP festlegen.

    Dies ist keine robuste Lösung wie die regu­lären Gruppen­richtlinien, aber durch das Update der Registry-Schlüssel in relativ kurzen Intervallen kann man dafür sorgen, dass die gewünschte Konfi­guration stets wieder­hergestellt wird.

    Keine Kommentare