Mit VBA-Makros lassen sich schnell und einfach Anwendungen auf Basis von Office entwickeln. Allerdings werden sie oft auch zur Programmierung von Malware missbraucht. Dagegen kann man sich mit Hilfe von GPOs schützen. Dafür gibt es gleich mehrere Einstellungen für alle oder einzelne Anwendungen.
Excel- und Word-Makros gehören zu den populärsten Anwendungen überhaupt. Fortgeschrittene Benutzer in den Fachabteilungen können mit VBA schon relativ rasch eine maßgeschneiderte Lösung für ihre Bedürfnisse basteln. Aus diesem Grund kommt für die meisten Firmen ein komplettes Deaktivieren von Makros nicht in Frage.
Diesem Nutzen steht allerdings seit Jahren die Gefahr von bösartigen Makros entgegen. Obwohl Microsoft im Lauf der Zeit verschiedene Abwehrmechanismen entwickelt hat, konnte diese Bedrohung nie ganz gebannt werden. Die kürzliche Verbreitung von Emotet, das Rechner über Makros infiziert, zeigt vielmehr, dass viele Systeme und User immer noch für solche Angriffe anfällig sind.
Eine Lektion aus dieser Epidemie besteht auch darin, dass Virenscanner alleine keinen ausreichenden Schutz bieten. Vielmehr empfehlen sich mehrere vorbeugende Maßnahmen, wie etwa das Whitelisting für Applikationen. Unverzichtbar ist zudem eine wirksame Kontrolle von Office-Makros.
Zentrale Policies für Office-Makros
Grundsätzlich können Anwender dafür das Trust Center von Office verwenden. Dort lassen sich Regeln zur Ausführung von aktiven Inhalten wie ActiveX-Controls, Add-ins und VBA-Code definieren.
Im Trust Center können Benutzer selbständig die Einstellungen für Makros ändern.
Angesichts der großen Bedeutung, die dem Schutz gegen Malware zukommt, wird man diese Aufgabe aber nicht den Endbenutzern überlassen. Vorzuziehen ist dafür eine zentrale Lösung auf Basis von Gruppenrichtlinien. Sie bieten seit der Version 2016 zusätzliche Einstellungen für das Management von Makros.
Bei Office 365 Business hingegen kann man die Anwendungen generell nicht über GPOs verwalten. Hier kann man sich mit den Group Policy Preferences behelfen.
Administrative Vorlagen installieren
Falls die administrativen Vorlagen für Office noch nicht installiert sind, dann lädt man sie hier von Microsofts Website herunter.
Die Templates liegen als separate Dateien für die 32- und 64-Bit-Version vor.
Anschließend entpackt man sie unter %systemroot%\PolicyDefinitions auf der Admin-Workstation oder im Central Store auf einem Domain Controller. Die ADMX-Dateien sind für Office 2016 und 2019 identisch, GPOs für 2016 funktionieren auch mit der Version 2019.
VBA ganz deaktivieren
Eine radikale Maßnahme, die für die meisten Unternehmen aber wohl zu weit geht, besteht darin, VBA komplett zu deaktivieren. Die entsprechende Einstellung («VBA für Office-Anwendungen deaktivieren») lässt sich sowohl für Computer als auch Benutzer konfigurieren. Sie findet sich unter Computer- bzw. Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Microsoft Office 2016 => Sicherheitseinstellungen.
GPO-Einstellung, um VBA per Computer zu deaktivieren
Wer jedoch VBA-Makros benötigt und sich gegen Schadcode schützen möchte, kann ihre Ausführung stattdessen gezielt einschränken. Hier liegt es nahe, nur signierte Makros zuzulassen. Dies muss man allerdings pro Anwendung tun.
Die zuständige Option heißt Einstellungen für VBA-Makrobenachrichtigungen. Für Word findet sie sich beispielsweise unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Microsoft Word 2016 => Word-Optionen => Sicherheit => Trust Center.
Die Einstellung für die Makro-Benachrichtigung bietet 4 Optionen. Eine davon erlaubt nur signierte Makros.
Sie bietet 4 Auswahlmöglichkeiten an, wobei Alle Makros aktivieren keinen Sinn hat, wenn man die Sicherheit erhöhen möchte. Ähnliches gilt für Alle Makros ohne Benachrichtigung deaktivieren, weil damit eine ähnliche Wirkung erzielt wird wie mit dem Deaktivieren von VBA. Bleiben Alle Makros mit Benachrichtigung deaktivieren und Alle Makros außer digital signierten Makros deaktivieren.
Die erste der beiden Optionen ist die Voreinstellung von Office und führt dazu, dass alle Makros blockiert werden. Allerdings erhält der Anwender in der Benachrichtigungsleiste einen entsprechenden Hinweis und zudem die Möglichkeit, den Code auszuführen, indem er auf Inhalt aktivieren klickt.
Bei der Standardeinstellung können Benutzer alle Makros zur Ausführung freigeben.https://8f86f260f731e0245a7f793831fd6f92.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html
Für zusätzliche Sicherheit erlaubt man hier nur signierte Makros. Unsignierter Code wird dann einfach unterdrückt, während der Anwender signierte Makros explizit starten muss. Damit reduziert man das Risiko von Fehlentscheidungen der User bei gezielten Angriffen, weil sie Code aus unbekannter Herkunft nicht zulassen können.
Allerdings kann eine solche Beschränkung hinderlich sein, wenn zum Beispiel viele bewährte, aber unsignierte Makros in der Firma vorhanden sind.
Keine Makros aus dem Internet ausführen
Neu hinzugekommen in Office 2016 ist die Möglichkeit, nur Code in solchen Dokumenten zu blockieren, die aus dem Internet stammen. Auch sie wird für jede Anwendung separat konfiguriert und findet sich ebenfalls unter Sicherheit => Trust Center («Ausführung von Makros in Office-Dateien aus dem Internet blockieren»).
Im Abschnitt Trust Center findet sich auch eine Einstellung zum Blockieren von Makros aus dem Internet.
Damit lassen sich nicht signierte Makros aus internen Quellen weiterhin nutzen, wogegen auch signierte Makros aus dem Internet nicht laufen (schließlich könnte auch Malware signiert sein). Allerdings könnte man durch die Kombination beider Einstellungen auch dafür sorgen, dass keine Makros aus dem Internet und nur signierte aus anderer Herkunft laufen.
Office erkennt den Ursprung von Dateien im Internet durch die Zoneninformation, die der Attachment Execution Service (AES) hinzufügt. Das erfolgt immer dann, wenn Dokumente von Outlook, Internet Explorer oder ähnlichen Anwendungen heruntergeladen werden.
Standardmäßig öffnen Dokumente aus dem Internet in der geschützten Ansicht, die keine Makros ausführt.
Per Voreinstellung zeigen die Office-Programme solche Dokumente in der geschützten Ansicht. Klickt man dort auf Bearbeitung aktivieren, dann greift im nächsten Schritt eine der Maßnahmen, die man gegen die unkontrollierte Ausführung von Makros ergriffen hat. Diese kann im Blockieren von unsignierten Makros bestehen oder von allen, die aus dem Internet stammen.
Makros in Dokumenten, die aus dem Internet stammen, lassen sich blockieren.
Vertrauenswürdige Speicherorte
Lässt man nur die Ausführung von signiertem Code zu, dann kann dies zu restriktiv sein. Um bekannt sichere, aber unsignierte Makros dennoch starten zu können, kann man die betreffenden Dokumente in Verzeichnissen ablegen, die man als vertrauenswürdig einstuft.
Bei diesem Mechanismus ist jedoch Vorsicht geboten, weil er die oben beschriebenen Maßnahmen zum Schutz gegen schädliche Makros aushebelt. Das trifft auch auf Dokumente aus dem Internet zu, die dann trotz Sperre durch ein GPO alle Makros ausführen.
Wenn etwa ein Benutzer auf die Idee kommt, sein Downloads-Verzeichnis im Trust Center als vertrauenswürdig zu markieren, dann ist grundsätzlich die Bahn frei für alle Makros in heruntergeladenen Dokumenten.
Ohne Einschränkung durch Gruppenrichtlinien können User ihre eigenen vertrauenswürdigen Speicherorte im Trust Center eintragen.
Deshalb sollte man tunlichst dafür sorgen, dass solche Speicherorte nur über GPOs und nicht durch den User festgelegt werden. Dazu deaktiviert man die Einstellung Mischung aus Richtlinien- und Benutzerspeicherorten zulassen. Sie findet sich unter Benutzerkonfiguration => Richtlinien => Administrative Vorlagen => Microsoft Office 2016 => Sicherheitseinstellungen => Trust Center. Sie gilt somit für alle Anwendungen.
Per GPO kann verhindert werden, dass User selbst vertrauenswürdige Speicherorte definieren.
Dort kann man dann gleich die Verzeichnisse hinzufügen, die global als vertrauenswürdig gelten sollen. Allerdings kann man diese auch für jede einzelne Anwendung ebenfalls unter Trust Center definieren.
Überprüfung durch Virenscanner erzwingen
Schließlich gibt es noch zwei Einstellungen, die weniger für die interaktive Nutzung von Office gedacht sind. Zum einen handelt es sich dabei um einen Schutz gegen Makros beim Steuern von Office-Programmen durch externe Anwendungen oder Scripts («Automatisierungssicherheit» unter Trust Center von Microsoft Office 2016).
Die Einstellung Automatisierungssicherheit gilt für alle Office-Anwendungen.
Zum anderen kann man erzwingen, dass verschlüsselte Makros vor ihrer Ausführung durch einen Virenscanner überprüft werden. Wenn ein solcher nicht vorhanden ist, dann lässt sich hier festlegen, dass solche Makros nicht starten.
Was this helpful?
0 / 0