heise PlusAbo
Anzeige

Microsoft und Emotet: Makroschutz in Office 365 nur fĂĽr Konzerne

Seite 2: Makros per GPO deaktivieren

Inhaltsverzeichnis

In Microsoft Office ist es bereits seit vielen Jahren möglich, das Ausführen von Makros per Richtlinie im eigenen Unternehmen komplett zu unterbinden. Und wenn sie die entsprechenden Office-Versionen einsetzen, verhindern IT-Abteilungen damit, dass Anwender/-innen unbedacht potentiell schädliche Inhalte ausführen. Im Zeitalter von Emotet und Co. ist genau dieses Blockieren von Makros schließlich eine der zentralen Maßnahmen, um Unternehmensnetzwerke zu schützen.

Diese Richtlinie schaltet das AusfĂĽhren von Makros in Word ab.

Setzt man nun Office-Versionen ein, die die Gruppenrichtlinien nicht wie eben beschrieben, ignorieren, ist in einem Microsoft-Active-Directory basiertem Netzwerkwerk diese Schutzfunktion innerhalb weniger Minuten auf allen angeschlossenen Windows-PCs aktivierbar. Microsoft selbst stellt die benötigen Richtlinien-Vorlagen zum Download bereit. Diese müssen entpackt und vorzugsweise im Central Store der AD-Sysvol-Freigabe abgelegt werden (siehe unten GPO-Vorlagen-Ordner). Die aktuellen Vorlagen-Dateien umfassen Office 2016, Office 2019 und Office 365, sie sind aber auch für ältere Versionen noch verfügbar. Anschließend können diese Vorlagen mit dem Gruppenrichtlinienverwaltungs-Editor konfiguriert und aktiviert werden.

Für den gewünschten Zweck gibt es mehrere Stellen, um das Ausführen von Makros in Microsoft-Office-Dokumenten zentral abzuschalten. Grundsätzlich kann die Ausführung von Visual Basic für Applikationen (VBA) für sämtliche Office-Anwendungen zentral abgeschaltet werden: unter Computerkonfiguration > Richtlinien > Administrative Vorlagen > Microsoft Office (Computer) > Sicherheitseinstellungen; dort muss die Einstellung "VBA für Office-Anwendungen deaktivieren" aktiviert werden. Hierbei ist zu beachten, dass es für jede Office-Version (also 2010, 2013, 2016) einen eigenen Zweig gibt.

Das explizite Ausführen von VBA-Makros und das Verhalten der Office-Anwendungen, wenn eine zu öffnende Datei ein VBA-Makro enthält, wird dagegen individuell für jede Office-Anwendung einzeln mit einer Benutzerkonfigurations-Richtlinie gesteuert, bzw. deaktiviert. Für Word 2016 zum Beispiel findet sich diese unter Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Microsoft Word 2016 > Word-Optionen > Sicherheit > Trust Center. Hier ist die Einstellung "Ausführung von Makros in Office-Dateien aus dem Internet blockieren" zu aktivieren und die Einstellung "Einstellungen für VBA-Makrobenachrichtigungen" in der Auswahlbox auf "Alle Makros ohne Benachrichtigung deaktivieren" zu setzen und ebenfalls zu aktivieren. Für die anderen Microsoft-Office-Anwendungen gilt dies analog.

Nachdem alle Richtlinien konfiguriert und den gewünschten Organisationseinheiten (OUs) zugewiesen sind, werden die Richtlinien wirksam. Es kann lediglich noch bis zu 90 Minuten dauern, bis diese Einstellungen auch auf den Computern tatsächlich aktiv werden. Dieser Zeitraum ist das Standard-Intervall, in dem Windows-Computer nach neuen oder geänderten Richtlinien suchen und diese abarbeiten.

Weil die Steuerung über die Organisationseinheiten stattfindet, lassen sich allerdings auch Ausnahmen definieren. Benötigt man zum Beispiel in der Finanzabteilung aktive Makros für Excel-Berechnungen, im Rest des Unternehmens hingegen nicht, gruppiert man die Computerobjekte der Finanzabteilung in einer eigenen OU, auf der entweder die zentrale Richtlinie oder zumindest die Richtlinie für Excel nicht angewandt wird.

GPO-Vorlagen-Ordner

Der sinnvollste Ablageort für Gruppenrichtlinien-Vorlagen ist der "Central Store". Um den Central Store zu benutzen, muss unterhalb des Ordners \\FQDN\SYSVOL\FQDN\policies der Ordner "PolicyDefinitions" erstellt werden, in den die Vorlagen-Dateien (.admx) hineinkopiert werden. Das Tool zur Gruppenrichtlinienverwaltung wertet diesen Ordner grundsätzlich hardcodiert aus und benutzt dort vorhandene Vorlagen zusätzlich zu den lokalen Vorlagen im Ordner %Systemroot%\PolicyDefinitions.

Damit stehen Vorlagen auf allen Rechnern bereit, auf denen der Gruppenrichtlinienverwaltungs-Editor ausgeführt wird. Möchte man den Central Store nicht benutzen, kopiert man die Vorlagen in den lokalen Policy-Ordner im %Systemroot% – also typischerweise C:\Windows\PolicyDefinitions. Mitgelieferte Sprachdateien (.adml) gehören, passend zur jeweiligen Sprache, in die Unterordner de-DE, en-US und so weiter.

Bei Verwendung eines lokalen Policy-Ordners ist zu beachten, dass GPOs, die auf einem solchen Rechner konfiguriert wurden, zwar Domänen-weit angewandt werden, aber von anderen Arbeitsstationen aus nicht komplett konfiguriert werden können, weil dort die nötigen Vorlagen fehlen.

Das Speichern im lokalen Vorlagenordner ermöglicht es allerdings, auf lokalen Systemen, die beispielsweise nicht Mitglied eines Windows-Active-Directory sind, die Vorlagen mit dem lokalen Richtlinieneditor (gpedit.msc) dennoch zu benutzen. Das kann für einen Familien-Administrator wichtig sein, um den Rest der Familie von unbedachten "Klicks" abzuhalten (und sich selbst auch).

Solche Gruppenrichtlinien sind ein unverzichtbares Werkzeug für die Administration von Windows-Rechnern. Wieso Microsoft deren Unterstützung in den "kleinen", vor allem bei mittelständischen Unternehmen beliebten Office-365-Versionen amputiert hat, ist schlicht nicht nachvollziehbar. (ju)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten