Vorwort
Hin und wieder erstellt die BSI sinn bringende Dokumentationen für ein sicheres Arbeiten mit den digitalen Medien.
In diesem Fall schlägt die BSI Konfigurationen für eine domainweite Anwendung von GPO und dem sicheren Arbeiten mit Microsoft Office vor.
Je nach Bedarf kann man diese Einstellungen so 1:1 übernehmen, sollte sich aber im klaren sein, dass unter Umständen bestimmte Funktionen nicht mehr wie erwartet funktionieren können. Unter den einzelnen Empfehlungen gebe ich hier meine Erfahrungen preis und sage warum ich einige Einstellungen so nicht übernehmen würde.
BSI-CS 135 -> Office allgemein
Computerrichtlinie\Sicherheitseinstellungen
Benutzerrichtlinien\Sicherheitseinstellungen
Punkt 7.+83. VBA für Office-Anwendungen deaktivieren
Wer wirklich überhaupt nicht mit Makros arbeitet kann hier den Punkt aktivieren. Diese Einstellung greift dann auf alle Office-Anwendungen und man ist hier gegenüber bestimmter Attacken sicher.
Wer aber Makros benötigt, sollte diesen Punkt nicht konfigurieren und bei jeder Anwendung im Einzelnen die Option „VBA zulassen“ bewerten. Wer VBA benötigt, sollte sichere Arbeitsverzeichnisse festlegen aus denen das Ausführen von Makros erlaubt ist.
Diese Einstellungen findet man unter:
Benutzerrichtlinie\Sicherheitseinstellungen\Trust Center\Vertrauenswürdiger Speicherort #1 bis #20
Benutzerrichtlinie\Verschiedenes
Punkt 43. Anmeldungen bei Office blockieren
Wer mit Office 365 und Exchange Online arbeitet, der muss sich z.B. zum Abholen von Mails anmelden können. Somit ist das Einstellen auf „keine zulässig“ nicht richtig. Ich empfehle hier auf „nur Org-Id“ einzustellen. So kann man sich bei Office-Anwendungen nicht mit einem privaten Microsoft Account anmelden.
Ist diese Rule auf „keine zulässig“ oder nur eines der Beiden, dann bekommt der der nicht darf folgendes Fenster angezeigt, wo normalerweise das Anmeldeformular zu Microsoft zu sehen ist:
Der entsprechende Regkey ist hier zu finden:
Computer\HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\common\signinßsigninoptions Computer\HKEY_CURRENT_USER\Software\Microsoft\office\16.0\common\signinßsigninoptions
signinoptions als REG_DWORD mit Werten 0-2 (0=beide, 1=nur Microsoft-Konto, 2=nur Org-Id)
Benutzerrichtlinie\Globale Optionen\Benutzerdefiniert
Punkt 45. Alle Benutzeranpassungen deaktivieren
Wer firmeneigene Menü-Icons in Office verwendet, der sollte hier die Regel für die entsprechende Anwendung nicht aktivieren, da sonst die eigenen Menü-Icons verschwinden. Zudem ist das eigene Einstellen der Schnellstartleiste und Menüleiste nicht mehr möglich. Wer aber ohnehin ohne Makros arbeitet, sollte hier der Empfehlung von BSI folgen, da man so auch nicht den vorher ausgeblendeten Menüpunkt „Entwicklermodus“ aktivieren kann.
Ich habe es trotz eigener Menü-Icons so eingerichtet, dass via GPO z.B. Excel nicht aktiviert wurde, habe aber beim Import benutzerdefinierter RegKeys den Wert auf nicht erlauben gesetzt. So blieben mir die firmeneigenen Menü-Icons erhalten, konnte aber dennoch die Schnellstartleiste/ Menüleiste zur eigenen Editierung sperren.
[HKEY_CURRENT_USER\Software\Microsoft\office\16.0\common\toolbars\excel] "nousercustomization"=dword:00000001
Benutzerrichtlinie\Datenschutz\Trust Center
Punkt 56. Die Verwendung verbundener Erfahrungen in Office zulassen
Auch hier ist das Deaktivieren problematisch, wenn man mit Office 365 arbeitet und z.B. OneNote Notizbücher mit der Cloud synchronisieren muss.
In den Anwendungen unter „Datei\Konto“ steht bei verbundenen Diensten „OFFLINE Office ist zurzeit offline“
In diesem Zustand kann sich z.B. kein OneNote Notizbuch mit der Cloud synchronisieren.
Daher setze ich diesen Schalter auf „aktiviert“. Der RegKey außerhalb der GPO ist dieser hier:
[HKEY_CURRENT_USER\Software\Microsoft\office\16.0\common\privacy] "disconnectedstate"=dword:00000001
Benutzerrichtlinie\Sicherheitseinstellungen\Digitale Signaturen
Punkt 105. Zertifikatausstellerfilter angeben
Punkt 106. Namen des Zeitstempelserver angeben
Da ich diese Angaben nicht kenne, konnte ich diese Rule nicht wie von BSI empfohlen aktivieren und habe diese auf „nicht konfiguriert“ stehen lassen.
BSI-CS 138 -> Word
BSI-CS 136 -> Excel
BSI-CS 045 -> PowerPoint
BSI-CS 140 -> Access
BSI-CS 141 -> Visio
BSI-CS 139 -> Outlook
Downloads
Hier biete ich entsprechende RegKeys zum Download an, ich denke für den privaten Sektor eine guten Ausgangsposition um Office sicherer einzustellen. Diese sind nur Empfehlungen und stellen keinen 100%-Schutz dar!
Wer diese RegKeys nutzen will, sollte sich im Aufgabenplaner/ Taskmanager eine Batch-Datei anlegen und diese bei jeder Useranmeldung starten lassen. So wird sichergestellt, dass versehentliches Umstellen in den Office-Anwendungen wieder rückgängig gemacht werden. Dies betrift natürlich nur Einstellungen, welche durch diese RegKeys erfasst wurden.
Allerdings kann man auch manuell durch Doppelklick auf die RegKeys oder der Batch-Datei diese Einstellungen importieren.
Erstellt eine Datei und bennent diese z.B. „Office-Secure.bat“. Achtet darauf, dass der Explorer (Optionen\Ansicht) unter dem Punkt „Erweiterungen bei bekannten Dateitypen ausblenden“ nicht aktiv ist.
In die Batch-Datei schreibt Ihr nun folgendes:
@echo off echo Reg_Import Office-Security reg import %Userprofile%\Downloads\regkeys\global_HKLM_2020_02_06.reg reg import %Userprofile%\Downloads\regkeys\global_HKLU_2020_02_06.reg if %ERRORLEVEL% NEQ 0 ( echo Fehler bei RegImport Office-Security )
Speichert die RegKeys ins Downloadverzeichnis in einen noch anzulegenden Ordner namens „regkeys“.
RegKey Office 2013/2016/2019/365 allgemein