Office 2016, Office 2019, Office365 – MailSecurity, OneDrive, SharePoint

Domainweite Sicherheitseinstellungen

Sicherheitspolice für Office (ADM, Registryeinträge für User hart setzen)
Hierbei verlasse ich mich nicht nur auf ADM (Domainweite Police, sondern importiere bei jeder Useranmeldung zusätzlich ein paar relevanter Regeinträge für Office)
z.B. Makroausführung, Autostart, ausblenden Entwicklertools-Menü, Mails als TXT, keine Vorschau von Anlagen innerhalb Outlook etc.

Wer eine Domain betreibt kann mit Hilfe von Gruppenrichtlinien Office in einigen Einstellungen steuern und verhindern, dass Benutzer diese Einstellungen übergehen.

Hierfür lädt man sich die aktuellste Fassung der Office-ADMX von Microsoft (Stand zum Zeitpunkt des Blog Schreibens war 4966.1000 vom 22.01.2020) In der neusten Version ist ein Template von Teams mit dabei.

Link -> https://www.microsoft.com/en-us/download/details.aspx?id=49030

Entpackt die Dateien des Archives und kopiert die Dateien aus dem Ordner ADMX (*.admx + de-de + en-us) nach C:\Windows\PolicyDefinitions.
Danach kann man in den GPO’s die Einstellungen für die importierten Office-Versionen vornehmen.

Als Grundlage für eine sichere Einstellung kann man sich die Empfehlungen des BSI’s anschauen. Ich fand diese recht gut und habe die Einstellung an meine Bedürfnisse angepasst.

Link -> https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS/BSI-CS_135.pdf?__blob=publicationFile&v=8

BSI-CS 135 -> Office allgemein
BSI-CS 138 -> Word
BSI-CS 136 -> Excel
BSI-CS  045 -> PowerPoint
BSI-CS 140 -> Access
BSI-CS 141 -> Visio
BSI-CS 139 -> Outlook

Lokale Sicherheitseinstellung

Nachdem ich domainweit alles eingestellt hatte und der erste Test-PC sich die GPO-Policy zog, habe ich die Einstellungen aus der Registry exportiert und für die spätere Anwendung unter „Local Users“ leicht umgeschrieben.

Dies ist erforderlich, da ich mal gelesen haben will, dass Office-GPO’s nur unter Windows Enterprise durchgereicht werden. Tatsache ist in jedem Fall, dass nicht jede eingestellte GPO-Regel auch tatsächlich am Client zu sehen ist.

Damit es doch klappt lade ich die modifizierte Reg-Datei bei jedem Start/Anmelden eines Benutzers/ PC’s. So stelle ich sicher, dass bestimmte Useränderungen wie z.B. Makrosicherheitseinstellung auf den von mir gewünschten Stufe steht. Denn hin- und wieder habe ich gesehen, dass der User an diesen Einstellungen rumschauben darf obwohl ich dies gerne verboten hätte.

In der exportieren Reg-Datei ersetzte ich „Software\Policies\Microsoft\office“ durch „Software\Microsoft\office“ und so die Einstellungen auf Userebene ohne Domainangehörigkeit festgelegt.

Damit sorge ich zudem, dass auch nicht Domain-PC’s an sichere Office-Einstellungen kommen. Über Autoscripts werden diese Einstellungen letztlich bei jedem PC Start/ User-Anmeldung importiert und via OneDrive/ firmen SharePoint auch auf die mobilen Geräte nahezu in Echtzeit angewendet.

Office 365 – Admin Center

In meiner Office365-Umgebung habe ich die eine oder andere Sicherheitseinstellung vorgenommen, wo ich denke, dass dies ein effektiver Schutz mit gleichzeitiger Balance zum Arbeiten mit dem Produkt ist. Gerade bei der Mail-Filterung muss man abwägen, welche Mails werden mit Benachrichtigung abgewiesen und welche lieber nicht oder ist es besser bestimmte Mails erst in Quarantäne zu setzen, weil man hier noch an die Mail rankommt.

Admin Center

    • Benutzer -> erlaubte E-Mail-Apps definieren
    • Sicherheits- und Datenschutz -> Passwortänderung nach xx Tagen

Azure Active Directory

    • Zwei-Faktor-Authentifizierung
    • Self-Service-Kennwortzurücksetzung mit mindestens 3 Pflichtangaben

Security & Compliance

Richtlinien
      • ATP-sicher Anlagen (zubuchbarer AddOn)
      • ATP-sichere Links (zubuchbarer AddOn)
      • Antispam-Schutz
      • Antischadsoftware
      • DKIM
      • erweiterte Filterung

Exchange

Schutz -> DKIM
 Nachrichtenfluss-Rules
      • sperren alter Office-Files (z.B. xls, doc,ppt)
      • sperren möglicher schadhafter Files (z.B. docm, mdb, thmx, html, htm, vbs, exe, rar etc)
      • besondere Behandlung von Mails und Anlagen, welche nicht geprüft werden können
      • filtern von Mails und Anlagen wo bestimmte Inhalte in Anlagen gefunden werden (‚certutil‘ oder ‚UEsDBBQAAAA‘ oder ‚filesystem‘ oder ‚reg add‘)
        Manchmal tarnt sich eine Datei als z.B. txt, welche dann durch Umwege doch zu einer bösen Datei umgewandelt werden kann
      • sperren von Mails, welche bestimmte Wörter in der Mail aufweisen
Nachrichtenfluss-Connectoren
      • erlaubte Mailserver aus dem lokalen-Umfeld (z.B. Mail-Gateway für Meldungen aus Geräten wie Sonic, Router, Switche, Drucker etc.)
      • gilt auch für DNS-Einträge für „akzeptierte Domänen“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.