The Devil At Work

Makros signieren

Office bietet eine Extra-Option um ein Zertifikat für die Signierung von Makros bereit zu stellen. Gerade in einer kleineren Umgebung ohne eine Certificate Authority kann man auf diese Option zurückgreifen, ohne sich mit der Zertifikatserstellung auseinander setzen zu müssen.

 

Danach steht das Zertifikat dem Benutzer der es erstellt hat zur Verfügung. Zum Signieren einer Excel-Datei muss man nun im VBA-Editor unter Extras > Digitale Signatur auswählen:

Aktuell ist die Datei nicht signiert. Das „Signiert als“ ist dabei etwas irreführend, da dem VBA-Projekt definitiv noch kein Zertifikat zugewiesen ist. Bei einem Klick auf Wählen wird das eben erstellte Zertifikat vorgeschlagen:

Nachdem man dieses mit OK bestätigt hat, ist es zugewiesen:

Damit die Makros nun bei anderen Benutzern ausgeführt werden können, benötigen diese ebenfalls das Zertifikat. Dazu muss man dieses erst mal über die MMC > Zertifikate > Eigene Zertifikate exportieren:

Dieses Zertifikat lässt sich nur ohne privaten Schlüssel exportieren. Diesen benötigt man auch nur um die Makro-Dateien zu signieren.

Anstatt das Zertifikat auf jedem Computer manuell zu installieren, kann man hierfür stattdessen auch eine Gruppenrichtlinie nutzen, sofern man keine CA hat. Da diese GPO nur für Computer greift, kann man die Benutzerkonfigurationseinstellungen deaktivieren:

Die GPO muss auf die entsprechenden Domänencomputer angewendet werden:

Innerhalb der Gruppenrichtlinie muss nun unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel > Vertrauenswürdige Stammzertifizierungsstellen das Zertifikat durch rechts klicken und dann über „Importieren“ importiert werden:

Nachdem die Gruppenrichtlinie aktiv ist und nach einem Neuanmelden durch die Benutzer aktualisiert wurde, kommt bei diesen folgende Meldung, wenn sie ein mit dem Zertifikat signiertes Makro ausführen wollen:

Da davon auszugehen ist, dass die signierten Makros ungefährlich sind, können die Benutzer Allen Dokumenten von diesem Herausgeber vertrauen auswählen um in Zukunft diese Nachfrage zu vermeiden.

Wiederkehrende E-Mail-Abwesenheitsnotiz mit Powershell

Leider gibt es manchen Sonderfall, für den es keine Konfigurationsmöglichkeiten gibt. So ist es zwar möglich in Outlook einen Zeitraum für die Dauer einer Abwesenheitsnotiz einzustellen, aber eine wöchentlich wiederkehrende Abwesenheitsnotiz für einen Mitarbeiter, der nicht alle Tage in der Woche da ist, kann man leider nicht festlegen.

Ein Glück, gibt es doch kaum etwas, das sich nicht automatisieren lässt. Per Powershell ist das ganze kein Problem. Mit folgendem Skript lässt sich auf dem Exchange-Server die Abwesenheitsnotiz ein- bzw. abschalten. Das ganze in Kombination mit der Aufgabenplanung löst somit das Problem:

 

Zur Bedeutung der einzelnen Zeilen:

Durch den Punkt wird das angegebene Powershell-Skript nicht nur aufgerufen, sondern in das aktuelle Skript eingebunden. Das heißt die Funktionen etc. aus dem Skript stehen wie Module im eigenen Skript zur Verfügung.

Um den Exchange zu kontrollieren braucht man die Exchange-Management-Konsole. In diesem Fall aus dem Ordner „C:\Program Files\Microsoft\Exchange Server\V14\bin\“ für Exchange 2010.

Durch diesen Befehl verbindet man sich an den lokalen Exchange-Server.

Durch den letzten Befehl lässt sich für beliebige Domänenbenutzer die Abwesenheitsnotiz aktivieren oder deaktivieren. Zum Einschalten muss nur disabled in enabled geändert werden.

Noch ein Nachtrag:

Mit folgendem Befehl kann man sich die aktuelle Konfiguration der Abwesenheitsnotiz ansehen:

Dabei habe ich mich von den angegebenen Start- und Endzeiten irritieren lassen, da diese gar nicht gesetzt wurden. Auch in Outlook wurden diese nicht aktiviert, sondern waren dort ausgegraut.

Bei einem Gegentest habe ich dann gesehen, dass diese Zeiten immer angegeben werden. Ob diese wirklich berücksichtigt werden entscheidet sich durch den AutoReplyState:

… bedeutet, dass die Zeiten berücksichtigt werden.

… bedeutet, dass die Abwesenheitsnotiz dauerhaft aktiv ist.

Makros per Gruppenrichtlinie deaktivieren

Zur Steigerung der Sicherheit sollte man die Ausführung unbekannter Makros in Office-Programmen unterbinden. Zuletzt wurde ein solches Makro für die Ransomware Goldeneye verwendet.

Um die Office-Programme über Gruppenrichtlinien konfigurieren zu können, benötigt man die entsprechenden ADMX-Templates um die nötigen Optionen im Gruppenrichtlinieneditor hinzuzufügen.

Eine schön sortierte Downloadmöglichkeit bietet folgende Seite: http://www.gruppenrichtlinien.de/artikel/hersteller-adm-templates-microsoft-google-und-adobe/

 

Als erstes eine Gruppenrichtlinie auf einem Domain Controller anlegen und für die Domänen-Benutzer aktivieren:

Da die für Office zu ändernden Einstellungen nur die Benutzer betreffen, können die Computerkonfigurationseinstellungen für diese GPO deaktiviert werden:

Für jedes Office-Programm müssen die Sicherheits-Einstellungen manuell bearbeitet werden. Im Fall von Excel navigiert man dazu unter der Benutzerkonfiguration zum Punkt Administrative Vorlagen > Microsoft Excel 2010 > Excel-Optionen > Sicherheit > Sicherheitscenter. Dort lässt sich über den Punkt „Einstellungen für VBA-Makrobenachrichtigungen“ das Verhalten steuern:

Den Punkt aktivieren und dann die gewünschte Option auswählen:

Bei dieser Auswahl können nur noch mit einem Zertifikat signierte Dateien mit Makros ausgeführt werden. Dazu in einem späteren Blogbeitrag mehr.

Nachdem die Gruppenrichtlinie aktiv ist und nach einem Neuanmelden durch die Benutzer aktualisiert wurde, können diese die Einstellung für Makros nicht mehr verändern:

Beim Versuch ein nicht signiertes Makro auszuführen kommt nun folgende Meldung:

Aus einem mir bisher nicht bekannten Grund ließen sich ein paar alte Excel-Dateien im Excel 97-2000-Format mit Makros trotzdem ausführen.