Zur Steigerung der Sicherheit sollte man die Ausführung unbekannter Makros in Office-Programmen unterbinden. Zuletzt wurde ein solches Makro für die Ransomware Goldeneye verwendet.
Um die Office-Programme über Gruppenrichtlinien konfigurieren zu können, benötigt man die entsprechenden ADMX-Templates um die nötigen Optionen im Gruppenrichtlinieneditor hinzuzufügen.
Eine schön sortierte Downloadmöglichkeit bietet folgende Seite: https://www.gruppenrichtlinien.de/artikel/hersteller-adm-templates-microsoft-google-und-adobe/
Als erstes eine Gruppenrichtlinie auf einem Domain Controller anlegen und für die Domänen-Benutzer aktivieren:
Da die für Office zu ändernden Einstellungen nur die Benutzer betreffen, können die Computerkonfigurationseinstellungen für diese GPO deaktiviert werden:
Für jedes Office-Programm müssen die Sicherheits-Einstellungen manuell bearbeitet werden. Im Fall von Excel navigiert man dazu unter der Benutzerkonfiguration zum Punkt Administrative Vorlagen > Microsoft Excel 2010 > Excel-Optionen > Sicherheit > Sicherheitscenter. Dort lässt sich über den Punkt „Einstellungen für VBA-Makrobenachrichtigungen“ das Verhalten steuern:
W E R B U N G
Den Punkt aktivieren und dann die gewünschte Option auswählen:
Bei dieser Auswahl können nur noch mit einem Zertifikat signierte Dateien mit Makros ausgeführt werden. Dazu in einem späteren Blogbeitrag mehr.
Nachdem die Gruppenrichtlinie aktiv ist und nach einem Neuanmelden durch die Benutzer aktualisiert wurde, können diese die Einstellung für Makros nicht mehr verändern:
Beim Versuch ein nicht signiertes Makro auszuführen kommt nun folgende Meldung:
Aus einem mir bisher nicht bekannten Grund ließen sich ein paar alte Excel-Dateien im Excel 97-2000-Format mit Makros trotzdem ausführen.