VBA Scripte per GPO verhindern

[freddy64 10]

Hallo liebe Kollegen,

gibt es eine Möglichkeit, die Ausführung von VBA Sripten in Office-Dateien per Gruppenrichtlinie zu verhindern?

Ein Schlaubi-Sclumpf in der Firma wollte sich die "Arbeit erleichtern" und hat per Excel-Script eine Sicherheitslücke geschaffen.

Das Script ist zwar harmlos aber ein "fleißiger Mitarbeiter" könnte auf diese Art brisante Daten per VBA manipulieren bzw. an die Konkurrenz mailen.

 

mfg

Fred

[jaksa 10]

Hallo Freddy,

in meinen Augen ist das der falsche Ansatz. Was kommt als nächstes? Sperren aller EXE Dateien?

Ich kann Dir leider keinen Rat geben, da ich Deine Umgebung nicht kenne, aber solche Sperren erwecken eher den Sportsgeist bei den betroffenen "fleißigen Mitarbeiter"

[freddy64 10]

Wie sollte eine unzugelassene exe-Datei ausgeführt werden?

Die derzeit installierten Anwendungen sind erlaubt und sobald ein Benutzer einen USB-Stick einsteckt, schaltet sich der PC aus. Emails kann niemand an seinem Arbeitsplatz empfangen.

Aber das VBA-Problem habe ich eben bisher nicht beachtet.

In meiner Betriebsumgebung (Callcenter) stellt das Scripting eine massive Sicherheitslücke dar.

Excel muss aber auf jedem Arbeitsplatz zur Verfügung stehen (wer auch immer sich diesen ****sinn augedacht hat)

Wenn das wirklich nicht per GPO gehen sollte, schaue ich mir noch mal genau das Office-Setup an. Vielleicht läßt sich dort VBA deinstallieren.

[jaksa 10]

Das Script ist zwar harmlos aber ein "fleißiger Mitarbeiter" könnte auf diese Art brisante Daten per VBA manipulieren bzw. an die Konkurrenz mailen.

 

Wieso hat der "fleißiger Mitarbeiter" dann überhaupt Zugriff auf die Datei wenn er die nicht manipulieren / lesen darf?

[freddy64 10]

Die Mitarbeiter haben jeweils einen "persönlichen Ordner" auf einer Netzwerk-Freigabe. Dort können sie Text-Dateien mit ständig wiederkehrenden Phrasen für das CRM speichern, die sie dann per Copy and Paste in der "Kundenmeinung" verwenden.

Es gibt auch eine Versprecherliste und was sonst noch alles. Voll lustig, womit sich die Agents den ganzen Tag beschäftigen. Die nehmen sogar Word-Dateien zum Chatten her, weil sie keinen Internet-Zugang haben. Das ist mir auch völlig egal, Etwas Spaß am Arbeitsplatz verbessert die "Kampfmoral".

 

Wenn es mal schnell, schnell gehen muß, schickt ein Auftraggeber seine Kundendaten als Excel-Datei. Die Ergebnisse der Befragung werden dann in eine Spalte XYZ eingetragen und die Datei geht an den Auftraggeber zurück (deshalb Excel auf jedem Arbeitsplatz).

 

Besagtrer Schlaubi-Schlumpf ist ein Leiharbeiter, dem ich nicht über den Weg traue.

 

Ich bin etwas vorgeschädigt im Bereich Datenklau. Vor einigen Jahren hat ein "fleißiger Mitarbeiter" streng geheime Unterlagen aus der Konstuktionsabteilung eines Automobil-Zulieferers per Scripting verschwinden lassen (ein buhhhhh an Auto-CAD).

 

Das Stammpersonal der Firma kenne ich sehr gut. Nur die neuerdings eingestellten Leiharbeiter bereiten mir Kopfschmerzen.

Ich muss unbedingt die Ausführung von VBS als normaler Benutzer eines XP-Arbeisplatzes verhindern.

[NilsK 2.934]

Moin,

 

von welcher Office-Version reden wir?

Es sollte möglich sein, die Ausführung von Makros per GPO zu verhindern.

 

Darüber hinaus hat jaksa aber Rech: Das Problem sind nicht Skripte und Makros, denn die können auch nur tun, was der Benutzer kann. Wenn eine Gefahr besteht, dann liegt die in einem unpassenden Berechtigungskonzept begründet.

 

Gruß, Nils

[blub 115]

Es sollte doch auch möglich sein, dass nur signierter VBA-Code ausgeführt wird.

[NilsK 2.934]

Moin,

 

Es sollte doch auch möglich sein, dass nur signierter VBA-Code ausgeführt wird.

 

ja, auch das. Das hat aber Folgen ... unter anderem muss man den Code dann mit einem gültigen Zertifikat signieren.

 

Im Fall des TO sollte das allgemeine Blocken von Makros einfacher sein. Man könnte das per GPO ja auch aufs Callcenter einschränken.

 

Gruß, Nils

[freddy64 10]

Hallo Kollegen,

ich freue mich über die heiße Diskussion zu diesem Thema.

Es ist Office XP auf den Arbeitsplätzen im Einsatz.

Aufgrund einer Dummschwätzer-Firma sind viele Daten in Access-Datenbanken verteilt.

Alle Programm-Einstellungen werden als Klartext in ini-Dateien geschrieben. Selbst Email-Kontoname und Kennwort sind für jeden Benutzer als Klartext lesbar.

Die Benutzer benötigen aber Schreib- und Leseberechtigungen für die jeweilige Netzwerkfreigabe

Der entsprechende Software-Anbieter ist in absehbarer Zeit (oder besser gesagt: Niee) nicht in der Lage, sein Programm auf SQL, MySQL, Oracle oder was auch immer für einen Datenbank-Server umzusetzen. Von Verschlüsselung der sicherheitsrelevanten Daten ganz zu schweigen.

Nur signierte Scripte zulassen wäre ein guter Ansatz. In der Firma ist ein Zertifikatsserver installiert und somit wäre es möglich, nur Scripte auszuführen, die von dieser Instanz signiert wurden.

Damit wäre das Thema Office-Scripte eventuell in den Griff zu bekommen.

Letzte Nacht habe ich mir die ganze Situation noch einmal genau durch den Kopf gehen lassen.

Schlaubi schreibt zu Hause ein VB-Script und druckt dieses aus. In der Firma erstellt er eine Text-Datei, schreibt das Script von dem Papier ab und benennt anschließend die Datei xyz.txt in xyz.vbs um, und startet das Script.

Ich darf gar nicht an diesen Horror denken....

So langsam wird mir klar, warum mir diese Firma den "Schwarzen Peter" im Bereich Datenschutz zuschieben will.

Kein normaler Mensch auf dieser Welt würde für diese Schrott-Software seinen Kopf riskieren.

Ich werde dem Geschäftsführer ein Schreiben mit allen Sicherheitslücken in seiner Firma vorlegen und dann die Tür von außen schließen.

Wenn irgendwie mehrere Millionen Kundendaten auf dem Schwarzmarkt erscheinen, will ich nicht dafür verantwortlich sein.

[Sunny61 806]

So langsam wird mir klar, warum mir diese Firma den "Schwarzen Peter" im Bereich Datenschutz zuschieben will.

 

Frag doch mal nach dem Datenschutzbeauftragten. Den muß heutzutage so ziemlich jede Firma schon haben.