SBK 3 Geschrieben 24. Februar 2020 Melden Teilen Geschrieben 24. Februar 2020 Hallo Leute, Es dürfte bereits mehreren Admin wiederfahren sein, dass Sie die Makro per GPO abgeschaltet haben, um dann mit schrecken festzustellen, dass diese nur bei den Office 365 Version E3 und E5 greifen und nicht bei Premium Business Lizenzen. Siehe auch: https://www.heise.de/security/artikel/Microsoft-und-Emotet-Makroschutz-in-Office-365-nur-fuer-Konzerne-4664218.html Wir haben bei uns sowohl E3-Lizenzen wie auch Business Premium Lizenzen im Einsatz und die Makro-Einstellungen werden sowohl via GPO wie auch via Registrierungselement zugewiesen. Heute habe ich mal Testweise ein Text.docm per Mail verschickt und darin war das folgende Makro: Sub AutoOpen() MsgBox ("Wenn das der Virus gewesen wäre, wäre der PC nun infiziert!") End Sub Ich habe das Dokument auf unterschiedlichen PC's und Benutzer getestet und bei allen kam die Meldung beim öffnen, obwohl die Einstellung im Trustcenter auf Alle Makros ohne Benachrichtung deaktivieren gesetzt ist. Mache ich hier ein Überlegungsfehler? Gruss SBK Zitieren Link zu diesem Kommentar
mwiederkehr 373 Geschrieben 24. Februar 2020 Melden Teilen Geschrieben 24. Februar 2020 Habe es bei mir getestet. Einstellung war auf "Makros deaktiviert mit Benachrichtigung". Das Makro wurde erst ausgeführt, als ich es aktiviert habe. Danach umgestellt auf "Makros deaktiviert ohne Benachrichtigung". Dokument wieder geöffnet und das Makro wurde erneut ausgeführt. Dokument umbenannt => Makro wurde nicht mehr ausgeführt. Anscheinend speichert sich Word die Dokumente, bei denen Makros ausgeführt werden dürfen. Dies gilt dann auch noch, wenn man Makros deaktiviert. Hast Du das Dokument auf den Rechnern zuvor schon mal geöffnet gehabt? Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 24. Februar 2020 Melden Teilen Geschrieben 24. Februar 2020 vor 13 Minuten schrieb SBK: Es dürfte bereits mehreren Admin wiederfahren sein, dass Sie die Makro per GPO abgeschaltet haben, um dann mit schrecken festzustellen, dass diese nur bei den Office 365 Version E3 und E5 greifen und nicht bei Premium Business Lizenzen. Siehe auch: https://www.heise.de/security/artikel/Microsoft-und-Emotet-Makroschutz-in-Office-365-nur-fuer-Konzerne-4664218.html Ich hätte erwartet, dass diese Info bekannt ist. Auf einmal sind wieder alle aufgeschreckt. Seit C2R Versionen sind die Policies mal mehr oder weniger integriert und erst auf ziemlich massiven Druck der Kunden sind sie zumindest in den E-Plänen enthalten. Das war nämlich afair auch mal anders. Bye Norbert Zitieren Link zu diesem Kommentar
SBK 3 Geschrieben 24. Februar 2020 Autor Melden Teilen Geschrieben 24. Februar 2020 Danke mwiederkehr, genau das wars. Natürlich hatte ich das Dokument auf den anderen PC's bereits geöffnet und mit den Makros hantiert. Auf einem dritten PC's, hat es geklappt. Danke klappt demnach einwandfrei. Sorry für die Verwirrung. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 24. Februar 2020 Melden Teilen Geschrieben 24. Februar 2020 Moin, liegt die Datei an einem Speicherort, der zuvor als "vertrauenswürdig" deklariert wurde? Dann prüft Office erst gar nicht ... Zitat Dokumente an vertrauenswürdigen Speicherorten dürfen ausgeführt werden, ohne dass sie vom Sicherheitssystem des Trust Centers überprüft werden. Quelle: https://support.office.com/de-de/article/ändern-der-makrosicherheitseinstellungen-in-excel-a97c09d2-c082-46b8-b19f-e8621e8fe373 Kann ich hier auch nachstellen. Schalte ich auf "deaktivieren", kann ich xlsm-Dateien von einem Ordner öffnen (und Excel führt die Makros aus), den ich früher als vertrauenswürdig deklariert habe. Kopiere ich dieselbe Datei in einen lokalen Pfad, den ich für sowas noch nie genutzt habe, führt Excel die Makros nicht aus. Ohnehin muss man sagen, dass die heise-Meldung (wie so oft) von falschen Annahmen ausgeht, was den Umgang in Unternehmen angeht. Da wird i.d.R. viel mit Makros gearbeitet, aber selten signiert oder sowas. Daher schalten nur wenige Unternehmen Makros wirklich aus. Gruß, Nils Zitieren Link zu diesem Kommentar
SBK 3 Geschrieben 24. Februar 2020 Autor Melden Teilen Geschrieben 24. Februar 2020 (bearbeitet) Danke NilsK, die vertrauenswürdigen Speicherorten waren nicht die Ursache, da ich das Dokument direkt vom Outlook geöffnet hatte und dieses ja in einem temporären Speicherort landet. Aber ich hatte auf den getesteten PC's das Dokument bereits einmal geöffnet resp. mit dem Makro hantiert, das war die Ursache. Noch eine letzte Frage: Bei uns habe ich die Standarddateiablage \\Server\Datenshare als vertrauenswürdiger Speicherort hinzugefügt. Wenn nun aber ein Benutzer einen infizierten Anhang Bsp. test.docm dort ablegt und dann von dort direkt öffnet, nützen alle GPO- und Registry-Einstellungen nichts. Verwendet ihr bei euch überhaupt den vertrauenswürdigen Speicherort? Gruss SBK bearbeitet 24. Februar 2020 von SBK Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 24. Februar 2020 Melden Teilen Geschrieben 24. Februar 2020 Moin, das (der vertrauenswürdige Speicherort) scheint mir durchaus ein Element zu sein, das den Makroschutz fragwürdig macht. Wie immer bei Pfadregeln. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.