Jump to content

Makros abgeschaltet per GPO -> Office 365


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

Es dürfte bereits mehreren Admin wiederfahren sein, dass Sie die Makro per GPO abgeschaltet haben, um dann mit schrecken festzustellen, dass diese nur bei den Office 365 Version E3 und E5 greifen und nicht bei Premium Business Lizenzen. Siehe auch: https://www.heise.de/security/artikel/Microsoft-und-Emotet-Makroschutz-in-Office-365-nur-fuer-Konzerne-4664218.html

 

Wir haben bei uns sowohl E3-Lizenzen wie auch Business Premium Lizenzen im Einsatz und die Makro-Einstellungen werden sowohl via GPO wie auch via Registrierungselement zugewiesen.

 

Heute habe ich mal Testweise ein Text.docm per Mail verschickt und darin war das folgende Makro:

 

Sub AutoOpen()
    MsgBox ("Wenn das der Virus gewesen wäre, wäre der PC nun infiziert!")
End Sub

 

Ich habe das Dokument auf unterschiedlichen PC's und Benutzer getestet und bei allen kam die Meldung beim öffnen, obwohl die Einstellung im Trustcenter auf Alle Makros ohne Benachrichtung deaktivieren gesetzt ist.

 

Mache ich hier ein Überlegungsfehler?

 

Gruss SBK

Link zu diesem Kommentar

Habe es bei mir getestet. Einstellung war auf "Makros deaktiviert mit Benachrichtigung". Das Makro wurde erst ausgeführt, als ich es aktiviert habe. Danach umgestellt auf "Makros deaktiviert ohne Benachrichtigung". Dokument wieder geöffnet und das Makro wurde erneut ausgeführt. Dokument umbenannt => Makro wurde nicht mehr ausgeführt. Anscheinend speichert sich Word die Dokumente, bei denen Makros ausgeführt werden dürfen. Dies gilt dann auch noch, wenn man Makros deaktiviert.

 

Hast Du das Dokument auf den Rechnern zuvor schon mal geöffnet gehabt?

Link zu diesem Kommentar
vor 13 Minuten schrieb SBK:

Es dürfte bereits mehreren Admin wiederfahren sein, dass Sie die Makro per GPO abgeschaltet haben, um dann mit schrecken festzustellen, dass diese nur bei den Office 365 Version E3 und E5 greifen und nicht bei Premium Business Lizenzen. Siehe auch: https://www.heise.de/security/artikel/Microsoft-und-Emotet-Makroschutz-in-Office-365-nur-fuer-Konzerne-4664218.html

Ich hätte erwartet, dass diese Info bekannt ist. Auf einmal sind wieder alle aufgeschreckt. Seit C2R Versionen sind die Policies mal mehr oder weniger integriert und erst auf ziemlich massiven Druck der Kunden sind sie zumindest in den E-Plänen enthalten. Das war nämlich afair auch mal anders.


Bye

Norbert 

Link zu diesem Kommentar

Moin,

 

liegt die Datei an einem Speicherort, der zuvor als "vertrauenswürdig" deklariert wurde? Dann prüft Office erst gar nicht ...

 

Zitat

Dokumente an vertrauenswürdigen Speicherorten dürfen ausgeführt werden, ohne dass sie vom Sicherheitssystem des Trust Centers überprüft werden.

Quelle: https://support.office.com/de-de/article/ändern-der-makrosicherheitseinstellungen-in-excel-a97c09d2-c082-46b8-b19f-e8621e8fe373

 

Kann ich hier auch nachstellen. Schalte ich auf "deaktivieren", kann ich xlsm-Dateien von einem Ordner öffnen (und Excel führt die Makros aus), den ich früher als vertrauenswürdig deklariert habe. Kopiere ich dieselbe Datei in einen lokalen Pfad, den ich für sowas noch nie genutzt habe, führt Excel die Makros nicht aus.

 

Ohnehin muss man sagen, dass die heise-Meldung (wie so oft) von falschen Annahmen ausgeht, was den Umgang in Unternehmen angeht. Da wird i.d.R. viel mit Makros gearbeitet, aber selten signiert oder sowas. Daher schalten nur wenige Unternehmen Makros wirklich aus.

 

Gruß, Nils

 

Link zu diesem Kommentar

Danke NilsK, die vertrauenswürdigen Speicherorten waren nicht die Ursache, da ich das Dokument direkt vom Outlook geöffnet hatte und dieses ja in einem temporären Speicherort landet. Aber ich hatte auf den getesteten PC's das Dokument bereits einmal geöffnet resp. mit dem Makro hantiert, das war die Ursache.

 

Noch eine letzte Frage: Bei uns habe ich die Standarddateiablage \\Server\Datenshare als vertrauenswürdiger Speicherort hinzugefügt. Wenn nun aber ein Benutzer einen infizierten Anhang Bsp. test.docm dort ablegt und dann von dort direkt öffnet, nützen alle GPO- und Registry-Einstellungen nichts. Verwendet ihr bei euch überhaupt den vertrauenswürdigen Speicherort?

 

Gruss SBK

bearbeitet von SBK
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...