Office 2019 Dateien digital Signieren mit Zertifikat, um deren Ausführung freizugeben

[Chrischn73 0]

Hallo, in unserer WindowsServer2019 Domain werden VBA Scripte in Office, die nicht signiert sind geblockt.(über die GPO). Nun wollen einige Kollegen in Excel jedoch VBA Scripte erstellen, die dann im Unternehmen von diversen Personen, genutzt werden sollen. Die VBA Excel Dateien sollen überall genutzt werden können, also nicht nur in einem bestimmten Ordner.

 

Natürlich möchte ich die VBA auch nicht einfach wieder aktivieren, um dies zu ermöglichen.

 

Kann ich auf unserem Domänen Controller ein Zertifikat erstellen, mit dem ich dann die Excel Dateien unter "Extras/Digitale Signatur" signiere, so dass diese von unseren Mitarbeitern genutzt werden können ?

 

Oder muss man ein Zertifikat kaufen, mit dem man dieses dann lösen kann ?

 

Vielen Dank im Voraus für eure Hilfe

Chrischn

[NorbertFe 2.061]

vor 36 Minuten schrieb Chrischn73:

auf unserem Domänen Controller ein Zertifikat erstellen

Der DC hat damit nix zu tun. Du brauchst afaik ein codesigning certificate, welchem deine Clients vertrauen. Sinnvoll ist es, sich das nicht selbst zurechtzubasteln, sondern ggf. eins zu kaufen (Stichwort timestamping).

[Chrischn73 0]

Vielen Dank für deine Antwort, gibt es da Testversionen die ich zum Testen nehmen könnte ? Kannst du ein Beispiel nennen ? 

 

Ist dieser Anbieter eine gute Wahl ? ( Dort kann man 2 Wochen testen )

 

https://www.leaderssl.de/suppliers/comodo/products/code_signing?free_trial=true#product-table

 

 

[NorbertFe 2.061]

Nein ich kann kein Beispiel nennen. Probiers doch einfach aus. Wenns 2 Wochen möglich ist.

[cj_berlin 1.329]

Moin,

 

um das ein wenig aufzuräumen:

• Timestamping ist wichtig und richtig, hat aber nichts damit zu tun, wo das Signierungs-Zertifikat herkommt. Letzteres kann selbstsigniert, aus eigener PKI (vermutlich meint der TO das mit "auf dem DC"  ) oder gekauft sein. Das Vertrauen der Clients muss man so oder so herstellen.
• Wie man ein Zertifikat "testen" kann, ist relativ unklar - vermutlich bekommst Du ein Zertifikat, das zwei Wochen gültig ist. Da kannst Du auch gleich ein selbstsigniertes nehmen.
• Denkt daran: In Office kann man nach wie vor nicht sagen "nur Skripte mit Signatur von Anbieter X, Y und Z zulassen". D.h. wenn ihr signierte Makros generell zulasst, könnte ein Angreifer einfach ein Makro signieren, und das wäre zugelassen.

aus https://support.microsoft.com/en-gb/office/macros-in-office-files-12b036fd-d140-4e74-b45e-16fed1a7e5c6

[NorbertFe 2.061]

vor 15 Minuten schrieb cj_berlin:

Timestamping ist wichtig und richtig, hat aber nichts damit zu tun, wo das Signierungs-Zertifikat herkommt.

Richtig, aber die Windows Eigene CA Möglichkeiten haben eben keins, zumindest keins, das mir bekannt ist. Und wenn man dann nach 2 Jahren feststellt, dass alle Skripte/Makros nicht mehr gehen, sollte man sich vorher darüber klar sein, dass man eben darauf achten muss. ;)

[cj_berlin 1.329]

vor 1 Minute schrieb NorbertFe:

Richtig, aber die Windows Eigene CA Möglichkeiten haben eben keins, zumindest keins, das mir bekannt ist. Und wenn man dann nach 2 Jahren feststellt, dass alle Skripte/Makros nicht mehr gehen, sollte man sich vorher darüber klar sein, dass man eben darauf achten muss. ;)

Aber die TSA hat doch nichts mit CA zu tun. Ich kenne auch niemanden, der eine TSA selber betreibt, ob die CA nun von Microsoft ist oder von anderen.

[NorbertFe 2.061]

Gerade eben schrieb cj_berlin:

Aber die TSA hat doch nichts mit CA zu tun. Ich kenne auch niemanden, der eine TSA selber betreibt, ob die CA nun von Microsoft ist oder von anderen.

Nein hat sie nicht, aber welcher Prozess bei internem Windows Zertifikatsenrollment bietet denn TSA an? Und genau aus dem Grund würde ich ggf. einfach eins kaufen, da ist das automatisch drin. ;)

[NilsK 2.957]

Moin,

 

nicht ganz. Einen Timestamp muss man ohnehin von extern einbinden. Grundsätzlich geht das auch mit einem selbsterzeugten Zertifikat, sofern man Zugriff auf einen akzeptierten Timestamp-Server hat. Ob es da allerdings welche gibt, die das kostenlos zulassen, weiß ich nicht. In sofern ist ein kommerzielles Zertifikat schon eine gute Wahl, sobald das einigermaßen Bestand haben soll.

 

[Best Practices for Timestamping | DigiCert.com]
https://www.digicert.com/blog/best-practices-timestamping 

 

[Code Signing Certificate FAQs]
https://knowledge.digicert.com/generalinformation/INFO1119.html 
 

Zitat

aber welcher Prozess bei internem Windows Zertifikatsenrollment bietet denn TSA an?

 

Keiner. Das hat mit dem Zertifikat und mit der CA nichts zu tun. Das ist ein Vorgang beim Signieren des Codes.

 

Zum Testen braucht man weder ein kommerzielles Zertifikat noch ein Timestamping. Da geht es dann ja eher darum, die generellen Abläufe kennenzulernen. Das ist auch sehr empfehlenswert, denn wie immer bei dem Thema entsteht das Problem durch die Handhabung der Zertifikate, nicht durch die Zertifikate selbst.

 

Gruß, Nils

 

bearbeitet 23. Februar 2022 von NilsK

[NorbertFe 2.061]

vor 3 Minuten schrieb NilsK:

nicht ganz. Einen Timestamp muss man ohnehin von extern einbinden. Grundsätzlich geht das auch mit einem selbsterzeugten Zertifikat, sofern man Zugriff auf einen akzeptierten Timestamp-Server hat.

Das ist mir klar. Aber welcher Prozess beim Anfordern eines Zertifikats von einer Windows CA kann das leisten? :) Wäre mir spontan keiner bekannt, was nicht heißt, dass es nicht geht. Lange Rede kurzer Sinn, bei codesigning an Timestamping denken und nicht einfach mit eigenen Zertifikaten anfangen. :)

[NilsK 2.957]

Moin,

 

vor 53 Minuten schrieb NorbertFe:

Aber welcher Prozess beim Anfordern eines Zertifikats von einer Windows CA kann das leisten?

gar keiner, sag ich doch. Weil das kein Prozess ist, der mit dem Zertifikat zu tun hat. Der Vorgang findet beim Signieren des Codes statt, ist also typischerweise eine Leistung des IDEs oder eines separaten Tools. Die CA hat damit so wenig zu tun wie das Zertifikat.

 

Ein Vorteil durch ein kommerzielles Zertifikat entsteht aus meiner Sicht vor allem dadurch, dass das Zertifikat dann auch außerhalb anerkannt wird und dass, falls der Timestamp eine kostenpflichtige Leistung ist, dann ggf. schon eine Vertragsbeziehung zu dem Anbieter besteht. Es kann aber auch sein, dass der Timestamp gar nichts kostet - ich hab das selbst nur ein einziges Mal vor vielen Jahren gemacht, und da hatte ich ein Digicert-Zertifikat, war dort also ohnehin Kunde.

 

Gruß, Nils

 

[cj_berlin 1.329]

vor 47 Minuten schrieb NilsK:

falls der Timestamp eine kostenpflichtige Leistung ist

 

Siehe https://gist.github.com/Manouchehri/fd754e402d98430243455713efada710  

[NorbertFe 2.061]

vor 2 Stunden schrieb NilsK:

gar keiner, sag ich doch. Weil das kein Prozess ist, der mit dem Zertifikat zu tun hat. Der Vorgang findet beim Signieren des Codes statt, ist also typischerweise eine Leistung des IDEs oder eines separaten Tools. Die CA hat damit so wenig zu tun wie das Zertifikat.

Ah jetzt :) danke ich war grad "in Gedanken" an der Falschen Stelle. :) Kopf--->Tisch. :)

 

[NilsK 2.957]

Moin,

 

Nana, deshalb musst du dir ja nicht den Kopf zerbrechen.

 

Gets, Nils

[BOfH_666 577]

vor 3 Stunden schrieb NilsK:

Nana, deshalb musst du dir ja nicht den Kopf zerbrechen.

 

Wieso Kopf? ... Er zerbricht damit natürlich den Tisch!!