mroth 1 Geschrieben 27. Oktober 2022 Melden Teilen Geschrieben 27. Oktober 2022 Hallo, wir haben das Problem, dass wir Makro-Enabled Excel-Dateien von einem Kunden nicht mittels Defender-Management bei der Attack Surface Reduction ausgeschlossen bekommen. Diese liegen auf einem UNC-Pfad: \\unternehmen.local\dfs_name\QS\Kunde\2022\22304-01\Doc_PP_968774301_mit_Makro_300270257.xls ASR-Regel: Block Win32 API calls from Office macros Yes (ist aktiviert) Wenn wir nun Pfadausnahmen einpflegen z.B: \\unternehmen.local\data\QS\Kunde\ \\unternehmen.local\data\QS\Kunde\*\ \\unternehmen.local\data\QS\Kunde\*\*\ Hat dies jedoch keine Auswirkung, da die Dateien in einem lokalen Cache ausgeführt werden. Die Ausführung aus dem lokalen Pfad wird dann wegen der ASR-Regel unterbunden. z.B. C:\Users\Benutzer.DOMAIN\AppData\Local\Microsoft\Windows\INetCache\Content.MSO\D22495CB.xls Da die Regel praktisch unwirksam würde, wenn der komplette lokale Cache-Pfad ausgenommen wird, stellt dies keine Option dar. Wir können leider auch keine Mustererkennung in den Dateinamen vornehmen, da die Cache-Dateinamen generiert werden. Hat jemand eine praktikable Idee, wie wir diverse Office-Dokumente mit Makros nutzen können, ohne die Win32-API-ASR-Regel zu deaktivieren? Kann man evtl. in MS-Office den Cache für Netzwerkpfade deaktivieren, sodass wieder mit (UNC)-Pfadausnahmen gearbeitet werden kann? Zitieren Link zu diesem Kommentar
kixefo 0 Geschrieben 8. November Melden Teilen Geschrieben 8. November (bearbeitet) Bin gerade auf das Thema gestoßen , leider ohne Reply auf diesen Post. Ich habe das gleiche Problem. ASR Regel ausschalten würde ich ungerne, den Temp Ordner komplett ausschließen kommt für mich auch nicht in Frage. Gibt es eine technische Möglichkeit einzustellen, dass der Temp Pfad nicht genutzt wird für diese kryptischen Cache Dateien? Bei uns passiert das mit .pptm Files anstelle der xlsx Dateien, aber in selbigem Pfad (lustigerweise auch nicht auf allen Clients, daher verstehe ich das Verhalten nicht mal richtig... Bei ein paar Clients, die identisch konfiguriert sind, hat die Win32 API ASR Exclusion via Intune für den UNC Pfad ausgereicht, bei den anderen Clients wie gesagt nicht, da zstl. der Local AppData Cache ins Spiel gekommen ist - für selbige Dateien, auf die zugegriffen wird ) bearbeitet 8. November von kixefo Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 8. November Melden Teilen Geschrieben 8. November Hi, wir konnten das Problem umgehen, indem wir die Datei bei dem entsprechenden Benutzer auf den Desktop kopiert hatten. Das ist keine generelle Lösung, das versteht sich. Für eigens geschriebene unsignierte Anwendungen, geben wir den Anwendungshash frei. Eine Lösung kann ich hier nicht anbieten, jedoch möglicherweise einen kleinen Workaround. VG, Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.