Jump to content

VBA Scripte per GPO verhindern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo liebe Kollegen,

gibt es eine Möglichkeit, die Ausführung von VBA Sripten in Office-Dateien per Gruppenrichtlinie zu verhindern?

Ein Schlaubi-Sclumpf in der Firma wollte sich die "Arbeit erleichtern" und hat per Excel-Script eine Sicherheitslücke geschaffen.

Das Script ist zwar harmlos aber ein "fleißiger Mitarbeiter" könnte auf diese Art brisante Daten per VBA manipulieren bzw. an die Konkurrenz mailen.

 

mfg

Fred

Link zu diesem Kommentar

Wie sollte eine unzugelassene exe-Datei ausgeführt werden?

Die derzeit installierten Anwendungen sind erlaubt und sobald ein Benutzer einen USB-Stick einsteckt, schaltet sich der PC aus. Emails kann niemand an seinem Arbeitsplatz empfangen.

Aber das VBA-Problem habe ich eben bisher nicht beachtet.

In meiner Betriebsumgebung (Callcenter) stellt das Scripting eine massive Sicherheitslücke dar.

Excel muss aber auf jedem Arbeitsplatz zur Verfügung stehen (wer auch immer sich diesen ****sinn augedacht hat)

Wenn das wirklich nicht per GPO gehen sollte, schaue ich mir noch mal genau das Office-Setup an. Vielleicht läßt sich dort VBA deinstallieren.

Link zu diesem Kommentar

Die Mitarbeiter haben jeweils einen "persönlichen Ordner" auf einer Netzwerk-Freigabe. Dort können sie Text-Dateien mit ständig wiederkehrenden Phrasen für das CRM speichern, die sie dann per Copy and Paste in der "Kundenmeinung" verwenden.

Es gibt auch eine Versprecherliste und was sonst noch alles. Voll lustig, womit sich die Agents den ganzen Tag beschäftigen. Die nehmen sogar Word-Dateien zum Chatten her, weil sie keinen Internet-Zugang haben. Das ist mir auch völlig egal, Etwas Spaß am Arbeitsplatz verbessert die "Kampfmoral".

 

Wenn es mal schnell, schnell gehen muß, schickt ein Auftraggeber seine Kundendaten als Excel-Datei. Die Ergebnisse der Befragung werden dann in eine Spalte XYZ eingetragen und die Datei geht an den Auftraggeber zurück (deshalb Excel auf jedem Arbeitsplatz).

 

Besagtrer Schlaubi-Schlumpf ist ein Leiharbeiter, dem ich nicht über den Weg traue.

 

Ich bin etwas vorgeschädigt im Bereich Datenklau. Vor einigen Jahren hat ein "fleißiger Mitarbeiter" streng geheime Unterlagen aus der Konstuktionsabteilung eines Automobil-Zulieferers per Scripting verschwinden lassen (ein buhhhhh an Auto-CAD).

 

Das Stammpersonal der Firma kenne ich sehr gut. Nur die neuerdings eingestellten Leiharbeiter bereiten mir Kopfschmerzen.

Ich muss unbedingt die Ausführung von VBS als normaler Benutzer eines XP-Arbeisplatzes verhindern.

Link zu diesem Kommentar

Moin,

 

von welcher Office-Version reden wir?

Es sollte möglich sein, die Ausführung von Makros per GPO zu verhindern.

 

Darüber hinaus hat jaksa aber Rech: Das Problem sind nicht Skripte und Makros, denn die können auch nur tun, was der Benutzer kann. Wenn eine Gefahr besteht, dann liegt die in einem unpassenden Berechtigungskonzept begründet.

 

Gruß, Nils

Link zu diesem Kommentar

Moin,

 

Es sollte doch auch möglich sein, dass nur signierter VBA-Code ausgeführt wird.

 

ja, auch das. Das hat aber Folgen ... unter anderem muss man den Code dann mit einem gültigen Zertifikat signieren.

 

Im Fall des TO sollte das allgemeine Blocken von Makros einfacher sein. Man könnte das per GPO ja auch aufs Callcenter einschränken.

 

Gruß, Nils

Link zu diesem Kommentar

Hallo Kollegen,

ich freue mich über die heiße Diskussion zu diesem Thema.

Es ist Office XP auf den Arbeitsplätzen im Einsatz.

Aufgrund einer Dummschwätzer-Firma sind viele Daten in Access-Datenbanken verteilt.

Alle Programm-Einstellungen werden als Klartext in ini-Dateien geschrieben. Selbst Email-Kontoname und Kennwort sind für jeden Benutzer als Klartext lesbar.

Die Benutzer benötigen aber Schreib- und Leseberechtigungen für die jeweilige Netzwerkfreigabe

Der entsprechende Software-Anbieter ist in absehbarer Zeit (oder besser gesagt: Niee) nicht in der Lage, sein Programm auf SQL, MySQL, Oracle oder was auch immer für einen Datenbank-Server umzusetzen. Von Verschlüsselung der sicherheitsrelevanten Daten ganz zu schweigen.

Nur signierte Scripte zulassen wäre ein guter Ansatz. In der Firma ist ein Zertifikatsserver installiert und somit wäre es möglich, nur Scripte auszuführen, die von dieser Instanz signiert wurden.

Damit wäre das Thema Office-Scripte eventuell in den Griff zu bekommen.

Letzte Nacht habe ich mir die ganze Situation noch einmal genau durch den Kopf gehen lassen.

Schlaubi schreibt zu Hause ein VB-Script und druckt dieses aus. In der Firma erstellt er eine Text-Datei, schreibt das Script von dem Papier ab und benennt anschließend die Datei xyz.txt in xyz.vbs um, und startet das Script.

Ich darf gar nicht an diesen Horror denken....

So langsam wird mir klar, warum mir diese Firma den "Schwarzen Peter" im Bereich Datenschutz zuschieben will.

Kein normaler Mensch auf dieser Welt würde für diese Schrott-Software seinen Kopf riskieren.

Ich werde dem Geschäftsführer ein Schreiben mit allen Sicherheitslücken in seiner Firma vorlegen und dann die Tür von außen schließen.

Wenn irgendwie mehrere Millionen Kundendaten auf dem Schwarzmarkt erscheinen, will ich nicht dafür verantwortlich sein.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...