Jump to content

Office Dokumente mit Makros per GPO sperren - außer in vertrauenswürdigen Speicherorte


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

ich würde gerne in Anbetracht der aktuellen Bedrohung durch bösartige Makros in Office Dokumenten das Öffnen dieser Dateien via Gruppenrichtlinie verbieten.

Das funktioniert auch generell, nur gibt es jetzt plötzlich doch Mitarbeiter die "Makroaktivierte Arbeitsmappen und Vorlagen im Format Excel 2007 und später" nutzen müssen.

Also würde ich gerne Pfade auf Fileshares mitgeben, in denen Ausnahmen gelten. Per "Vertrauenswürdige Speicherorte im Netzwerk zulassen" habe ich das aktiviert und "Vertrauenswürdiger Speicherort Nr. 1" konfiguriert. Nun klappt in diesem Verzeichnis das Öffnen der Dateien problemlos, das Speichern hingegen ist aber nicht möglich. Beim Versuch dessen bringt Excel die Fehlermeldung

 

1.    Klicken Sie auf die Registerkarte Datei.
2.    Klicken Sie auf Optionen.
3.    Klicken Sie auf Trust Center, und klicken Sie anschließend auf Einstellungen für das Trust Center.
4.    Klicken Sie im Trust Center auf Einstellungen für den Zugriffsschutz.

 

Somit lande ich aber wieder beim generellen Erlauben oder Verbieten dieses Dateityps. Hier finde ich keine Option, die das Öffnen / Speichern pauschal verbietet, aber nicht bei vertrauenswürdigen Speicherorten greift.

 

Kann mir hier jemand einen Tipp geben?

Sorry, falls die Übermittlung meiner aktuellen GPO Konfiguration schwer nachzuvollziehen ist. Wenn mir jemand sagt wie ich das besser darstellen kann, mache ich das gerne.

 

Danke im Vorraus und Grüße!

Link zu diesem Kommentar

im Zweifelsfall ist der User hier sehr kreativ und speichert den E-Mail Anhang mit dem Shadcode eben auch im vertrauenswürdigen Ort ab und öffnet ihn dann ;)

Sinnvoller wäre es vermutlich, die Makros entsprechend zu signieren und dann nur signierte Makros zuzulassen.

 

Das ist generell ein guter Hinweis. Aber aktuell ist geplant, das diese Ausnahmen nur auf ganz wenige Speicherorte aktiviert werden soll. An diesen Speicherorten haben nur wenige Personen Zugriffsrechte, die werden entsprechend instruiert, dort keine Dateien aus Mails abzulegen wenn die Herkunft nicht absolut sicher ist (ggf. vorige Prüfung durch einen Administrator).

Das mit den signierten Markos ist sicherlich die beste Lösung, das lässt sich aber auf die schnelle nicht realisieren.

Hast Du in der Hinsicht einiges konfiguriert und kannst bei meiner geschilderten Problemstellung helfen?

 

Grüße

Link zu diesem Kommentar

Wenn man bereits eine PKI hat, wäre die Signierung kein großer Akt, ansonsten braucht man erst mal ne PKI, die schüttelt man aber nicht "gschwind" aus dem Ärmel ;-)

 

Ein m.E. wichtiger Bestandteil beim aktuellen Ransomware-Thema wäre aus meiner Sicht: Diese Verschlüsselungstrojaner holen sich mit dem Script/Macro per xmlhttp-Request die eig. Exe, mit der dann verschlüsselt wird. Die Firewall sollte einen http-Download von ausführbaren Dateien m.E. nicht zulassen!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...