wachiwit - stock.adobe.com
Gruppenrichtlinien in Office und Microsoft 365 konfigurieren
Unternehmen, die Microsoft Office oder Microsoft 365 einsetzen, können mit Gruppenrichtlinien die Sicherheit deutlich verbessern, etwa im Bereich Makros. Wir zeigen, wie das geht.
Unternehmen und Anwender, die auf Microsoft 365 oder Microsoft Office setzen, können die einzelnen Programme im Office-Paket zuverlässig absichern. Dazu stehen Bordmittel und Gruppenrichtlinien zur Verfügung.
Generell werden Microsoft Office und die Microsoft 365 Apps über die Klick-und-Los-Installation bereitgestellt. Das Programm lässt keine Einstellungen zu und installiert Office mit einem Klick. Um die Installation anzupassen, zum Beispiel um verschiedene Programme nicht zu installieren, kann diese Installation im Vorfeld angepasst werden.
Microsoft bietet dazu das Office Deployment Tool an. Mit diesem lassen sich Office-Installationen anpassen. Bestandteil des Tools sind die beiden Dateien configuration.xml und setup.exe. Mit der Datei configuration.xml wird die Installation gesteuert.
Das Office Deployment Tool bietet eine XML-Datei, mit der gesteuert wird, wie Office installiert werden soll. Auch die Aktivierung und die Angabe des Produktschlüssels kann hier vorgenommen werden. Das Installationsprogramm von Microsoft Office kann auch Installationsdateien herunterladen und zur Installation verwenden. Dazu werden folgende Befehle genutzt:
setup.exe /download configuration.xmlNach dem Download wird Office so installiert, wie in der Konfigurationsdatei gesteuert wird:
setup /configure configuration.xmlEin Beispiel für eine Konfiguration sieht folgendermaßen aus:
<Configuration>
<Add SourcePath="D:\Temp\off2019\" OfficeClientEdition="32" Channel=" PerpetualVL2019">
<Product ID="ProPlus2019Volume">
<Language ID="en-us" />
<Language ID="de-de" />
</Product>
<Product ID="ProofingTools">
<Language ID="de-de" />
</Product>
</Add>
<Logging Level="Debug" Path="D:\Temp\Office2019x32" />
<RemoveMSI All="True" />
<Display Level="None" AcceptEULA="TRUE" />
</Configuration>Microsoft geht auf der Seite Bereitstellen von Office 2019 (für IT-Experten) ausführlicher auf das Thema ein.
Gruppenrichtlinien für Microsoft Office und Microsoft 365
Microsoft stellt zur Absicherung von Microsoft Office auf der Seite Administrative Template files (ADMX/ADML) and Office Customization Tool for Office 365 ProPlus, Office 2019, and Office 2016 Gruppenrichtlinienvorlagen bereit, mit denen Office per Gruppenrichtlinien abgesichert werden kann. Die ADMX-Dateien sind für Office LTSC 2021, Office 2019 und für Office 2016 verfügbar.
Nach dem Download werden die ADMX-Dateien in das Verzeichnis C:\PolicyDefinitions auf den Domänencontrollern im Netzwerk gespeichert. Die ADML-Dateien der Richtlinien in das entsprechende Sprachverzeichnis in C:\PolicyDefinitions, zum Beispiel in das Verzeichnis de-de.
Innerhalb der Richtlinie sind die Einstellungen von Office über Computerkonfiguration/Richtlinien/Administrative Vorlagen und Benutzerkonfiguration/Richtlinien/Administrative Vorlagen zu finden. Hier stehen die verschiedenen Einstellungen zur automatischen Konfiguration von Office zur Verfügung.
Über die Gruppenrichtlinien werden auch Sicherheitseinstellungen für die verschiedenen Office-Programme gesetzt. Hier spielt vor allem die Steuerung von Updates eine wichtige Rolle. Diese wird über Computerkonfiguration/Richtlinien/Administrative Vorlagen/Aktualisierungen festgelegt.
Die generelle Aktualisierung von Office über Windows-Update wird mit Automatische Updates aktivieren gesteuert. Zusätzlich kann mit Option zum Aktivieren oder Deaktivieren von Updates ausblenden sowie Updatebenachrichtigungen ausblenden festgelegt werden, dass Anwender nicht eingreifen können. Weitere Einstellungen wie das Konfigurieren von Update-Zweigen sind optional. Sobald die Gruppenrichtlinien auf Clientrechnern angewendet werden, zum Beispiel durch gpupdate /force, sind die Einstellungen umgesetzt.
Viele wichtige Sicherheitseinstellungen sind über Computerkonfiguration/Richtlinien/Administrative Vorlagen und Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Microsoft Office 2016/Sicherheitseinstellungen erreichbar. Weitere Einstellungen sind bei Benutzerkonfiguration/Richtlinien/Administrative Vorlagen und Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Microsoft Office 2016/Datenschutz/Trust Center zu finden.
Makros sicher konfigurieren
Unterhalb der Menüs für einzelne Office-Programme, zum Beispiel Outlook, sind weitere Sicherheitseinstellungen zu finden. Bei Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Microsoft Outlook 2016/Sicherheit/Trust Center sind die Anpassungen zu sehen, die das Trust Center betreffen. Hier werden zum Beispiel Einstellungen für Makros festgelegt.
Über Sicherheit/Einstellungen für den automatischen Download von Bildern einschränken wird festgelegt, wie sich Outlook beim Herunterladen von Bildern verhalten soll. Im Trust Center wird beispielsweise eingestellt, wie sich die Office-Programme in Bezug auf Makros verhalten sollen. Dazu findet sich dort der Menüpunkt Makroeinstellungen.
Die Einstellungen dazu sind bei Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2016\Sicherheitseinstellungen zu finden. Hier kann mit VBA für Office-Anwendungen deaktivieren die Ausführung für VBA blockiert werden.
Am Beispiel von Microsoft Word wird einiges auch über Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word 2016\Word-Optionen\Sicherheit\Trust Center gesteuert.
Hier können die gleichen Einstellungen vorgenommen werden wie bei der manuellen Konfiguration für Makros im Trust Center.
Über Gruppenrichtlinien kann festgelegt werden, wie Makros in Dokumenten, die von extern zugeschickt werden, behandelt werden. Dazu gibt es die Option Ausführung von Makros in Office-Dateien aus dem Internet blockieren.
Bei Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word 2016\Word-Optionen\Sicherheit gibt es noch die Option Automatisierungssicherheit. Hierüber kann gesteuert werden, dass Makros vor der Ausführung immer erst von einem Virenscanner überprüft werden müssen.
