Vertrauenswürdige Speicherorte für Office-Dateien
Gilt für:Microsoft 365 Apps, Office LTSC 2021, Office 2019 und Office 2016
Vertrauenswürdige Speicherorte sind ein Feature von Office, bei dem in diesen Ordnern enthaltene Dateien als sicher gelten, z. B. Dateien, die Sie selbst erstellen oder aus einer vertrauenswürdigen Quelle gespeichert haben. Diese Dateien umgehen Bedrohungsschutzdienste, umgehen Dateiblockeinstellungen, und alle aktiven Inhalte sind aktiviert. Dies bedeutet, dass dateien, die an vertrauenswürdigen Speicherorten gespeichert sind, nicht in der geschützten Ansicht oder Application Guard geöffnet werden.
Aktive Inhalte können nicht signierte Add-Ins, VBA-Makros, Verbindungen mit externen Daten und vieles mehr umfassen. Stellen Sie sicher, dass Sie der ursprünglichen Quelle der Datei vertrauen, bevor Sie sie an einem vertrauenswürdigen Speicherort speichern. Dies ist wichtig, da alle aktiven Inhalte aktiviert sind und Benutzer keine Benachrichtigungen zu potenziellen Sicherheitsrisiken erhalten. Das folgende Diagramm zeigt den Vertrauensworkflow zum Öffnen von Office-Dateien.
Wie in Schritt 2 gezeigt, umgehen Dateien in vertrauenswürdigen Speicherorten alle anderen Sicherheits- und Richtlinienprüfungen. Daher sollten vertrauenswürdige Speicherorte selten verwendet werden, für eindeutige Situationen und nur für ausgewählte Benutzer. In der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise lautet die Anleitung, netzwerkbasierte vertrauenswürdige Speicherorte zu deaktivieren. Steuern Sie dann bei Bedarf vertrauenswürdige Speicherorte zentral über die Richtlinie, und erlauben Sie benutzern nicht, selbst vertrauenswürdige Speicherorte festzulegen.
Planungsschritte für vertrauenswürdige Speicherorte
Vertrauenswürdige Speicherorte ermöglichen alle Inhalte in einer Datei, einschließlich Add-Ins, ActiveX-Steuerelemente, Hyperlinks, Links zu Datenquellen und Medien sowie VBA-Makros. Dateien, die von vertrauenswürdigen Speicherorten aus geöffnet werden, überspringen Dateiüberprüfungen, Dateiblockprüfungen und werden nicht in der geschützten Ansicht oder Application Guard geöffnet. Es gibt verschiedene Vertrauensebenen, die Sie in Ihrem organization für vertrauenswürdige Speicherorte zulassen können:
- Endbenutzern erlauben, vertrauenswürdige Speicherorte auf ihrem Gerät oder Netzwerk selbst zu erstellen
- Verwenden von Richtlinien, um zu verhindern, dass Benutzer vertrauenswürdige Speicherorte erstellen
- Verwenden von Richtlinien zur zentralen Verwaltung vertrauenswürdiger Speicherorte
- Deaktivieren vertrauenswürdiger Speicherorte
Es ist wichtig, die Szenarien auszuwählen, die für Ihre organization und deren Sicherheitsrisikotoleranz am besten geeignet sind.
Hinweis
Einige vertrauenswürdige Speicherorte werden standardmäßig erstellt, wenn Office installiert wird. Eine Liste dieser vertrauenswürdigen Speicherorte finden Sie unter Vertrauenswürdige Standardspeicherorte für Office-Apps.
Um vertrauenswürdige Speicherorte zu implementieren, müssen Sie Folgendes bestimmen:
- Die Office-Apps, für die Sie vertrauenswürdige Speicherorte konfigurieren möchten.
- Die Ordner, die Sie als vertrauenswürdige Speicherorte festlegen möchten
- Die Freigabeeinstellungen für Ordner und die Sicherheitseinstellungen für Ordner, die Sie auf Ihre vertrauenswürdigen Speicherorte anwenden möchten
- Die Einschränkungen, die Sie auf vertrauenswürdige Speicherorte anwenden möchten
Bestimmen der Office-Apps, für die Sie vertrauenswürdige Speicherorte konfigurieren möchten
Sie können die Liste der vertrauenswürdigen Speicherorte anzeigen, indem Sie zu Dateioptionen>>Trust Center>Trust Center-Einstellungen... wechseln.>Vertrauenswürdige Speicherorte in den folgenden Office-Apps:
- Access
- Excel
- PowerPoint
- Visio
- Word
Richtlinien sind verfügbar, um vertrauenswürdige Speicherorte für jede dieser Office-Apps zu verwalten. Weitere Informationen finden Sie unter Verwenden von Richtlinien zum Verwalten vertrauenswürdiger Speicherorte.
Hinweis
Richtlinien sind auch für Project verfügbar, aber Project hat keine Einstellungen für vertrauenswürdige Speicherorte im Trust Center.
Bestimmen der Ordner, die als vertrauenswürdige Speicherorte festgelegt werden
Im Folgenden finden Sie einige Überlegungen, die Sie berücksichtigen sollten, wenn Sie bestimmen, welche Ordner als vertrauenswürdige Speicherorte verwendet werden sollen:
Sofern nicht durch eine Richtlinie blockiert, können Benutzer vertrauenswürdige Speicherorte im Trust Center für ihre Office-App erstellen und ändern. Weitere Informationen finden Sie unter Hinzufügen, Entfernen oder Ändern eines vertrauenswürdigen Speicherorts.
Standardmäßig sind nur vertrauenswürdige Speicherorte zulässig, die lokal auf dem Gerät des Benutzers liegen. Netzwerkadressen können auch als vertrauenswürdiger Speicherort festgelegt werden, aber nicht empfohlen.
Es wird nicht empfohlen, dass Benutzer Stammordner als vertrauenswürdige Speicherorte angeben. Beispiel: Laufwerk C: oder Ordner Eigene Dokumente. Erstellen Sie stattdessen einen Unterordner innerhalb dieser Ordner, und geben Sie nur diesen Ordner als vertrauenswürdigen Speicherort an.
Mindestens eine Anwendung kann denselben vertrauenswürdigen Speicherort verwenden.
Sie können die Richtlinie Vertrauenswürdiger Speicherort Nr. 1 verwenden, um vertrauenswürdige Speicherorte für Ihre Benutzer festzulegen.
Bestimmen von Ordnerfreigabe- und Ordnersicherheitseinstellungen für Ordner mit vertrauenswürdigem Speicherort
Alle Ordner, die Sie als vertrauenswürdige Speicherorte angeben, müssen geschützt werden, um zu verhindern, dass böswillige Benutzer Dateien an einem vertrauenswürdigen Speicherort hinzufügen oder ändern.
Wenn ein Ordner freigegeben ist, konfigurieren Sie Freigabeberechtigungen, sodass nur berechtigte Benutzer auf den freigegebenen Ordner zugreifen können.
Beachten Sie unbedingt die Regel der geringsten Rechte, und erteilen Sie einem Benutzer die geeigneten Berechtigungen. Erteilen Sie Benutzern, die Dateien an vertrauenswürdigen Speicherorten nicht ändern müssen, leseberechtigung. Erteilen Sie Benutzern, die Dateien bearbeiten müssen, die Berechtigung Vollzugriff.
Verwenden von Richtlinien zum Verwalten vertrauenswürdiger Speicherorte
Es gibt mehrere Richtlinien, mit denen Sie vertrauenswürdige Speicherorte in Ihrem organization verwalten können.
- Vertrauenswürdiger Speicherort Nr. 1
- Vertrauenswürdige Speicherorte im Netzwerk zulassen
- Deaktivieren aller vertrauenswürdigen Speicherorte
Sie können cloud policy, das Microsoft Intune Admin Center oder die Gruppenrichtlinie Management Console verwenden, um Richtlinieneinstellungen für Benutzer in Ihrem organization zu konfigurieren und bereitzustellen. Weitere Informationen finden Sie unter Verfügbare Tools zum Verwalten von Richtlinien.
Hinweis
Für Volumenlizenzversionen von Office 2016, z. B. Office Professional Plus 2016, können Sie das Office-Anpassungstool (OCT) verwenden, um vertrauenswürdige Speicherorte zu konfigurieren. Weitere Informationen finden Sie unter Office-Anpassungstool (OCT) 2016 Help: Office-Sicherheitseinstellungen.
Für jede Office-Anwendung gibt es separate Richtlinien für vertrauenswürdige Speicherorte. Die folgende Tabelle zeigt, wo die einzelnen Richtlinien in der Gruppenrichtlinie Management Console unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen zu finden sind.
| App | Richtlinienspeicherort |
|---|---|
| Access | Microsoft Access 2016\Anwendungseinstellungen\Security\Trust Center\Vertrauenswürdige Speicherorte |
| Excel | Microsoft Excel 2016\Excel Options\Security\Trust Center\Trusted Locations |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center\Trusted Locations |
| Project | Microsoft Project 2016\Project Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center\Trusted Locations |
Sie können die Richtlinie Mischung aus Richtlinien und Benutzerspeicherorten zulassen konfigurieren, um zu bestimmen, ob sowohl Benutzer als auch Administratoren (z. B. durch Richtlinie) oder nur Administratoren nach Richtlinie vertrauenswürdige Speicherorte definieren können.
Richtlinie "Vertrauenswürdiger Speicherort #1"
Sie können diese Richtlinie verwenden, um den Pfad für einen vertrauenswürdigen Speicherort für Benutzer in Ihrem organization anzugeben. Es gibt 20 Instanzen dieser Richtlinie. Beispiel: Vertrauenswürdiger Standort Nr. 1, Vertrauenswürdiger Speicherort #2, Vertrauenswürdiger Speicherort #3 usw.
Standardmäßig sind diese Richtlinien leer. Um einen vertrauenswürdigen Speicherort hinzuzufügen, aktivieren Sie die Richtlinie, und geben Sie den Pfad zum vertrauenswürdigen Speicherort an. Stellen Sie sicher, dass der von Ihnen angegebene Speicherort gesichert ist, indem Sie Berechtigungen festlegen, damit nur die entsprechenden Benutzer Office-Dateien zu diesem Speicherort hinzufügen können.
Vertrauenswürdige Speicherorte, die Sie mit dieser Richtlinie angeben, werden im Abschnitt Richtlinienspeicherorte unter Dateioptionen>>Trust Center>Trust Center-Einstellungen... angezeigt.>Vertrauenswürdige Speicherorte.
Hinweis
- Sie können Umgebungsvariablen verwenden, wenn Sie einen vertrauenswürdigen Speicherort angeben.
- Diese 20 Richtlinien sind auch unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2016\Sicherheitseinstellungen\Trust Center verfügbar. Wenn Sie diese Version der Richtlinie verwenden, gilt die Richtlinie für alle Apps, die vertrauenswürdige Speicherorte unterstützen.
Richtlinie "Vertrauenswürdige Standorte im Netzwerk zulassen"
Diese Richtlinie steuert, ob Vertrauenswürdige Speicherorte im Netzwerk verwendet werden können.
Standardmäßig sind Vertrauenswürdige Speicherorte an Netzwerkspeicherorten deaktiviert. Benutzer können diese Einstellung jedoch ändern, indemsie zu Dateioptionen>>Trust Center>Trust Center-Einstellungen wechseln...>Vertrauenswürdige Speicherorte, und aktivieren Sie das Kontrollkästchen Vertrauenswürdige Speicherorte in meinem Netzwerk zulassen (nicht empfohlen).
Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die Schutzebene, die Sie mit den einzelnen Zuständen erhalten.
| Symbol | Schutzebene | Richtlinienstatus | Beschreibung |
|---|---|---|---|
 |
Geschützt [empfohlen] | Deaktiviert | Blockiert vertrauenswürdige Speicherorte an Netzwerkspeicherorten, einschließlich aller vom Administrator konfigurierten Speicherorte (z. B. mithilfe der Richtlinie "Vertrauenswürdiger Speicherort #1"). Ignoriert alle Netzwerkspeicherorte, die von Benutzern im Trust Center als vertrauenswürdige Speicherorte festgelegt werden, und verhindert, dass Benutzer weitere Hinzufügen. |
 |
Nicht geschützt | Aktiviert | Ermöglicht die Festlegung von Netzwerkstandorten als vertrauenswürdige Speicherorte sowohl durch Benutzer als auch durch Richtlinien. |
 |
Teilweise geschützt | Not Configured | Standardmäßig werden Benutzer daran gehindert, Netzwerkspeicherorte als vertrauenswürdige Speicherorte hinzuzufügen. Sie können diese Einstellung jedoch aktivieren, indem Sie das Kontrollkästchen Vertrauenswürdige Speicherorte in meinem Netzwerk zulassen (nicht empfohlen) im Trust Center aktivieren. |
Es wird empfohlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise auf Deaktiviert festzulegen. Sie sollten diese Richtlinie für die meisten Benutzer deaktivieren und bei Bedarf nur Ausnahmen für bestimmte Benutzer vornehmen.
Sie können Webordner als vertrauenswürdige Speicherorte angeben. Als vertrauenswürdige Speicherorte werden jedoch nur die Webordner erkannt, die Web Distributed Authoring and Versioning (WebDAV) oder FPRPC-Protokolle (Remote Procedure Call) von FrontPage-Servererweiterungen unterstützen.
Richtlinie "Alle vertrauenswürdigen Speicherorte deaktivieren"
Diese Richtlinie kann verwendet werden, um alle vertrauenswürdigen Speicherorte zu deaktivieren.
Standardmäßig sind Vertrauenswürdige Speicherorte verfügbar, und Benutzer können einen beliebigen Standort als vertrauenswürdigen Speicherort festlegen, und ein Gerät kann eine beliebige Kombination aus vom Benutzer erstellten und vom Administrator konfigurierten vertrauenswürdigen Speicherorten aufweisen.
Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die Schutzebene, die Sie mit den einzelnen Zuständen erhalten.
| Symbol | Schutzebene | Richtlinienstatus | Beschreibung |
|---|---|---|---|
|
Geschützt | Aktiviert | Alle vertrauenswürdigen Speicherorte werden blockiert. |
|
Nicht geschützt | Deaktiviert | Ein Benutzer oder Gerät kann über eine Kombination aus vertrauenswürdigen Speicherorten verfügen, die vom Benutzer erstellt oder vom Administrator konfiguriert wurden (z. B. nach Richtlinie). |
|
Nicht geschützt | Not Configured | Diese Einstellung ist die Office-Standardeinstellung. Bietet das gleiche Verhalten wie Deaktiviert. |
Organisationen mit einer stark restriktiven Sicherheitsumgebung legen diese Richtlinie in der Regel auf Aktiviert fest.
Richtlinie "Mischung aus Richtlinien- und Benutzerspeicherorten zulassen"
Diese Richtlinie steuert, ob vertrauenswürdige Speicherorte von Benutzern und Administratoren definiert werden können (z. B. durch Eine Richtlinie), oder ob vertrauenswürdige Speicherorte nur durch Richtlinie definiert werden können.
Diese Richtlinie finden Sie unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2016\Sicherheitseinstellungen\Trust Center in der Gruppenrichtlinie Management Console.
Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die Schutzebene, die Sie mit den einzelnen Zuständen erhalten.
| Symbol | Schutzebene | Richtlinienstatus | Beschreibung |
|---|---|---|---|
|
Geschützt [empfohlen] | Deaktiviert | Nur Vertrauenswürdige Speicherorte, die von der Richtlinie definiert werden, sind zulässig. |
|
Nicht geschützt | Aktiviert | Ein Benutzer oder Gerät kann über eine Kombination aus vertrauenswürdigen Speicherorten verfügen, die vom Benutzer erstellt oder vom Administrator konfiguriert wurden (z. B. nach Richtlinie). |
|
Nicht geschützt | Not Configured | Diese Einstellung ist die Office-Standardeinstellung. Bietet das gleiche Verhalten wie Aktiviert. |
Es wird empfohlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise auf Deaktiviert festzulegen. Sie sollten diese Richtlinie für die meisten Benutzer deaktivieren und bei Bedarf nur Ausnahmen für bestimmte Benutzer vornehmen.
Vertrauenswürdige Standardspeicherorte für Office-Apps
In einer Office-Installation werden mehrere Ordner als vertrauenswürdige Standardspeicherorte festgelegt. Die standardmäßigen vertrauenswürdigen Speicherorte sind in den Tabellen für die folgenden Anwendungen aufgeführt.
Es gibt keine standardmäßigen vertrauenswürdigen Speicherorte für Project oder für Visio.
Sie können diese Ordner anzeigen, indemSie zu Dateioptionen>>Trust Center>Trust Center Einstellungen... wechseln.>Vertrauenswürdige Speicherorte.
Vertrauenswürdige Standardspeicherorte für Access
In der folgenden Tabelle sind die standardmäßigen vertrauenswürdigen Speicherorte für Access aufgeführt und ob die Unterordner ebenfalls vertrauenswürdig sind.
| Vertrauenswürdiger Standardspeicherort | Ordnerbeschreibung | Vertrauenswürdige Unterordner? |
|---|---|---|
| Programme\Microsoft Office\Root\Office16\ACCWIZ | Assistentendatenbanken | Nein (Nicht zulässig) |
Vertrauenswürdige Standardspeicherorte für Excel
In der folgenden Tabelle wird aufgeführt, welche Ordner die standardmäßigen vertrauenswürdigen Speicherorte für Excel sind und ob die Unterordner ebenfalls vertrauenswürdig sind.
| Vertrauenswürdige Standardspeicherorte | Ordnerbeschreibung | Vertrauenswürdige Unterordner? |
|---|---|---|
| Programme\Microsoft Office\Root\Templates | Anwendungsvorlagen | Ja (Zulässig) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Benutzervorlagen | Nein (Nicht zulässig) |
| Programme\Microsoft Office\Root\Office16\XLSTART | Excel-Startup | Ja (Zulässig) |
| Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART | Benutzer-Startup | Nein (Nicht zulässig) |
| Programme\Microsoft Office\Root\Office16\STARTUP | Office-Startup | Ja (Zulässig) |
| Programme\Microsoft Office\Root\Office16\Library | Add-Ins | Ja (Zulässig) |
Vertrauenswürdige Standardspeicherorte für PowerPoint
In der folgenden Tabelle sind die standardmäßigen vertrauenswürdigen Speicherorte für PowerPoint aufgeführt und ob die Unterordner ebenfalls vertrauenswürdig sind.
| Vertrauenswürdige Standardspeicherorte | Ordnerbeschreibung | Vertrauenswürdige Unterordner? |
|---|---|---|
| Programme\Microsoft Office\Root\Templates | Anwendungsvorlagen | Ja (Zulässig) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Benutzervorlagen | Ja (Zulässig) |
| Users\user_name\Appdata\Roaming\Microsoft\Addins | Add-Ins | Nein (Nicht zulässig) |
| Programme\Microsoft Office\Root\Document Designs 16 | Anwendungsdesigns | Ja (Zulässig) |
Vertrauenswürdige Standardspeicherorte für Word
In der folgenden Tabelle sind die Standardmäßigen vertrauenswürdigen Speicherorte für Word aufgeführt und ob die Unterordner ebenfalls vertrauenswürdig sind.
| Vertrauenswürdige Standardspeicherorte | Ordnerbeschreibung | Vertrauenswürdige Unterordner? |
|---|---|---|
| Programme\Microsoft Office\Root\Templates | Anwendungsvorlagen | Ja (Zulässig) |
| Users\user_name\Appdata\Roaming\Microsoft\Templates | Benutzervorlagen | Nein (Nicht zulässig) |
| Users\user_name\Appdata\Roaming\Microsoft\Word\Startup | Benutzer-Startup | Nein (Nicht zulässig) |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für