Makros aus dem Internet werden in Office standardmäßig blockiert.
VBA-Makros sind eine gängige Möglichkeit für böswillige Akteure, Zugriff auf die Bereitstellung von Schadsoftware und Ransomware zu erhalten. Um die Sicherheit in Office zu verbessern, ändern wir daher das Standardverhalten von Office-Anwendungen, um Makros in Dateien aus dem Internet zu blockieren.
Diese Änderung wirkt sich darauf aus, wie Benutzer mit Dateien aus dem Internet interagieren, z. B. mit E-Mail-Anlagen, die Makros enthalten. Wenn Benutzer nun eine solche Datei öffnen, wird die folgende Meldung angezeigt:
Die Schaltfläche Weitere Informationen geht zu einem Artikel für Endbenutzer und Information Worker , der Informationen zum Sicherheitsrisiko von böstätigen Akteuren mit Makros, sichere Methoden zum Verhindern von Phishing und Schadsoftware sowie Anweisungen zum Aktivieren dieser Makros (falls erforderlich) enthält.
In einigen Fällen wird Benutzern auch die Meldung angezeigt, wenn die Datei von einem Speicherort in Ihrem Intranet stammt und nicht als vertrauenswürdig identifiziert wird. Beispielsweise, wenn Benutzer über die IP-Adresse der Freigabe auf Dateien auf einer Netzwerkfreigabe zugreifen. Weitere Informationen finden Sie unter Dateien, die sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website befinden.
Wichtig
Schon vor dieser Änderung, die wir einführen, konnten Organisationen die Richtlinie Ausführen von Makros in Office-Dateien aus dem Internet blockieren verwenden, um zu verhindern, dass Benutzer versehentlich Dateien aus dem Internet öffnen, die Makros enthalten. Es wird empfohlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise zu aktivieren. Wenn Sie die Richtlinie konfigurieren, ist Ihre organization von dieser Standardänderung nicht betroffen.
Weitere Informationen finden Sie unter Verwenden von Richtlinien zum Verwalten der Verarbeitung von Makros durch Office.
Vorbereiten auf diese Änderung
Bereiten Sie sich auf diese Änderung vor, indem Sie mit den Geschäftseinheiten in Ihrem organization arbeiten, die Makros in Office-Dateien verwenden. Diese Dateien werden häufig von Speicherorten wie Intranetnetzwerkfreigaben oder Intranetwebsites aus geöffnet. Sie möchten diese Makros identifizieren und bestimmen, welche Schritte unternommen werden müssen, um diese Makros weiterhin zu verwenden. Arbeiten Sie mit unabhängigen Softwareanbietern (INDEPENDENT Software Vendors, ISVs) zusammen, die Makros in Office-Dateien von diesen Speicherorten bereitstellen. Beispielsweise, um zu sehen, ob sie ihren Code digital signieren können und Sie sie als vertrauenswürdigen Herausgeber behandeln können.
Überprüfen Sie außerdem die folgenden Informationen:
| Vorbereitungsaktion | Weitere Informationen |
|---|---|
| Verstehen, welche Version in den einzelnen Updatekanälen diese Änderung aufweist | Von dieser Änderung betroffene Office-Versionen |
| Sehen Sie sich ein Flussdiagramm des Prozesses an, den Office verwendet, um zu bestimmen, ob Makros in einer Datei ausgeführt werden sollen. | Wie Office bestimmt, ob Makros in Dateien aus dem Internet ausgeführt werden sollen |
| Erfahren Sie mehr über Richtlinien, mit denen Sie die Ausführung von VBA-Makros steuern können. | Verwenden von Richtlinien zum Verwalten der Behandlung von Makros durch Office |
Schritte zum Zulassen der Ausführung von VBA-Makros in vertrauenswürdigen Dateien
Wie Sie VBA-Makros in vertrauenswürdigen Dateien ausführen lassen, hängt davon ab, wo sich diese Dateien befinden oder welche Art der Datei sie haben.
In der folgenden Tabelle sind verschiedene gängige Szenarien und mögliche Ansätze zum Aufheben der Blockierung von VBA-Makros und deren Ausführung aufgeführt. Sie müssen nicht alle möglichen Ansätze für ein bestimmtes Szenario ausführen. Wählen Sie in den Fällen, in denen wir mehrere Ansätze auflisten, die am besten zu Ihrem organization passt.
| Szenario | Mögliche Ansätze |
|---|---|
| Einzelne Dateien |
• Aktivieren Sie das Kontrollkästchen Blockierung aufheben auf der Registerkarte Allgemein des Dialogfelds Eigenschaften für die Datei. • Verwenden des Unblock-File-Cmdlets in PowerShell Weitere Informationen finden Sie unter Entfernen der Markierung des Webs aus einer Datei. |
| Dateien befinden sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website | Heben Sie die Blockierung der Datei mit einem Ansatz auf, der unter "Einzelne Dateien" aufgeführt ist. Wenn kein Kontrollkästchen " Blockierung aufheben " vorhanden ist und Sie allen Dateien an diesem Netzwerkspeicherort vertrauen möchten: • Festlegen des Standorts als vertrauenswürdige Website • Hinzufügen des Standorts zur Lokalen Intranetzone Weitere Informationen finden Sie unter Dateien, die sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website befinden. |
| Dateien, die auf OneDrive oder SharePoint gespeichert sind, einschließlich einer Website, die von einem Teams-Kanal verwendet wird | • Benutzer können die Datei mithilfe der Option In Desktop-App öffnen direkt öffnen • Wenn Benutzer die Datei lokal herunterladen, bevor sie sie öffnen, entfernen Sie Mark of the Web aus der lokalen Kopie der Datei (siehe die Ansätze unter "Einzelne Dateien"). • Festlegen des Standorts als vertrauenswürdige Website Weitere Informationen finden Sie unter Dateien auf OneDrive oder SharePoint. |
| Vorlagendateien mit Makros für Word, PowerPoint und Excel | Wenn die Vorlagendatei auf dem Gerät des Benutzers gespeichert ist: • Entfernen von "Mark of the Web" aus der Vorlagendatei (siehe Ansätze unter "Einzelne Dateien") • Speichern der Vorlagendatei an einem vertrauenswürdigen Speicherort Wenn die Vorlagendatei an einem Netzwerkspeicherort gespeichert ist: • Verwenden Sie eine digitale Signatur und vertrauen Sie dem Herausgeber • Vertrauen Sie der Vorlagendatei (siehe die Ansätze unter "Dateien, die sich zentral auf einer Netzwerkfreigabe oder vertrauenswürdigen Website befinden") Weitere Informationen finden Sie unter Makro-fähige Vorlagendateien für Word, PowerPoint und Excel. |
| Add-In-Dateien mit Makros für PowerPoint | • Entfernen der Markierung des Webs aus der Add-In-Datei • Verwenden Sie eine digitale Signatur und vertrauen Sie dem Herausgeber • Speichern der Add-In-Datei an einem vertrauenswürdigen Speicherort Weitere Informationen finden Sie unter Makro-fähige Add-In-Dateien für PowerPoint und Excel. |
| Add-In-Dateien mit Makros für Excel | • Entfernen der Markierung des Webs aus der Add-In-Datei • Speichern der Add-In-Datei an einem vertrauenswürdigen Speicherort Weitere Informationen finden Sie unter Makro-fähige Add-In-Dateien für PowerPoint und Excel. |
| Makros, die von einem vertrauenswürdigen Herausgeber signiert werden | • [empfohlen] Stellen Sie das öffentliche Codesignaturzertifikat für den vertrauenswürdigen Herausgeber für Ihre Benutzer bereit, und verhindern Sie, dass Ihre Benutzer selbst vertrauenswürdige Herausgeber hinzufügen. • Entfernen Sie Mark of the Web aus der Datei, und lassen Sie den Benutzer den Herausgeber des Makros als vertrauenswürdigen Herausgeber hinzufügen. Weitere Informationen finden Sie unter Makros, die von einem vertrauenswürdigen Herausgeber signiert sind. |
| Gruppen von Dateien, die in Ordnern auf dem Gerät des Benutzers gespeichert sind | Festlegen des Ordners als vertrauenswürdiger Speicherort Weitere Informationen finden Sie unter Vertrauenswürdige Speicherorte. |
Von dieser Änderung betroffene Office-Versionen
Diese Änderung betrifft nur Office auf Geräten unter Windows und betrifft nur die folgenden Anwendungen: Access, Excel, PowerPoint, Visio und Word.
Die folgende Tabelle zeigt, wann diese Änderung in jedem Updatekanal verfügbar wurde.
| Aktualisierungskanal | Version | Datum |
|---|---|---|
| Aktueller Kanal (Vorschau) | Version 2203 | Einführung am 12. April 2022 |
| Aktueller Kanal | Version 2206 | Einführung am 27. Juli 2022 |
| Monatlicher Enterprise-Kanal | Version 2208 | 11. Oktober 2022 |
| Halbjährlicher Enterprise-Kanal (Vorschau) | Version 2208 | 11. Oktober 2022 |
| Halbjährlicher Enterprise-Kanal | Version 2208 | 10. Januar 2023 |
Die Änderung wirkt sich nicht auf Office auf einem Mac, Office auf Android- oder iOS-Geräten oder Office im Web aus.
Wie Office bestimmt, ob Makros in Dateien aus dem Internet ausgeführt werden sollen
Die folgende Flussdiagrammgrafik zeigt, wie Office bestimmt, ob Makros in einer Datei aus dem Internet ausgeführt werden sollen.
In den folgenden Schritten werden die Informationen in der Flussdiagrammgrafik erläutert, mit Ausnahme von Excel-Add-In-Dateien. Weitere Informationen zu diesen Dateien finden Sie unter Makro-fähige Add-In-Dateien für PowerPoint und Excel. Wenn sich eine Datei auf einer Netzwerkfreigabe befindet, die sich nicht in der Lokalen Intranetzone befindet oder keine vertrauenswürdige Website ist, werden Makros in dieser Datei blockiert.
- Ein Benutzer öffnet eine Office-Datei mit Makros, die aus dem Internet abgerufen wurden. Beispielsweise eine E-Mail-Anlage. Die Datei verfügt über Mark of the Web (MOTW).
Hinweis
- Die Markierung des Webs wird von Windows Dateien von einem nicht vertrauenswürdigen Speicherort hinzugefügt, z. B. dem Internet oder der eingeschränkten Zone. Beispielsweise Browserdownloads oder E-Mail-Anlagen. Weitere Informationen finden Sie unter Markierung des Webs und der Zonen.
- Die Markierung des Webs gilt nur für Dateien, die auf einem NTFS-Dateisystem gespeichert sind, nicht für Dateien, die auf FAT32-formatierten Geräten gespeichert sind.
Wenn die Datei von einem vertrauenswürdigen Speicherort stammt, wird die Datei mit aktivierten Makros geöffnet. Wenn die Datei nicht von einem vertrauenswürdigen Speicherort stammt, wird die Auswertung fortgesetzt.
Wenn die Makros über eine digitale Signatur verfügen und Ihr Gerät über das entsprechende Zertifikat des vertrauenswürdigen Herausgebers verfügt, wird die Datei mit aktivierten Makros geöffnet. Andernfalls wird die Auswertung fortgesetzt.
Richtlinien werden überprüft, um festzustellen, ob Makros zulässig oder blockiert sind. Wenn die Richtlinien auf Nicht konfiguriert festgelegt sind, wird die Auswertung mit Schritt 6 fortgesetzt.
(a) Wenn Makros durch eine Richtlinie blockiert werden, werden die Makros blockiert. (b) Wenn die Makros durch eine Richtlinie aktiviert sind, werden die Makros aktiviert.
Wenn der Benutzer die Datei zuvor geöffnet hat, bevor sich das Standardverhalten geändert hat, und auf der Vertrauensleiste Inhalt aktivieren ausgewählt hat, werden die Makros aktiviert, da die Datei als vertrauenswürdig eingestuft wird.
Hinweis
- Weitere Informationen finden Sie unter Neue Sicherheitshärtungsrichtlinien für vertrauenswürdige Dokumente.
- Bei unbefristeten Versionen von Office, z. B. Office LTSC 2021 oder Office 2019, erfolgt dieser Schritt nach Schritt 3 und vor Schritt 4 und ist von der Änderung des Standardverhaltens nicht betroffen.
- In diesem Schritt wird die Änderung des Standardverhaltens von Office wirksam. Mit dieser Änderung werden Makros in Dateien aus dem Internet blockiert, und Benutzern wird das Banner "Sicherheitsrisiko " angezeigt, wenn sie die Datei öffnen.
Hinweis
Zuvor hat die App vor dieser Änderung des Standardverhaltens überprüft, ob die VBA-Makrobenachrichtigungseinstellungsrichtlinie aktiviert wurde und wie sie konfiguriert wurde.
Wenn die Richtlinie auf Deaktiviert oder Nicht konfiguriert festgelegt ist, überprüft die App die Einstellungen unterDateioptionen>>Trust Center>Trust Center-Einstellungen...>Makroeinstellungen. Der Standardwert ist auf "Alle Makros mit Benachrichtigung deaktivieren" festgelegt, sodass Benutzer Inhalte in der Vertrauensleiste aktivieren können.
Anleitung zum Zulassen der Ausführung von VBA-Makros in vertrauenswürdigen Dateien
Entfernen von "Mark of the Web" aus einer Datei
Um die Blockierung von Makros in einer Datei wie einem aus dem Internet oder einer E-Mail-Anlage aufzuheben, entfernen Sie die Markierung des Webs auf Ihrem lokalen Gerät. Klicken Sie zum Entfernen mit der rechten Maustaste auf die Datei, wählen Sie Eigenschaften aus, und aktivieren Sie dann auf der Registerkarte Allgemein das Kontrollkästchen Blockierung aufheben.
Hinweis
- In einigen Fällen, in der Regel bei Dateien auf einer Netzwerkfreigabe, wird Benutzern das Kontrollkästchen Blockierung aufheben für eine Datei, in der Makros blockiert werden, möglicherweise nicht angezeigt. Informationen zu diesen Fällen finden Sie unter Dateien, die sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website befinden.
- Auch wenn das Kontrollkästchen Blockierung aufheben für eine Datei auf einer Netzwerkfreigabe verfügbar ist, hat das Aktivieren des Kontrollkästchens keine Auswirkungen, wenn die Freigabe als in der Internetzone angesehen wird. Weitere Informationen finden Sie unter Markierung des Webs und der Zonen.
Sie können auch das Cmdlet Unblock-File in PowerShell verwenden, um den ZoneId-Wert aus der Datei zu entfernen. Wenn Sie den ZoneId-Wert entfernen, können VBA-Makros standardmäßig ausgeführt werden. Die Verwendung des Cmdlets führt die gleiche Funktion wie das Aktivieren des Kontrollkästchens Blockierung aufheben auf der Registerkarte Allgemein des Dialogfelds Eigenschaften für die Datei aus. Weitere Informationen zum ZoneId-Wert finden Sie unter Markieren des Webs und der Zonen.
Dateien befinden sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website
Wenn Ihre Benutzer auf Dateien von einer vertrauenswürdigen Website oder einem internen Dateiserver zugreifen, können Sie einen der folgenden Schritte ausführen, damit Makros von diesen Speicherorten nicht blockiert werden.
- Festlegen des Standorts als vertrauenswürdige Website
- Wenn sich der Netzwerkspeicherort im Intranet befindet, fügen Sie den Standort der Lokalen Intranetzone hinzu.
Hinweis
- Wenn Sie etwas als vertrauenswürdige Website hinzufügen, erteilen Sie der gesamten Website auch erhöhte Berechtigungen für Szenarien, die nicht mit Office zusammenhängen.
- Für den Ansatz Lokale Intranetzone empfiehlt es sich, die Dateien an einem Speicherort zu speichern, der bereits als Teil der Lokalen Intranetzone angesehen wird, anstatt dieser Zone neue Speicherorte hinzuzufügen.
- Im Allgemeinen wird empfohlen, vertrauenswürdige Websites zu verwenden, da sie im Vergleich zur lokalen Intranetzone zusätzliche Sicherheit bieten.
Wenn Benutzer beispielsweise über ihre IP-Adresse auf eine Netzwerkfreigabe zugreifen, werden Makros in diesen Dateien blockiert, es sei denn, die Dateifreigabe befindet sich in der Zone "Vertrauenswürdige Websites " oder " Lokales Intranet ".
Tipp
- Eine Liste der vertrauenswürdigen Websites oder Informationen in der Lokalen Intranetzone finden Sie unter Systemsteuerung>Internetoptionen>Ändern von Sicherheitseinstellungen auf einem Windows-Gerät.
- Informationen zum Überprüfen, ob eine einzelne Datei von einer vertrauenswürdigen Website oder einem lokalen Intranetspeicherort stammt, finden Sie unter Markieren des Webs und der Zonen.
Sie können beispielsweise einen Dateiserver oder eine Netzwerkfreigabe als vertrauenswürdigen Standort hinzufügen, indem Sie der Liste der vertrauenswürdigen Websites den FQDN oder die IP-Adresse hinzufügen.
Wenn Sie URLs hinzufügen möchten, die mit http:// oder Netzwerkfreigaben beginnen, deaktivieren Sie das Kontrollkästchen Serverüberprüfung (https:) für alle Websites in dieser Zone erforderlich .
Wichtig
Da Makros in Dateien von diesen Speicherorten nicht blockiert werden, sollten Sie diese Speicherorte sorgfältig verwalten. Achten Sie darauf, dass Sie steuern, wer Dateien an diesen Speicherorten speichern darf.
Sie können Gruppenrichtlinie und die Richtlinie "Site to Zone Assignment List" verwenden, um Speicherorte als vertrauenswürdige Websites hinzuzufügen, oder der Lokalen Intranetzone für Windows-Geräte in Ihrem organization. Diese Richtlinie befindet sich unter Windows-Komponenten\Internet Explorer\Internet Systemsteuerung\Sicherheitsseite in der Gruppenrichtlinie Management Console. Sie ist unter Computerkonfiguration\Richtlinien\Administrative Vorlagen und Benutzerkonfiguration\Richtlinien\Administrative Vorlagen verfügbar.
Dateien auf OneDrive oder SharePoint
Wenn ein Benutzer eine Datei auf OneDrive oder SharePoint mithilfe eines Webbrowsers herunterlädt, bestimmt die Konfiguration der Windows-Internetsicherheitszone (Systemsteuerung>Internet options>security), ob der Browser Die Markierung des Webs festlegt. Microsoft Edge legt beispielsweise Die Markierung des Webs für eine Datei fest, wenn sie aus der Internetzone stammt.
Wenn ein Benutzer In Desktop-App öffnen in einer Datei auswählt, die von der OneDrive-Website oder von einer SharePoint-Website (einschließlich einer website, die von einem Teams-Kanal verwendet wird), hat die Datei keine Markierung des Webs.
Wenn ein Benutzer den OneDrive-Synchronisation Client ausführt und der Synchronisierungsclient eine Datei herunterlädt, hat die Datei keine Webmarkierung.
Dateien, die sich in bekannten Windows-Ordnern (Desktop, Dokumente, Bilder, Screenshots und Kamerarolle) befinden und mit OneDrive synchronisiert werden, verfügen nicht über "Mark of the Web".
Wenn Sie über eine Gruppe von Benutzern verfügen, z. B. die Finanzabteilung, die Dateien aus OneDrive oder SharePoint verwenden muss, ohne dass Makros blockiert werden, finden Sie hier einige mögliche Optionen:
Lassen Sie sie die Datei mithilfe der Option In Desktop-App öffnen öffnen
Bitten Sie sie, die Datei an einen vertrauenswürdigen Speicherort herunterzuladen.
Legen Sie die Zuweisung der Windows-Internetsicherheitszone für OneDrive- oder SharePoint-Domänen auf Vertrauenswürdige Websites fest. Administratoren können die Richtlinie "Site to Zone Assignment List" verwenden und die Richtlinie so konfigurieren, dass sie (für SharePoint) oder
https://{your-domain-name}-my.sharepoint.com(für OneDrive) in der Zone Vertrauenswürdige Websites platzierthttps://{your-domain-name}.sharepoint.comwird.Diese Richtlinie befindet sich unter Windows-Komponenten\Internet Explorer\Internet Systemsteuerung\Sicherheitsseite in der Gruppenrichtlinie Management Console. Sie ist unter Computerkonfiguration\Richtlinien\Administrative Vorlagen und Benutzerkonfiguration\Richtlinien\Administrative Vorlagen verfügbar.
SharePoint-Berechtigungen und OneDrive-Freigabe werden nicht geändert, indem diese Speicherorte zu vertrauenswürdigen Websites hinzugefügt werden. Die Aufrechterhaltung der Zugriffssteuerung ist wichtig. Jeder Benutzer mit Berechtigungen zum Hinzufügen von Dateien zu SharePoint kann Dateien mit aktiven Inhalten hinzufügen, z. B. Makros. Benutzer, die Dateien aus Domänen in der Zone Vertrauenswürdige Sites herunterladen, umgehen die Standardeinstellung, um Makros zu blockieren.
Vorlagendateien mit Makros für Word, PowerPoint und Excel
Makrofähige Vorlagendateien für Word, PowerPoint und Excel, die aus dem Internet heruntergeladen werden, verfügen über "Mark of the Web". Beispiel: Vorlagendateien mit den folgenden Erweiterungen:
- .dot
- .dotm
- .Topf
- .potm
- .Xlt
- .xltm
Wenn der Benutzer die Makro-fähige Vorlagendatei öffnet, kann der Benutzer die Makros in der Vorlagendatei nicht ausführen. Wenn der Benutzer der Quelle der Vorlagendatei vertraut, kann er Mark of the Web aus der Vorlagendatei entfernen und die Vorlagendatei dann in der Office-App erneut öffnen.
Wenn Sie über eine Gruppe von Benutzern verfügen, die Makrovorlagen verwenden müssen, ohne dass Makros blockiert werden, können Sie eine der folgenden Aktionen ausführen:
- Verwenden Sie eine digitale Signatur, und vertrauen Sie dem Herausgeber.
- Wenn Sie keine digitalen Signaturen verwenden, können Sie die Vorlagendatei an einem vertrauenswürdigen Speicherort speichern und benutzer die Vorlagendatei von diesem Speicherort abrufen lassen.
Add-In-Dateien mit Makros für PowerPoint und Excel
Makros aktivierte Add-In-Dateien für PowerPoint und Excel, die aus dem Internet heruntergeladen werden, weisen "Mark of the Web" auf. Beispielsweise Add-In-Dateien mit den folgenden Erweiterungen:
- .Ppa
- .ppam
- .Xla
- .xlam
Wenn der Benutzer versucht, das Makro-fähige Add-In mithilfe von Dateioptionen-Add-Ins>> oder über das Menüband "Entwickler" zu installieren, wird das Add-In in einem deaktivierten Zustand geladen, und der Benutzer wird an der Verwendung des Add-Ins gehindert. Wenn der Benutzer der Quelle der Add-In-Datei vertraut, kann er Mark of the Web aus der Add-In-Datei entfernen und dann PowerPoint oder Excel erneut öffnen, um das Add-In zu verwenden.
Wenn Sie über eine Gruppe von Benutzern verfügen, die Add-In-Dateien mit Makros verwenden müssen, ohne dass Makros blockiert werden, können Sie die folgenden Aktionen ausführen.
Für PowerPoint-Add-In-Dateien:
- Entfernen Sie Mark of the Web aus der PPA- oder PPAM-Datei.
- Verwenden Sie eine digitale Signatur, und vertrauen Sie dem Herausgeber.
- Speichern Sie die Add-In-Datei an einem vertrauenswürdigen Speicherort , an dem Benutzer sie abrufen können.
Für Excel-Add-In-Dateien:
- Entfernen Sie Mark of the Web aus der XLA- oder XLAM-Datei.
- Speichern Sie die Add-In-Datei an einem vertrauenswürdigen Speicherort , an dem Benutzer sie abrufen können.
Hinweis
Die Verwendung einer digitalen Signatur und die Vertrauenswürdigkeit des Herausgebers funktioniert nicht für Excel-Add-In-Dateien, die über "Mark of the Web" verfügen. Dieses Verhalten ist für Excel-Add-In-Dateien mit "Mark of the Web" nicht neu. Dies funktioniert seit 2016 aufgrund einer früheren Sicherheitshärtung (im Zusammenhang mit dem Microsoft-Sicherheitsbulletin MS16-088).
Makros, die von einem vertrauenswürdigen Herausgeber signiert werden
Wenn das Makro signiert ist und Sie das Zertifikat überprüft haben und der Quelle vertrauen, können Sie diese Quelle zu einem vertrauenswürdigen Herausgeber machen. Es wird empfohlen, nach Möglichkeit vertrauenswürdige Herausgeber für Ihre Benutzer zu verwalten. Weitere Informationen finden Sie unter Vertrauenswürdige Herausgeber für Office-Dateien.
Wenn Sie nur wenige Benutzer haben, können Sie sie dazu bringen, Mark of the Web aus der Datei zu entfernen und dann die Quelle des Makros als vertrauenswürdigen Herausgeber auf ihren Geräten hinzuzufügen.
Warnung
- Alle Makros, die gültig mit demselben Zertifikat signiert sind, werden als von einem vertrauenswürdigen Herausgeber erkannt und ausgeführt.
- Das Hinzufügen eines vertrauenswürdigen Herausgebers kann sich auf Szenarien auswirken, die über office hinausgehen, da ein vertrauenswürdiger Herausgeber eine Windows-weite Einstellung und nicht nur eine Office-spezifische Einstellung ist.
Vertrauenswürdige Speicherorte
Beim Speichern von Dateien aus dem Internet an einem vertrauenswürdigen Speicherort auf dem Gerät eines Benutzers wird die Überprüfung auf "Web markieren" ignoriert und mit aktivierten VBA-Makros geöffnet. Beispielsweise könnte eine Branchenanwendung berichte mit Makros auf wiederkehrender Basis senden. Wenn Dateien mit Makros an einem vertrauenswürdigen Speicherort gespeichert werden, müssen Benutzer nicht zu den Eigenschaften für die Datei wechseln und Blockierung aufheben auswählen, um die Ausführung der Makros zuzulassen.
Da Makros in Dateien, die an einem vertrauenswürdigen Speicherort gespeichert sind, nicht blockiert werden, sollten Sie vertrauenswürdige Speicherorte sorgfältig verwalten und sparsam verwenden. Netzwerkadressen können auch als vertrauenswürdiger Speicherort festgelegt werden, dies wird jedoch nicht empfohlen. Weitere Informationen finden Sie unter Vertrauenswürdige Speicherorte für Office-Dateien.
Zusätzliche Informationen zu Mark of the Web
Markierung des Webs und vertrauenswürdiger Dokumente
Wenn eine Datei auf ein Gerät mit Windows heruntergeladen wird, wird der Datei Mark of the Web hinzugefügt, wobei die Quelle als aus dem Internet identifiziert wird. Wenn ein Benutzer derzeit eine Datei mit "Markierung des Webs" öffnet, wird ein Banner "SICHERHEITSWARNUNG" mit der Schaltfläche "Inhalt aktivieren " angezeigt. Wenn der Benutzer Inhalt aktivieren auswählt, gilt die Datei als vertrauenswürdiges Dokument, und Makros dürfen ausgeführt werden. Die Makros werden auch nach der Änderung des Standardverhaltens zum Blockieren von Makros in Dateien aus dem Internet weiterhin ausgeführt, da die Datei weiterhin als vertrauenswürdiges Dokument gilt.
Nach der Änderung des Standardverhaltens zum Blockieren von Makros in Dateien aus dem Internet sehen Benutzer beim ersten Öffnen einer Datei mit Makros aus dem Internet ein anderes Banner. Dieses Sicherheitsrisikobanner verfügt nicht über die Option Inhalte aktivieren. Benutzer können jedoch zum Dialogfeld Eigenschaften für die Datei wechseln und Blockierung aufheben auswählen. Dadurch wird Die Markierung des Webs aus der Datei entfernt und die Ausführung der Makros zugelassen, solange keine Richtlinie oder Trust Center-Einstellung blockiert wird.
Markierung des Webs und der Zonen
Standardmäßig wird "Mark of the Web" nur dateien aus den Zonen "Internet " oder "Eingeschränkte Websites " hinzugefügt.
Tipp
Um diese Zonen auf einem Windows-Gerät anzuzeigen, wechseln Sie zu Systemsteuerung>Internetoptionen>Sicherheitseinstellungen ändern.
Sie können den ZoneId-Wert für eine Datei anzeigen, indem Sie den folgenden Befehl an einer Eingabeaufforderung ausführen und {name of file} durch Ihren Dateinamen ersetzen.
notepad {name of file}:Zone.Identifier
Wenn Sie diesen Befehl ausführen, wird Editor geöffnet und zeigt die ZoneId im Abschnitt [ZoneTransfer] an.
Hier finden Sie eine Liste der ZoneId-Werte und der Zone, der sie zugeordnet sind.
- 0 = Mein Computer
- 1 = Lokales Intranet
- 2 = Vertrauenswürdige Websites
- 3 = Internet
- 4 = Eingeschränkte Websites
Wenn die ZoneId beispielsweise 2 ist, werden VBA-Makros in dieser Datei nicht standardmäßig blockiert. Wenn die ZoneId jedoch 3 ist, werden Makros in dieser Datei standardmäßig blockiert.
Sie können das Cmdlet Unblock-File in PowerShell verwenden, um den ZoneId-Wert aus der Datei zu entfernen. Wenn Sie den ZoneId-Wert entfernen, können VBA-Makros standardmäßig ausgeführt werden. Die Verwendung des Cmdlets führt die gleiche Funktion wie das Aktivieren des Kontrollkästchens Blockierung aufheben auf der Registerkarte Allgemein des Dialogfelds Eigenschaften für die Datei aus.
Verwenden von Richtlinien zum Verwalten der Behandlung von Makros durch Office
Sie können Richtlinien verwenden, um zu verwalten, wie Office Makros behandelt. Es wird empfohlen, die Richtlinie Ausführen von Makros in Office-Dateien aus dem Internet blockieren zu verwenden. Wenn diese Richtlinie jedoch nicht für Ihre organization geeignet ist, ist die andere Option die VBA-Makrobenachrichtigungseinstellungsrichtlinie.
Weitere Informationen zum Bereitstellen dieser Richtlinien finden Sie unter Verfügbare Tools zum Verwalten von Richtlinien.
Wichtig
Richtlinien können nur verwendet werden, wenn Sie Microsoft 365 Apps for Enterprise verwenden. Richtlinien sind für Microsoft 365 Apps for Business nicht verfügbar.
Blockieren der Ausführung von Makros in Office-Dateien aus dem Internet
Diese Richtlinie verhindert, dass Benutzer versehentlich Dateien öffnen, die Makros aus dem Internet enthalten. Wenn eine Datei auf ein Gerät unter Windows heruntergeladen oder von einem Netzwerkfreigabespeicherort aus geöffnet wird, wird der Datei mark of the Web hinzugefügt, die identifiziert, dass sie aus dem Internet stammt.
Es wird empfohlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise zu aktivieren. Sie sollten diese Richtlinie für die meisten Benutzer aktivieren und nur bei Bedarf Ausnahmen für bestimmte Benutzer vornehmen.
Für jede der fünf Anwendungen gibt es eine separate Richtlinie. Die folgende Tabelle zeigt, wo die einzelnen Richtlinien in der Gruppenrichtlinie Management Console unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen zu finden sind:
| App | Richtlinienspeicherort |
|---|---|
| Access | Microsoft Access 2016\Anwendungseinstellungen\Security\Trust Center |
| Excel | Microsoft Excel 2016\Excel Options\Security\Trust Center |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center |
Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die aktuelle Schutzebene, die Sie bei jedem Zustand erhalten, bevor die Änderung des Standardverhaltens implementiert wird.
| Symbol | Schutzebene | Richtlinienstatus | Beschreibung |
|---|---|---|---|
 |
Geschützt [empfohlen] | Aktiviert | Benutzer werden daran gehindert, Makros in Dateien auszuführen, die aus dem Internet abgerufen wurden. Teil der von Microsoft empfohlenen Sicherheitsbaseline. |
 |
Nicht geschützt | Deaktiviert | Berücksichtigt die einstellungen, die unter Dateioptionen>>Trust Center>Trust Center-Einstellungen konfiguriert sind...>Makroeinstellungen. |
|
Nicht geschützt | Not Configured | Berücksichtigt die einstellungen, die unter Dateioptionen>>Trust Center>Trust Center-Einstellungen konfiguriert sind...>Makroeinstellungen. |
Hinweis
- Wenn Sie diese Richtlinie auf Deaktiviert festlegen, wird benutzern standardmäßig eine Sicherheitswarnung angezeigt, wenn sie eine Datei mit einem Makro öffnen. Diese Warnung informiert Benutzer darüber, dass Makros deaktiviert wurden, ermöglicht ihnen jedoch, die Makros auszuführen, indem Sie auf die Schaltfläche Inhalt aktivieren klicken.
- Diese Warnung ist die gleiche Warnung, die Benutzern zuvor angezeigt wurde, vor dieser kürzlich vorgenommenen Änderung, die wir implementieren, um Makros zu blockieren.
- Es wird nicht empfohlen, diese Richtlinie dauerhaft auf Deaktiviert festzulegen. In einigen Fällen kann es jedoch sinnvoll sein, dies vorübergehend zu tun, wenn Sie testen, wie sich das neue Verhalten zum Blockieren von Makros auf Ihre organization auswirkt und wenn Sie eine Lösung entwickeln, um die sichere Verwendung von Makros zu ermöglichen.
Nachdem wir die Änderung des Standardverhaltens implementiert haben, ändert sich die Schutzebene, wenn die Richtlinie auf Nicht konfiguriert festgelegt ist.
| Symbol | Schutzebene | Richtlinienstatus | Beschreibung |
|---|---|---|---|
|
Geschützt | Not Configured | Benutzer werden daran gehindert, Makros in Dateien auszuführen, die aus dem Internet abgerufen wurden. Benutzern wird das Banner "Sicherheitsrisiko" mit der Schaltfläche "Weitere Informationen" angezeigt. |
VBA-Makrobenachrichtigungseinstellungen
Wenn Sie die Richtlinie "Ausführung von Makros in Office-Dateien aus dem Internet blockieren" nicht verwenden, können Sie die Richtlinie "VBA-Makrobenachrichtigungseinstellungen" verwenden, um zu verwalten, wie Makros von Office behandelt werden.
Diese Richtlinie verhindert, dass Benutzer dazu verleitet werden, böswillige Makros zu aktivieren. Standardmäßig ist Office so konfiguriert, dass Dateien blockiert werden, die VBA-Makros enthalten, und eine Vertrauensstellungsleiste mit einer Warnung angezeigt wird, dass Makros vorhanden sind und deaktiviert wurden. Benutzer können die Dateien ggf. überprüfen und bearbeiten, können jedoch keine deaktivierten Funktionen verwenden, bis sie auf der Vertrauensleiste Inhalt aktivieren auswählen. Wenn der Benutzer Inhalt aktivieren auswählt, wird die Datei als vertrauenswürdiges Dokument hinzugefügt, und Makros dürfen ausgeführt werden.
Für jede der fünf Anwendungen gibt es eine separate Richtlinie. Die folgende Tabelle zeigt, wo die einzelnen Richtlinien in der Gruppenrichtlinie Management Console unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen zu finden sind:
| App | Richtlinienspeicherort |
|---|---|
| Access | Microsoft Access 2016\Anwendungseinstellungen\Security\Trust Center |
| Excel [1] | Microsoft Excel 2016\Excel Options\Security\Trust Center |
| PowerPoint | Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center |
| Visio | Microsoft Visio 2016\Visio Options\Security\Trust Center |
| Word | Microsoft Word 2016\Word Options\Security\Trust Center |
Hinweis
- [1] Für Excel heißt die Richtlinie Makrobenachrichtigungseinstellungen.
- Die Richtlinie "VBA-Makrobenachrichtigungseinstellungen" ist auch für Project und Publisher verfügbar.
Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die Schutzebene, die Sie mit den einzelnen Zuständen erhalten.
| Symbol | Schutzebene | Richtlinienstatus | Richtlinienwert |
|---|---|---|---|
|
Geschützt [empfohlen] | Aktiviert | Deaktivieren Sie alle außer digital signierten Makros (und wählen Sie "Makros müssen von einem vertrauenswürdigen Herausgeber signiert werden") aus. |
|
Geschützt | Aktiviert | Alle Makros ohne Benachrichtigung deaktivieren: Die Anwendung deaktiviert alle Makros, unabhängig davon, ob sie signiert oder unsigniert sind. |
 |
Teilweise geschützt | Aktiviert | Alle mit Benachrichtigung deaktivieren |
|
Teilweise geschützt | Deaktiviert | (Gleiches Verhalten wie "Alle mit Benachrichtigung deaktivieren") |
|
Nicht geschützt | Aktiviert | Aktivieren aller Makros (nicht empfohlen) |
Wichtig
Das Schützen von Makros ist wichtig. Für Benutzer, die keine Makros benötigen, deaktivieren Sie alle Makros, indem Sie "Alle ohne Benachrichtigung deaktivieren" auswählen.
Unsere Empfehlung für die Sicherheitsbaseline lautet, dass Sie die folgenden Schritte ausführen sollten:
- Aktivieren Sie die Richtlinie "VBA-Makrobenachrichtigungseinstellungen".
- Für Benutzer, die Makros benötigen, wählen Sie "Alle außer digital signierten Makros deaktivieren" und dann "Makros müssen von einem vertrauenswürdigen Herausgeber signiert werden" aus. Das Zertifikat muss als vertrauenswürdiger Herausgeber auf den Geräten der Benutzer installiert werden.
Wenn Sie die Richtlinie nicht konfigurieren, können Benutzer Makroschutzeinstellungen unterDateioptionen>>Trust Center>Trust Center-Einstellungen... konfigurieren.>Makroeinstellungen.
In der folgenden Tabelle sind die Optionen aufgeführt, die Benutzer unter Makroeinstellungen treffen können, sowie die Schutzebene, die jede Einstellung bietet.
| Symbol | Schutzebene | Einstellung ausgewählt |
|---|---|---|
|
Geschützt | Alle Makros außer digital signierten Makros deaktivieren |
|
Geschützt | Alle Makros ohne Benachrichtigung deaktivieren |
|
Teilweise geschützt | Deaktivieren aller Makros mit Benachrichtigung (Standard) |
|
Nicht geschützt | Alle Makros aktivieren (nicht empfohlen; potenziell gefährlicher Code kann ausgeführt werden) |
Hinweis
In den Richtlinieneinstellungswerten und der Produktoberfläche für Excel wird das Wort "all" durch "VBA" ersetzt. Beispiel: "VBA-Makros ohne Benachrichtigung deaktivieren".
Verfügbare Tools zum Verwalten von Richtlinien
Es stehen Ihnen mehrere Tools zum Konfigurieren und Bereitstellen von Richtlinieneinstellungen für Benutzer in Ihrer organization zur Verfügung.
Cloudrichtlinie
Mithilfe der Cloudrichtlinie können Sie Richtlinieneinstellungen konfigurieren und auf Geräten in Ihrem organization bereitstellen, auch wenn das Gerät nicht in die Domäne eingebunden ist. Cloudrichtlinie ist ein webbasiertes Tool und befindet sich im Microsoft 365 Apps Admin Center.
In Cloudrichtlinie erstellen Sie eine Richtlinienkonfiguration, weisen sie einer Gruppe zu und wählen dann Richtlinien aus, die in die Richtlinienkonfiguration einbezogen werden sollen. Um eine richtlinie auszuwählen, die eingeschlossen werden soll, können Sie nach dem Namen der Richtlinie suchen. Die Cloudrichtlinie zeigt auch an, welche Richtlinien Teil der von Microsoft empfohlenen Sicherheitsbaseline sind. Bei den in cloud policy verfügbaren Richtlinien handelt es sich um die gleichen Benutzerkonfigurationsrichtlinien, die in der Gruppenrichtlinie Management Console verfügbar sind.
Weitere Informationen finden Sie unter Übersicht über den Cloudrichtliniendienst für Microsoft 365.
Microsoft Intune Admin Center
Im Microsoft Intune Admin Center können Sie entweder den Einstellungskatalog (Vorschau) oder administrative Vorlagen verwenden, um Richtlinieneinstellungen für Ihre Benutzer für Geräte zu konfigurieren und bereitzustellen, auf denen Windows 10 oder höher ausgeführt wird.
Wechseln Sie zunächst zu Geräte>Konfigurationsprofile>Profil erstellen. Wählen Sie unter PlattformWindows 10 und höher aus, und wählen Sie dann den Profiltyp aus.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Konfigurieren von Einstellungen auf Windows- und macOS-Geräten mithilfe des Einstellungskatalogs (Vorschau)
- Verwenden von Windows 10/11-Vorlagen, um Gruppenrichtlinieneinstellungen in Microsoft Intune zu konfigurieren
Gruppenrichtlinien-Verwaltungskonsole
Wenn Sie Windows Server und Active Directory Domain Services (AD DS) in Ihrem organization bereitgestellt haben, können Sie Richtlinien mithilfe von Gruppenrichtlinie konfigurieren. Um Gruppenrichtlinie zu verwenden, laden Sie die aktuellsten administrativen Vorlagendateien (ADMX/ADML) für Office herunter, die die Richtlinieneinstellungen für Microsoft 365 Apps for Enterprise enthalten. Nachdem Sie die Administrativen Vorlagendateien in AD DS kopiert haben, können Sie die Gruppenrichtlinie Management Console verwenden, um Gruppenrichtlinie Objects (GPOs) zu erstellen, die Richtlinieneinstellungen für Ihre Benutzer und für in die Domäne eingebundene Geräte enthalten.
Verwandte Artikel
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für