Sicherheitshinweise für Office-Lösungsentwickler

Festlegen Office Sicherheit in einer Testumgebung

Hinweis

Sie können Visual Basic for Applications Code (VBA) einschließen oder COM-Add-Ins nur in einem Dokument, Arbeitsblatt oder einer Präsentation ausführen, das makroaktiviert ist. Sie können eine Datei mit Makros erstellen, indem Sie die Dokumente mit der Erweiterung DOCM oder DOTM in Word speichern. eine XLSM-, XLTM- oder XLAM-Erweiterung in Excel oder eine PPTM-, POTM-, PPAM- oder PPSM-Erweiterung in PowerPoint.

Zum Installieren und Ausführen eines nicht signierten COM-Add-Ins müssen die Anwendungs-Add-Ins von vertrauenswürdigen Publisher signiert sein, und die Optionen "Alle Anwendungs-Add-Ins deaktivieren" müssen auf der Registerkarte "Add-Ins" im Sicherheitscenter deaktiviert werden. Um die Registerkarte "Add-Ins" zu öffnen, wählen Sie die Registerkarte "Datei" und dann "OptionsTrust > CenterTrust > Center Einstellungen> Add-ins" aus.

Um alle VBA-Makros auszuführen – auch die Makros ohne digitale Signatur –, muss im Sicherheitscenter die Option Alle Makros aktivieren aktiviert sein. Um die Optionen für makros Einstellungen anzuzeigen, wählen Sie die Registerkarte "Datei" und dann "OptionsTrust > CenterTrust > Center Einstellungen > Macros Einstellungen" aus. Aus Sicherheitsgründen wird dringend empfohlen, dies nur in einer Testumgebung durchzuführen. Legen Sie die Optionen nach Abschluss des Tests wieder auf ihren ursprünglichen Zustand fest.

Legen Sie auf der Registerkarte "Makro Einstellungen" des Sicherheitscenters Optionen fest, um alle Makros ohne Benachrichtigung zu deaktivieren, alle Makros mit Benachrichtigung zu deaktivieren oder das gesamte Makro außer digital signierten Makros zu deaktivieren. Deaktivieren Sie Makros, indem Sie das Word-Dokument, Excel Arbeitsblatt oder PowerPoint Präsentation als Makro deaktivierte Dateien (DOCM, XLSM oder PPTM) speichern. Legen Sie den Zugriff auf das VBA-Projektobjektmodell auf der Registerkarte Makro Einstellungen fest, oder deaktivieren Sie den Zugriff auf das VBA-Projektobjektmodell.

Hinweis

Auf dem Menüband der Office Fluent-Benutzeroberfläche werden die Steuerelemente, wenn COM- und anwendungsspezifische Add-Ins aktiviert und geladen sind, auf der Registerkarte Add-Ins angezeigt.

Eine Liste der verfügbaren Add-Ins finden Sie auf der Registerkarte "Add-Ins " im Sicherheitscenter. Aktivieren, deaktivieren, hinzufügen oder entfernen Sie auf derselben Registerkarte COM- oder Word-Add-Ins, indem Sie den Typ des Add-Ins im Dropdownfeld neben der Bezeichnung "Verwalten " auswählen und dann auf die Schaltfläche " Los " klicken.

Ändern der Windows-Registrierung

Das Ändern der Windows Registrierung auf beliebige Weise, sei es im Registrierungs-Editor oder programmgesteuert, birgt immer ein gewisses Risiko. Eine falsche Änderung kann zu schwerwiegenden Problemen führen, wodurch das Betriebssystem unter Umständen neu installiert werden muss. Es empfiehlt sich immer, die Registrierung eines Computers zuerst zu sichern, bevor Sie sie ändern. Wenn Sie Microsoft Windows NT, Windows 2000, Windows XP oder Windows Server 2003 ausführen, sollten Sie auch Den Notfallreparaturdatenträger (EMERGENCY) aktualisieren.

Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema zum Ändern von Schlüsseln und Werten im Registrierungs-Editor (Regedit.exe) oder in den Themen zum Hinzufügen und Löschen von Informationen in der Registrierung und zum Bearbeiten von Registrierungsinformationen im Registrierungs-Editor (Regedt32.exe).

Ausführen Windows API-Funktionsaufrufe

Bevor Sie Windows API-Funktionen (Application Programming Interface) aufrufen, sollten Sie verstehen, wie Argumente und Datentypen von den Windows API-DLLs behandelt werden. Falsche Aufrufe der Windows-Funktionen können zu Fehlern wegen ungültiger Seiten oder anderem unerwarteten Verhalten führen. Weitere Informationen zum Aufrufen Windows Funktionen finden Sie im Thema "The Windows API and Other Dynamic-Link Libraries" in der Office 2000 Developer Online Documentation.

Digitales Signieren von Code

Das digitale Signieren eines Dokuments ist der Vorgang des "Stempelns" eines Dokuments, sodass der Empfänger des Dokuments sicher sein kann, dass es aus einer bestimmten Quelle stammt, und erkennen kann, ob sich der Inhalt des Dokuments seit dem Signieren des Dokuments geändert hat. Darüber hinaus können digitale Signaturen verwendet werden, um ein Dokument als schreibgeschützt zu kennzeichnen, um seine Authentizität und Integrität zu schützen.

Zusätzlich zu digitalen Signaturen können Dokumente auch in das Dokument integrierte Signaturen enthalten, die im Inhalt des Dokuments sichtbar sind. Der Absender des Dokuments kann nicht signierte Dokumente mit Signaturzeilen erstellen, die zum Signieren an den Empfänger übermittelt werden können. Der Empfänger öffnet das Dokument, sucht nach der Signaturzeile und signiert das Dokument und sendet es dann zurück an den Absender.

Grundlegende Schritte zum digitalen Signieren eines Dokuments:

  1. Der Absender des Dokuments komprimiert den Dokumentinhalt mithilfe eines Prozesses, der als "Hashing" bezeichnet wird, in nur wenige Zeilen. Der komprimierte Inhalt wird als Nachrichtenhash bezeichnet. Das Hashing wird von Software durchgeführt, die speziell für diesen Zweck konzipiert ist.
  2. Der Absender des Dokuments verschlüsselt den Nachrichtenhash dann mithilfe eines privaten Schlüssels, den er von einer Signaturstelle erhält. Das Ergebnis ist eine digitale Signatur.
  3. Der Absender fügt die digitale Signatur an das Dokument an. Alle per Hashing komprimierten Daten sind somit signiert, und die Signatur wurde verschlüsselt und an das Dokument angefügt.
  4. Der Absender sendet das Dokument dann an den Empfänger.
  5. Der Empfänger entschlüsselt das Dokument zuerst mithilfe eines öffentlichen Schlüssels, den er vom Absender erhalten hat. Dadurch wird die Signatur wieder in einen Nachrichtenhash geändert. Ist dies problemlos möglich, ist der Beweis erbracht, dass das Dokument vom Absender signiert wurde.
  6. Der Empfänger führt mithilfe einer Software für das digitale Signieren das Hashing des Dokuments in einen Nachrichtenhash durch und vergleicht diesen Hash mit dem Hash des Absenders. Ergibt sich eine Übereinstimmung, liegt die Bestätigung vor, dass der Inhalt des Dokuments nicht geändert wurde, nachdem der Absender das Dokument gesendet hat.

Digitale Signaturen stehen Kunden seit Office XP zur Verfügung. Office 2007 wurden jedoch Features hinzugefügt, die es Benutzern erleichtern, Dokumente digital zu signieren, ihre Dokumente als schreibgeschützt zu signieren und einem Dokument Inlinedokumentsignaturzeilen hinzuzufügen. Office Benutzer können diese Aufgaben über die Office Benutzeroberfläche ausführen, die auf der Registerkarte "Datei" verfügbar ist.

Mit Office 2007 wurden auch Elemente eingeführt, die das programmatische Arbeiten mit Inline-Signaturen und digitalen Signaturen erleichtern.

Sicheres Bereitstellen von verwalteten COM-Add-Ins in Office

Um Office Sicherheit einzuhalten, müssen verwaltete COM-Add-Ins (COM-Add-Ins für die Common Language Runtime) digital signiert sein, und die Sicherheitseinstellungen der Benutzer sollten im Office Trust Center festgelegt werden, um Add-Ins in Ihren Office-Anwendungen zuzulassen. Außerdem müssen Sie in das Projekt mit verwalteten COM-Add-Ins einen kleinen nicht verwalteten Proxy einbinden, der als Shim bezeichnet wird, um unerwartete Sicherheitswarnungen zu vermeiden.

Automatisieren des Visual Basic-Editors

In Office wird beim Aufrufen der Features des Visual Basic for Applications Extensibility-Objektmodells möglicherweise eine Fehlermeldung angezeigt, dass der programmgesteuerte Zugriff auf das Visual Basic Projekt nicht vertrauenswürdig ist. Um zu verhindern, dass diese Meldung angezeigt wird, wählen Sie die Registerkarte "Datei" > Registerkarte "OptionsTrust > Center" und dann "Trust Center Einstellungen" aus. Wählen Sie als Nächstes auf der Registerkarte Makro Einstellungen das Feld Vertrauen für den Zugriff auf das VBA-Projektobjektmodell aus. Durch Aktivieren dieses Kontrollkästchens ermöglichen Sie Makros in allen Makro-fähigen Dokumenten, die Sie öffnen, auf die kernigen Visual Basic Objekte, Methoden und Eigenschaften zuzugreifen.

Die Aktivierung der Option stellt möglicherweise ein Sicherheitsrisiko dar. Es wird empfohlen, das Kontrollkästchen Zugriff auf das VBA-Projektobjektmodell vertrauen nur für die Dauer eines Makros zu aktivieren, von dem auf das Visual Basic-Objektmodell zugegriffen wird. Stellen Sie sicher, dass Sie das Kontrollkästchen Zugriff auf das VBA-Projektobjektmodell vertrauen deaktivieren, nachdem die Ausführung des Makros beendet ist.

Verwenden von Kennwörtern

Vermeiden Sie das Verwenden von hartcodierten Kennwörtern in Anwendungen. Fordern Sie das Kennwort vom Benutzer an, speichern Sie es in einer Variablen, und verwenden Sie die Variable dann im Code, falls ein Kennwort in einer Prozedur benötigt wird.

Verwenden Sie stets sichere Kennwörter. Sichere Kennwörter sollten folgende Zeichen enthalten:

  • Klein- und Großbuchstaben
  • Zahlen
  • Symbole (z. B. #, $, %und ^)
  • Mindestens acht Zeichen

Sichere Kennwörter sollten keine Muster, Wiederholungen oder Wörter aus Wörterbüchern enthalten.

Beispiele

  • $tR0n9p@$s
  • G80dn[s$M4!

Hinweis

Es ist ratsam, das Kennwort häufig zu ändern, z. B. alle ein bis drei Monate.

Support und Feedback

Haben Sie Fragen oder Feedback zu Office VBA oder zu dieser Dokumentation? Unter Office VBA-Support und Feedback finden Sie Hilfestellung zu den Möglichkeiten, wie Sie Support erhalten und Feedback abgeben können.