Vertrauenswürdige Speicherorte für Office-Dateien

Gilt für:Microsoft 365 Apps, Office LTSC 2021, Office 2019 und Office 2016

Vertrauenswürdige Speicherorte sind ein Feature von Office, bei dem Dateien in diesen Ordnern als sicher angesehen werden, z. B. Dateien, die Sie selbst erstellen oder aus einer vertrauenswürdigen Quelle speichern. Diese Dateien umgehen Bedrohungsschutzdienste, umgehen Dateiblockeinstellungen, und alle aktiven Inhalte sind aktiviert. Dies bedeutet, dass Dateien, die an vertrauenswürdigen Speicherorten gespeichert sind, nicht in der geschützten Ansicht oder im Application Guard geöffnet werden.

Aktive Inhalte können nicht signierte Add-Ins, VBA-Makros, Verbindungen mit externen Daten und vieles mehr enthalten. Es ist wichtig, der ursprünglichen Quelle der Datei zu vertrauen, wenn Sie sie an einem vertrauenswürdigen Speicherort speichern, da alle aktiven Inhalte aktiviert werden und Benutzer nicht über potenzielle Sicherheitsrisiken benachrichtigt werden. Das folgende Diagramm zeigt den Vertrauensstellungsworkflow zum Öffnen von Office-Dateien.

Flussdiagramm, das zeigt, wie Office entscheidet, ob aktive Inhalte angezeigt werden sollen, wobei der Schritt

Wie in Schritt 2 gezeigt, umgehen Dateien an vertrauenswürdigen Speicherorten alle anderen Sicherheits- und Richtlinienüberprüfungen. Daher sollten vertrauenswürdige Speicherorte nur in seltenen Fällen und nur für ausgewählte Benutzer verwendet werden. In der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise wird empfohlen, netzwerkbasierte vertrauenswürdige Speicherorte zu deaktivieren. Steuern Sie dann bei Bedarf vertrauenswürdige Speicherorte zentral über die Richtlinie, und erlauben Sie Benutzern nicht, vertrauenswürdige Speicherorte selbst festzulegen.

Planungsschritte für vertrauenswürdige Speicherorte

Vertrauenswürdige Speicherorte wirken sich auf den gesamten Inhalt einer Datei aus. Hierzu zählen Add-Ins, ActiveX-Steuerelemente, Links, Links zu Datenquellen und Medien sowie VBA-Makros. Dateien, die von vertrauenswürdigen Speicherorten geöffnet werden, überspringen Dateivalidierungsprüfungen, Dateiblocküberprüfungen und werden nicht in der geschützten Ansicht oder von Application Guard geöffnet. Es gibt verschiedene Vertrauensebenen, die Sie in Ihrer Organisation für vertrauenswürdige Speicherorte zulassen können:

  • Endbenutzern das Erstellen vertrauenswürdiger Speicherorte auf ihrem Gerät oder Netzwerk selbst gestatten
  • Verwenden einer Richtlinie, um zu verhindern, dass Benutzer vertrauenswürdige Speicherorte erstellen
  • Verwenden einer Richtlinie zum zentralen Verwalten vertrauenswürdiger Speicherorte
  • Deaktivieren vertrauenswürdiger Speicherorte

Es ist wichtig, die Szenarien auszuwählen, die für Ihre Organisation und ihre Sicherheitsrisikotoleranz am besten geeignet sind.

Hinweis

Einige vertrauenswürdige Speicherorte werden standardmäßig erstellt, wenn Office installiert ist. Eine Liste dieser vertrauenswürdigen Speicherorte finden Sie unter Vertrauenswürdige Standardspeicherorte für Office-Apps.

Zum Implementieren von vertrauenswürdigen Speicherorten müssen Sie die folgenden Komponenten bestimmen:

  • Die Office-Apps, für die Sie vertrauenswürdige Speicherorte konfigurieren möchten.
  • Die Ordner, die Sie als vertrauenswürdige Speicherorte festlegen möchten
  • Die Freigabeeinstellungen für Ordner und die Sicherheitseinstellungen für Ordner, die Sie auf Ihre vertrauenswürdigen Speicherorte anwenden möchten
  • Die Einschränkungen, die Sie auf vertrauenswürdige Speicherorte anwenden möchten

Bestimmen der Office-Apps, für die Sie vertrauenswürdige Speicherorte konfigurieren möchten

Sie können die Liste der vertrauenswürdigen Speicherorte einsehen, indem Sie in den folgenden Office-Apps zu Datei>Optionen>Trust Center>Trust Center-Einstellungen...>Vertrauenswürdige Speicherorte wechseln:

  • Access
  • Excel
  • PowerPoint
  • Visio
  • Word

Richtlinien sind verfügbar, um vertrauenswürdige Speicherorte für jede dieser Office-Apps zu verwalten. Weitere Informationen finden Sie unter Verwenden einer Richtlinie zum Verwalten vertrauenswürdiger Speicherorte.

Hinweis

Richtlinien sind auch für Project verfügbar, aber Project hat keine Einstellungen für vertrauenswürdige Speicherorte im Trust Center.

Bestimmen der Ordner, die als vertrauenswürdige Speicherorte festgelegt werden

Im Folgenden finden Sie einige Überlegungen, die Sie berücksichtigen sollten, wenn Sie bestimmen, welche Ordner als vertrauenswürdige Speicherorte verwendet werden sollen:

  • Sofern nicht durch eine Richtlinie blockiert, können Benutzer vertrauenswürdige Speicherorte im Trust Center für ihre Office-App erstellen und ändern. Weitere Informationen finden Sie unter Hinzufügen, Entfernen oder Ändern eines vertrauenswürdigen Speicherorts.

  • Standardmäßig sind nur lokale vertrauenswürdige Speicherorte auf dem Gerät des Benutzers zulässig. Netzwerkspeicherorte können auch als vertrauenswürdiger Speicherort festgelegt werden. Dies wird jedoch nicht empfohlen.

  • Es wird nicht empfohlen, Stammordner als vertrauenswürdige Speicherorte anzugeben. Beispielsweise das Laufwerk "C:" oder der Ordner "Eigene Dokumente". Erstellen Sie stattdessen einen Unterordner innerhalb dieser Ordner, und geben Sie nur diesen Ordner als vertrauenswürdigen Speicherort an.

  • Mindestens eine Anwendung kann denselben vertrauenswürdigen Speicherort verwenden.

  • Sie können die Richtlinie Vertrauenswürdiger Speicherort Nr. 1 verwenden, um vertrauenswürdige Speicherorte für Ihre Benutzer festzulegen.

Bestimmen der Freigabeeinstellungen und der Sicherheitseinstellungen für die als vertrauenswürdige Speicherorte festgelegten Ordner

Alle Ordner, die Sie als vertrauenswürdige Speicherorte angeben, müssen gesichert werden, um zu verhindern, dass böswillige Benutzer Dateien an einem vertrauenswürdigen Speicherort hinzufügen oder ändern.

Wenn ein Ordner freigegeben ist, konfigurieren Sie Freigabeberechtigungen, sodass nur berechtigte Benutzer auf den freigegebenen Ordner zugreifen können.

Beachten Sie unbedingt die Regel der geringsten Rechte, und erteilen Sie einem Benutzer die geeigneten Berechtigungen. Das heißt, erteilen Sie den Benutzern, die die Dateien an den vertrauenswürdigen Speicherorten nicht ändern müssen, Leseberechtigung, und erteilen Sie den Benutzern, die Dateien bearbeiten müssen, die Berechtigung "Vollzugriff".

Verwenden einer Richtlinie zum Verwalten vertrauenswürdiger Speicherorte

Es gibt mehrere Richtlinien, mit denen Sie vertrauenswürdige Speicherorte in Ihrer Organisation verwalten können.

Sie können die Cloudrichtlinie, das Microsoft Intune Admin Center oder die Gruppenrichtlinien-Verwaltungskonsole verwenden, um Richtlinieneinstellungen für Benutzer in Ihrer Organisation zu konfigurieren und bereitzustellen. Weitere Informationen finden Sie unter Verfügbare Tools zum Verwalten von Richtlinien.

Hinweis

Für volumenlizenzierte Versionen von Office 2016, z. B. Office Professional Plus 2016, können Sie das Office-Anpassungstool (OAT) verwenden, um vertrauenswürdige Speicherorte zu konfigurieren. Weitere Informationen finden Sie unter Office-Anpassungstool (OAT) 2016-Hilfe: Office-Sicherheitseinstellungen.

Es gibt separate Richtlinien für vertrauenswürdige Speicherorte für jede Office-Anwendung. Die folgende Tabelle zeigt, wo sich die einzelnen Richtlinien im Gruppenrichtlinien-Verwaltungskonsole unter "Benutzerkonfiguration\Richtlinien\Administrative Vorlagen" befinden.

App Richtlinienspeicherort
Access Microsoft Access 2016\Application Settings\Security\Trust Center\Trusted Locations
Excel Microsoft Excel 2016\Excel Options\Security\Trust Center\Trusted Locations
PowerPoint Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center\Trusted Locations
Project Microsoft Project 2016\Project Options\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word Options\Security\Trust Center\Trusted Locations

Sie können auch die Richtlinie Mischung aus Richtlinien- und Benutzerspeicherorten zulassen konfigurieren, um zu steuern, ob vertrauenswürdige Speicherorte von Benutzern und Administratoren (z. B. durch Richtlinien) definiert werden können oder ob vertrauenswürdige Speicherorte nur durch Richtlinien definiert werden können.

Richtlinie "Vertrauenswürdiger Speicherort Nr. 1"

Sie können diese Richtlinie verwenden, um den Pfad für einen vertrauenswürdigen Speicherort für Benutzer in Ihrer Organisation anzugeben. Es gibt 20 Instanzen dieser Richtlinie. Beispiel: Vertrauenswürdiger Speicherort Nr. 1, Vertrauenswürdiger Speicherort Nr. 2, Vertrauenswürdiger Speicherort Nr. 3 usw.

Standardmäßig sind diese Richtlinien leer. Um einen vertrauenswürdigen Speicherort hinzuzufügen, aktivieren Sie die Richtlinie, und geben Sie den Pfad zum vertrauenswürdigen Speicherort an. Stellen Sie sicher, dass der von Ihnen angegebene Speicherort geschützt ist, indem Sie Berechtigungen festlegen, sodass nur die entsprechenden Benutzer diesem Speicherort Office-Dateien hinzufügen können.

Vertrauenswürdige Speicherorte, die Sie mit dieser Richtlinie angeben, werden im Abschnitt Richtlinienspeicherorte unter Datei>Optionen>Trust Center>Trust Center-Einstellungen...>Vertrauenswürdige Speicherorte angezeigt.

Hinweis

  • Sie können Umgebungsvariablen verwenden, wenn Sie einen vertrauenswürdigen Speicherort angeben.
  • Diese 20 Richtlinien sind auch unter User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center verfügbar. Wenn Sie diese Version der Richtlinie verwenden, gilt die Richtlinie für alle Apps, die vertrauenswürdige Speicherorte unterstützen.

Richtlinie "Vertrauenswürdige Speicherorte im Netzwerk zulassen"

Diese Richtlinie steuert, ob vertrauenswürdige Speicherorte im Netzwerk verwendet werden können.

Standardmäßig sind vertrauenswürdige Speicherorte an Netzwerkspeicherorten deaktiviert. Benutzer können dies jedoch ändern, indem sie zu Datei>Optionen>Trust Center>Trust Center-Einstellungen...>Vertrauenswürdige Speicherorte wechseln und das Kontrollkästchen Vertrauenswürdige Speicherorte in meinem Netzwerk zulassen (nicht empfohlen) auswählen.

Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die Schutzebene, die Sie mit den einzelnen Zuständen erhalten.

Symbol Schutzebene Richtlinienstatus Beschreibung
Grüner Kreis mit weißem Häkchen Geschützt [empfohlen] Deaktiviert Blockiert vertrauenswürdige Speicherorte an Netzwerkspeicherorten, einschließlich aller vom Administrator konfigurierten Speicherorte (z. B. mithilfe der Richtlinie "Vertrauenswürdiger Speicherort Nr. 1").

Ignoriert alle Netzwerkadressen, die von Benutzern als vertrauenswürdige Speicherorte im Trust Center festgelegt wurden, und verhindert, dass Benutzer weitere hinzufügen.
Roter Kreis mit weißem X Nicht geschützt Aktiviert Ermöglicht das Festlegen von Netzwerkspeicherorten als vertrauenswürdige Speicherorte sowohl durch Benutzer als auch durch Richtlinien.
Orangefarbener Kreis mit weißem Häkchen Teilweise geschützt Not Configured Standardmäßig sind Benutzer am Hinzufügen von Netzwerkspeicherorten als vertrauenswürdige Speicherorte gehindert, können dies jedoch aktivieren, indem sie das Kontrollkästchen Vertrauenswürdige Speicherorte in meinem Netzwerk zulassen (nicht empfohlen) im Trust Center aktivieren.

Es wird empfohlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise auf Deaktiviert festzulegen. Sie sollten diese Richtlinie für die meisten Benutzer deaktivieren und bei Bedarf nur Ausnahmen für bestimmte Benutzer vornehmen.

Sie können Webordner als vertrauenswürdige Speicherorte angeben. Es werden jedoch nur diejenigen Webordner als vertrauenswürdige Speicherorte erkannt, die WebDAV-Protokolle (Web Distributed Authoring and Versioning) oder FPRPC-Protokolle (FrontPage Server Extensions Remote Procedure Call) unterstützen.

Richtlinie "Alle vertrauenswürdigen Speicherorte deaktivieren"

Diese Richtlinie kann verwendet werden, um alle vertrauenswürdigen Speicherorte zu deaktivieren.

Standardmäßig sind vertrauenswürdige Speicherorte verfügbar, und Benutzer können jeden Speicherort als vertrauenswürdigen Speicherort festlegen, und ein Gerät kann eine beliebige Kombination aus vom Benutzer erstellten und vom Administrator konfigurierten vertrauenswürdigen Speicherorten aufweisen.

Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die Schutzebene, die Sie mit den einzelnen Zuständen erhalten.

Symbol Schutzebene Richtlinienstatus Beschreibung
Grüner Kreis mit weißem Häkchen Geschützt Aktiviert Alle vertrauenswürdigen Speicherorte sind blockiert.
Roter Kreis mit weißem X Nicht geschützt Deaktiviert Ein Benutzer oder Gerät kann über eine Kombination aus vertrauenswürdigen Speicherorten verfügen, die vom Benutzer erstellt oder vom Administrator konfiguriert wurden (z. B. nach Richtlinie).
Roter Kreis mit weißem X Nicht geschützt Not Configured Dies ist die Office-Standardeinstellung. Stellt das gleiche Verhalten wie Deaktiviert bereit.

Organisationen mit einer stark restriktiven Sicherheitsumgebung legen diese Richtlinie in der Regel auf Aktiviert fest.

Richtlinie "Mischung aus Richtlinien und Benutzerspeicherorten zulassen"

Diese Richtlinie steuert, ob vertrauenswürdige Speicherorte von Benutzern und Administratoren (z. B. nach Richtlinie) definiert werden können oder ob vertrauenswürdige Speicherorte nur durch eine Richtlinie definiert werden können.

Diese Richtlinie finden Sie unter User Configuration\Policies\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center in der Gruppenrichtlinien-Verwaltungskonsole.

Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die Schutzebene, die Sie mit den einzelnen Zuständen erhalten.

Symbol Schutzebene Richtlinienstatus Beschreibung
Grüner Kreis mit weißem Häkchen Geschützt [empfohlen] Deaktiviert Nur durch die Richtlinie definierte vertrauenswürdige Speicherorte sind zulässig.
Roter Kreis mit weißem X Nicht geschützt Aktiviert Ein Benutzer oder Gerät kann über eine Kombination aus vertrauenswürdigen Speicherorten verfügen, die vom Benutzer erstellt oder vom Administrator konfiguriert wurden (z. B. nach Richtlinie).
Roter Kreis mit weißem X Nicht geschützt Not Configured Dies ist die Office-Standardeinstellung. Stellt das gleiche Verhalten wie Aktiviert bereit.

Es wird empfohlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise auf Deaktiviert festzulegen. Sie sollten diese Richtlinie für die meisten Benutzer deaktivieren und bei Bedarf nur Ausnahmen für bestimmte Benutzer vornehmen.

Vertrauenswürdige Standardspeicherorte für Office-Apps

Mehrere Ordner werden in einer Installation von Office als vertrauenswürdige Standardspeicherorte festgelegt. Die standardmäßigen vertrauenswürdigen Speicherorte sind in Tabellen für die folgenden Anwendungen aufgeführt.

Es gibt keine vertrauenswürdigen Standardspeicherorte für Project oder Visio.

Sie können diese Ordner anzeigen, indem Sie zu Datei>Optionen>Trust Center>Trust Center-Einstellungen...>Vertrauenswürdige Speicherorte wechseln.

Vertrauenswürdige Standardspeicherorte für Access

In der folgenden Tabelle sind die standardmäßigen vertrauenswürdigen Speicherorte für Access aufgeführt und ob die Unterordner ebenfalls vertrauenswürdig sind.

Vertrauenswürdiger Standardspeicherort Ordnerbeschreibung Vertrauenswürdige Unterordner?
Program Files\Microsoft Office\Root\Office16\ACCWIZ Assistentendatenbanken Nein (Nicht zulässig)

Vertrauenswürdige Standardspeicherorte für Excel

In der folgenden Tabelle ist aufgeführt, welche Ordner die standardmäßigen vertrauenswürdigen Speicherorte für Excel sind und ob die Unterordner ebenfalls vertrauenswürdig sind.

Vertrauenswürdige Standardspeicherorte Ordnerbeschreibung Vertrauenswürdige Unterordner?
Programme\Microsoft Office\Root\Templates Anwendungsvorlagen Ja (Zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Templates Benutzervorlagen Nein (Nicht zulässig)
Program Files\Microsoft Office\Root\Office16\XLSTART Excel-Startup Ja (Zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART Benutzer-Startup Nein (Nicht zulässig)
Program Files\Microsoft Office\Root\Office16\STARTUP Office-Startup Ja (Zulässig)
Program Files\Microsoft Office\Root\Office16\Library Add-Ins Ja (Zulässig)

Vertrauenswürdige Standardspeicherorte für PowerPoint

In der folgenden Tabelle sind die standardmäßigen vertrauenswürdigen Speicherorte für PowerPoint aufgeführt und ob die Unterordner ebenfalls vertrauenswürdig sind.

Vertrauenswürdige Standardspeicherorte Ordnerbeschreibung Vertrauenswürdige Unterordner?
Programme\Microsoft Office\Root\Templates Anwendungsvorlagen Ja (Zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Templates Benutzervorlagen Ja (Zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Addins Add-Ins Nein (Nicht zulässig)
Program Files\Microsoft Office\Root\Document Themes 16 Anwendungsdesigns Ja (Zulässig)

Vertrauenswürdige Standardspeicherorte für Word

In der folgenden Tabelle sind die standardmäßigen vertrauenswürdigen Speicherorte für Word aufgeführt und ob die Unterordner ebenfalls vertrauenswürdig sind.

Vertrauenswürdige Standardspeicherorte Ordnerbeschreibung Vertrauenswürdige Unterordner?
Programme\Microsoft Office\Root\Templates Anwendungsvorlagen Ja (Zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Templates Benutzervorlagen Nein (Nicht zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Word\Startup Benutzer-Startup Nein (Nicht zulässig)