Übersicht über die Sicherheit in Office 2013

  • Artikel

 

Gilt für: Office 2013, Office 365 ProPlus

Letztes Änderungsdatum des Themas: 2016-12-16

Zusammenfassung: In diesem Artikel werden die neuen Sicherheitsfeatures von Office 2013 vorgestellt: Authentifizierung, Identität, Web App-Katalog und -Erweiterung, hinterlegter Schlüssel usw.

Zielgruppe: IT-Spezialisten

Office 2013 verfügt über neue Authentifizierungsfunktionen. Benutzer erstellen jetzt ein Profil, melden sich einmalig an und können dann nahtlos mit lokalen und cloudbasierten Office-Dateien arbeiten, ohne sich erneut identifizieren zu müssen. Die Benutzer können mehrere Dienste (beispielsweise das OneDrive for Business einer Organisation oder das persönliche OneDrive-Konto des Benutzers) mit ihrem Office-Profil verknüpfen. Anschließend haben sie direkten Zugriff auf alle ihre Dateien und den zugehörigen Speicher. Die Benutzer authentifizieren sich lediglich einmal für alle Office-Apps, einschließlich OneDrive. Dies gilt unabhängig davon, ob es sich beim Identitätsanbieter um das Microsoft-Konto oder um die Benutzer-ID handelt, mit der Sie auf Office 365 für Berufstätige und kleine Unternehmen zugreifen, und auch das von der App verwendete Authentifizierungsprotokoll spielt hierbei keine Rolle. Beispiele für Protokolle wären OAuth, die formularbasierte oder anspruchsbasierte Authentifizierung sowie die integrierte Windows-Authentifizierung. Die Benutzer profitieren von diesem Feature, weil es einfach funktioniert. Und die IT-Mitarbeiter freuen sich über die komfortable Verwaltbarkeit der verbundenen Dienste.

Übersichtspfeil für Anleitung zur Office-Sicherheit.

Dieser Artikel ist Bestandteil der Leitfaden für die Office 2013-Sicherheit. Verwenden Sie diese Übersicht als Ausgangspunkt für Artikel, Downloads, Poster und Videos, mit deren Hilfe Sie die Sicherheit von Office 2013 bewerten.

Sie interessieren sich für Informationen, die die Sicherheit einzelner Office 2013-Anwendungen betreffen? Sie finden diese Informationen, indem Sie auf Office.com nach "2013-Sicherheit" suchen.

Authentifizierung und Identität in Office 2013

Schutz beginnt bei der Authentifizierung und der Identität. Bei dieser Version von Office findet ein grundlegender Wechsel statt – weg von der computerorientierten Identität und Authentifizierung hin zu einer benutzerorientierten Identität und Authentifizierung. Dadurch können Inhalte, Ressourcen, Listen mit kürzlich verwendeten Elementen, Einstellungen, Links zu Communitys sowie Personalisierungen nahtlos auf dem Desktop, auf einem Tablet, auf einem Smartphone oder auf einem gemeinsam genutzten oder öffentlichen Computer verwendet werden. Für IT-Spezialisten werden Benutzerüberwachungspfade und Kompatibilität ebenfalls nach Identität aufgeschlüsselt.

In dieser neuen Umgebung melden sich Benutzer bei Office 365 mit einer der folgenden Identitäten an:

  • Von Microsoft verwaltete Geschäftliches oder Schulkonto-ID der Organisation.   Für die Verwendung von Office 365 in Unternehmen, bei der von Microsoft gehostete Benutzer-IDs für Unternehmen und kleinere Organisationen in der Cloud gespeichert werden. In diesem Szenario werden auch mehrere verknüpfte Benutzer-IDs sowie das einmalige Anmelden unterstützt.

    – oder –

    Verbundbenutzer-ID der Organisation.   Für die Verwendung von Office 365 in Unternehmen, bei der die IDs der Unternehmensbenutzer lokal gespeichert werden.

  • Microsoft-Konto   Diese Identität wird von Benutzern üblicherweise verwendet, um sich zu privaten Zwecken bei Office 365 anzumelden. Benutzer können mehrere verknüpfte Windows Live IDs besitzen und sich einmalig anmelden, die Authentifizierung durchlaufen und dann in der gleichen Sitzung zwischen Microsoft-Konten wechseln. Dabei ist keine erneute Authentifizierung erforderlich.

Der IT-Administrator kann auch für Benutzer die mehrstufige Authentifizierung für Office 365 einrichten, durch die Sicherheit von Benutzern nicht bloß auf das Kennwort beschränkt bleibt. Bei der mehrstufigen Authentifizierung für Office 365 müssen Benutzer nach der ordnungsgemäßen Eingabe ihres Kennworts einen Telefonanruf, eine SMS oder eine App-Benachrichtigung auf ihrem Smartphone bestätigen. Erst nachdem diese zweite Authentifizierungsstufe erfüllt ist, kann sich der Benutzer anmelden. Die Schritte zur Einrichtung finden Sie im Blogbeitrag Mehrstufige Authentifizierung für Office 365.

Für IT-Administratoren bildet Active Directory das Herz dieses neuen Paradigmas. IT-Admins haben folgende Möglichkeiten:

  • Geräte- und dienstübergreifendes Steuern von Benutzerkennwortrichtlinien

  • Konfigurieren der Betriebssystemumgebung mithilfe von Gruppenrichtlinien

  • Verwenden von Forefront Identity Manager (FIM) oder Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) für die Verwaltung

Die Cloud macht Folgendes möglich:

  • Benutzerkonten lassen sich mithilfe eines Webportals über die Cloud verwalten.   Die Einrichtung ist einfach. Benutzer können manuell bereitgestellt werden, um größtmögliche Steuerungsmöglichkeiten nutzen zu können. Es werden keine Server benötigt. Die Verwaltung dieser Aspekte wird komplett von Microsoft übernommen.

  • Sämtliche lokalen Verzeichnisse werden von Active Directory mit dem Webportal synchronisiert.   Die Bereitstellung kann automatisiert werden und parallel mit den Cloudverwaltungskonten vorhanden sein.

  • Die Benutzer können mit AD FS das einmalige Anmelden nutzen.   Die Bereitstellung kann automatisiert werden, und die mehrstufige Authentifizierung wird unterstützt.

Wie in der folgenden Abbildung gezeigt, sind Sie als IT-Administrator verantwortlich. Wenn Sie in einem kleineren Unternehmen tätig sind, können Sie Identitätsdienste in Microsoft Azure verwenden, um Ihre Benutzer einzurichten, zu verwalten und zu authentifizieren. Benutzerkonten werden in der Microsoft-Cloud mithilfe eines Webportals und Azure Active Directory verwaltet, ohne dass Server erforderlich sind. Microsoft übernimmt die gesamte Verwaltung. Wenn Identität und Authentifizierung vollständig in der Cloud ohne Affinität zu einem lokalen Active Directory-Speicher verwaltet werden, können IT-Administratoren weiterhin IDs und den Benutzerzugriff auf Services über das Portal oder PowerShell-Cmdlets bereitstellen und oder die Bereitstellung aufheben.

In Schritt 1 verbinden sich IT-Spezialisten mit dem Web durch Zugriff auf das Office 365 Admin Center in der Microsoft-Cloud. Sie fordern neue Organisations-IDs an oder verwalten vorhandene.

In Schritt 2 werden diese Anforderungen an Ihr Azure AD weitergeleitet.

In Schritt 3 (sofern dies eine Änderungsanforderung ist) erfolgt die Änderung, die vom Office 365 Admin Center übernommen wird. Wenn es sich um die Anforderung einer neuen ID handelt, wird eine entsprechende Anforderung an die ID-Bereitstellungsplattform übergeben.

In Schritt 4 werden neue IDs und Änderungen an vorhandenen IDs vom Office 365 Admin Center übernommen.

Vollständig in der Cloud verwaltete Office 365-Identität und -Authentifizierung ohne lokale Active Directory-Interaktion

Verwaltung von Identität und Authentifizierung über die Cloud.

Im nächsten Diagramm wird gezeigt, dass sich Benutzer, nachdem Sie sie im Office 365 Admin Center in der Microsoft-Cloud eingerichtet haben, sich auf allen Geräten anmelden können. Und Office 365 ProPlus kann auf bis zu fünf Geräten installiert werden.

Nachdem Sie Benutzer bereitgestellt haben (siehe das vorherige Diagramm), melden sie sich in Schritt 1 mit einer der folgenden Identitäten bei Office an:

  • Geschäftliches oder Schulkonto (Beispiel: mike@contoso.onmicrosoft.com oder mike@contoso.com)

  • Persönliches Microsoft-Konto (Beispiel mike@outlook.com)

In Schritt 2 ermittelt Microsoft, wo sich Benutzer authentifizieren und welche Dateien und Office-Einstellungen sie abhängig von der gewählten Identität nutzen möchten. Diese Identität ist einem Azure AD zugeordnet, und die E-Mail-Identität und das dazugehörige Kennwort werden zwecks Authentifizierung an den ordnungsgemäßen Azure AD-Server übergeben.

In Schritt 3 wird ihre Anforderung getestet und anschließend erfüllt, sodass Office-Anwendungen auf ihr Gerät gestreamt werden und einsatzbereit sind. Ihre auf OneDrive for Business gespeicherten Dokumente, die der jeweiligen Identität zugeordnet sind, stehen zum Anzeigen, Bearbeiten und Speichern zur Verfügung – entweder lokal auf ihrem Gerät oder wieder in OneDrive for Business.

Identitätsbereitstellung mithilfe der Azure-Verzeichnissynchronisierung. Hierbei handelt es sich um eine in der Cloud verwaltete Authentifizierung.

Benutzerumgebung beim Anmelden bei der Cloud.

Das folgende Diagramm zeigt ein Szenario mit einer Hybridlösung aus lokaler und Cloudbereitstellung. Das Azure AD-Synchronisierungstool in der Microsoft-Cloud sorgt für Synchronität zwischen Ihren lokalen und cloudbasierten Unternehmensbenutzeridentitäten.

In Schritt 1 installieren Sie das Azure AD-Synchronisierungstool. Mit diesem Tool können Sie in Azure AD die neuesten Änderungen, die Sie im lokalen Verzeichnis vornehmen, einfließen lassen.

In den Schritten 2 und 3 legen Sie neue Benutzerkonten in Ihrem lokalen Active Directory an. Das Azure AD-Synchronisierungstool überprüft Ihren lokalen Active Directory-Server regelmäßig auf neue Identitäten, die Sie erstellt haben. Anschließend stellt es diese Identitäten im Azure AD bereit, verknüpft die lokalen und Cloudidentitäten miteinander und zeigt diese im Office 365 Admin Center an.

In den Schritten 4 und 5 werden, nachdem Änderungen an der Identität im lokalen Active Directory vorgenommen wurden, diese Änderungen mit demAzure AD synchronisiert und Ihnen über das Office 365 Admin Center zur Verfügung gestellt.

Falls in den Schritten 6 und 7 zu Ihren Benutzern Verbundbenutzer zählen, melden sich diese Benutzer über ihre AD FS an, die ein Sicherheitstoken generieren. Dieses Token wird an das Azure AD übergeben. Das Token wird auf Gültigkeit überprüft, und die Benutzer werden anschließend für Office 365 autorisiert.

Identitätsbereitstellung mithilfe der Windows Azure Actice Directory-Synchronisierung. Die Verwaltung der Authentifizierung erfolgt mithilfe von Active Directory Federation Server 2.0 und über die Cloud.

Identitätsbereitstellung mit AD FS 2.0.

Auf der Benutzeroberfläche wird die Identität bei der Benutzeranmeldung angezeigt.

Die Clientbenutzeroberfläche   Zu Beginn jeder Sitzung können die Benutzer entscheiden, ob sie über ihr Microsoft-Konto eine Verbindung mit ihrer persönlichen Cloud oder – für Dienste wie Office 365 sowie für den Zugriff auf ihre Dokumente, Bilder oder andere Daten – eine Verbindung mit ihrem lokalen Unternehmensserver oder mit der von Microsoft verwalteten Cloud herstellen möchten.

Falls ein Benutzer eine Verbindung mithilfe seiner Microsoft-ID herstellt, erfolgt die Anmeldung über sein Microsoft-Konto (ehemals Passport oder Windows Live ID). Alternativ kann die Verbindung auch unter Verwendung der Benutzer-ID hergestellt werden, die für den Zugriff auf Office 365 verwendet wird.

Nach der Anmeldung kann der Benutzer über die Backstage-Ansicht jederzeit und in jeder beliebigen Office-App seine Identität wechseln.

Die Clientinfrastruktur   Das An- und Abmelden sowie das Wechseln der aktiven Benutzeridentität wird im Hintergrund durch Clientauthentifizierungs-APIs ermöglicht. Mithilfe weiterer APIs werden Roamingeinstellungen (Voreinstellungen und zuletzt verwendete Dokumente) sowie die Dienste nachverfolgt, die den einzelnen Identitäten zur Verfügung stehen.

Weitere Cloudidentitätsdienste   Benutzer werden automatisch bei den folgenden systemeigenen Diensten angemeldet:

  • OneDrive (Microsoft-Kontoanmeldung) oder SharePoint Online (Unternehmensidentität)

  • Roaming der zuletzt verwendeten Dateien und Einstellungen

  • Personalisierung

  • Microsoft-Kontoaktivitäten

Die Benutzer können sich nach der Anmeldung mithilfe eines Microsoft-Kontos auch bei Clouddiensten von Drittanbietern anmelden. Wenn sie sich also beispielsweise bei Facebook anmelden, wird die Verbindung mit der entsprechenden Identität verknüpft.

Steuern von Desktopkonfigurationen mithilfe von Gruppenrichtlinieneinstellungen

Zum Festlegen von Benutzereinstellungen für Office stehen über 4.000 Gruppenrichtlinien-Steuerungsobjekte zur Verfügung. Das heißt, Sie können sowohl in geringem Umfang verwaltete als auch stark eingeschränkte Desktopkonfigurationen für Ihre Benutzer erstellen. Gruppenrichtlinieneinstellungen haben stets Vorrang vor den Einstellungen des Office-Anpassungstools (OAT). Mit Gruppenrichtlinieneinstellungen lassen sich auch bestimmte unsichere Dateiformate über das Netzwerk deaktivieren. Weitere Informationen finden Sie unter Konfigurieren der Sicherheit mithilfe des OAT oder Gruppenrichtlinien für Office 2013.

Ein Wort zu Microsoft-Rechenzentren

Das Sicherheitsprogramm für Microsoft-Rechenzentren (Microsoft Data Center Security Program) ist ein risikobasiertes und mehrdimensionales Programm, bei dem Personen, Prozesse und Technologien berücksichtigt werden. Dank des Datenschutzprogramms gelten beim Umgang mit Daten sowie beim Datentransfer einheitlich hohe Datenschutzstandards. Darüber hinaus sind die Microsoft-Rechenzentren auch physisch abgesichert: Die über 65.000 Quadratmeter Fläche und die zehntausenden Server werden rund um die Uhr bewacht. Bei einem Stromausfall steht eine Notstromversorgung zur Verfügung, die für mehrere Tage ausreicht. Die Rechenzentren sind geografisch redundant und befinden sich in Nordamerika, Europa und Asien.

Ihre E-Mails oder Dokumente werden von Office 365 niemals gescannt, um Analysen zu erstellen, Data Mining zu betreiben, Werbung zu schalten oder unseren eigenen Dienst zu verbessern. Ihre Daten bleiben vollständig in Ihrem Besitz (bzw. im Besitz Ihres Unternehmens), und Sie können die Daten jederzeit von den Servern unserer Rechenzentren entfernen.

Office 365 erfüllt die Anforderungen der folgenden wesentlichen Branchenstandards:

  • ISO 27001 zertifiziert   Office 365 erfüllt oder übertrifft die strengen physischen und logischen sowie verarbeitungs- und verwaltungsbezogenen Vorgaben von ISO/TEC 27001:2005.

  • EU-Modellklauseln   Office 365 erfüllt die Anforderungen an Standardvertragsklauseln im Rahmen der EU-Modellklauseln und dem EU Safe Harbor-Framework und ist in der Lage, diese zu signieren.

  • Vertrag für Geschäftspartner (HIPAA)   Von Office 365 können Anforderungen für HIPAA mit allen Kunden signiert werden. HIPAA regelt die Verwendung, Offenlegung und die Bewahrung geschützter Gesundheitsinformationen.

Kataloge und Weberweiterungen

Office 2013 enthält ein neues Erweiterbarkeitsmodell für Office-Clients, das Webentwicklern die Erstellung von Apps für Office ermöglicht. Hierbei handelt es sich um Weberweiterungen, durch die Office-Clients mit Webfunktionen erweitert werden. Eine Apps für Office ist eine Region innerhalb einer Office-Anwendung, die eine Webseite enthält, welche mit dem Dokument interagieren kann, um Inhalte hervorzuheben sowie neue interaktive Inhaltsarten und Funktionen zur Verfügung zu stellen. Benutzer können Apps für Office können über den neuen Office Marketplace oder aus einem privaten Katalog in Form eigenständiger Apps, in Form von Unterkomponenten einer Dokumentvorlagenlösung oder in Form einer SharePoint-Anwendung beziehen.

Im Trust Center können Sie unter Vertrauenswürdige App-Kataloge die Apps für Office steuern. Nachstehend finden Sie einige Beispiele:

  • Alle Apps deaktivieren

  • Nur Apps aus dem Office Store deaktivieren

  • Vertrauenswürdige Kataloge in der Tabelle der vertrauenswürdigen Kataloge hinzufügen oder daraus entfernen

Zurücksetzen des Kennworts für ein Dokument mit einem hinterlegten Schlüssel und dem neuen DocRecrypt-Tool

Office 2013 bietet eine neue Funktion für hinterlegte Schlüssel. Dank dieser Funktion kann der IT-Administrator einer Organisation kennwortgeschützte Dokumente mittels eines privaten hinterlegten Schlüssels entschlüsseln. Wurde ein Dokument also beispielsweise mit Word, Excel oder PowerPoint verschlüsselt, und der ursprüngliche Besitzer des Dokuments hat entweder sein Kennwort vergessen oder ist inzwischen aus der Organisation ausgeschieden, kann der IT-Administrator mithilfe des privaten hinterlegten Schlüssels die Daten aus dem Dokument abrufen.

Die Funktion für hinterlegte Schlüssel kann nur für gespeicherte Dateien verwendet werden, die mit einer fortschrittlichen Verschlüsselung verschlüsselt wurden. Eine solche Verschlüsselung wird standardmäßig von Office 2010 und Office 2013 genutzt. Falls das Standardverhalten aus Kompatibilitätsgründen geändert wurde und stattdessen das Format der Vorversion verwendet wird, ist die Funktion für hinterlegte Schlüssel nicht verfügbar. Ausführliche Informationen zu diesem neuen Feature finden Sie unter Entfernen oder Zurücksetzen von Dateikennwörtern in Office 2013.

Digitale Signaturen

Zu den Verbesserungen für digitale Signaturen in Office 2013 zählen die Folgenden:

  • Unterstützung für Dateiformate vom Typ "Open Document Format" (ODF v1.2)

  • Erweiterungen für XAdES (XML Advanced Electronic Signatures)

Dank der Unterstützung der Dateiformate vom Typ "ODF v1.2" können Benutzer ODF-Dokumente in Office 2013 mit unsichtbaren digitalen Signaturen versehen. Von diesen digital signierten Dokumenten werden keine Signaturzeilen oder -stempel unterstützt. Darüber hinaus bietet Office 2013 eine Überprüfung der digitalen Signatur von ODF-Dokumenten, die innerhalb einer anderen Anwendung signiert wurden, aber in Office 2013 geöffnet werden.

Zu den XAdES-Verbesserungen in Office 2013 zählt eine höhere Benutzerfreundlichkeit beim Erstellen einer digitalen XAdES-Signatur. Die Benutzer erhalten ausführlichere Signaturinformationen.

Verwaltung von Informationsrechten (Information Rights Management, IRM)

Office 2013 enthält einen neuen IRM-Client mit einer neuen Benutzeroberfläche zur Vereinfachung der Identitätsauswahl. Auch die automatische Diensterkennung von Rechteverwaltungsdienst-Servern wird unterstützt. Darüber hinaus verfügt Office 2013 über Unterstützung für IRM (schreibgeschützt) für Microsoft Office-WACs (Web Application Companions). Von WACs können IRM-geschützte Dokumente in einer SharePoint-Bibliothek oder IRM-geschützte Dokumente angezeigt werden, die Nachrichten in Outlook Web Access (OWA) angefügt wurden.

Geschützte Ansicht

Office 2013verfügt über eine verbesserte geschützte Ansicht (Sandkastentechnologie), wenn Office 2013 in Kombination mit dem Betriebssystem Windows 8 verwendet wird. Office 2013 verwendet das AppContainer-Feature von Windows 2012, das sowohl für eine stärkere Isolierung sorgt als auch den Netzwerkzugriff aus dem Sandkasten verhindert. Die geschützte Ansicht wurde in Office 2010. eingeführt und trägt zur Verringerung von Exploits für Computer bei, indem Dateien in einer eingeschränkten Umgebung (der so genannten Lowbox) geöffnet werden, um sie dort vor dem Öffnen und Bearbeiten in Excel, PowerPoint oder Word untersuchen zu können.

Office 2013 – von Grund auf unter Sicherheitsgesichtspunkten entwickelt

Bei Microsoft werden Sicherheitsaspekte in jedem Schritt des Softwarelebenszyklus berücksichtigt. Jeder Mitarbeiter, der an einem Office-Feature oder -Produkt arbeitet, muss ein Sicherheitstraining absolvieren und sich hinsichtlich der Entwicklungen in der Branche sowie hinsichtlich der aktuellen Bedrohungslage auf dem Laufenden halten. Bei der Entwicklung eines Features oder Produkts muss das Team von Anfang an die Sicherheit der Benutzerdaten sowie den Datenschutz im Auge haben und sich Gedanken darüber machen, wie sich entsprechende Bedrohungen mittels Verschlüsselung, Authentifizierung oder anderen Methoden verringern lassen. Die Entscheidungen des Teams basieren auf der Umgebung, auf dem zu erwartenden oder wahrscheinlichen Gefährdungsgrad sowie auf der Sensibilität der Daten. Vor der Veröffentlichung eines Office-Produkts führt das Team mehrere Angriffsflächentests durch und erstellt einen Reaktionsplan für entsprechende Vorfälle.

Microsoft verlässt sich bei der Gewährleistung der Sicherheit von Benutzerdaten nicht allein auf die Mitarbeiter, sondern verwendet auch Tools und automatisierte Qualitätssicherungstests. Diese fallen in drei allgemeine Kategorien:

  • Funktionstests, bei denen jeder Teil der Benutzeroberfläche getestet wird, um sicherzustellen, dass Benutzereingaben, Ausgaben und Aktionen den Erwartungen und Ankündigungen entsprechen.

  • Tests mit zufälligen Daten, bei denen der Software große Mengen an zufälligen oder unerwarteten Daten hinzugefügt werden, um Sicherheitsprobleme aufzudecken. Tests mit zufälligen Daten spielten bei der Veröffentlichung von Office 2007 eine große Rolle und werden in ähnlichem Umfang auch für die neueste Version eingesetzt.

  • Für Webanwendungen werden dynamische oder webbasierte Scantools verwendet, um nach möglichen Sicherheitsfehlern wie websiteübergreifendem Skripting (Cross-Site Scripting, XSS) oder der Einschleusung von SQL-Befehlen zu suchen.

Die Tests werden ständig weitergeführt. Für Sicherheitsprobleme, die nach der Produktveröffentlichung zutage treten, ist das Microsoft Security Response Center (MSRC) zuständig. Dieses Team kann schnell mobilisiert werden und zeitnah Korrekturen für Kunden bereitstellen.

Ein kurzer Überblick über den Sicherheitsprozess der letzten Office-Versionen

Die Sicherheitssteuerelemente, die in Office XP, Office 2003, Office 2007 und Office 2010 eingeführt wurden, haben zu einer Verringerung der Angriffe, zu einer höheren Benutzerfreundlichkeit sowie zu einer Verstärkung und Verringerung der Angriffsfläche geführt und den IT-Administratoren das Erstellen stabiler Verteidigungsmaßnahmen gegen Bedrohungen erleichtert, ohne dabei die Benutzerproduktivität zu beeinträchtigen. Dies ist auf folgende Punkte zurückzuführen:

Die Einführung der folgenden Features hatte eine Verringerung der Angriffe auf Office zur Folge:

  • Geschützte Ansicht

  • Dokumentflussschutz

  • Patchverwaltung

  • Kryptografische Flexibilität

Die folgenden Features führten zu einer Verbesserung der Benutzerfreundlichkeit:

  • Das Trust Center und die Meldungsleiste, vertrauenswürdige Speicherorte, vertrauenswürdige Herausgeber und dauerhafte Vertrauensentscheidungen

  • Sicherheitshinweise mit ausführbaren Aktionen

  • Verbesserungen beim Feature "Mit Kennwort verschlüsseln"

  • Dokumentprüfung

  • Unterstützung des XML-Dateiformats

Die Angriffsfläche von Office wurde mithilfe der folgenden Features verstärkt:

  • Unterstützung der Datenausführungsverhinderung (Data Execution Prevention, DEP)

  • Erzwingung von Gruppenrichtlinien

  • Unterstützung vertrauenswürdiger Zeitstempel für digitale Signaturen

  • Domänenbasierte Überprüfung und Erzwingung der Kennwortkomplexität

  • Verbesserungen bei der Verschlüsselungsverstärkung

  • CryptoAPI-Unterstützung

Mithilfe der folgenden Features wurde die Angriffsfläche von Office verringert:

  • Office-Dateiüberprüfung

  • Erweiterte Einstellungen für den Zugriffsschutz

  • Sicherheit für ActiveX-Steuerelemente

  • ActiveX-Killbit

  • Integritätsprüfung für verschlüsselte Dateien

  • Sicherheitsstufen für Makros

Weitere Informationen zu Dateitests mit zufälligen Daten

Dateitests mit zufälligen Daten dienen zum Ermitteln zuvor unbekannter Sicherheitslücken in unterschiedlichen Dateiformaten. Das Office-Team hat Millionen von Dateien unzählige Male mit zufälligen Daten getestet und dabei hunderte Sicherheitslücken aufgedeckt (und behoben).

Weitere Informationen zur Datenausführungsverhinderung

Diese Hardware- und Softwaretechnologie, die in Windows integriert und ab Office auf alle Office 2010-Anwendungen ausgedehnt wurde, erkennt Dateien, von denen versucht wird, Code in reserviertem Speicher auszuführen. Dieser Schutz ist bei 64-Bit-Versionen immer aktiv und kann bei 32-Bit-Versionen mittels Gruppenrichtlinieneinstellungen konfiguriert werden. Wird nicht autorisierter Code entdeckt, fährt die betroffene Anwendung automatisch herunter.

Weitere Informationen zur geschützten Ansicht

Die geschützte Ansicht ermöglicht das sichere Anzeigen verdächtiger Dateien und wurde in Office 2010 eingeführt. Dank des AppContainer-Features von Windows 8 wurde die Prozessisolierung zusätzlich verbessert, da hier auch der Netzwerkzugriff unterbunden wird.

Siehe auch

Leitfaden für die Office 2013-Sicherheit
Übersicht über Identität, Authentifizierung und Autorisierung in Office 2013
Vergleich der Sicherheitsfeatures in Office 365- und Office 2013-SKUs
Planen der Verwaltung von Informationsrechten in Office 2013
Planen von Einstellungen für digitale Signaturen für Office 2013