• Artikel

Planen von Einstellungen für vertrauenswürdige Speicherorte für Office 2010

 

Gilt für: Office 2010

Letztes Änderungsdatum des Themas: 2015-03-09

Um zwischen sicheren und potenziell schädlichen Dateien zu unterscheiden, können Sie das Feature für vertrauenswürdige Speicherorte in Microsoft Office 2010 verwenden. Hiermit können Sie vertrauenswürdige Dateiquellen auf den Festplatten von Benutzercomputern oder auf einer Netzwerkfreigabe festlegen. Wenn ein Ordner als vertrauenswürdige Dateiquelle gekennzeichnet ist, gilt jede Datei, die in dem Ordner gespeichert ist, als vertrauenswürdig. Wenn eine vertrauenswürdige Datei geöffnet wird, sind alle Inhalte in der Datei aktiviert, und Benutzer werden nicht über potenzielle Risiken benachrichtigt, die möglicherweise in der Datei enthalten sind, z. B. unsignierte Add-Ins, VBA-Makros (Microsoft Visual Basic for Applications), Links zu Inhalten im Internet oder Datenbankverbindungen.

Inhalt dieses Artikels:

  • Informationen zum Planen von Einstellungen für vertrauenswürdige Speicherorte

  • Implementieren von vertrauenswürdigen Speicherorten

  • Deaktivieren von vertrauenswürdigen Speicherorten

Informationen zum Planen von Einstellungen für vertrauenswürdige Speicherorte

Office 2010 umfasst verschiedene Einstellungen, mit denen Sie das Verhalten von vertrauenswürdigen Speicherorten steuern können. Diese Einstellungen bieten die folgenden Konfigurationsmöglichkeiten:

  • Angeben von vertrauenswürdigen Speicherorten global oder für einzelne Anwendungen

  • Zulassen von vertrauenswürdigen Speicherorten auf Remotefreigaben

  • Verhindern, dass Benutzer vertrauenswürdige Speicherorte festlegen

  • Deaktivieren von vertrauenswürdigen Speicherorten

Das Feature für vertrauenswürdige Speicherorte ist in folgenden Anwendungen verfügbar: Microsoft Access 2010, Microsoft Excel 2010, Microsoft InfoPath 2010, Microsoft PowerPoint 2010, Microsoft Visio 2010 und Microsoft Word 2010.

In der folgenden Liste wird die Standardkonfiguration für das Feature für vertrauenswürdige Speicherorte beschrieben:

  • Vertrauenswürdige Speicherorte sind aktiviert.

  • Benutzer können keine Netzwerkfreigaben als vertrauenswürdige Speicherorte festlegen. Allerdings können Benutzer diese Einstellung im Sicherheitscenter ändern.

  • Benutzer können der Liste vertrauenswürdiger Speicherorte Ordner hinzufügen.

  • Sowohl benutzerdefinierte als auch durch Richtlinien definierte vertrauenswürdige Speicherorte können verwendet werden.

Darüber hinaus sind mehrere Ordner in einer Standardinstallation von Office 2010 als vertrauenswürdige Speicherorte festgelegt. Die Standardordner für jede Anwendung sind in den folgenden Tabellen aufgeführt. (In InfoPath 2010 und Visio 2010 gibt es standardmäßig keine vertrauenswürdigen Speicherorte.)

Vertrauenswürdige Speicherorte in Access 2010

In der folgenden Tabelle sind die vertrauenswürdigen Standardspeicherorte für Access 2010 aufgeführt.

Vertrauenswürdige Standardspeicherorte Ordnerbeschreibung Vertrauenswürdige Unterordner

Programme\Microsoft Office\Office14\ACCWIZ

Assistentendatenbanken

Nicht zulässig

Vertrauenswürdige Speicherorte in Excel 2010

In der folgenden Tabelle sind die vertrauenswürdigen Standardspeicherorte für Excel 2010 aufgeführt.

Vertrauenswürdige Standardspeicherorte Ordnerbeschreibung Vertrauenswürdige Unterordner

Programme\Microsoft Office\Templates

Anwendungsvorlagen

Zulässig

Users\Benutzername\Appdata\Roaming\Microsoft\Templates

Benutzervorlagen

Nicht zulässig

Programme\Microsoft Office\Office14\XLSTART

Excel-Startup

Zulässig

Users\Benutzername\Appdata\Roaming\Microsoft\Excel\XLSTART

Benutzer-Startup

Nicht zulässig

Programme\Microsoft Office\Office14\STARTUP

Office-Startup

Zulässig

Programme\Microsoft Office\Office14\Library

Add-Ins

Zulässig

Vertrauenswürdige Speicherorte in PowerPoint 2010

In der folgenden Tabelle sind die vertrauenswürdigen Standardspeicherorte für PowerPoint 2010 aufgeführt.

Vertrauenswürdige Standardspeicherorte Ordnerbeschreibung Vertrauenswürdige Unterordner

Programme\Microsoft Office\Templates

Anwendungsvorlagen

Zulässig

Users\Benutzername\Appdata\Roaming\Microsoft\Templates

Benutzervorlagen

Zulässig

Users\Benutzername\Appdata\Roaming\Microsoft\Addins

Add-Ins

Nicht zulässig

Programme\Microsoft Office\Document Themes 14

Anwendungsdesigns

Zulässig

Vertrauenswürdige Speicherorte in Word 2010

In der folgenden Tabelle sind die vertrauenswürdigen Standardspeicherorte für Word 2010 aufgeführt.

Vertrauenswürdige Standardspeicherorte Ordnerbeschreibung Vertrauenswürdige Unterordner

Programme\Microsoft Office\Templates

Anwendungsvorlagen

Zulässig

Users\Benutzername\Appdata\Roaming\Microsoft\Templates

Benutzervorlagen

Nicht zulässig

Users\Benutzername\Appdata\Roaming\Microsoft\Word\Startup

Benutzer-Startup

Nicht zulässig

Hinweis

Weitere Informationen zum Konfigurieren von Sicherheitseinstellungen im Office-Anpassungstool (OAT) und mithilfe von administrativen Vorlagen für Office 2010 finden Sie unter Konfigurieren der Sicherheit für Office 2010.

Implementieren von vertrauenswürdigen Speicherorten

Zur Implementierung von vertrauenswürdigen Speicherorten müssen Sie Folgendes bestimmen:

  • Für welche Anwendungen sollen vertrauenswürdige Speicherorte konfiguriert werden?

  • Welche Ordner sollen als vertrauenswürdige Speicherorte festgelegt werden?

  • Welche Ordnerfreigabe- und Ordnersicherheitseinstellungen sollen für vertrauenswürdige Speicherorte gelten?

  • Welche Einschränkungen sollen für vertrauenswürdige Speicherorte gelten?

Bestimmen der Anwendungen, die konfiguriert werden sollen

Verwenden Sie die folgenden Richtlinien, um die Anwendungen zu ermitteln, für die vertrauenswürdige Speicherorte konfiguriert werden sollen:

  • Vertrauenswürdige Speicherorte wirken sich auf alle Inhalte in einer Datei aus, z. B. Add-Ins, ActiveX-Steuerelemente, Hyperlinks, Verknüpfungen mit Datenquellen und Medien sowie VBA-Makros. Dateien, die von vertrauenswürdigen Speicherorten geöffnet werden, werden darüber hinaus bei der Dateiüberprüfung und der Überprüfung für Zugriffsschutz übersprungen und nicht in der geschützten Ansicht geöffnet.

  • Jede Anwendung enthält die gleichen Einstellungen zum Konfigurieren von vertrauenswürdigen Speicherorten. Das bedeutet, dass Sie vertrauenswürdige Speicherorte für jede Anwendung individuell anpassen können.

  • Sie können vertrauenswürdige Speicherorte für eine oder mehrere Anwendungen deaktivieren und für andere Anwendungen implementieren.

Bestimmen der Ordner, die als vertrauenswürdige Speicherorte festgelegt werden sollen

Verwenden Sie die folgenden Richtlinien, um die Ordner zu ermitteln, die als vertrauenswürdige Speicherorte festgelegt werden sollen:

  • Sie können vertrauenswürdige Speicherorte für eine einzelne Anwendung oder global angeben.

  • Mehrere Anwendungen können einen vertrauenswürdigen Speicherort gemeinsam nutzen.

  • Damit böswillige Benutzer dem vertrauenswürdigen Speicherort keine Dateien hinzufügen oder dort gespeicherte Dateien ändern können, müssen Sie Sicherheitseinstellungen des Betriebssystems auf alle Ordner anwenden, die Sie als vertrauenswürdige Speicherorte festlegen.

  • Standardmäßig sind nur vertrauenswürdige Speicherorte auf Benutzerfestplatten zulässig. Wenn Sie vertrauenswürdige Speicherorte auf Netzwerkfreigaben verwenden möchten, müssen Sie die Einstellung Vertrauenswürdige Speicherorte, die sich nicht auf dem Computer befinden, zulassen aktivieren.

  • Es wird nicht empfohlen, Stammordner als vertrauenswürdige Speicherorte anzugeben, z. B. das Laufwerk C oder die gesamten Ordner Dokumente oder Meine Dateien. Erstellen Sie stattdessen einen Unterordner in diesen Ordnern, und geben Sie nur den Unterordner als vertrauenswürdigen Speicherort an.

Beachten Sie darüber hinaus die Richtlinien in den folgenden Abschnitten, wenn Sie folgende Anforderungen haben:

  • Angeben von vertrauenswürdigen Speicherorten mithilfe von Umgebungsvariablen

  • Angeben von Webordnern (http://-Pfade) als vertrauenswürdige Speicherorte

Angeben von vertrauenswürdigen Speicherorten mithilfe von Umgebungsvariablen

Sie können Umgebungsvariablen mit Gruppenrichtlinien oder dem OAT verwenden, um vertrauenswürdige Speicherorte anzugeben. Wenn Sie jedoch Umgebungsvariablen im OAT verwenden, müssen Sie den Werttyp ändern, der zum Speichern vertrauenswürdiger Speicherorte in der Registrierung verwendet wird, damit die Umgebungsvariablen ordnungsgemäß funktionsfähig sind. Wenn Sie eine Umgebungsvariable zum Angeben eines vertrauenswürdigen Speicherorts verwenden, ohne die erforderliche Änderung an der Registrierung vorzunehmen, wird der vertrauenswürdige Speicherort zwar im Sicherheitscenter aufgeführt, ist aber nicht verfügbar und wird als relativer Pfad mit den Umgebungsvariablen angezeigt. Nachdem Sie den Werttyp in der Registrierung geändert haben, wird der vertrauenswürdige Speicherort im Sicherheitscenter als absoluter Pfad angezeigt und ist verfügbar.

So verwenden Sie Umgebungsvariablen zum Angeben von vertrauenswürdigen Speicherorten

  1. Wechseln Sie im Registrierungs-Editor zu dem vertrauenswürdigen Speicherort, der durch eine Umgebungsvariable dargestellt wird.

    Klicken Sie zum Öffnen des Registrierungs-Editors auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie dann auf OK.

    Vertrauenswürdige Speicherorte, die mithilfe des OAT konfiguriert werden, werden an folgendem Speicherort gespeichert:

    HKEY_CURRENT_USER/Software/Microsoft/Office/14.0/Anwendungsname/Security/Trusted Locations

    Hierbei steht Anwendungsname für Microsoft Access, Microsoft Excel, Microsoft PowerPoint, Microsoft Visio oder Microsoft Word.

    Vertrauenswürdige Speicherorte werden in Registrierungseinträgen namens Path mit dem Werttyp Zeichenfolge (REG_SZ) gespeichert. Achten Sie darauf, jeden Path-Eintrag mit Umgebungsvariablen zu suchen, der einen vertrauenswürdigen Speicherort angibt.

  2. Ändern Sie den Path-Werttyp.

    Anwendungen in Office 2010 können Umgebungsvariablen, die mit dem Werttyp Zeichenfolge (REG_SZ) gespeichert werden, nicht erkennen. Damit Anwendungen Umgebungsvariablen erkennen können, müssen Sie den Werttyp des Path-Eintrags in Wert der erweiterbaren Zeichenfolge (REG_EXPAND_SZ) ändern. Führen Sie hierzu folgende Schritte aus:

    1. Notieren oder kopieren Sie den Wert des Path-Eintrags. Dies sollte ein relativer Pfad mit mindestens einer Umgebungsvariablen sein.

    2. Löschen Sie den Path-Eintrag.

    3. Erstellen Sie einen neuen Path-Eintrag vom Typ Wert der erweiterbaren Zeichenfolge (REG_EXPAND_SZ).

    4. Ändern Sie den neuen Path-Eintrag so, dass er denselben Wert hat, den Sie im ersten Schritt notiert oder kopiert haben.

    Nehmen Sie diese Änderung für jeden Path-Eintrag vor, der einen vertrauenswürdigen Speicherort mithilfe von Umgebungsvariablen angibt.

Angeben von Webordnern als vertrauenswürdige Speicherorte

Sie können Webordner (http://-Pfade) als vertrauenswürdige Speicherorte angeben. Allerdings werden nur Webordner, die die Protokolle WebDAV (Web Distributed Authoring and Versioning) oder FPRPC (FrontPage Server Extensions Remote Procedure Call) unterstützen, als vertrauenswürdige Speicherorte erkannt. Halten Sie sich an die folgenden Richtlinien, wenn Sie nicht sicher sind, ob ein Webordner das WebDAV- oder FPRPC-Protokoll unterstützt:

  • Wenn eine Anwendung von Internet Explorer geöffnet wird, überprüfen Sie die Liste der zuletzt verwendeten Dateien. Wenn aus der Liste der zuletzt verwendeten Dateien hervorgeht, dass sich die Datei auf einem Remoteserver befindet und nicht im Ordner Temporäre Internetdateien, ist es wahrscheinlich, dass der Webordner eine Form von WebDAV unterstützt. Wenn Sie beispielsweise beim Browsen in Internet Explorer auf ein Dokument klicken und dieses in Word 2010 geöffnet wird, sollte aus der Liste der zuletzt verwendeten Dateien hervorgehen, dass sich das Dokument auf dem Remoteserver und nicht im lokalen Ordner Temporäre Internetdateien befindet.

  • Versuchen Sie, im Dialogfeld Öffnen zu dem Webordner zu wechseln. Wenn der Pfad WebDAV unterstützt, können Sie wahrscheinlich zu dem Webordner wechseln oder werden zur Eingabe von Anmeldeinformationen aufgefordert. Wenn der Webordner WebDAV nicht unterstützt, schlägt die Navigation fehl, und das Dialogfeld wird geschlossen.

Hinweis

Websites, die mit Windows SharePoint Services und Microsoft SharePoint Server erstellt werden, können als vertrauenswürdige Speicherorte festgelegt werden.

Ermitteln der Ordnerfreigabe- und Ordnersicherheitseinstellungen

Alle Ordner, die Sie als vertrauenswürdige Speicherorte angeben, müssen gesichert werden. Gehen Sie nach den folgenden Richtlinien vor, um die notwendigen Freigabe- und Sicherheitseinstellungen für jeden vertrauenswürdigen Speicherort zu bestimmen:

  • Konfigurieren Sie bei einem freigegebenen Ordner Freigabeberechtigungen, damit nur autorisierte Benutzer Zugriff auf den freigegebenen Ordner haben. Gehen Sie dabei nach dem Prinzip der geringsten Berechtigung vor, und erteilen Sie die für einen Benutzer geeigneten Berechtigungen. Erteilen Sie also Leseberechtigungen für Benutzer, die vertrauenswürdige Dateien nicht ändern müssen, und Vollzugriff für Benutzer, die die vertrauenswürdigen Dateien ändern müssen.

  • Wenden Sie Ordnersicherheitsberechtigungen an, sodass nur autorisierte Benutzer die Dateien an vertrauenswürdigen Speicherorten lesen oder ändern können. Gehen Sie dabei nach dem Prinzip der geringsten Berechtigung vor, und erteilen Sie die für einen Benutzer geeigneten Berechtigungen. Gewähren Sie Vollzugriff nur Benutzern, die Dateien ändern müssen. Benutzern, die Dateien nur lesen müssen, erteilen Sie restriktivere Berechtigungen.

Ermitteln von Einschränkungen für vertrauenswürdige Speicherorte

Office 2010 umfasst verschiedene Einstellungen, mit denen Sie das Verhalten von vertrauenswürdigen Speicherorten einschränken oder steuern können. Gehen Sie beim Konfigurieren dieser Einstellungen nach den folgenden Richtlinien vor.

Name der Einstellung: Mischung aus Richtlinien- und Benutzerspeicherorten zulassen


  • Beschreibung: Mit dieser Einstellung wird gesteuert, ob vertrauenswürdige Speicherorte von Benutzern, dem OAT und Gruppenrichtlinien definiert werden können oder ob sie nur mithilfe von Gruppenrichtlinien definiert werden sollen. Standardmäßig können Benutzer jeden Speicherort als vertrauenswürdig festlegen, und auf einem Computer kann sich eine beliebige Kombination aus vertrauenswürdigen Speicherorten befinden, die von Benutzern, durch das OAT und über Gruppenrichtlinien erstellt wurden.


  • Auswirkungen: Wenn diese Einstellung deaktiviert ist, werden alle vertrauenswürdigen Speicherorte, die nicht über Gruppenrichtlinien erstellt wurden, deaktiviert, und die Benutzer können im Sicherheitscenter keine neuen vertrauenswürdigen Speicherorte erstellen. Das Deaktivieren dieser Einstellung kann zu Beeinträchtigungen für Benutzer führen, die eigene vertrauenswürdige Speicherorte im Sicherheitscenter definiert haben. In Anwendungen werden solche Speicherorte ebenso wie andere nicht vertrauenswürdige Speicherorte behandelt, d. h., für die Benutzer werden beim Öffnen von Dateien auf der Meldungsleiste Warnungen über Inhalte wie ActiveX-Steuerelemente und VBA-Makros angezeigt. Die Benutzer müssen dann entscheiden, ob sie die Steuerelemente oder Makros aktivieren oder deaktiviert lassen. Dies ist eine globale Einstellung, die für alle Anwendungen gilt, für die Sie vertrauenswürdige Speicherorte konfigurieren.


  • Richtlinien: Diese Einstellung wird in Organisationen mit einer sehr strengen Sicherheitsumgebung in der Regel deaktiviert. Auch in Organisationen, in denen die Desktopkonfigurationen über Gruppenrichtlinien verwaltet werden, wird diese Einstellung normalerweise deaktiviert.

Name der Einstellung: Vertrauenswürdige Speicherorte, die sich nicht auf dem Computer befinden, zulassen


  • Beschreibung: Mit dieser Einstellung wird gesteuert, ob vertrauenswürdige Speicherorte im Netzwerk verwendet werden können. Standardmäßig sind vertrauenswürdige Speicherorte, bei denen es sich um Netzwerkfreigaben handelt, deaktiviert. Benutzer können jedoch im Sicherheitscenter das Kontrollkästchen Vertrauenswürdige Speicherorte im Netzwerk zulassen aktivieren, wodurch es Benutzern ermöglicht wird, Netzwerkfreigaben als vertrauenswürdige Speicherorte festzulegen. Es handelt sich nicht um eine globale Einstellung. Sie müssen diese Einstellung für die Anwendungen Access 2010, Excel 2010, PowerPoint 2010, Visio 2010 und Word 2010 einzeln konfigurieren.


  • Auswirkungen: Durch Deaktivieren dieser Einstellung werden alle vertrauenswürdigen Speicherorte, die Netzwerkfreigaben sind, deaktiviert, und es wird verhindert, dass Benutzer im Sicherheitscenter das Kontrollkästchen Vertrauenswürdige Speicherorte im Netzwerk zulassen aktivieren. Das Deaktivieren dieser Einstellung kann zu Beeinträchtigungen für Benutzer führen, die selbst im Sicherheitscenter vertrauenswürdige Speicherorte definiert haben. Wenn Sie die Einstellung deaktivieren und ein Benutzer versucht, eine Netzwerkfreigabe als vertrauenswürdigen Speicherort festzulegen, wird er in einer Warnung informiert, dass die aktuellen Sicherheitseinstellungen das Erstellen von vertrauenswürdigen Speicherorten, bei denen es sich um Remote- oder Netzwerkpfade handelt, nicht zulassen. Wenn ein Administrator eine Netzwerkfreigabe über Gruppenrichtlinien oder mithilfe des OAT als vertrauenswürdigen Speicherort festlegt und diese Einstellung deaktiviert ist, wird der vertrauenswürdige Speicherort deaktiviert. In Anwendungen werden solche Speicherorte ebenso wie andere nicht vertrauenswürdige Speicherorte behandelt, d. h., für die Benutzer werden beim Öffnen von Dateien auf der Meldungsleiste Warnungen über Inhalte wie ActiveX-Steuerelemente und VBA-Makros angezeigt. Die Benutzer müssen dann entscheiden, ob sie die Steuerelemente oder Makros aktivieren oder deaktiviert lassen.


  • Richtlinien: Diese Einstellung wird in Organisationen mit einer sehr strengen Sicherheitsumgebung in der Regel deaktiviert.

Hinweis

Sie können auch die Einstellung Alle vom Office-Anpassungstool bei der Installation erstellten vertrauenswürdigen Speicherorte entfernen verwenden, um alle vertrauenswürdigen Speicherorte zu löschen, die durch Konfigurieren des Office-Anpassungstools erstellt wurden.

Deaktivieren von vertrauenswürdigen Speicherorten

Office 2010 enthält eine Einstellung, mit der Sie das Feature für vertrauenswürdige Speicherorte deaktivieren können. Diese Einstellung muss für die Anwendungen Access 2010, Excel 2010, PowerPoint 2010, Visio 2010 und Word 2010 einzeln konfiguriert werden. Verwenden Sie die folgenden Richtlinien, um zu ermitteln, ob Sie diese Einstellung verwenden sollten.

Name der Einstellung: Alle vertrauenswürdigen Speicherorte deaktivieren


  • Beschreibung: Mit dieser Einstellung können Administratoren das Feature für vertrauenswürdige Speicherorte für einzelne Anwendungen deaktivieren. Standardmäßig ist das Feature für vertrauenswürdige Speicherorte aktiviert, und Benutzer können vertrauenswürdige Speicherorte erstellen.


  • Auswirkungen: Durch Aktivieren dieser Einstellung werden alle vertrauenswürdigen Speicherorte deaktiviert, einschließlich der Speicherorte, auf die Folgendes zutrifft:

    • Standardmäßig während des Setups erstellt

    • Mithilfe des Office-Anpassungstools erstellt

    • Durch Benutzer über das Sicherheitscenter erstellt

    • Mithilfe von Gruppenrichtlinien erstellt

    Durch Aktivieren dieser Einstellung wird auch verhindert, dass Benutzer vertrauenswürdige Speicherorte im Sicherheitscenter konfigurieren. Wenn Sie diese Einstellung aktivieren, benachrichtigen Sie die Benutzer, dass das Feature für vertrauenswürdige Speicherorte nicht verwendet werden kann. Wenn Benutzer bisher Dateien an vertrauenswürdigen Speicherorten geöffnet haben und Sie diese Einstellung aktivieren, erhalten die Benutzer möglicherweise Warnungen auf der Meldungsleiste, die sie ggf. beantworten müssen, um Inhalte wie ActiveX-Steuerelemente und VBA-Makros zu aktivieren.


  • Richtlinien: Diese Einstellung wird in Organisationen mit einer sehr strengen Sicherheitsumgebung in der Regel aktiviert.

Hinweis

Die neuesten Informationen zu Richtlinieneinstellungen finden Sie in der Microsoft Excel 2010-Arbeitsmappe Office2010GroupPolicyAndOCTSettings_Reference.xls, das im Abschnitt In diesem Download enthaltene Dateien auf der Downloadseite Administrative Vorlagendateien (ADM, ADMX/ADML) für Office 2010 und das Office-Anpassungstool (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x407) verfügbar ist.