Mithilfe von Verfgbarkeitseinstellungen lassen sich Bedrohungen wichtiger Unternehmensdaten und -prozesse verringern. Bswillige Benutzer knnten Angriffe auf die Verfgbarkeit solcher Daten und Prozesse ausfhren und dabei Microsoft ActiveX-Steuerelemente, externe Links zu Datenquellen, Add-Ins und Microsoft Visual Basic for Applications (VBA)-Makros ausnutzen.
Ein bswilliger Benutzer knnte beispielsweise einen Hyperlink zu einer externen Tabellenkalkulation ausnutzen, indem er die externe Tabellenkalkulation durch eine andere ersetzt, die falsche Daten enthlt bzw. beschdigt ist. Ebenso knnte ein bswilliger Benutzer ein ActiveX-Steuerelement, das auf Unternehmensdaten in einer Datenbank zugreift, durch ein Steuerelement ersetzen, das eine Verknpfung zu einer manipulierten Datenbank herstellt.
Die 2007 Microsoft Office-Version bietet eine Reihe von Technologien und Einstellungen zum Verringern von Bedrohungen der Verfgbarkeit. Diese Technologien und Einstellungen lassen sich aufgrund der Bedrohungsarten und Angriffsmethoden in sechs Hauptgruppen einteilen.
VBA-Makroeinstellungen ermglichen ein Steuern der Ausfhrung von Makros, wenn diese in Dokumenten, E-Mail-Mitteilungen, Prsentationen und Tabellenkalkulationen enthalten sind.
Add-In-Einstellungen ermglichen ein Steuern der Ausfhrung von Add-Ins.
ActiveX-Steuerelementeinstellungen ermglichen ein Steuern der Ausfhrung von ActiveX-Steuerelementen.
Einstellungen fr externe Inhalte ermglichen ein Steuern der Verknpfungen zu externen Inhaltsfunktionen in Dokumenten, Prsentationen und Tabellenkalkulationen.
Dateiblockierungstechnologien umfassen zahlreiche Einstellungen, mit denen Benutzer am ffnen oder Speichern bestimmter Dateitypen und Dateiformate gehindert werden knnen.
Microsoft Internet Explorer-Funktionseinstellungen tragen dazu bei, eine Reihe unterschiedlicher Internet Explorer-Funktionstypen vor einer Ausnutzung zu schtzen. Diese Einstellungen sind besonders ntzlich, wenn ein Dokument oder eine Anwendung Internet Explorer hostet.
Wichtig:
Neben der Bercksichtigung der in diesem Kapitel erluterten Einstellungen sollten Sie zudem sicherstellen, dass Ihre Computer zu jedem Zeitpunkt mit den neuesten Sicherheitspatches von Microsoft aktualisiert sind. Ein effektives Patchmanagement trgt entscheidend zur Verbesserung der Sicherheit in Unternehmen bei.
Mithilfe von VBA-Makroeinstellungen kann die Funktion von VBA-Makros gesteuert werden, wodurch sich das Risiko von Bedrohungen und Angriffsmethoden mindern lsst, die sich auf die Sicherheit und Verfgbarkeit von Unternehmensdaten und -prozessen auswirken.
Die VBA-Makrofunktionalitt wird in der Regel von Programmierern ausgenutzt, die schdlichen Code schreiben oder schdliche Programme zur Ausfhrung auf den Computern der Benutzer erstellen. Solche Makros werden oft ber Dokumente, E-Mail-Mitteilungen, Prsentationen und Tabellenkalkulationen verteilt.
VBA-Makros stellen fr Unternehmen jeder Gre ein potenzielles Risiko dar. Dieses potenzielle Risiko ist jedoch hher, wenn im Unternehmen Folgendes zugelassen wird:
Ausfhren von VBA-Makros
Empfangen von E-Mail-Anlagen
Gemeinsamer Zugriff auf Dokumente ber ein ffentliches Netzwerk, z. B. das Internet
ffnen von Dokumenten aus Quellen auerhalb des Unternehmens, beispielsweise von Kunden, Anbietern oder Partnern
Das Ausfhren vertrauenswrdiger Makros wird standardmig zugelassen. Zu vertrauenswrdigen Makros gehren Makros in Dateien, die an vertrauenswrdigen Speicherorten gespeichert sind, sowie Makros, die die folgenden Kriterien erfllen:
Das Makro wurde vom Entwickler mit einer digitalen Signatur versehen.
Die digitale Signatur ist gltig.
Die digitale Signatur ist aktuell (nicht abgelaufen).
Das mit der digitalen Signatur verbundene Zertifikat wurde von einer anerkannten Zertifizierungsstelle (Certification Authority, CA) ausgestellt.
Der Entwickler, der das Makro signiert hat, ist ein vertrauenswrdiger Herausgeber.
Das Ausfhren nicht vertrauenswrdiger Makros wird standardmig nicht zugelassen. Wenn in einer Datei ein nicht vertrauenswrdiges Makro entdeckt wird, wird in der Statusleiste eine Warnung angezeigt, dass die Datei ein potenziell schdliches Makro enthlt. Wenn der Benutzer auf die Statusleiste klickt, hat er die Wahl, das Makro zu aktivieren oder es deaktiviert zu belassen. Diese Funktionalitt unterscheidet sich von der in Office 2003, bei der unsignierte Makros deaktiviert wurden und der Benutzer nicht die Option erhielt, diese zu aktivieren.
In der folgenden Tabelle sind eine Reihe von 2007 Office-Einstellungen aufgefhrt, mit denen sich Bedrohungen durch VBA-Makros mindern lassen. Weitere Informationen zu spezifischen Einstellungen finden Sie im begleitenden Handbuch Bedrohungen und Gegenmanahmen.
Tabelle 4.1. Sicherheitseinstellungen zur Minderung von Bedrohungen durch VBA-Makros
Name der Einstellung
Betrifft
Makrosicherheitseinstellungen auf Makros, Add-Ins und SmartTags anwenden
Office Outlook 2007
Automatisierungssicherheit
2007 Office System
Bestimmen, ob das berprfen verschlsselter Makros in Microsoft Excel Open XML-Arbeitsmappen erzwungen wird
Office Excel 2007
Bestimmen, ob das berprfen verschlsselter Makros in Microsoft PowerPoint Open XML-Prsentationen erzwungen wird
Office PowerPoint 2007
Bestimmen, ob das berprfen verschlsselter Makros in Microsoft Word Open XML-Dokumenten erzwungen wird
Office Word 2007
Alle Benachrichtigungen fr Vertrauensstellungsleiste aus Sicherheitsgrnden deaktivieren
Makro standardmig in Persnliche Makroarbeitsmappe speichern
Office Excel 2007
Zugriff auf Visual Basic-Projekt vertrauen
Office Excel 2007, PowerPoint 2007, Word 2007
Einstellungen fr VBA-Makrowarnung
Office Access 2007, Excel 2007, PowerPoint 2007, Word 2007
[](#mainsection)[Zum Seitenanfang](#mainsection)
Mindern von Bedrohungen durch Add-Ins
-------------------------------------
Add-Ins bieten zustzliche Funktionalitt wie benutzerdefinierte Befehle und besondere Funktionen fr die 2007 Microsoft Office-Programme. COM-Add-Ins beispielsweise knnen in einem oder mehreren Office-Programmen ausgefhrt werden. COM-Add-Ins (die die Dateinamenerweiterungen .dll oder .exe aufweisen) verwenden Automatisierungs-Add-Ins, Anwendungs-Add-Ins (.wll, .xll, .xlam), XML-Erweiterungspakete, XML-Stylesheets, Smarttags usw.
Mithilfe von Add-In-Einstellungen kann die Funktionsweise von Add-Ins gesteuert werden, wodurch sich das Risiko von Bedrohungen und Angriffsmethoden mindern lsst, die sich auf die Sicherheit und Verfgbarkeit von Unternehmensdaten und -prozessen auswirken.
Wie bei VBA-Makros werden Add-Ins in der Regel von Programmierern ausgenutzt, die schdlichen Code schreiben oder schdliche Programme zur Ausfhrung auf den Computern der Benutzer erstellen. Add-Ins werden normalerweise ber Dynamic Link Library-Dateien (.dll) und Excel-Add-In-Dateien (.xll und .xlam) verteilt.
Add-Ins stellen fr Unternehmen jeder Gre ein potenzielles Risiko dar. Das potenzielle Risiko ist jedoch grer, wenn das Unternehmen Benutzer nicht am Ausfhren und Installieren von Add-Ins hindert. Standardmig kann jedes installierte und registrierte Add-In ohne Benutzereingriff oder Warnung ausgefhrt werden. Zu den installierten und registrierten Add-Ins gehren beispielsweise die folgenden:
- COM-Objekte (Component Object Model)
- Smarttags
- Automatisierungsprogramme
- RTD-Server (RealTimeData)
- Anwendungs-Add-Ins (zum Beispiel WLL-, XLL- und XLAM-Dateien)
- XML-Erweiterungspakete
- XML-Stylesheets
Diese Standardfunktionalitt entspricht der Auswahl der Einstellung **Allen installierten Add-Ins und Vorlagen** vertrauen aus frheren Versionen des Microsoft Office-Systems.
In der folgenden Tabelle sind eine Reihe von 2007 Office-Einstellungen aufgefhrt, mit denen sich Bedrohungen durch Add-Ins mindern lassen. Weitere Informationen zu spezifischen Einstellungen finden Sie im begleitenden Handbuch *Bedrohungen und Gegenmanahmen*.
**Tabelle 4.2. Sicherheitseinstellungen zur Minderung von Bedrohungen durch Add-Ins**
Name der Einstellung
Betrifft
Makrosicherheitseinstellungen auf Makros, Add-Ins und SmartTags anwenden
### Richtlinien zum Mindern von Bedrohungen durch Add-Ins
Beachten Sie die folgenden Richtlinien, um Bedrohungen durch Add-Ins zu verringern:
- Gewhrleisten Sie mithilfe der Gruppenrichtlinie, dass Einstellungen fr Add-Ins innerhalb des gesamten Unternehmens durchgesetzt werden.
- Ziehen Sie in Betracht, es zur Auflage zu machen, dass alle Add-Ins von einem vertrauenswrdigen Herausgeber signiert sein mssen.
- Steuern Sie mithilfe des Office-Anpassungstoolkits, welche Herausgeber in der Liste vertrauenswrdiger Herausgeber enthalten sind.
- Erwgen Sie den Einsatz von Desktopsicherheitskontrollmechanismen, wie das Einschrnken von Benutzerberechtigungen fr das Betriebssystem, um Benutzer an der Installation von Add-Ins zu hindern.
- Wenn in einer Umgebung besonders hohe Sicherheitsanforderungen vorliegen, sollten Sie ein Deaktivieren aller Add-Ins in Erwgung ziehen. Diese Konfiguration wirkt sich mglicherweise auf die Nutzbarkeit aus, bietet aber uerst hohe Sicherheit.
[](#mainsection)[Zum Seitenanfang](#mainsection)
Einstellungen zur Minderung von Bedrohungen durch ActiveX-Steuerelemente
------------------------------------------------------------------------
Mithilfe von Einstellungen fr ActiveX-Steuerelemente kann die Funktionsweise von ActiveX-Steuerelementen gesteuert werden. Hierdurch lassen sich Risiken durch Bedrohungen und Angriffsmethoden verringern, die sich auf die Verfgbarkeit von Unternehmensdaten und -prozessen auswirken.
ActiveX-Steuerelemente werden in der Regel von Programmierern ausgenutzt, die schdlichen Code schreiben oder schdliche Programme zur Ausfhrung auf den Computern der Benutzer erstellen. Solche Steuerelemente werden oft ber Dokumente, E-Mail-Mitteilungen, Prsentationen und Tabellenkalkulationen verteilt.
ActiveX-Steuerelemente stellen fr Unternehmen jeder Gre ein potenzielles Risiko dar. Dieses potenzielle Risiko ist jedoch hher, wenn im Unternehmen Folgendes zugelassen wird:
- Ausfhren von ActiveX-Steuerelementen
- Installieren von ActiveX-Steuerelementen
- Herunterladen von ActiveX-Steuerelementen
Bei der Standardeinstellung fr ActiveX-Steuerelemente knnen diese auf vier verschiedene Arten ausgefhrt werden, abhngig von den Eigenschaften des ActiveX-Steuerelements sowie den Eigenschaften des Dokuments, in dem das Steuerelement enthalten ist.
- Wenn in der Registrierung ein Kill Bit fr ein ActiveX-Steuerelement festgelegt ist, wird das Steuerelement nicht geladen und kann unter keinen Umstnden geladen werden. Ein Kill Bit ist eine Funktion, mit der verhindert wird, dass Steuerelemente mit bekannten Exploits geladen werden.
- Wenn ein ActiveX-Steuerelement in einem Dokument enthalten ist, das kein VBA-Projekt enthlt, und das ActiveX-Steuerelement als Sicher fr Initialisierung (Safe for Initialization, SFI) gekennzeichnet ist, wird das ActiveX-Steuerelement im abgesicherten Modus unter minimalen Einschrnkungen geladen (also mit permanenten Werten). Die Statusleiste wird nicht angezeigt, und der Benutzer sieht keine Informationen zum Vorhandensein von ActiveX-Steuerelementen in den Dokumenten. Alle ActiveX-Steuerelemente im Dokument mssen als SFI markiert sein, damit keine Mitteilung in der Statusleiste generiert wird.
- Wenn ein ActiveX-Steuerelement in einem Dokument enthalten ist, das kein VBA-Projekt enthlt, und das Dokument ActiveX-Steuerelemente enthlt, die als unsicher fr die Initialisierung (Unsafe for Initialization, UFI) gekennzeichnet sind, wird der Benutzer in der Statusleiste darber informiert, dass ActiveX-Steuerelemente deaktiviert wurden. Wenn der Benutzer auf die Statusleiste klickt, wird ein Dialogfeld angezeigt, in dem der Benutzer die Mglichkeit hat, die ActiveX-Steuerelemente zu aktivieren. Wenn der Benutzer die ActiveX-Steuerelemente aktiviert, werden alle ActiveX-Steuerelemente (als SFI und UFI gekennzeichnete) unter minimalen Einschrnkungen geladen (also mit permanenten Werten).
- Wenn ein ActiveX-Steuerelement in einem Dokument enthalten ist, das auch ein VBA-Projekt enthlt, wird in der Statusleiste eine Mitteilung angezeigt, dass ActiveX-Steuerelemente deaktiviert wurden. Wenn der Benutzer auf die Statusleiste klickt, wird er in einem Dialogfeld gefragt, ob die ActiveX-Steuerelemente aktiviert werden sollen. Aktiviert der Benutzer die ActiveX-Steuerelemente, werden alle ActiveX-Steuerelemente (als SFI und UFI gekennzeichnete) unter minimalen Einschrnkungen geladen (also mit permanenten Werten).
In der folgenden Tabelle sind die 2007 Office-Einstellungen aufgefhrt, mit denen sich Bedrohungen durch ActiveX-Steuerelemente verringern lassen. Weitere Informationen zu spezifischen Einstellungen finden Sie im begleitenden Handbuch Bedrohungen und Gegenmanahmen.
**Tabelle 4.3. Sicherheitseinstellungen zum Mindern von Bedrohungen durch ActiveX-Steuerelemente**
Name der Einstellung
Betrifft
ActiveX-Steuerelementinitialisierung
2007 Office System
Alle ActiveX-Steuerelemente deaktivieren
2007 Office System
Alle Benachrichtigungen fr Vertrauensstellungsleiste aus Sicherheitsgrnden deaktivieren
2007 Office System
Steuerelemente in Forms3 laden
2007 Office System
### Richtlinien zur Minderung von Bedrohungen durch ActiveX-Steuerelemente
Beachten Sie die folgenden Richtlinien, um Bedrohungen durch ActiveX-Steuerelemente zu verringern:
- Gewhrleisten Sie mithilfe der Gruppenrichtlinie, dass Einstellungen fr ActiveX-Steuerelemente innerhalb des gesamten Unternehmens durchgesetzt werden.
- Steuern Sie mithilfe des Office-Anpassungstoolkits, welche Herausgeber in der Liste vertrauenswrdiger Herausgeber enthalten sind.
- Lassen Sie Vorsicht walten, wenn Sie Dokumente mit ActiveX-Steuerelementen in vertrauenswrdigen Speicherorten ablegen. Diese Steuerelemente werden ohne Einschrnkungen und ohne Aufforderung an den Benutzer ausgefhrt.
- Wenn in einer Umgebung besonders hohe Sicherheitsanforderungen vorliegen, sollten Sie ein Deaktivieren aller ActiveX-Steuerelemente in Erwgung ziehen.
[](#mainsection)[Zum Seitenanfang](#mainsection)
Einstellungen zum Mindern von Bedrohungen durch externe Inhalte
---------------------------------------------------------------
Mithilfe der Einstellungen fr externe Inhalte kann die Funktionsweise von Links zu externen Inhalten gesteuert werden. Hierdurch lassen sich Risiken durch Bedrohungen und Angriffsmethoden verringern, die sich auf die Verfgbarkeit von Unternehmensdaten und -prozessen auswirken.
Zu Bedrohungen ber externe Inhalte gehrt jede Angriffsmethode, bei der ein Dokument ber ein Intranet oder ein ffentliches Netzwerk wie das Internet mit einem anderen Dokument, einer Datenbank, einem Bild oder einer Website verknpft wird. Bedrohungen durch externe Inhalte werden in der Regel ber die folgenden Angriffsmethoden ausgenutzt:
- Hyperlinks knnen ausgenutzt werden, indem Benutzer zu nicht vertrauenswrdigen Dokumenten oder Websites mit schdlichem Code oder Inhalt geleitet werden.
- Datenverbindungen knnen ausgenutzt werden, indem eine Verbindung zu beschdigten oder schdlichen Datenquellen oder Datenbanken hergestellt wird und Daten bswillig manipuliert oder extrahiert werden.
- Webbeacons ermglichen Angreifern ein Einbetten unsichtbarer Links in HTML-E-Mail-Nachrichten. Wenn ein Benutzer eine solche E-Mail-Nachricht ffnet, wird der Link aktiviert und ldt das Remotebild herunter. Dabei knnen Benutzerinformationen wie E-Mail-Adresse und IP-Adresse an den Remotecomputer gesendet werden.
- Paketobjekte sind eingebettete Objekte, die schdlichen Code ausfhren knnen.
Externe Inhalte stellen eine Bedrohung dar, wenn im Unternehmen folgende Praktiken gelten:
- Benutzern wird uneingeschrnkter Zugriff auf ffentliche Netzwerke, z. B. das Internet, bereitgestellt.
- Der Empfang von E-Mail-Nachrichten, die eingebettete Bilder und HTML enthalten, durch Benutzer ist zugelassen.
- Die Verwendung von Datenverbindungen in Tabellenkalkulationen und anderen Dokumenten durch Benutzer ist zugelassen.
Standardmig trgt die 2007 Office-Version durch folgende Manahmen zur Abwehr von Bedrohungen bei:
- Der Benutzer wird durch ein Dialogfeld mit einer Sicherheitswarnung darauf aufmerksam gemacht, dass er auf einen Link zu mglicherweise gefhrlichen Dateien klickt, darunter ausfhrbare Dateien, externe Office-Dokumente und Dateiverknpfungen zu TIF-Dateien.
- Der Benutzer wird durch ein Dialogfeld mit einer Sicherheitswarnung darauf aufmerksam gemacht, dass er auf einen Hyperlink klickt, der mglicherweise gefhrliche Protokolle verwendet. Bei unsicheren Protokollen handelt es sich um Protokolle, die Skripts oder Inhalt ausfhren, der potenziell unsicher ist. Zu diesen Protokollen gehren msn, nntp, mms, outlook und stssync.
- In PowerPoint sind Links zu externen Bilddateien deaktiviert, und in der Statusleiste wird erlutert, dass Referenzen zu externen Bildern blockiert wurden.
- In Excel sind Verbindungen zu externen Daten blockiert, und dem Benutzer wird die Statusleiste angezeigt.
- In Excel wird ein Dialogfeld mit einer Sicherheitswarnung angezeigt, wenn ein Benutzer ein automatisches Update fr eine Tabellenkalkulation ausfhrt, die Links zu Daten in anderen Tabellenkalkulationen enthlt.
- Wenn Benutzer die Blockierung eines Hyperlinks zu einem Office-Dokument aufheben, wird das Dokument innerhalb einer Office-Anwendung geffnet.
In der folgenden Tabelle sind eine Reihe von 2007 Office-Einstellungen aufgefhrt, mit denen sich Bedrohungen durch externe Inhalte verringern lassen. Weitere Informationen zu spezifischen Einstellungen finden Sie im begleitenden Handbuch *Bedrohungen und Gegenmanahmen*.
**Tabelle 4.4. Sicherheitseinstellungen zur Minderung von Bedrohungen durch externe Inhalte**
Name der Einstellung
Betrifft
Aktualisieren von automatischen Verknpfungen besttigen
Office Excel 2007
Profil automatisch basierend auf der primren SMTP-Adresse von Active Directory konfigurieren
Office Outlook 2007
Automatisch Inhalt fr E-Mail von Personen in den Listen Sichere Absender und Sichere Empfnger herunterladen
Office Outlook 2007
Automatisches Empfangen kleiner Updates zur Verbesserung der Zuverlssigkeit
2007 Office System
Signal bertragende Elemente der Benutzeroberflche fr in InfoPath geffnete Formulare
Office InfoPath 2007
Signal bertragende Elemente der Benutzeroberflche fr in InfoPath-Editor-ActiveX geffnete Formulare
Office InfoPath 2007
Vertrauenswrdige Zonen blockieren
Office Outlook 2007
Verhalten der schrittweisen Aktualisierung von Windows SharePoint Services steuern
Office InfoPath 2007
Steuern des Verhaltens beim ffnen von Formularen in der Sicherheitszone Internet
Office InfoPath 2007
Steuern des Verhaltens beim ffnen von Formularen in der Sicherheitszone Intranet
Office InfoPath 2007
Steuern des Verhaltens beim ffnen von Formularen in der Sicherheitszone Vertrauenswrdige Sites
Office InfoPath 2007
Steuerelementbloggen
2007 Office System
DF-Optionen
Office Outlook 2007
Zugriff auf Updates, Add-Ins und Patches auf der Office Online-Website deaktivieren
2007 Office System
Alle Benachrichtigungen fr Vertrauensstellungsleiste aus Sicherheitsgrnden deaktivieren
2007 Office System
Auf bekannte Lsungen berprfen deaktivieren
2007 Office System
Herunterladen von ClipArt und Medien vom Client und von der Office Online-Website deaktivieren
Herunterladen von Vorlagen vom Client und von der Office Online-Website deaktivieren
2007 Office System
Abrufen verffentlichter Hyperlinks vom Office Server durch den Office-Client deaktivieren
2007 Office System
Schulungskursdownloads von der Office Online-Website deaktivieren
2007 Office System
Bilder und externen Inhalt in HTML-E-Mail anzeigen
Office Outlook 2007
Herunterladen von Inhalt von sicheren Zonen nicht zulassen
Office Outlook 2007
Datenextrahierungsoptionen beim ffnen beschdigter Arbeitsmappen nicht anzeigen
Office Excel 2007
Dokumentinformationsbereich fr Signal bertragende Elemente der Benutzeroberflche
2007 Office System
Signal bertragende Elemente der Benutzeroberflche fr E-Mail-Formulare
Office InfoPath 2007
Hyperlinks in E-Mail-Nachrichten aktivieren
Office Outlook 2007
Internet in sichere Zonen fr den automatischen Download von Bildern einschlieen
Office Outlook 2007
Intranet in sichere Zonen fr den automatischen Download von Bildern einschlieen
Office Outlook 2007
Internet- und Netzwerkpfade als Hyperlinks
Office Excel 2007
Bilder von Webseiten laden, die nicht mit Excel erstellt wurden
Office Excel 2007
Onlineinhaltoptionen
2007 Office System
Blockierung des automatischen Downloads von verknpften Bildern aufheben
Office PowerPoint 2007
Hyperlinks unterstreichen
Office Access 2007
Automatische Verknpfungen beim ffnen aktualisieren
Office Word 2007
### Richtlinien zur Verringerung von Bedrohungen ber externe Inhalte
Beachten Sie die folgenden Richtlinien, um Bedrohungen durch externe Inhalte zu verringern:
- Gewhrleisten Sie mithilfe der Gruppenrichtlinie, dass Einstellungen zur Minderung von Bedrohungen durch externe Inhalte innerhalb des gesamten Unternehmens durchgesetzt werden.
- Fhren Sie Benutzerschulungen zu den Bedrohungen durch, die externe Inhalte fr ein Unternehmen darstellen knnen.
- Lassen Sie Vorsicht walten, wenn Sie Dokumente mit Links zu externen Inhalten in vertrauenswrdigen Speicherorten ablegen. Fr Dateien in vertrauenswrdigen Speicherorten werden keine Warnungen zu externen Inhalten in der Statusleiste angezeigt.
[](#mainsection)[Zum Seitenanfang](#mainsection)
Dateiblockierungstechnologie
----------------------------
Die Microsoft Office Isolated Conversion Environment (MOICE)-Funktion und die Dateiblockierungsfunktionalitt in der 2007 Microsoft Office-Version sind so konzipiert, dass Kunden sich leichter vor Office-Dateien schtzen knnen, die mglicherweise schdliche Software enthalten, z. B. unaufgefordert aus bekannten oder unbekannten Quellen erhaltene Office-Dateien. MOICE bietet neue Risikominderungstechnologien, um bestimmte Microsoft Office-Datentypen zu konvertieren. Die Datenblockierungstechnologie stellt einen Mechanismus zur Verfgung, mit dem das ffnen bestimmter Office-Dateitypen gesteuert und blockiert werden kann.
MOICE verwendet den 2007 Microsoft Office System-Konverter, um Office 2003-Binrdokumente in das neuere Office Open XML-Format zu konvertieren. Wenn ein Benutzer ein Office 2003-Binrdokument ffnet, konvertiert MOICE es in das neue Office Open XML-Format und bergibt es dann zum ffnen an die entsprechende Anwendung. Zum Schutz gegen Sicherheitsrisiken, die whrend des Konvertierungsvorgangs auftreten knnen, wird MOICE mit einem eingeschrnkten Token ausgefhrt. Zusammenfassend gesagt, bietet MOICE einen Mechanismus, mit dem Kunden potenziell unsichere Office 2003-Binrdokumente vorverarbeiten knnen. Durch den Konvertierungsvorgang erhalten Kunden zustzliche Gewissheit, dass das Dokument als sicher angesehen werden kann.
Weitere Informationen zum Installieren und Aktivieren von MOICE finden Sie im Knowledge Base-Artikel 935865, [Beschreibung des Microsoft Office Isolated Conversion Environment-Updates fr das Compatibility Pack fr Word-, Excel- und PowerPoint 2007-Dateiformate](https://support.microsoft.com/kb/935865).
Die Dateiblockierungstechnologie umfasst eine Gruppe an Einstellungen, mit der Benutzer am ffnen oder Speichern bestimmter Dateitypen oder Dateiformate gehindert werden knnen. Mithilfe dieser Einstellungen lsst sich das Risiko von Zero-Day-Angriffen (Angriffe, die bisher unaufgedeckte oder nicht durch einen Patch behobene Sicherheitsrisiken ausnutzen) und anderen Bedrohungen und Angriffsmethoden verringern, die die Verfgbarkeit von Unternehmensdaten und -prozessen beeintrchtigen.
Wenn Benutzer versuchen, blockierte Dateitypen oder Dateiformate zu ffnen, evaluiert der Dateiblockierungsmechanismus die jeweilige Datei im Analysestadium (beim Laden der Datei), wodurch Dateityp und -format wesentlich genauer bestimmt werden knnen als durch einfaches berprfen der Dateinamenerweiterung. Aufgrund dieser Funktionalitt wirkt sich ein ndern der Dateinamenerweiterung einer Datei nicht auf den Blockierungsmechanismus aus. Wenn eine Datei beispielsweise im Office Word 2003-Binrformat mit einer DOC-Erweiterung gespeichert ist und Sie die Datei auf eine RTF-Erweiterung umbenennen, hindern die Einstellungen, die das ffnen von Word 2003-Binrdateien blockieren, den Benutzer am ffnen der Datei, obwohl diese eine RTF-Erweiterung aufweist.
Wenn Benutzer versuchen, Dateien mit einem blockierten Dateityp oder Dateiformat zu speichern, wird eine Fehlermeldung angezeigt, die besagt, dass versucht wird, eine Datei zu speichern, die vom Systemadministrator blockiert wurde. Die Fehlermeldung enthlt ebenfalls einen Link zum folgenden Knowledge Base-Artikel: [Fehlermeldung beim Versuch einen Dateityp zu ffnen oder zu speichern, der durch die Registrierungsrichtlinieneinstellungen in einem 2007 Office- oder Office 2003-Programm gesperrt wurde](https://go.microsoft.com/fwlink/?linkid=79656).
Durch die Dateiblockierungseinstellungen kann die Gefahr von Zero-Day-Angriffen verringert werden, die Sicherheitsrisiken ausnutzen. Dabei handelt es sich um eine besondere Art von Sicherheitsbedrohung, die mit einem Softwareupdate behoben werden kann, z. B. durch ein Microsoft-Sicherheitsbulletin oder ein Service Pack. Viele Angriffsmethoden knnen ein Sicherheitsrisiko darstellen, darunter:
- Codeausfhrung von Remotestandorten aus
- Erhhung von Berechtigungen
- Offenlegung von Informationen
Bswillige Programmierer oder Benutzer knnen Sicherheitsrisiken durch eine Reihe von Sicherheitsangriffen ausnutzen. Bis zur Verffentlichung eines Sicherheitsbulletins oder eines Service Packs, durch das das Sicherheitsrisiko behandelt wird, stellt das Sicherheitsrisiko eine potenzielle Bedrohung fr das Unternehmen dar. Durch Implementieren der Dateiblockierungseinstellungen knnen Benutzer daran gehindert werden, bestimmte Dateien und Dateiformate zu ffnen, die ein Sicherheitsrisiko darstellen, bis ein Patch zur Behebung des Sicherheitsrisikos bereitgestellt wurde.
Standardmig knnen Benutzer alle Dateitypen und -formate ffnen und speichern. Die einzige Ausnahme liegt bei Dateien vor, die in einem Format lter als Word 6.0 gespeichert wurden. (Dateien, die mit einer Betaversion von Word 6.0 gespeichert wurden, werden als lter als das Word 6.0-Format angesehen und knnen standardmig nicht geffnet werden.)
In der folgenden Tabelle sind die 2007 Office-Einstellungen aufgefhrt, durch die sich Bedrohungen der Verfgbarkeit mithilfe von Dateiblockierungseinstellungen verringern lassen. Weitere Informationen zu spezifischen Einstellungen finden Sie im begleitenden Handbuch *Bedrohungen und Gegenmanahmen*.
**Tabelle 4.5. Dateiblockierungseinstellungen zum Verringern von Bedrohungen der Verfgbarkeit**
Name der Einstellung
Betrifft
ffnen von Konvertern blockieren
Office Word 2007
ffnen von Binary 12-Dateitypen blockieren
Office Excel 2007
ffnen von Binrdateitypen blockieren
Office Excel 2007, Office PowerPoint 2007, Office Word 2007
ffnen von Konvertern blockieren
Office PowerPoint 2007
ffnen von DIF- und SYLK-Dateitypen blockieren
Office Excel 2007
ffnen von Dateien mit frherer Version als der folgenden blockieren
Office Word 2007
ffnen von Vorabversionen neuer Excel 2007-Dateiformate blockieren
Office Excel 2007
ffnen von HTML- und XMLSS-Dateitypen blockieren
Office Excel 2007
ffnen von HTML-Dateitypen blockieren
Office PowerPoint 2007, Office Word 2007
ffnen interner Dateitypen blockieren
Office Word 2007
ffnen von Open XML-Dateitypen blockieren
Office Excel 2007, Office PowerPoint 2007, Office Word 2007
ffnen von Gliederungen blockieren
Office PowerPoint 2007
ffnen von Vorabversionen neuer Excel 2007-Dateiformate ber das Compatibility Pack fr 2007 Office System und den Excel 2007-Konverter blockieren
2007 Office System
ffnen von Vorabversionen neuer PowerPoint 2007-Dateiformate blockieren
Office PowerPoint 2007
ffnen von Vorabversionen neuer PowerPoint 2007-Dateiformate ber das Compatibility Pack fr 2007 Office System und den PowerPoint 2007-Konverter blockieren
2007 Office System
ffnen von Vorabversionen neuer Word 2007-Dateiformate blockieren
Office Word 2007
ffnen von Vorabversionen neuer Word 2007-Dateiformate ber das Compatibility Pack fr 2007 Office System und den Word 97-2003/Open XML-Formatkonverter blockieren
2007 Office System
ffnen von RTF-Dateitypen blockieren
Office Word 2007
ffnen von Textdateitypen blockieren
Office Excel 2007, Office Word 2007
ffnen von Word 2003-XML-Dateitypen blockieren
Office Word 2007
ffnen von XLL-Dateitypen blockieren
Office Excel 2007
ffnen von XML-Dateitypen blockieren
Office Excel 2007
Speichern von DIF- und SYLK-Dateitypen blockieren
Office Excel 2007
Speichern von Binrdateitypen blockieren
Office Excel 2007, Office PowerPoint 2007, Office Word 2007
Speichern von Binary12-Dateitypen blockieren
Office Excel 2007
Speichern von Konvertern blockieren
Office Word 2007
Speichern von Grafikfiltern blockieren
Office PowerPoint 2007
Speichern von HTML- und XMLSS-Dateitypen blockieren
Office Excel 2007
Speichern von HTML-Dateitypen blockieren
Office PowerPoint 2007, Office Word 2007
Speichern von Open XML-Dateitypen blockieren
Office Excel 2007, Office PowerPoint 2007, Office Word 2007
Speichern von Gliederungen blockieren
Office PowerPoint 2007
Speichern von RTF-Dateitypen blockieren
Office Word 2007
Speichern von Textdateitypen blockieren
Office Excel 2007, Office Word 2007
Speichern von Word 2003-XML-Dateitypen blockieren
Office Word 2007
Bestimmte Dateitypen als Anlagen fr Formulare blockieren
Office InfoPath 2007
Dateien in diesem Format speichern
Office PowerPoint 2007, Office Word 2007
### Richtlinien zum Verwenden der Dateiblockierungstechnologie
Beachten Sie bei Verwendung der Dateiblockierungstechnologie die folgenden Richtlinien:
- Gewhrleisten Sie mithilfe der Gruppenrichtlinie, dass Einstellungen fr die Dateiblockierung innerhalb des gesamten Unternehmens durchgesetzt werden.
- Wenn ein Dateityp in Ihrem Unternehmen nicht verwendet wird, sollten Sie Benutzer daran hindern, diesen Dateityp zu ffnen.
- Wenn ein Zero-Day-Exploit auftritt, bei dem ein bestimmter Dateityp verwendet wird, setzen Sie so lange die Dateiblockierung ein, um Benutzer am ffnen dieser Dateien zu hindern, bis ein Sicherheitspatch fr das Sicherheitsrisiko bereitgestellt werden kann.
[](#mainsection)[Zum Seitenanfang](#mainsection)
Mindern von Bedrohungen durch Internet Explorer-Funktionen
----------------------------------------------------------
Die 2007 Office-Version enthlt verschiedene Einstellungen, mit denen die sich Bedrohungen durch Internet Explorer verringern lassen. Diese Einstellungen werden als Internet Explorer-Funktionssteuerungseinstellungen bezeichnet und ermglichen ein Einschrnken des Internet Explorer-Verhaltens fr die einzelnen Anwendungen.
Bedrohungen durch Internet Explorer knnen auftreten, wenn eine Anwendung oder ein Dokument programmgesteuert Internet Explorer-Funktionalitt verwendet. Bedrohungen ber Internet Explorer stellen ein Risiko fr Anwendungen und Dokumente dar, da alle fr Internet Explorer bestehenden Bedrohungen gleichzeitig eine Bedrohung fr die Anwendung bzw. das Dokument sind, in denen Internet Explorer gehostet wird. Bedrohungen durch Internet Explorer drcken sich in zahlreichen Angriffsmethoden aus und knnen ber verschiedene Sicherheitsangriffe ausgenutzt werden. Beispiele fr diese Angriffsmethoden sind die Installation von ActiveX-Steuerelementen, MIME-Ermittlung, Zonenanhebung und die Installation von Add-Ons.
Internet Explorer stellt eine Bedrohung dar, wenn im Unternehmen folgende Praktiken gelten:
- Die Ausfhrung von ActiveX-Steuerelementen, Add-Ins oder Makros, die Internet Explorer-Funktionalitt verwenden, durch Benutzer ist zugelassen.
- Es werden Office-Lsungen entwickelt und verteilt, die Internet Explorer-Funktionalitt beinhalten.
In der 2007 Office-Version knnen 15 Internet Explorer-Funktionssteuerungseinstellungen konfiguriert werden. Durch jede Einstellung wird eine besondere Art von Internet Explorer-Funktionalitt eingeschrnkt. Um die eingeschrnkte Funktionalitt fr eine bestimmte Einstellung zu aktivieren, mssen Sie die gewnschten Anwendungen dafr anmelden. Wenn eine Anwendung fr eine bestimmte Internet Explorer-Funktionsteuerungseinstellung angemeldet ist, wird das strker eingeschrnkte Verhalten der Einstellung durchgesetzt, wenn die Einstellung Internet Explorer hostet. Umgekehrt gilt: Wenn eine Anwendung fr eine bestimmte Internet Explorer-Funktionsteuerungseinstellung nicht angemeldet ist, wird das strker eingeschrnkte Verhalten der Einstellung nicht durchgesetzt, wenn die Einstellung Internet Explorer hostet.
Standardmig sind Office Outlook 2007 (Outlook.exe) und Office InfoPath 2007 (InfoPath.exe) fr alle 15 Internet Explorer-Funktionssteuerungseinstellungen angemeldet. Auerdem sind drei Office InfoPath 2007-Komponenten fr die 15 Internet Explorer-Funktionssteuerungseinstellungen angemeldet: Dokumentinformationsbereich, Workflowformulare und Drittanbieterhosting.
.gif) **Hinweis:**
Office InfoPath 2007 ist ein besonderer Fall und kann nicht fr einzelne Internet Explorer-Funktionssteuerungseinstellungen angemeldet bzw. abgemeldet werden. Sie knnen lediglich konfigurieren, welche Office InfoPath 2007-Komponenten fr die gesamte Gruppe von Internet Explorer-Funktionssteuerungseinstellungen angemeldet bzw. abgemeldet werden.
In der folgenden Tabelle sind eine Reihe von 2007 Office-Einstellungen aufgefhrt, mit denen sich Bedrohungen durch Internet Explorer verringern lassen. Weitere Informationen zu spezifischen Einstellungen finden Sie im begleitenden Handbuch *Bedrohungen und Gegenmanahmen*.
**Tabelle 4.6. Sicherheitseinstellungen zur Minderung von Bedrohungen durch Internet Explorer**
Name der Einstellung
Betrifft
Benutzer mit frheren Versionen von Office knnen mit Browsern lesen...
2007 Office System
Signal bertragende Elemente der Benutzeroberflche fr in InfoPath geffnete Formulare
Office InfoPath 2007
Signal bertragende Elemente der Benutzeroberflche fr in InfoPath-Editor-ActiveX geffnete Formulare
Office InfoPath 2007
Vertrauenswrdige Zonen blockieren
Office Outlook 2007
E-Mail-Formulare in der Sicherheitszone Voll vertrauenswrdig deaktivieren
Office InfoPath 2007
E-Mail-Formulare in der Sicherheitszone Internet deaktivieren
Office InfoPath 2007
E-Mail-Formulare in der Sicherheitszone Intranet deaktivieren
Office InfoPath 2007
ffnen von Lsungen in der Sicherheitszone Internet deaktivieren
Office InfoPath 2007
Herunterladen von Inhalt von sicheren Zonen nicht zulassen
Office Outlook 2007
Dokumentinformationsbereich fr Signal bertragende Elemente der Benutzeroberflche
2007 Office System
Signal bertragende Elemente der Benutzeroberflche fr E-Mail-Formulare
Office InfoPath 2007
Internet in sichere Zonen fr den automatischen Download von Bildern einschlieen
Office Outlook 2007
Intranet in sichere Zonen fr den automatischen Download von Bildern einschlieen
Office Outlook 2007
Internet- und Netzwerkpfade als Hyperlinks
Office Excel 2007
### Richtlinien zum Verringern von Bedrohungen ber Internet Explorer-Funktionen
Beachten Sie die folgenden Richtlinien, um Bedrohungen durch Internet Explorer-Funktionen zu verringern:
- Gewhrleisten Sie mithilfe der Gruppenrichtlinie, dass Einstellungen fr Internet Explorer innerhalb des gesamten Unternehmens durchgesetzt werden.
- Vergewissern Sie sich, dass die im Windows Vista-Sicherheitshandbuch bzw. im Windows XP-Sicherheitshandbuch empfohlenen Internet Explorer-Einstellungen ebenfalls implementiert sind.
- Im [Handbuch zur Desktopsicherheit mit Internet Explorer 7](https://go.microsoft.com/fwlink/?linkid=100953) finden Sie weitere Informationen zum Schutz von Internet Explorer 7 (mglicherweise in englischer Sprache).
- Machen Sie sich bewusst, dass andere Office-Anwendungen wie Office InfoPath 2007 Internet Explorer programmgesteuert hosten knnen.
.gif) **Hinweis:**
Die Empfehlungen im vorliegenden Handbuch wurden nicht mit einer Konfiguration getestet, bei der die Empfehlungen des Handbuchs zur Desktopsicherheit mit Internet Explorer 7 implementiert wurden.
.gif)
Wichtig:.gif)
5 von 6 .gif)