Planen von Sicherheitseinstellungen für ActiveX-Steuerelemente für Office 2013

 

Gilt für:Office 365 ProPlus

Letztes Änderungsdatum des Themas:2016-12-16

Zusammenfassung: Erläutert, wie Einstellungen geändert werden müssen, um die Sicherheit von Microsoft ActiveX-Steuerelementen in Office 2013 zu erhöhen, und wie Warnungen zu ActiveX-Steuerelementen mithilfe des Office 2013-Telemetriedashboards untersucht werden.

Zielgruppe: IT-Spezialisten

Bedrohungen durch aktive Inhalte stellen gängige Sicherheitsrisiken dar. Typische Sicherheitrisiken stellen ActiveX-Steuerelemente, Add-Ins und VBA-Makros dar. Diese Schwachstellen können von Programmierern ausgenutzt werden, die bösartigen Code schreiben oder böswillige Programme erstellen, die auf den Computern der Benutzer ausgeführt werden. Aktive Inhalte stellen ein Sicherheitsrisiko für Organisationen unterschiedlicher Größe dar. In diesem Artikel wird beschrieben, wie Office 2013 Ihnen dabei helfen, ActiveX-Steuerelemente sicherer zu machen. Sicherheit bei Add-Ins und VBA-Makros wird in weiteren Artikeln behandelt.

Office 2013 bietet verschiedene Sicherheitseinstellungen, mit denen Sie das Verhalten von ActiveX-Steuerelementen und die Art und Weise, wie Benutzer über potenziell unsichere ActiveX-Steuerelemente informiert werden, ändern können. Diese Einstellungen werden normalerweise für Folgendes verwendet:

  • Deaktivieren von ActiveX-Steuerelementen

  • Ändern der Initialisierungsmethode für ActiveX-Steuerelemente auf der Grundlage des Parameters für den abgesicherten Modus, des SFI-Parameters (Safe for Initialization, sicher für Initialisierung) und des UFI-Parameters (Unsafe for Initialization, unsicher für Initialisierung)

Weitere Informationen zum Konfigurieren der Sicherheitseinstellungen im Office-Anpassungstool (OAT) und den administrativen Office 2013-Vorlagen finden Sie unter Configure security by using OCT or Group Policy for Office 2013.

 

Übersichtspfeil für Anleitung zur Office-Sicherheit.

Dieser Artikel ist Bestandteil der Leitfaden für die Office 2013-Sicherheit. Verwenden Sie diese Übersicht als Ausgangspunkt für Artikel, Downloads, Poster und Videos, mit deren Hilfe Sie die Sicherheit von Office 2013 bewerten.

Sie interessieren sich für Informationen, die die Sicherheit einzelner Office 2013-Anwendungen betreffen? Sie finden diese Informationen, indem Sie auf Office.com nach "2013-Sicherheit" suchen.

Inhalt dieses Artikels:

Ein vertrauenswürdiges ActiveX-Steuerelement ist ein beliebiges ActiveX-Steuerelement, das von einem vertrauenswürdigen Herausgeber signiert oder in einem Dokument enthalten ist, das von einem vertrauenswürdigen Speicherort geöffnet wird oder als vertrauenswürdiges Dokument betrachtet wird. Standardmäßig werden vertrauenswürdige ActiveX-Steuerelemente im abgesicherten Modus mit beständigen Werten geladen, und die Benutzer werden nicht darüber benachrichtigt, dass ActiveX-Steuerelemente geladen wurden. Nicht vertrauenswürdige ActiveX-Steuerelemente werden auf unterschiedliche Weise geladen. Dies hängt davon ab, wie das ActiveX-Steuerelement markiert ist und ob in der Datei ein VBA-Projekt zusammen mit dem ActiveX-Steuerelement vorhanden ist. Das Standardverhalten von nicht vertrauenswürdigen ActiveX-Steuerelementen sieht folgendermaßen aus:

  • Wenn ein ActiveX-Steuerelement als „sicher für Initialisierung“ (SFI) gekennzeichnet und in einem Dokument enthalten ist, das kein VBA-Projekt enthält, wird das ActiveX-Steuerelement mit beständigen Werten im sicheren Modus geladen. Die Statusleiste wird nicht angezeigt, und Benutzer werden nicht über das Vorhandensein des ActiveX-Steuerelements benachrichtigt. Alle ActiveX-Steuerelemente im Dokument müssen als SFI gekennzeichnet sein, damit dieses Verhalten auftritt.

  • Wenn ein ActiveX-Steuerelement als „nicht sicher zur Initialisierung“ (Unsafe For Initialization, UFI) gekennzeichnet und in einem Dokument enthalten ist, das kein VBA-Projekt enthält, werden Benutzer auf der Statusleiste benachrichtigt, dass ActiveX-Steuerelemente deaktiviert sind. Die Benutzer können jedoch auf die Statusleiste klicken oder tippen, um ActiveX-Steuerelemente zu aktivieren. Wenn ein Benutzer ActiveX-Steuerelemente aktiviert, werden alle ActiveX-Steuerelemente (die als UFI gekennzeichneten und die als SFI gekennzeichneten) mit beständigen Werten im sicheren Modus geladen.

  • Wenn ein ActiveX-Steuerelement als UFI oder SFI gekennzeichnet und in einem Dokument enthalten ist, das außerdem ein VBA-Projekt enthält, werden Benutzer auf der Statusleiste benachrichtigt, dass ActiveX-Steuerelemente deaktiviert sind. Die Benutzer können jedoch auf die Statusleiste klicken, um ActiveX-Steuerelemente zu aktivieren. Wenn ein Benutzer ActiveX-Steuerelemente aktiviert, werden alle ActiveX-Steuerelemente (die als UFI gekennzeichneten und die als SFI gekennzeichneten) mit beständigen Werten im sicheren Modus geladen.

WichtigWichtig:
Wenn in der Registrierung ein Killbit für ein ActiveX-Steuerelement festgelegt ist, wird das Steuerelement unter keinen Umständen geladen. Die Statusleiste wird nicht angezeigt, und Benutzer werden nicht über das Vorhandensein des ActiveX-Steuerelements benachrichtigt.

Sie können sich bequem über die ActiveX-Steuerelementverwendung in Ihrer Organisation informieren, indem Sie die Daten im Office 2013Telemetriedashboard ansehen. Es steht ein integrierter Bericht mit dem Namen „Inventar“ zur Verfügung, der eindeutige Instanzdaten zu jeder überwachten Office-Lösung sammelt und anzeigt. Dazu gehören auch Informationen darüber, ob Office-Dokumente ActiveX-Steuerelemente verwenden.

Um das folgende Verfahren verwenden zu können, müssen Sie OfficeTelemetriedashboard bereits bereitgestellt und konfiguriert haben. Informationen zu OfficeTelemetriedashboard im Allgemeinen finden Sie unter Office-Telemetrie (Übersicht). Ausführliche Informationen zum Bereitstellen der Office-Telemetrie finden Sie unter Bereitstellen des Telemetriedashboards.

So zeigen Sie die ActiveX-Steuerelementverwendung in einem Telemetriedashboardbericht für Office 2013 an
  1. Öffnen Sie Telemetriedashboard, und stellen Sie eine Verbindung mit Ihrer Telemetriedatenbank her.

  2. Wählen Sie im Navigationsbereich des Telemetriedashboard die Option Benutzerdefinierter Bericht aus.

  3. Wenn die Seite "Benutzerdefinierter Bericht" geöffnet ist, wählen Sie die Option Benutzerdefinierten Bericht erstellen aus.

  4. Suchen Sie in der Liste PivotTable-Felder im Bereich „Inventar“ den Eintrag ActiveX vorhanden, und wählen Sie ihn aus. Überprüfen Sie den Bericht auf ActiveX-bezogene Warnungen. Wenn Sie weitere Nachforschungen anstellen müssen, wählen Sie weitere Felder in der Tabelle Inventar aus.

  5. Wenn Sie möchten, können Sie die Daten speichern. Schließen Sie dann das Telemetriedashboard.

Office 2013 enthält eine Einstellung, mit der ActiveX-Steuerelemente deaktiviert werden können. Das Deaktivieren von ActiveX-Steuerelementen verhindert, dass sämtliche ActiveX-Steuerelemente in einer Datei beim Öffnen der Datei initialisiert (d. h. geladen) werden. Außerdem können Benutzer einem Dokument keine ActiveX-Steuerelemente hinzufügen. In einigen Fällen wird ein deaktiviertes Steuerelement u. U. in einer Datei als rotes X oder als anderes Symbol angezeigt. Das Steuerelement ist aber deaktiviert, und es erfolgt keine Aktion, wenn ein Benutzer das Symbol auswählt. Wenn Sie ActiveX-Steuerelemente deaktivieren, werden Benutzer nicht benachrichtigt, dass die Steuerelemente deaktiviert sind.

Bestimmen Sie anhand der folgenden Richtlinien, ob ActiveX-Steuerelemente deaktiviert werden sollen.

Name der Gruppenrichtlinieneinstellung Alle ActiveX-Steuerelemente deaktivieren

Beschreibung: Mit dieser Einstellung wird gesteuert, ob ActiveX-Steuerelemente in Office 2013 deaktiviert werden. Dies ist eine globale Einstellung, die nicht pro Anwendung konfiguriert werden kann.

Auswirkungen: Wenn Sie diese Einstellung aktivieren, werden ActiveX-Steuerelemente nicht initialisiert, und Benutzer werden nicht benachrichtigt, dass die ActiveX-Steuerelemente deaktiviert sind. Außerdem können die Benutzer keine ActiveX-Steuerelemente in Dokumente einfügen. ActiveX-Steuerelemente können zusätzliche Funktionen in Dokumenten bereitstellen. Aus diesem Grund kann das Deaktivieren von ActiveX-Steuerelementen die Funktionalität für Benutzer verringern. Sie sollten sicherstellen, dass den Benutzern bewusst ist, dass diese Einstellung aktiviert ist, da sie nicht von der Anwendung benachrichtigt werden, dass ActiveX-Steuerelemente deaktiviert wurden. Außerdem ist es wichtig zu bestimmen, ob ActiveX-Steuerelemente zum Bereitstellen unternehmenswichtiger Funktionen verwendet werden, bevor Sie diese Einstellung aktivieren.

Richtlinien: Diese Einstellung wird in Organisationen mit einer sehr strengen Sicherheitsumgebung in der Regel aktiviert.

HinweisHinweis:
Wenn Sie diese Einstellung aktivieren, werden ActiveX-Steuerelemente in Dateien deaktiviert, die an vertrauenswürdigen Speicherorten gespeichert sind.

Sie können auch das in Office 2013 eingeführte Office-COM-Killbit verwenden, um zu verhindern, dass bestimmte COM-Objekte in Office 2013-Anwendungen ausgeführt werden. Diese umfassen ActiveX-Steuerelemente. Diese Funktion war in 2007 Office System verfügbar, hing jedoch von der Einstellung für das ActiveX-Killbit von Internet Explorer ab. In Office 2013 können Sie jetzt unabhängig über die Registrierung steuern, welche COM-Objekte bei Verwendung von Office 2013 nicht ausgeführt werden können. Wenn das Killbit beispielsweise sowohl in Office als auch in Internet Explorer für dasselbe ActiveX-Steuerelement festgelegt ist und es einen Konflikt zwischen den beiden Einstellungen gibt, hat das Office-COM-Killbit Vorrang. Das Office-COM-Killbit wird häufig festgelegt, wenn ein in einem Microsoft-Sicherheitsbulletin enthaltenes Update angewendet wird, um ein bestimmtes Office 2013-Sicherheitsproblem zu beheben.

WarnungWarnung:
Das Aufheben der Kill-Aktion für ein COM-Objekt wird nicht empfohlen, da hierdurch Sicherheitsrisiken entstehen können. Das Killbit wird in der Regel aus wichtigen Gründen festgelegt. Daher muss beim Aufheben der Kill-Aktion für ein ActiveX-Steuerelement mit äußerster Sorgfalt vorgegangen werden.

Es ist möglich, eine AlternateCLSID (auch als „Phoenix-Bit“ bezeichnet) hinzuzufügen, wenn Sie die CLSID eines neuen ActiveX-Steuerelements mit der CLSID des ActiveX-Steuerelements in Beziehung setzen müssen. Dies ist notwendig, wenn ein Office-COM-Killbit auf die CLSID eines ActiveX-Steuerelements zur Verringerung des Sicherheitsrisikos angewendet wurde. Office 2013 unterstützt die Verwendung der AlternateCLSID nur für ActiveX-Steuerelement-COM-Objekte. Weitere Informationen zum Verhalten von Killbits und zur AlternateCLSID finden Sie unter So verhindern Sie die Ausführung von ActiveX-Steuerelementen in Internet Explorer-

WichtigWichtig:
Nehmen Sie Änderungen an den Registrierungseinstellungen nur vor, wenn Sie über genügend Erfahrung verfügen und die Auswirkungen von diesen verstehen. Es können schwerwiegende Probleme auftreten, wenn Sie die Registrierung nicht ordnungsgemäß ändern. Als zusätzliche Schutzmaßnahme sichern Sie die Registrierung, bevor Sie sie ändern. Dann können Sie die Registrierung wiederherstellen, falls ein Problem auftritt.

Der Ort zum Festlegen des Office-COM-Killbits in der Registrierung lautet HKLM/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}, wobei CLSID der Klassenbezeichner des COM-Objekts ist. Um das Office-COM-Killbit zu aktivieren, müssen Sie den Registrierungsschlüssel einschließlich der CLSID des ActiveX-Steuerelements hinzufügen und den REG_DWORD-Kompatibilitätsflags den Wert 0x00000400 hinzufügen.

HinweisHinweis:
Das Aktivieren der COM-Kategorisierung in Office 2013 kann sich auf das Verhalten des Killbits (sowohl für Internet Explorer als auch Office-COM) auswirken. Weitere Informationen finden Sie unter Planen der Einstellungen für die Kategorisierung von COM-Objekten für Office 2013.

Folgende Steuerelemente können Sie auf die Office-Verweigerungsliste setzen:

Microsoft HTA Document 6.0 - 3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

htmlfile - 25336920-03F9-11CF-8FD0-00AA00686F13

htmlfile_FullWindowEmbed - 25336921-03F9-11CF-8FD0-00AA00686F13

mhtmlfile - 3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Webbrowser-Steuerelement - 8856F961-340A-11D0-A96B-00C04FD705A2

DHTMLEdit - 2D360200-FFF5-11d1-8d03-00a0c959bc0a

Office 2013 enthält eine Einstellung, mit der Sie auf Grundlage des SFI-Parameters, des UFI-Parameters und des Parameters für den abgesicherten Modus steuern können, wie ActiveX-Steuerelemente initialisiert werden. SFI, UFI und abgesicherter Modus sind Parameter, die Entwickler beim Erstellen von ActiveX-Steuerelementen konfigurieren können. ActiveX-Steuerelemente, die als SFI gekennzeichnet sind, verwenden zum Initialisieren sichere Datenquellen. Eine sichere Datenquelle ist eine vertrauenswürdige und bekannte Datenquelle, die keine Sicherheitsverletzung verursacht. Steuerelemente, die nicht als SFI gekennzeichnet sind, gelten als UFI.

Der abgesicherte Modus ist ein weiterer Sicherheitsmechanismus, mit dem Entwickler die Sicherheit von ActiveX-Steuerelementen sicherstellen können. Wenn ein Entwickler ein ActiveX-Steuerelement mit einer Implementierung des abgesicherten Modus erstellt, kann das Steuerelement auf zwei Arten initialisiert werden: im abgesicherten Modus und im unsicheren Modus. Wenn ein ActiveX-Steuerelement im abgesicherten Modus initialisiert wird, gelten bestimmte Einschränkungen für die Funktionalität des Steuerelements. Wenn ein ActiveX-Steuerelement hingegen im unsicheren Modus initialisiert wird, bestehen keine Einschränkungen für seine Funktionalität. Beispielsweise könnte ein ActiveX-Steuerelement zum Lesen und Schreiben von Dateien bei der Initialisierung im abgesicherten Modus möglicherweise nur Dateien lesen, während es bei der Initialisierung im unsicheren Modus Dateien lesen und schreiben könnte. Nur ActiveX-Steuerelemente, die als SFI gekennzeichnet sind, können im abgesicherten Modus initialisiert werden. ActiveX-Steuerelemente, die als UFI gekennzeichnet sind, werden immer im unsicheren Modus initialisiert.

Wenn die standardmäßige Initialisierung für ActiveX-Steuerelemente für Ihre Organisation nicht ausreicht, Sie aber ActiveX-Steuerelemente nicht deaktivieren möchten, verwenden Sie die folgenden Richtlinien, um zu bestimmen, wie Sie die Initialisierungsmethode für ActiveX-Steuerelemente ändern können.

Name der Gruppenrichtlinieneinstellung Initialisierung von ActiveX-Steuerelementen

Beschreibung: Diese Einstellung gibt an, wie ActiveX-Steuerelemente für alle Office 2013-Anwendungen initialisiert werden. Dies ist eine globale Einstellung, die nicht pro Anwendung konfiguriert werden kann. Für diese Einstellung können Sie eine von sechs möglichen Sicherheitsstufen für die Initialisierung auswählen:

  • Sicherheitsstufe 1: Das Steuerelement wird unabhängig von der Kennzeichnung geladen, und es werden beständige Werte verwendet (sofern vorhanden). Diese Einstellung verhindert, dass Meldungen für Benutzer angezeigt werden.

  • Sicherheitsstufe 2: Wenn das Steuerelement als SFI gekennzeichnet ist, wird es im abgesicherten Modus geladen, und es werden beständige Werte verwendet (sofern vorhanden). Ist das Steuerelement nicht als SFI gekennzeichnet, wird es im nicht sicheren Modus mit beständigen Werten geladen (sofern vorhanden), oder es werden die Standardeinstellungen (Erstinitialisierung) verwendet. Diese Stufe ähnelt der Standardkonfiguration, verhindert im Gegensatz dazu aber, dass Benutzer benachrichtigt werden.

  • Sicherheitsstufe 3: Wenn das Steuerelement als SFI gekennzeichnet ist, wird es im nicht sicheren Modus geladen, und es werden beständige Werte verwendet (sofern vorhanden). Ist das Steuerelement nicht als SFI gekennzeichnet, wird der Benutzer in einer Meldung darauf hingewiesen, dass es als nicht sicher gekennzeichnet ist. Wenn der Benutzer in der Meldung auf Nein klickt, wird das Steuerelement nicht geladen. Andernfalls wird es mit den Standardeinstellungen (Erstinitialisierung) geladen.

  • Sicherheitsstufe 4:   Wenn das Steuerelement als SFI gekennzeichnet ist, wird es im abgesicherten Modus geladen, und es werden beständige Werte verwendet (sofern vorhanden). Ist das Steuerelement nicht als SFI gekennzeichnet, wird der Benutzer in einer Meldung darauf hingewiesen, dass es als nicht sicher gekennzeichnet ist. Wenn der Benutzer in der Meldung auf Nein klickt, wird das Steuerelement nicht geladen. Andernfalls wird es mit den Standardeinstellungen (Erstinitialisierung) geladen.

  • Sicherheitsstufe 5:   Wenn das Steuerelement als SFI gekennzeichnet ist, wird es im nicht sicheren Modus geladen, und es werden beständige Werte verwendet (sofern vorhanden). Ist das Steuerelement nicht als SFI gekennzeichnet, wird der Benutzer in einer Meldung darauf hingewiesen, dass es als nicht sicher gekennzeichnet ist. Wenn der Benutzer in der Meldung auf Nein klickt, wird das Steuerelement nicht geladen. Andernfalls wird es mit beständigen Werten geladen.

  • Sicherheitsstufe 6:   Wenn das Steuerelement als SFI gekennzeichnet ist, wird es im abgesicherten Modus geladen, und es werden beständige Werte verwendet (sofern vorhanden). Ist das Steuerelement nicht als SFI gekennzeichnet, wird der Benutzer in einer Meldung darauf hingewiesen, dass es als nicht sicher gekennzeichnet ist. Wenn der Benutzer in der Meldung auf Nein klickt, wird das Steuerelement nicht geladen. Andernfalls wird es mit beständigen Werten geladen.

Auswirkungen: Wenn ein Steuerelement nicht als SFI gekennzeichnet ist, kann es sich negativ auf einen Computer auswirken. Es kann aber auch bedeuten, dass die Entwickler das Steuerelement nicht in allen Situationen getestet haben und nicht sicher sind, ob es in Zukunft gefährdet sein könnte. Außerdem beachten einige ActiveX-Steuerelemente die Registrierungseinstellung für den sicheren Modus nicht und laden daher u. U. auch dann beständige Daten, wenn Sie diese Einstellung konfiguriert haben. In diesen Fällen werden ActiveX-Steuerelemente im abgesicherten Modus initialisiert. Durch Aktivieren dieser Einstellung und Auswählen von Sicherheitsstufe 2, 4 oder 6 wird die Sicherheit nur für die ActiveX-Steuerelemente erhöht, die korrekt als SFI gekennzeichnet sind. Falls bösartiger oder mangelhaft entworfener Code vorliegt, kann ein ActiveX-Steuerelement möglicherweise falsch als SFI gekennzeichnet werden.

Richtlinien: In den meisten Organisationen wird diese Einstellung aktiviert und Sicherheitsstufe 2 ausgewählt, bei der die gleichen Initialisierungskriterien wie bei der Standardkonfiguration verwendet werden, jedoch ohne Benachrichtigung der Benutzer auf der Statusleiste. Diese Einstellung wird von Organisationen mit einer sehr strengen Sicherheitsumgebung in der Regel deaktiviert. Deaktiviert ist die Standardkonfiguration.

Das Verhalten von ActiveX-Steuerelementen in Office 2013-Anwendungen wird von verschiedenen weiteren Einstellungen beeinflusst. Wenn Sie die Einstellungen für ActiveX-Steuerelemente aufgrund einer besonderen Sicherheitsumgebung verändern, sind die folgenden Einstellungen für Sie möglicherweise relevant:

Steuerelemente in Forms3 laden: Diese Einstellung bestimmt, wie ActiveX-Steuerelemente in UserForms initialisiert werden.

Alle Benachrichtigungen für Vertrauensstellungsleiste aus Sicherheitsgründen deaktivieren: Diese Einstellung verhindert, dass Benutzern Warnungen auf der Meldungsleiste angezeigt werden. Dies schließt Warnungen über nicht sichere ActiveX-Steuerelemente ein.

HinweisHinweis:
Die neuesten Informationen zu Richtlinieneinstellungen finden Sie in der Excel 2013-Arbeitsmappe „Office2013GroupPolicyAndOCTSettings_Reference.xls“ in den administrativen Vorlagendateien für Office 2013. Weitere Informationen finden Sie im TechNet-Artikel Administrative Vorlagendateien für Office 2013 (ADMX, ADML) und Office-Anpassungstool.

Anzeigen: