Auswählen eines Bereitstellungstools für Sicherheitseinstellungen und Datenschutzoptionen in 2007 Office System
Letzte Aktualisierung: Februar 2009
Betrifft: Office Resource Kit
Letztes Änderungsdatum des Themas: 2015-03-09
Bevor Sie einen effektiven Sicherheitsplan für 2007 Microsoft Office System erstellen können, müssen Sie zunächst die Tools identifizieren, die Sie zum Konfigurieren, Bereitstellen und Verwalten von Sicherheitseinstellungen in Ihrer Organisation verwenden möchten. In einigen Fällen ist ein einzelnes Tool zum Konfigurieren, Bereitstellen und Verwalten von Einstellungen geeignet. In anderen Fällen sind möglicherweise mehrere Tools erforderlich: eines zum Konfigurieren und Bereitstellen einer Erstkonfiguration und eines für die laufende Verwaltung der Einstellungen. Die Wahl des richtigen Tools ist ein wichtiger Schritt im Sicherheitsplanungsprozess, da dadurch sichergestellt wird, dass die geplanten Sicherheitseinstellungen auch überall in der Organisation bereitgestellt und erzwungen werden. Außerdem können Sie Sicherheitseinstellungen nach der ursprünglichen Einführung ändern, um auf plötzliche Sicherheitsbedrohungen zu reagieren.
Zwar stehen zur Bereitstellung und Verwaltung von Desktopanwendungen in Unternehmensumgebungen vielfältige Tools zur Verfügung, es wird jedoch empfohlen, ausschließlich das Office-Anpassungstool (OAT) und die administrativen Gruppenrichtlinienvorlagen für 2007 Office System zum Konfigurieren, Bereitstellen und Verwalten von Sicherheitseinstellungen in 2007 Office System zu verwenden. Für jedes Tool gelten andere Anforderungen und Einschränkungen, und jedes bietet andere Features und Funktionen. Die Auswahl des richtigen Tools erfordert eine sorgfältige Bewertung der bestehenden Bereitstellungs- und Verwaltungsinfrastruktur, der Sicherheitsarchitektur und der Sicherheitsanforderungen Ihrer Organisation. Bewerten Sie anhand der in den folgenden Abschnitten aufgeführten bewährten Methoden und Empfehlungen die einzelnen Tools, um festzustellen, welches Tool für Ihre Organisation am besten geeignet ist.
Office-Anpassungstool
Das OAT ist ein neues grafisches Tool, mit dem Sie eine Konfigurationsdatei (MSP) erstellen können. Eine Konfigurationsdatei kann eine Vielzahl von Informationen enthalten, u. a. Installationsanweisungen, Lizenzierungsinformationen und Anwendungseinstellungen wie Sicherheitseinstellungen und Datenschutzoptionen. Sie haben zwei Möglichkeiten, eine Konfigurationsdatei zu verwenden:
In Verbindung mit dem Setupprogramm zur Anpassung des Installationsprozesses während einer umfangreichen Einführung
In Verbindung mit Windows Installer 3.1 zum Aktualisieren oder Warten von Konfigurationseinstellungen während der Betriebsphase des Softwarelebenszyklus
Führen Sie die folgenden Aufgaben aus, um eine Konfigurationsdatei zur Anpassung des Installationsprozesses zu verwenden:
Verwenden Sie die grafische Benutzeroberfläche des OAT, um Setupoptionen und Anwendungseinstellungen zu konfigurieren.
Speichern Sie die Einstellungen und Optionen in einer MSP-Datei.
Führen Sie das Setupprogramm auf den Clientcomputern aus, und geben Sie mithilfe von Befehlszeilenparametern die MSP-Datei an, die vom Setupprogramm verwendet werden soll.
Führen Sie die folgenden Aufgaben aus, um eine Konfigurationsdatei zum Aktualisieren oder Warten vorhandener Installationen zu verwenden:
Verwenden Sie die grafische Benutzeroberfläche des OAT, um Anwendungseinstellungen in einer vorhandenen oder einer neuen MSP-Datei zu konfigurieren.
Speichern Sie die neuen Anwendungseinstellungen in der MSP-Datei.
Führen Sie Windows Installer auf dem Clientcomputer aus, und geben Sie mithilfe von Befehlszeilenparametern die MSP-Datei an, die von Windows Installer verwendet werden soll.
Weitere Informationen zur Verwendung des OAT finden Sie unter Office-Anpassungstool im 2007 Office System und Anpassen von 2007 Office System.
Anforderungen und Einschränkungen
Das OAT ist zwar neu, erfordert aber keine speziellen Infrastrukturerweiterungen. Beispielsweise müssen Sie zur Verwendung des OAT keine Änderungen an vorhandener Hardware, Software, Netzwerktopologie oder Sicherheitsarchitektur vornehmen. Dennoch gelten für das OAT die folgenden Anforderungen:
Sie müssen das OAT in Verbindung mit dem Office-Setupprogramm verwenden. Das OAT generiert nur MSP-Dateien. Es wendet keine Sicherheitseinstellungen auf Computer an. Sie müssen das Setupprogramm verwenden, um 2007 Office System zu installieren und die in den MSP-Dateien gespeicherten Sicherheitseinstellungen anzuwenden.
Sie müssen das Setupprogramm verwenden, das in 2007 Office System enthalten ist, da dies das einzige unterstützte Installationsprogramm ist, das die Daten in vom OAT generierten MSP-Dateien lesen und die Sicherheitseinstellungen (und andere Einstellungen) zur Registrierung hinzufügen kann.
Auf den Computern, auf denen Sie Setup und das OAT ausführen, muss Windows Installer 3.1 installiert sein.
Um das OAT und das Office-Setupprogramm ausführen zu können, müssen Sie Mitglied der Administratorengruppe auf dem lokalen Computer sein.
Wenn Sie sich zum Konfigurieren und Verwalten von Sicherheitseinstellungen für das OAT entscheiden, sollten Sie berücksichtigen, dass für das OAT die beiden folgenden Einschränkungen gelten:
Sie können mithilfe des OAT keine Sicherheitseinstellungen sperren oder durchsetzen. Mit dem OAT werden Anwendungseinstellungen in öffentlich zugänglichen Teilen der Registrierung konfiguriert, z. B. HKEY_CURRENT_USER/Software/Microsoft/Office/12.0. Wenn Sie das OAT zum Konfigurieren oder Verwalten von Sicherheitseinstellungen für 2007 Office System verwenden, können Benutzer die von Ihnen bereitgestellten Sicherheitseinstellungen ändern. Diese Einstellungen gelten als Benutzereinstellungen und nicht als verwaltete Einstellungen, da Benutzer sie ändern können. Wenn Sie Sicherheitseinstellungen erzwingen möchten, verwenden Sie Gruppenrichtlinien.
Sie können mit dem OAT nur eine einzige Einstellung zum Blockieren von Dateiformaten konfigurieren. Mithilfe von Einstellungen zum Blockieren von Dateiformaten können Sie verhindern, dass Benutzer bestimmte Dateitypen oder Dateiformate öffnen oder speichern. Diese Einstellungen sind hilfreich, wenn Sie die Verwendung älterer Dateiformate unterbinden oder Zero-Day-Angriffe abwehren möchten.
Häufige Szenarien
Können Sie das OAT und das Setupprogramm zum Konfigurieren, Bereitstellen und Verwalten von Sicherheitseinstellungen in vielen IT-Umgebungen verwenden. In den folgenden Abschnitten werden Szenarien beschrieben, in denen das OAT und das Setupprogramm besonders nützlich sind.
Nicht verwaltete Umgebungen
Das OAT wird in der Regel von Organisationen eingesetzt, die ihre Desktopanwendungen nicht zentral oder ihre Desktopumgebungen nicht remote verwalten. In diesen Fällen können Sie mithilfe des OAT und des Setupprogramms Sicherheitseinstellungen konfigurieren, bereitstellen und verwalten, ohne ein Remoteverwaltungstool wie Microsoft Systems Management Server 2003 oder ein richtlinienbasiertes Tool wie Gruppenrichtlinien zu verwenden.
Anfängliche Sicherheitskonfigurationen
Das OAT wird häufig verwendet, um anfängliche Sicherheitskonfigurationen zu definieren, selbst wenn Gruppenrichtlinien zum Sperren oder Durchsetzen von Sicherheitseinstellungen verwendet werden. Dadurch wird sichergestellt, dass Sicherheitseinstellungen während der ersten Bereitstellung und vor der ersten Richtlinienaktualisierung konfiguriert werden. Wenn Sie mithilfe des OAT eine anfängliche Sicherheitskonfiguration definieren, können Sie zudem die Sicherheitseinstellungen auf einem Computer durch erneutes Anwenden der anfänglichen Konfigurationsdatei zurücksetzen.
Teilweise gesperrte Umgebungen
Das OAT ist hilfreich in teilweise gesperrten Umgebungen, in denen eine kritische Teilmenge der Sicherheitseinstellungen durch Gruppenrichtlinien gesperrt ist, während andere Sicherheitseinstellungen nicht gesperrt sind und von Benutzern konfiguriert werden können. In diesem Szenario werden die meisten der Sicherheitseinstellungen während der ersten Installation mithilfe einer vom OAT generierten Konfigurationsdatei (MSP-Datei) konfiguriert. Kritische Sicherheitseinstellungen werden nach Abschluss der ersten Installation über Gruppenrichtlinien bereitgestellt und verwaltet.
Administrative Gruppenrichtlinienvorlagen
2007 Office System enthält 15 administrative Vorlagen, mit deren Hilfe Sie Sicherheitseinstellungen durch lokale oder domänenbasierte Gruppenrichtlinien verwalten können. Administrative Vorlagen sind Unicode-Textdateien, in denen beschrieben wird, wo registrierungsbasierte Gruppenrichtlinieneinstellungen in der Registrierung gespeichert werden. Alle registrierungsbasierten Richtlinieneinstellungen sind im Gruppenrichtlinienobjekt-Editor unter dem Knoten Administrative Vorlagen aufgeführt und können dort konfiguriert werden. Administrative Vorlagen wenden keine Richtlinieneinstellungen an. Sie ermöglichen Ihnen die Anzeige der Richtlinieneinstellungen im Gruppenrichtlinienobjekt-Editor. Anschließend können Administratoren Gruppenrichtlinienobjekte mit den gewünschten Richtlinieneinstellungen erstellen. Beispielsweise könnten Sie ein Gruppenrichtlinienobjekt verwenden, das verschiedene Richtlinieneinstellungen zur Verwaltung von ActiveX-Steuerelementen, Add-Ins und Makros enthält.
Die Registrierungswerte für Gruppenrichtlinieneinstellungen werden unter den genehmigten Registrierungsschlüsseln für Gruppenrichtlinien gespeichert. Benutzer können diese Einstellungen nicht ändern oder deaktivieren: Gruppenrichtlinieneinstellungen, die von Administratoren vollständig verwaltet werden können, werden als echte Richtlinien bezeichnet. Für echte Gruppenrichtlinieneinstellungen gelten Einschränkungen durch Zugriffssteuerungslisten, um zu verhindern, dass die Einstellungen von Benutzern geändert werden. Die genehmigten Registrierungsschlüssel für Gruppenrichtlinien lauten:
Für Computerrichtlinieneinstellungen:
HKEY_LOCAL_MACHINE\Software\Policies (bevorzugter Speicherort)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Für Benutzerrichtlinieneinstellungen:
HKEY_CURRENT_USER\Software\Policies (bevorzugter Speicherort)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Weitere Informationen zu administrativen Vorlagen, Gruppenrichtlinien und zum OAT finden Sie unter Erweiterung für administrative Vorlagen und Office-Anpassungstool und Gruppenrichtlinien in Gruppenrichtlinie (Übersicht) (2007 Office System). Weitere Informationen zur Verwendung von administrativen Vorlagen zum Konfigurieren, Bereitstellen und Verwalten von Sicherheitseinstellungen finden Sie unter Erzwingen von Einstellungen mithilfe von Gruppenrichtlinien in 2007 Office System.
Anforderungen und Einschränkungen
Wenn Sie 2007 Office System auf Computern mit den Betriebssystemen Microsoft Windows XP, Microsoft Windows Server 2003 oder Windows Vista installieren, müssen zur Verwendung von administrativen Vorlagen die folgenden Anforderungen erfüllt sein.
In Ihrer Organisation muss der Active Directory-Verzeichnisdienst implementiert sein, um Sicherheitseinstellungen über domänenbasierte Gruppenrichtlinieneinstellungen zu konfigurieren, bereitzustellen und zu verwalten.
Sie müssen Mitglied der Administratorengruppe auf dem lokalen Computer sein, um Sicherheitseinstellungen über lokale Gruppenrichtlinieneinstellungen zu konfigurieren, bereitzustellen und zu verwalten.
Wenn Sie sich zum Konfigurieren und Verwalten von Sicherheitseinstellungen für administrative Vorlagen entscheiden, sollten Sie berücksichtigen, dass für administrative Vorlagen die folgenden Einschränkungen gelten:
Gruppenrichtlinien bieten keinen Mechanismus zum Zurücksetzen von Einstellungen auf eine ursprüngliche Konfiguration. Wenn Sie Ihre anfänglichen Konfigurationseinstellungen mithilfe von Gruppenrichtlinien bereitstellen und später Änderungen an Gruppenrichtlinieneinstellungen vornehmen, müssen Sie jede der nachfolgenden Änderungen neu konfigurieren, um die Einstellungen auf die ursprüngliche Konfiguration zurückzusetzen. Wenn Sie das Gruppenrichtlinienobjekt mit den Einstellungen deaktivieren oder löschen, werden alle Einstellungen in Nicht konfiguriert geändert.
Sie können mithilfe von Gruppenrichtlinien keine Einstellungen für vertrauenswürdige Herausgeber konfigurieren. Sie können digitale Zertifikate nur mithilfe des OAT zur Liste der vertrauenswürdigen Herausgeber hinzufügen.
Wenn Ihre Organisation klein ist und Sie noch nicht Active Directory verwenden, kann die Implementierung von domänenbasierten Gruppenrichtlinien aufgrund des Verwaltungsaufwands, um Gruppenrichtlinien in einer Active Directory-Umgebung zu verstehen und zu implementieren, untragbar sein.
Häufige Szenarien
Sie können Gruppenrichtlinien zum Konfigurieren, Bereitstellen und Verwalten von Sicherheitseinstellungen in vielen IT-Umgebungen verwenden. In den folgenden Abschnitten werden Szenarien beschrieben, in denen administrative Vorlagen besonders nützlich sind.
Verwaltete Umgebungen
Administrative Vorlagen sind nützlich in Organisationen, die ihre Desktopumgebungen mithilfe von Gruppenrichtlinien verwalten. Dies gilt unabhängig davon, ob Sie Active Directory bereitgestellt haben und Ihre Desktopumgebung mit domänenbasierten Gruppenrichtlinien verwalten oder ob Active Directory nicht installiert ist und Sie Ihre Desktopumgebung mit lokalen Gruppenrichtlinien verwalten.
Gesperrte Umgebungen
Administrative Vorlagen sind nützlich in gesperrten Umgebungen, in denen Benutzer nur wenig Kontrolle über ihre Desktopkonfiguration haben. In diesem Szenario werden alle Sicherheitseinstellungen über Gruppenrichtlinien bereitgestellt und verwaltet. Sicherheitseinstellungen, die während der ersten Installation konfiguriert werden, werden durch die Gruppenrichtlinieneinstellungen überschrieben.
Implementieren von Einstellungen für das Blockieren von Dateiformaten
Administrative Vorlagen sind effektiv die einzige Möglichkeit zum Implementieren von Einstellungen für das Blockieren von Dateiformaten. Mit diesen Einstellungen können Sie verhindern, dass Benutzer bestimmte Dateiformate oder Dateitypen öffnen. Diese Einstellungen sind nützlich zur Abwehr von Zero-Day-Angriffen, sofern Sie den Dateityp oder das Dateiformat kennen, der bzw. das ein Risiko für Ihre Organisation birgt. Diese Einstellungen sind auch hilfreich, um zu verhindern, dass Benutzer ältere Dateiformate verwenden, oder um die Verwendung der gleichen Dateiformate zu erzwingen.
Auswählen eines Tools
In der folgenden Tabelle werden die Features und Funktionen der zwei empfohlenen Tools gegenüberstellt, mit denen Sie Sicherheitseinstellungen in 2007 Office System konfigurieren können. Bewerten Sie anhand der Informationen in der Tabelle jedes Tool, und bestimmen Sie, welches Tool für Ihre Organisation am besten geeignet ist.
| Features und Funktionen | Administrative Vorlagen | OAT und Setup |
|---|---|---|
Active Directory erforderlich |
Ja (domänenbasierte Gruppenrichtlinien) Nein (lokale Gruppenrichtlinien) |
Nein |
Windows Installer 3.1 erforderlich |
Nein |
Ja |
Administrative Anmeldeinformationen auf dem Clientcomputer erforderlich |
Ja (lokale Gruppenrichtlinien) Nein (domänenbasierte Gruppenrichtlinien) |
Ja |
Zum Sperren von Sicherheitseinstellungen verwendbar |
Ja |
Nein |
Zum Verwalten von Sicherheitseinstellungen nach der Erstinstallation verwendbar |
Ja |
Ja |
Zum Definieren der anfänglichen Sicherheitskonfigurationen verwendbar |
Ja (nicht ideal) |
Ja |
Zum Konfigurieren von Einstellungen für das Blockieren von Dateiformaten verwendbar |
Ja (alle Einstellungen) |
Ja (aber nur eine Einstellung) |
Zum Hinzufügen von Herausgebern zur Liste der vertrauenswürdigen Herausgeber verwendbar |
Nein |
Ja |
Herunterladen dieses Buchs
Dieses Thema wurde zum leichteren Lesen und Ausdrucken in die folgenden Bücher zum Herunterladen aufgenommen:
Die vollständige Liste der verfügbaren Bücher finden Sie unter Herunterladbare Bücher für das 2007 Office Resource Kit.