2007 Microsoft Office-Sicherheitshandbuch

Überblick

Veröffentlicht: 11. Nov 2007

Willkommen beim 2007 Microsoft Office-Sicherheitshandbuch. Dieses Handbuch bietet ausführliche Empfehlungen zur Erkennung von Risiken und zur Minderung von Sicherheitsbedrohungen für die 2007 Microsoft® Office-Version. Es unterstützt Sie beim Vornehmen von Änderungen an der Standardkonfiguration von Desktop- und Laptopcomputern, auf denen die 2007 Office-Version in Active Directory®-Umgebungen ausgeführt wird.

Dieses Handbuch ist Teil eines Solution Accelerators, in dem ausführliche Empfehlungen, bewährte Methoden und Schritt-für-Schritt-Verfahren bereitgestellt werden, mit deren Hilfe Sie die Bereitstellung der 2007 Office-Version planen und auf sichere Weise vornehmen können. Es enthält Informationen zum Bereitstellen empfohlener Sicherheitseinstellungen für zwei unterschiedliche Umgebungstypen:

• Die empfohlenen Einstellungen für Enterprise Client (EC)-Umgebungen richten sich an Unternehmen, die ein ausgewogenes Verhältnis zwischen Sicherheit und Funktionalität schaffen wollen. Typische sicherheitsbewusste Unternehmen, Behörden und andere Organisationen sollten zunächst die EC-Empfehlungen berücksichtigen und diese dann ihren individuellen Umständen und Anforderungen gemäß anpassen.

• Die empfohlenen Einstellungen für Umgebungen vom Typ „Specialized Security - Limited Functionality“ (SSLF) richten sich an Unternehmen mit äußerst strengen Sicherheitsstandards, für die Sicherheit einen höheren Stellenwert einnimmt als Anwendungsfunktionalität. Diese Einstellungen sind für Unternehmen und Behörden konzipiert, die Verantwortung für überregionale Sicherheitsbelange tragen und streng vertrauliche Daten handhaben. Sie könnten beschließen, die SSLF-Einstellungen einer Untergruppe von Computern in Ihrem Unternehmen zuzuweisen oder ihren Anforderungen entsprechend eine ausgewogene Mischung aus EC- und SSLF-Empfehlungen zu implementieren.

Zum in diesem Handbuch bereitgestellten Solution Accelerator gehört auch der GPOAccelerator , ein Tool zum Bereitstellen von Sicherheitseinstellungen. Dieses Tool erstellt alle Gruppenrichtlinienobjekte (Group Policy Objects, GPOs), die für das Bereitstellen der empfohlenen Sicherheitseinstellungen in Ihrer Umgebung erforderlich sind. Darüber hinaus enthält der Solution Accelerator eine umfassende Referenz der Sicherheitseinstellungen namens Bedrohungen und Gegenmaßnahmen. Dieses Dokument ermöglicht Sicherheitsarchitekten, Planern und Administratoren ein Verständnis der einzelnen Sicherheitseinstellungen, der jeweils empfohlenen Konfiguration sowie der Bedrohungen, die sich dadurch mindern lassen. Eine Zusammenfassung dieser Einstellungen finden Sie in der Office Excel®-Arbeitsmappe Sicherheitseinstellungen für Office 2007-Anwendungen.

Entwicklungsteams, Berater, Supporttechniker, Partner und Kunden von Microsoft haben die Informationen in diesem Handbuch geprüft. Daher erfüllt er die folgenden Anforderungen:

• Bewährt. Auf Grundlage praktischer Erfahrungen.

• Maßgeblich. Bietet die bestmöglichen Empfehlungen.

• Präzise. In technische Hinsicht geprüft und getestet.

• Umsetzbar. Schritt-für-Schritt zum Erfolg.

• Relevant. Bietet Lösungen für wirkliche Sicherheitsprobleme.

Unabhängig davon, ob Sie Berater, Sicherheitsexperte oder IT-Experte in einem mittelgroßen oder großen Unternehmen sind, dieses Handbuch bietet Ihnen die technischen Ressourcen und Empfehlungen, die zum Entwickeln einer effektiven Sicherheitsstrategie für die 2007 Office-Version erforderlich sind.

Auf dieser Seite

Zweck und Umfang dieses Handbuchs

Zielgruppe

Warum ist Sicherheit ein wichtiges Thema für die 2007 Office-Version?

Anforderungen an die Infrastruktur

Kapitelübersicht

Danksagungen

Zweck und Umfang dieses Handbuchs

Dieses Handbuch soll IT-Experten Folgendes ermöglichen:

• Einblick in die gängigsten Sicherheitsbedrohungen und Angriffsmethoden, die für Laptops und Desktops ein Risiko darstellen, auf denen die 2007 Office-Version ausgeführt wird.

• Identifizierung und Verständnis der in der 2007 Office-Version enthaltenen Mechanismen, Technologien und Einstellungen zur Risikominderung.

• Entwurf und Konfiguration einer Organisationseinheitsstruktur (Organizational Unit, OU), die zur Bereitstellung von Sicherheitseinstellungen für die 2007 Office-Version empfohlene Richtlinien und bewährte Methoden von Microsoft befolgt.

• Planen, Testen und Bereitstellen empfohlener Sicherheitseinstellungen für zwei verschiedene Typen von Sicherheitsumgebungen mithilfe des GPOAccelerator-Tools.

Die in diesem Handbuch behandelten Microsoft Office-Anwendungen

Die Informationen in diesem Handbuch beziehen sich ausschließlich auf die folgenden Anwendungen der 2007 Office-Version:

• Microsoft Office Access™ 2007

• Microsoft Office Excel 2007

• Microsoft Office InfoPath® 2007

• Microsoft Office Outlook® 2007

• Microsoft Office PowerPoint® 2007

• Microsoft Office Word 2007

Dieses Handbuch bezieht sich nicht auf frühere Versionen von Microsoft Office, da viele der in diesem Handbuch erörterten Einstellungen und Funktionen in früheren Versionen nicht verfügbar waren. Die Empfehlungen in diesem Handbuch wurden unter Windows® XP Professional mit Service Pack 2 (SP2) und unter Windows Vista® getestet. Unter Windows Server® 2003 wurden keine Tests ausgeführt, die Empfehlungen in diesem Handbuch gelten jedoch möglicherweise für Computer, auf denen die 2007 Office-Version auf Windows Server 2003 SP1 oder später ausgeführt wird.

Wie bereits erwähnt, bietet dieses Handbuch ausführliche Empfehlungen zu Sicherheitseinstellungen für zwei unterschiedliche Umgebungstypen: die EC-Umgebung, in der ein Gleichgewicht zwischen Sicherheit und Anwendungsfunktionalität erforderlich ist, und die SSLF-Umgebung, bei der die Sicherheit einen höheren Stellenwert einnimmt als die Anwendungsfunktionalität. Anhand der Informationen im begleitenden Handbuch Bedrohungen und Gegenmaßnahmen können Sie die empfohlenen Einstellungen so ändern, dass unterschiedliche Konfigurationen für weitere spezielle Umgebungen entstehen.

Zum Seitenanfanq

Zielgruppe

Das 2007 Microsoft Office-Sicherheitshandbuch richtet sich hauptsächlich an IT-Allroundtalente, Sicherheitsexperten, Netzwerkarchitekten und andere IT-Experten und Berater, die sich mit Planung und Entwurf von Bereitstellungen der 2007 Office-Version auf Desktop- und Laptopcomputern in mittelgroßen und großen Unternehmen beschäftigen. Das Handbuch ist nicht für Heimanwender vorgesehen. Dieses Handbuch richtet sich an Personen, die folgende Tätigkeiten ausführen:

• Allroundtalent im IT-Bereich: Benutzer in dieser Rolle kümmern sich um alle Fragen der Sicherheit in Unternehmen mit 50 bis 500 Clientcomputern. Für Allroundtalente im IT-Bereich ist es besonders wichtig, dass sie die Computer, für die sie zuständig sind, schnell und einfach sichern können.

• Sicherheitsspezialist: Benutzer in dieser Rolle beschäftigen sich schwerpunktmäßig damit, innerhalb eines Unternehmens plattformübergreifende Sicherheit zu gewährleisten. Sicherheitsspezialisten identifizieren Sicherheitsfunktionen und -einstellungen und stellen ihren Kunden dann Empfehlungen zu deren optimaler Verwendung in risikoreichen Umgebungen zur Verfügung.

• Für IT-Abläufe, Helpdesk und Bereitstellung zuständige Mitarbeiter. Für IT-Abläufe zuständige Mitarbeiter kümmern sich vor allem um die Integration von Sicherheitsfunktionen und die Steuerung von Änderungen beim Bereitstellungsprozess, während sich das Bereitstellungspersonal in erster Linie mit der schnellen Anwendung von Sicherheitsupdates beschäftigt. Personen in diesen Rollen beheben auch Sicherheitsprobleme, die auf Anwendungen zurückzuführen sind. Diese Tätigkeit umfasst das Installieren, Konfigurieren und Verbessern der Verwendbarkeit und Verwaltbarkeit von Software. Zudem überwachen diese Personen die verschiedenen Problemtypen, um messbare Sicherheitsverbesserungen und möglichst geringe Auswirkungen auf wichtige Unternehmensanwendungen zu gewährleisten.

• Netzwerkarchitekt- und -planer. Personen in diesen Rollen beschäftigen sich mit der Netzwerkarchitektur für die Computer in ihren Unternehmen.

• Berater. Personen in dieser Rolle arbeiten in Unternehmen mit einer Größe von 50 bis 5.000 oder mehr Clientcomputern. IT-Berater kennen sich mit vielen Arten von Sicherheitsszenarien aus, die alle Geschäftsebenen eines Unternehmens umfassen. IT-Berater sowohl von Microsoft Services als auch von Partner nutzen Tools zur Wissensvermittlung für Partner und Unternehmenskunden.

Zum Seitenanfanq

Warum ist Sicherheit ein wichtiges Thema für die 2007 Office-Version?

Für Microsoft ist Sicherheit ein wichtiges Thema bei allen Produktveröffentlichungen. Es gibt eine Reihe von Faktoren, warum die Sicherheit von Desktopproduktivitätsanwendungen wie die 2007 Office-Version so wichtig ist. Dabei handelt es sich um folgende Faktoren:

• Eine voll integrierte Sicherheitsarchitektur: Ein gutes IT-Sicherheitsdesign integriert sämtliche Aspekte der IT-Infrastruktur. Microsoft Office wird von vielen Benutzern bevorzugt eingesetzt, um Daten zu erstellen, zu nutzen und weiterzugeben sowie mit Kollegen zusammenzuarbeiten. Die 2007 Office-Version enthält einen umfassenden Satz von Steuerelementen und Verwaltungsfunktionen auf Anwendungsebene, die weitere Optionen bieten, um auf Bedrohungen und gesetzliche Vorschriften flexibel und mit minimalem Aufwand reagieren zu können.

• Angriffe auf Desktopanwendungen steigen immer mehr an: Angriffe auf Desktopanwendungen, einschließlich der Anwendungen in der 2007 Office-Version, nehmen immer mehr zu. Angreifer richten ihr Augenmerk nicht mehr in erster Linie auf zentrale Server, sondern versuchen stattdessen, sich Zugang zu Daten auf Clientcomputern zu verschaffen. Um dieses Problem anzugehen, sollten daher unbedingt die in der 2007 Office-Version enthaltenen Sicherheitseinstellungen und -technologien implementiert werden.

• Datenschutz: Wie jede Desktopproduktivitätssoftware bieten die Anwendungen der 2007 Office-Version Möglichkeiten zum Erstellen und Ändern von Daten. Viele dieser Daten enthalten vertrauliche Informationen wie geistiges Eigentum oder Kundendaten. Der Schutz dieser vertraulichen Daten ist für den Erfolg und die Sicherheit eines Unternehmens von entscheidender Bedeutung.

Datensicherheitsrisiken und tief greifende Schutzmaßnahmen

IT-Experten und IT-Sicherheitsexperten teilen die Risiken für die Datensicherheit in drei Kategorien ein:

• Vertraulichkeitsrisiken: Diese Risiken stellen Bedrohungen für das geistige Eigentum eines Unternehmens durch unbefugte Benutzer und schädlichen Code dar, die auf das, was im Unternehmen gesagt, aufgeschrieben und erstellt wird, zugreifen wollen.

• Integritätsrisiken: Diese Risiken stellen Bedrohungen für Geschäftsressourcen durch unbefugte Benutzer und schädlichen Code dar, die unternehmenswichtige Geschäftsdaten beschädigen wollen. Alle Unternehmensressourcen, die wichtige Unternehmensdaten enthalten, z. B. Datenbankserver, Datendateien und E-Mail-Server, können durch Integritätsrisiken gefährdet werden.

• Verfügbarkeitsrisiken: Diese Risiken stellen Bedrohungen für Geschäftsprozesse durch unbefugte Benutzer und schädlichen Code dar, die beabsichtigen, die Prozesse innerhalb des Unternehmens in Bezug auf Geschäftstätigkeit und Arbeitsabläufe zu beeinträchtigen. Business Intelligence-Prozesse, Anwendungsfunktionen und -fähigkeiten sowie Dokumentworkflowprozesse können alle durch Verfügbarkeitsrisiken bedroht werden.

Um zu gewährleisten, dass Ihr Unternehmen vor allen drei aufgeführten Risikokategorien geschützt ist, wird eine tief greifende Sicherheitsstrategie empfohlen. Dabei handelt es sich um eine Sicherheitsstrategie, die mehrere überlappende Schutzschichten zur Abwehr von unbefugten Benutzer und schädlichem Code umfasst. Zu diesen Schichten gehören in der Regel der Schutz des Umkreisnetzwerks, z. B. durch Firewalls, physische Sicherheitsmaßnahmen wie physisch sichere Datencenter und Serverräume sowie Tools für die Desktopsicherheit, z. B. persönliche Firewalls, Virenprüfprogramme und Spywareerkennung.

Wenn die 2007 Office-Version Teil Ihrer Umgebung ist, sollte die tief greifende Schutzstrategie außerdem die in der 2007 Office-Version enthaltenen Mechanismen zur Risikominderung umfassen. Zu diesen Risikominderungsmechanismen gehören eine Vielzahl an Technologien, Einstellungen und Funktionen, beispielsweise vertrauenswürdige Herausgeber, Verschlüsselung, vertrauenswürdige Speicherorte, digitale Signaturen, Datenschutz- und Sicherheitseinstellungen für Microsoft ActiveX®-Steuerelemente, Add-Ins und Microsoft Visual Basic® for Applications (VBA)-Makros. Diese Technologien, Einstellungen und Funktionen können gemeinsam zur Minderung von Sicherheitsbedrohungen in Ihrer Umgebung beitragen. Durch Einsatz dieser Risikominderungsmechanismen lassen sich das geistige Eigentum, die Unternehmensressourcen sowie die Geschäftsprozesse schützen, die den Kern Ihres Unternehmens bilden.

Zum Seitenanfanq

Anforderungen an die Infrastruktur

In diesem Handbuch wird vorausgesetzt, dass Sie bereits dem Industriestandard entsprechende Richtlinien und bewährte Methoden zum Entwickeln der Sicherheitsarchitektur Ihres Unternehmens verwendet haben und dass Sie zum Schutz der Unternehmensinfrastruktur aktuell branchenübliche Sicherheitstechnologien einsetzen. Es wird ebenfalls vorausgesetzt, dass die folgenden Anforderungen erfüllt sind:

• Bereitstellung einer Active Directory-Umgebung innerhalb des gesamten Unternehmens, mit der Desktops, Laptops und Servercomputer über eine Gruppenrichtlinie zentral verwaltet werden können.

• Implementierung der im Windows XP-Sicherheitshandbuch oder im Windows Vista-Sicherheitshandbuch enthaltenen Empfehlungen und bewährten Methoden. Diese Handbücher bieten ausführliche Anleitungen zum Schutz von Desktop- und Laptopcomputern, auf denen die Betriebssysteme Windows XP und Windows Vista ausgeführt werden. Sie sind im Microsoft Download Center und auf der Microsoft TechNet-Website verfügbar.

• Absichern und Schutz Ihrer Server in Einklang mit dem Windows Server 2003-Sicherheitshandbuch. Dieses Handbuch bietet ausführliche Anleitungen zum Schutz von Servern, auf denen das Betriebssystem Windows Server 2003 ausgeführt wird. Es ist im Microsoft Download Center und auf der Microsoft TechNet-Website verfügbar.

Wenn Ihr Unternehmen diese Infrastrukturanforderungen nicht erfüllt, stehen die folgenden Ressourcen zur Verfügung, die Ihnen beim Schützen und Aktualisieren Ihrer Infrastruktur behilflich sind.

• Planen eines Active Directory-Bereitstellungsprojekts

• Windows Vista Hardware Assessment

• Windows Vista-Sicherheitshandbuch

• Windows Vista Service-Lebenszyklusverwaltung

• Data Encryption Toolkit for Mobile PCs

• Windows Server 2003-Sicherheitshandbuch

• Windows XP-Sicherheitshandbuch

• Microsoft Sicherheitsportal

• Microsoft Learning -Website (enthält Informationen zur Microsoft-Zertifizierung, zu E-Learning sowie Onlinecomputerschulungen)

Zum Seitenanfanq

Kapitelübersicht

Das 2007 Microsoft Office-Sicherheitshandbuch besteht aus dieser Übersicht sowie fünf Kapiteln. Aus der folgenden Abbildung ist ersichtlich, wie Sie dieses Handbuch und andere 2007 Microsoft Office-Sicherheitshandbücher zum Planen und Bereitstellen von Sicherheitseinstellungen in Ihrer Umgebung verwenden können.

Wie in Schritt 2 der obigen Abbildung dargestellt, helfen Ihnen Kapitel 1 bis 4 dieses Handbuchs die für Ihre Umgebung am besten geeigneten Sicherheitseinstellungen zu bestimmen. Wenn Sie die vorgegebenen EC- bzw. SSLF-Einstellungen jedoch wie beschrieben ganz ohne Änderungen bereitstellen möchten (beispielsweise in einer Testumgebung), können Sie diese Schritte überspringen und mit Schritt 4 fortfahren. Befolgen Sie die Anleitungen in Kapitel 5 und in Verwendung von GPOAccelerator. Zum Bereitstellen der vorgegebenen EC- bzw. SSLF-Einstellungen ist es nicht erforderlich, Kapitel 1 bis 4 zu lesen.

Hinweis:

Microsoft empfiehlt eine genaue Evaluierung der EC- und SSLF-Einstellungen, bevor diese in einer Produktionsumgebung eingesetzt werden.

Es folgt eine Zusammenfassung der einzelnen Kapitel.

Kapitel 1: 2007 Office Releasea6a63525-874e-4820-9638-c008de0165d9.xml

Dieses Kapitel enthält die folgenden Informationen:

• Eine Übersicht über das Sicherheitsmodell der 2007 Office-Version mit einer Beschreibung der zugrunde liegenden Sicherheitsprinzipien.

• Eine Beschreibung neuer und aktualisierter Sicherheitsfunktionen und -einstellungen.

• Eine Beschreibung der gängigen Bedrohungen und Angriffsmethoden, die für die 2007 Office-Version ein Risiko darstellen.

Kapitel 2: Confidentiality c0b0250c-809e-4c2d-b2b5-94e3e54b36f4.xml

Dieses Kapitel enthält einen Überblick über die Sicherheitstechnologien und -einstellungen in der 2007 Office-Version, mit denen sich Bedrohungen für vertrauliche Daten mindern lassen, darunter:

• Sicherheitseinstellungen

• Verschlüsselungseinstellungen

• Einstellungen der Verwaltung von Informationsrechten

Diese Informationen können während der Konzept- und Planungsphasen eingesetzt werden, um die Bedrohungen für vertrauliche Daten besser einzuschätzen und mögliche Risikominderungsmechanismen zu verstehen, die zur Behandlung dieser Bedrohungen implementiert werden können.

Kapitel 3: Integrity 62bde736-3e56-4412-a6a9-67f76c748618.xml

Dieses Kapitel enthält eine Übersicht über die Sicherheitstechnologien und -einstellungen der 2007 Office-Version, mit denen sich Bedrohungen der Integrität mindern lassen, darunter:

• Einstellungen für vertrauenswürdige Herausgeber

• Einstellungen für vertrauenswürdige Speicherorte

• Einstellungen für digitale Signaturen

Diese Informationen können während der Konzept- und Planungsphasen eingesetzt werden, um die Bedrohungen für die Integrität besser einzuschätzen und mögliche Risikominderungsmechanismen zu verstehen, die zur Behandlung dieser Bedrohungen implementiert werden können.

Kapitel 4: Availability 162c122b-7fb5-46db-ad5f-edc16cf1b40d.xml

Dieses Kapitel bietet eine Übersicht über die Sicherheitstechnologien und -einstellungen in der 2007 Office-Version, mit denen sich Bedrohungen der Verfügbarkeit mindern lassen, darunter:

• Einstellungen für ActiveX-Steuerelemente

• Einstellungen für Add-Ins

• Einstellungen für VBA-Makros

• Einstellungen für externe Inhalte

• Einstellungen zur Dateiblockierung

• Einstellungen für Microsoft Internet Explorer®

Diese Informationen können während der Konzept- und Planungsphasen eingesetzt werden, um die Bedrohungen für vertrauliche Daten besser einzuschätzen und mögliche Risikominderungsmechanismen zu verstehen, die zur Behandlung dieser Bedrohungen implementiert werden können.

Kapitel 5: Designing and Implementing Security Settings945fb590-e737-4359-8b9a-487aef94f9fd.xml

Dieses Kapitel bietet ausführliche Empfehlungen zur Auswahl der Einstellungen für EC- bzw. SSLF-Umgebungen sowie ausführliche Anleitungen für den Entwurf einer Organisationseinheitsstruktur (Organizational Unit, OU).

Zum Seitenanfanq

Danksagungen

Das SA-SC-Team möchte dem für die Produktion des 2007 Microsoft Office-Sicherheitshandbuchs verantwortlichen Team danken. Die folgenden Personen waren entweder unmittelbar beteiligt oder lieferten wichtige Beiträge zum Erstellen, Entwickeln und Testen dieses Handbuchs.

Inhaltsentwicklung

Bill Gruber – Microsoft

Paul Henry – Wadeware LLC

Paul Slater – Wadeware LLC

Entwicklungsleitung

Ross Carter – Microsoft

Lektoren

Jennifer Kerns – Wadeware LLC

Steve Wacker – Wadeware LLC

Produktmanager

Alain Meeus – Microsoft

Jim Stuart – Microsoft

Eric Yaver – Volt Information Sciences

Programm-Manager

Flicka Enloe – Microsoft

Release-Manager

Karina Larson – Microsoft

Lektoren

Alex Vandurme – NCIRC/NATO

Brad Albrecht – Microsoft

Chase Carpenter – Microsoft

David Vanophalvens – NCIRC/NATO

Derick Campbell – Microsoft

Ed McGinn – Microsoft

Eugene Siu – Microsoft

Frank Simorjay – Microsoft

Joshua Edwards – Microsoft

Koreanische Regierung

Kurt Dillard – Microsoft

Mallikarjuna rao Nimmagadda – Microsoft

Mark Simos – Microsoft

Norman Vadnais – Independent

Padgett Peterson – Lockheed Martin

Raf Cox – Microsoft

Tom Garity – Independent

Waqas Nazir – V-Empower Inc.

Das United States Department of Commerce National Institute of Standards and Technology (NIST) beteiligte sich ebenfalls an der Prüfung dieses Microsoft-Sicherheitshandbuchs und stellte Anmerkungen zur Verfügung, die in die veröffentlichte Version aufgenommen wurden.

Testmanager

Gaurav Singh Bora – Microsoft

Tester

Harish Ananthapadmaanabhan – Infosys Technologies Ltd.

IndiraDevi Chandran – Infosys Technologies Ltd.

RaxitKumar Gajjar – Infosys Technologies Ltd.

Sumit Parikh – Infosys Technologies Ltd.

In diesem Beitrag

• Überblick
• Kapitel 1: Sicherheit in der 2007 Office-Version
• Kapitel 2: Vertraulichkeitseinstellungen
• Kapitel 3: Integritätseinstellungen
• Kapitel 4: Verfügbarkeitseinstellungen
• Kapitel 5: Entwerfen und Implementieren von Sicherheitseinstellungen

Download

2007 Microsoft Office-Sicherheitshandbuch herunterladen

GPOAccelerator herunterladen

Update-Benachrichtigungen

Melden Sie sich an, um über Updates und neue Versionen informiert zu werden

Feedback

[Senden Sie uns Ihre Kommentare und Anregungen](secwish@microsoft.com?subject=2007 microsoft office-sicherheitshandbuch)

Zum Seitenanfanq

1 von 6