Office-Objekte signieren Der 5-Minuten-Sicherheitstipp

Veröffentlicht: 01. Mrz 2004

VBA-Makros (Visual Basic for Applications) stellen Ihnen ein leistungsfähiges Werkzeug zur Anpassung von Microsoft Office-Anwendungen zur Verfügung. Sie können Makros erstellen, um wiederkehrende Aufgaben zu automatisieren, mehrere Anwendungen miteinander zu verknüpfen, oder um selbst erstellte Datenbanken in Office-Anwendungen zu integrieren. Da VBA so leistungsfähig und flexibel ist, sind Sicherheitsmaßnahmen notwendig, um die Beschädigung von Dokumenten und Daten durch bösartige VBA-Makros zu verhindern. Unter Office XP ist es einfach, digitale Signaturen für die Makros anzufordern, die Sie in Word, Excel oder Access verwenden wollen. Außerdem können Sie einzelne Dokumente signieren, und Dritten so die Sicherheit geben, dass die Dokumente echt und seit der digitalen Signierung nicht verändert worden sind. Diese Maßnahmen komplettieren die Sicherheitsfeatures von Office XP, einschließlich der Möglichkeit, Dokumente zu verschlüsseln und Passwörter für den Dokumentschutz zu verwenden.

Auf dieser Seite

Objektsignaturen verstehen

Ein Signierungs-Zertifikat erstellen

Signieren von Makros und Dokumenten

Einrichten von vertrauenswürdigen Quellen

Objektsignaturen verstehen

Die Microsoft Authenticode-Technologie existiert seit der Veröffentlichung von Internet Explorer 3.0, und gibt Entwicklern die Möglichkeit, die Komponenten zu signieren, die auf Ihrem Computer ausgeführt werden sollen. Da die Authenticode-Signatur sicherstellt, dass der Programmcode nicht bösartig ist und aus einer bekannten und verlässlichen Quelle stammt, liegen die Sicherheitsvorteile klar auf der Hand. Heutzutage sind authenticode-signierte ActiveX-Steuerelemente der Standard.

Der Vorgang der Objektsignierung ist einfach: Sie erstellen ein Makro, ein ActiveX-Steuerelement oder eine ausführbare Datei mit Ihren bevorzugten Entwicklungswerkzeugen und signieren das Objekt dann mit einem authenticode-fähigen Zertifikat. Wenn ein Endbenutzer das Objekt lädt oder ausführt, kontrolliert das ausführende Programm oder die Anwendung, die den Ladevorgang bearbeitet (zum Beispiel Excel oder der Internet Explorer), welche Sicherheitsstufe aktiv ist und ob die Sicherheitsstufe ein signiertes Objekt erfordert. Wird eine gültige Signatur verlangt, erstellt der Computer des Benutzers die Signatur erneut und vergleicht sie mit der ursprünglichen Signatur des Objekts. Sind beide Signaturen identisch und das Zertifikat noch gültig, kann das Objekt geladen und ausgeführt werden.

Office 2000 und Office XP bieten Ihnen für VBA-Makros Codesignierungs-Richtlinien, die auf der Authenticode-Technologie beruhen. (Office XP wendet diese Sicherheitsstufen auch auf Smart Tags an). Sie können für makrofähige Office-Anwendungen drei unterschiedliche Sicherheitsstufen einstellen:

• Hohe Sicherheit ist die Standardeinstellung von Office XP. Wenn hohe Sicherheit eingestellt ist, werden nur Makros ausgeführt, die in der Liste vertrauenswürdiger Quellen vermerkt sind. Unsignierte Makros und Makros, die aus nicht vertrauenswürdigen Quellen kommen, werden automatisch deaktiviert.

• Mittlere Sicherheit ist die Standardeinstellung von Office 2000. In dieser Einstellung werden Sie gewarnt, wenn ein Dokument mit Makros geladen wird. Das Dialogfenster (siehe Abbildung 1) weist Sie darauf hin, dass das Dokument Makros enthält. Sie werden gefragt, ob Sie diese aktivieren oder deaktivieren wollen.

  

• Niedrige Sicherheit ist in keinem Fall empfehlenswert, da Sie keinerlei Hinweise oder Warnungen darüber erhalten, ob Makros in einem Dokument enthalten sind und wie mit diesen zu verfahren ist. Sollte das Dokument Makros enthalten, werden diese sofort geladen und ausgeführt.

Sollten Sie Windows 2000 als Serverbetriebssystem verwenden, können Sie die Sicherheitsstufe mit Hilfe von Gruppenrichtinien einstellen und erzwingen.

Setzen Sie die Sicherheitsstufe Ihrer Office-Anwendungen auf Hoch. Starten Sie Word, Excel oder PowerPoint. Klicken Sie auf Extras, Makros und auf Sicherheit. Wenn der Dialog Sicherheit (siehe Abbildung 2) erscheint, klicken Sie auf Hoch und dann auf OK.

Zum Seitenanfang

Ein Signierungs-Zertifikat erstellen

Wenn Sie Makros digital signieren wollen, müssen Sie sich zunächst entscheiden, woher das Zertifikat kommen soll. Entweder Sie erstellen ihr eigenes Zertifikat, oder Sie beziehen ein Zertifikat von einer Stammzertifizierungsstelle (CA). Jeder dieser beiden Ansätze hat ihre Vor- und Nachteile:

• Selbstausgestellte (oder genauer: selbstsignierte) Zertifikate sind einfach auszustellen. Mit Office steht Ihnen das Tool SelfCert.exe zur Verfügung, mit dem Sie leicht selbstsignierte Zertifikate ausstellen können. Makros und VBA-Projekte, die Sie mit solchen Zertifikaten signieren, können auf Ihrem Computer geladen und ausgeführt werden. Wenn Sie allerdings ein mit einem von SelfCert.exe erstellten Zertifikat signiertes Objekt auf einen anderen Computer übertragen, wird die Einstellung Hohe Sicherheit von Office verhindern, dass das Objekt geladen wird. Die signierende Stelle ist nicht in der Liste der vertrauenswürdigen Quellen dieses Computers enthalten. Das bedeutet, dass eine Selbstsignierung nur dann nützlich ist, wenn damit Objekte signiert werden, die nur auf einem Computer funktionieren sollen.
• Die Zertifizierungsstelle Ihrer Organisation oder eine Stammzertifizierungsstelle eines Drittanbieters, wie zum Beispiel Thawte oder Verisign kann Zertifikate zur Signierung von Programmcode ausstellen. Zertifikate einer CA geben Ihnen die Möglichkeit, signierte Objekte auf mehreren Computern auszuführen. Allerdings nur, wenn die CA in der Liste der vertrauenswürdigen Quellen auf diesen Computern enthalten ist. Office XP ermöglicht es Ihnen, während der Installation eine Liste der vertrauenswürdigen Quellen zu erstellen. Administratoren können (entweder mit Hilfe von Windows NT-Systemrichtlinien oder mit Windows 2000-Gruppenrichtlinien) verhindern, dass Benutzer die Listen der vertrauenswürdigen Quellen ändern.

Wie Sie ein Zertifikat erhalten hängt von der Art der ausstellenden CA ab, und davon ob es sich um eine externe oder interne Zertifizierungsstelle handelt. Ein eigenes, selbst signiertes Zertifikat mit SelfCert.exe zu erstellen ist sehr leicht. SelfCert wird bei der Installation von Office XP standardmäßig installiert. Wenn Sie Office 2000 verwenden, müssen Sie es jedoch über die Option Software der Systemsteuerung installieren. In beiden Fällen finden Sie SelfCert im Ordner \Programme\Microsoft Office\Office\SelfCert.exe, und Sie müssen das Programm aus der Befehlszeile starten. Das Einzige, was Sie nun tun müssen, ist einen Namen anzugeben, auf den das Zertifikat ausgestellt wird. Nachdem Sie auf OK geklickt haben, erstellt Windows das Zertifikat und legt es im Zertifikatsspeicher des lokalen Computers ab. Sie können es mit Hilfe des Zertifikat-Snap-Ins oder im Zertifikat-Dialog des Internet Explorer anzeigen.

Installieren Sie SelfCert und führen Sie es aus, um ein Zertifikat zu erstellen. Um sicherzustellen, dass das Zertifikat erstellt und installiert worden ist, kontrollieren Sie dies im Internet Explorer: Klicken Sie auf Extras und auf Internetoptionen. Wechseln Sie zur Registerkarte Inhalte und klicken Sie auf Zertifikate. Sie finden in der Liste nun das neue Zertifikat. Das Feld „Beabsichtigte Zwecke des Zertifikats“ zeigt Ihnen an, dass Sie das Zertifikat für die Codesignierung verwenden können.

Zum Seitenanfang

Signieren von Makros und Dokumenten

VBA-Makros zu signieren ist einfach. Der grundlegende Vorgang wird im Knowledge Base-Artikel 307731 beschrieben. Zunächst müssen Sie sich ein Zertifikat besorgen. Das Zertifikat muss für die Codesignierung geeignet sein. Wenn Sie sich also ein Zertifikat eines Drittanbieters besorgen, teilen Sie diesem mit, was für ein Zertifikat Sie brauchen. Nachdem Sie Ihr Zertifikat installiert haben, gehen Sie wie folgt vor:

1. Öffnen Sie die Office-Anwendung und das Dokument, das die zu signierenden Makros enthält.

2. Klicken Sie auf Extras und Makro, um den Visual Basic-Editor zu öffnen. Suchen das zu signierende Projekt im Project-Explorer.

3. Klicken Sie auf Extras und Digitale Signatur. Sie sehen den Dialog „Digitale Signatur“. Klicken Sie auf Wählen, um das entsprechende Zertifikat zu nutzen. Klicken Sie dann auf OK.

4. Testen Sie, ob das Makro ordnungsgemäß signiert wurde. Hierzu stellen Sie die Makro-Sicherheitsstufe auf Hoch. Schließen Sie die Anwendung und öffnen Sie das Dokument mit dem signierten Makro erneut. Wenn es korrekt geladen wird, dann ist es fehlerfrei signiert.

   

Zum Seitenanfang

Einrichten von vertrauenswürdigen Quellen

Die Liste der vertrauenswürdigen Quellen von Office legt fest, ob die Signaturen einer Quelle als vertraut eingestuft werden. Standardmäßig sind keine Quellen in der Liste aufgeführt. Verwechseln Sie die Liste der vertrauenswürdigen Quellen nicht mit der Liste der vertrauenswürdigen Softwareanbieter im Internet Explorer. Die Liste der vertrauenswürdigen Quellen bezieht sich ausschließlich auf Makros und COM-Add-Ins. Sie können während der Office-Installation eine erste Liste vertrauter Quellen erstellen, indem Sie den Installationsassistenten verwenden. Administratoren können vertraute Quellen mit Hilfe von Systemrichtlinien oder Gruppenrichtlinien definieren, und Endbenutzer können (sofern dies nicht vom Administrator deaktiviert wurde) eigene vertraute Quellen einrichten. Hierzu benutzen Sie die Registerkarte Vertrauenswürdige Quellen unter dem Punkt Makrosicherheit.

Um Sicherheitswarnungen zu den mit Office zur Verfügung gestellten Makros, Add-Ins und Vorlagen zu unterdrücken, stellen Sie sicher, dass auf der Registerkarte Sicherheit die Option Allen installierten Add-ins und Vorlagen vertrauen aktiviert ist.

Zum Seitenanfang

| Home | Technische Artikel | Community