Microsoft Office: Sicherheit per Gruppenrichtlinien

Anpassen der Installation von Office 2016/2019

Generell wird die Installation von Office weitgehend mit dem Click-To-Run-Installer (auf Deutsch „Klick-und-Los“-Installation) bereitgestellt. Das Programm lässt keine Einstellungen zu und installiert Office mit einem Klick. Um die Installation anzupassen, zum Beispiel um verschiedene Programme nicht zu installieren, kann diese Installation im Vorfeld angepasst werden.

Microsoft bietet dazu das Office Deployment Tool an. Mit diesem lassen sich Office 2016- und Office 2019-Installationen anpassen. Bestandteil des Tools sind die beiden Dateien configuration.xml und setup.exe. Mit der Datei configuration.xml wird die Installation gesteuert.

Das Office Deployment Tool bietet also die XML-Datei, mit der gesteuert wird, wie Office installiert werden soll. Auch die Aktivierung und die Angabe des Produktschlüssels kann hier vorgenommen werden. Das Installationsprogramm von Office 2016/2019 kann auch Installationsdateien herunterladen und zur Installation verwenden. Dazu werden folgende Befehle genutzt:

setup.exe /download configuration.xml

Nach dem Download wird Office so installiert, wie in der Konfigurationsdatei gesteuert wird:

setup /configure configuration.xml

Ein Beispiel für eine Konfiguration sieht folgendermaßen aus:

<Configuration>

<Add SourcePath="D:\Temp\off2019\" OfficeClientEdition="32" Channel=" PerpetualVL2019">

<Product ID="ProPlus2019Volume">

<Language ID="en-us" />

<Language ID="de-de" />

</Product>

<Product ID="ProofingTools">

<Language ID="de-de" />

</Product>

</Add>

<Logging Level="Debug" Path="D:\Temp\Office2019x32" />

<RemoveMSI All="True" />

<Display Level="None" AcceptEULA="TRUE" />

</Configuration>

Microsoft geht auf der Seite Bereitstellen von Office 2019 (für IT-Experten) ausführlicher auf das Thema ein.

Gruppenrichtlinien für Office 2019 und Office 365

Microsoft stellt zur Absicherung von Office 2016/2019 auf der Seite Administrative Template files (ADMX/ADML) and Office Customization Tool for Office 365 ProPlus, Office 2019, and Office 2016 Gruppenrichtlinienvorlagen bereit, mit denen Office per Gruppenrichtlinien abgesichert werden kann. Die ADMX-Dateien sind für Office 2019 und für Office 2016 einsetzbar.

Nach dem Download werden die ADMX-Dateien in das Verzeichnis C:\PolicyDefinitions auf den Domänencontrollern im Netzwerk gespeichert. Die ADML-Dateien der Richtlinien in das entsprechende Sprachverzeichnis in C:\PolicyDefinitions, zum Beispiel in das Verzeichnis de-de.

Innerhalb der Richtlinie sind die Einstellungen von Office über Computerkonfiguration/Richtlinien/Administrative Vorlagen und Benutzerkonfiguration/Richtlinien/Administrative Vorlagen zu finden. Hier stehen die verschiedenen Einstellungen zur automatischen Konfiguration von Office zur Verfügung.

Über die Gruppenrichtlinien werden auch Sicherheitseinstellungen für die verschiedenen Office-Programme gesetzt. Hier spielt vor allem die Steuerung von Updates eine wichtige Rolle. Diese wird über Computerkonfiguration/Richtlinien/Administrative Vorlagen/Aktualisierungen festgelegt.

Die generelle Aktualisierung von Office über Windows-Update wird mit Automatische Updates aktivieren gesteuert. Zusätzlich kann mit Option zum Aktivieren oder Deaktivieren von Updates ausblenden sowie Updatebenachrichtigungen ausblenden festgelegt werden, dass Anwender nicht eingreifen können. Weitere Einstellungen wie das Konfigurieren von Update-Zweigen sind optional. Sobald die Gruppenrichtlinien auf Clientrechnern angewendet werden, zum Beispiel durch gpupdate /force, sind die Einstellungen umgesetzt.

Viele wichtige Sicherheitseinstellungen sind über Computerkonfiguration/Richtlinien/Administrative Vorlagen und Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Microsoft Office 2016/Sicherheitseinstellungen erreichbar. Weitere Einstellungen sind bei Benutzerkonfiguration/Richtlinien/Administrative Vorlagen und Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Microsoft Office 2016/Datenschutz/Trust Center zu finden.

Die Sicherheit von Makros konfigurieren

Unterhalb der Menüs für einzelne Office-Programme, zum Beispiel Outlook, sind weitere Sicherheitseinstellungen zu finden. Bei Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Microsoft Outlook 2016/Sicherheit/Trust Center sind die Anpassungen zu sehen, die das Trust Center betreffen. Hier werden zum Beispiel Einstellungen für Makros festgelegt.

Über Sicherheit/Einstellungen für den automatischen Download von Bildern einschränken wird festgelegt, wie sich Outlook beim Herunterladen von Bildern verhalten soll. Im Trust Center wird beispielsweise eingestellt, wie sich die Office-Programme in Bezug auf Makros verhalten sollen. Dazu findet sich dort der Menüpunkt Makroeinstellungen.

Die Einstellungen dazu sind bei Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2016\Sicherheitseinstellungen zu finden. Hier kann mit VBA für Office-Anwendungen deaktivieren die Ausführung für VBA blockiert werden.

Am Beispiel von Word 2016/2019 wird einiges auch über Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word 2016\Word-Optionen\Sicherheit\Trust Center gesteuert.

Hier können die gleichen Einstellungen vorgenommen werden wie bei der manuellen Konfiguration für Makros im Trust Center.

Über Gruppenrichtlinien kann festgelegt werden, wie Makros in Dokumenten, die von extern zugeschickt werden, behandelt werden. Dazu gibt es die Option Ausführung von Makros in Office-Dateien aus dem Internet blockieren.

Bei Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word 2016\Word-Optionen\Sicherheit gibt es noch die Option Automatisierungssicherheit. Hierüber kann gesteuert werden, dass Makros vor der Ausführung immer erst von einem Virenscanner überprüft werden müssen.