Steuern des Informationsflusses in Office 2010

Sicherer Umgang mit Unternehmensdaten in
Microsoft Office 2010
Veröffentlichung: Januar 2011
© 2010 Microsoft Corporation. Alle Rechte vorbehalten. Die in diesem Dokument enthaltenen Informationen stellen
die behandelten Themen aus der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft
auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens Microsoft dar, und
Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht
garantieren. Die Informationen beziehen sich auf das Produkt zum Zeitpunkt der Drucklegung des vorliegenden
Dokuments; sie sollten ausschließlich zu Planungszwecken verwendet werden. Die Informationen können jederzeit ohne
vorherige Benachrichtigung geändert werden. Dieses Whitepaper dient nur zu Informationszwecken. MICROSOFT
SCHLIESST FÜR DIESE ÜBERSICHT JEDE AUSDRÜCKLICHE UND KONKLUDENTE GEWÄHRLEISTUNG AUS.
Microsoft, Office, Excel, PowerPoint, ActiveX, Windows, das Windows-Logo und Windows 7 sind entweder eingetragene
Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern.
Alle anderen Marken sind Eigentum ihrer jeweiligen Besitzer.
Inhaltsverzeichnis
Inhaltsverzeichnis ............................................................................................................... 2
Zusammenfassung .............................................................................................................. 3
Sicherheit in früheren Office-Versionen ............................................................................. 4
Office und die Zunahme von Bedrohungen .................................................................... 4
Einführung in die Office 2010-Sicherheit .......................................................................... 10
Verbesserungen der Sicherheitsentwicklung für Office 2010 ....................................... 10
Neue Schutztechnologien in Office 2010 ...................................................................... 12
Zentrale Sicherheitsverbesserungen in Office 2010...................................................... 15
Office 2010-Sicherheit: Tiefenverteidigung .................................................................. 15
Office 2010-Sicherheit: Steuern des Informationsflusses ............................................. 17
Abwehr von Exploits durch Office 2010 ........................................................................... 17
Datenausführungsverhinderung ................................................................................... 18
Vertrauensmodell .......................................................................................................... 20
Zugriffsschutz................................................................................................................. 23
ActiveX-Killbit................................................................................................................. 26
Office-Dateiüberprüfung ............................................................................................... 27
Geschützte Ansicht ........................................................................................................ 33
Vertrauenswürdige Dokumente .................................................................................... 38
Aktive Inhalte................................................................................................................. 41
Statusleiste .................................................................................................................... 43
Steuern des Informationsflusses in Office 2010 ............................................................... 48
Einstellungen für die Kennwortkomplexität.................................................................. 48
Kryptografische Verbesserungen .................................................................................. 51
Verbesserungen an digitalen Signaturen ...................................................................... 52
Dokumentprüfung ......................................................................................................... 57
Verwaltung von Informationsrechten ........................................................................... 58
Vergleich der Sicherheit in Office 2010 und Office 2007.................................................. 59
Office 2010 und Windows 7.............................................................................................. 63
Schlussbemerkung ............................................................................................................ 65
2
Weitere Ressourcen .......................................................................................................... 66
Zusammenfassung
In diesem Whitepaper werden die neuen Sicherheitsfeatures und -erweiterungen in
Microsoft Office 2010 erläutert, mit denen Organisationen gegen Angriffe auf Benutzer
geschützt werden können, die Office-Anwendungen in ihrer täglichen Arbeit nutzen.
Zunächst wird auf die Zunahme der vielfältigen Bedrohungen eingegangen, die das
Office-Entwicklungsteam zur Einführung dieser Verbesserungen bewogen hat. Zudem
wird die Weiterentwicklung der Office-Sicherheit in den verschiedenen Versionen
erläutert. Anschließend werden die drei Sicherheitsziele beschrieben, an denen sich die
Office-Entwicklungsprozesse ausrichteten: Verbessern der Sicherheitsentwicklung,
Bereitstellen von effektiven und benutzerfreundlichen Schutztechnologien für OfficeBenutzer und Ausbauen der zentralen Office-Sicherheitsfeatures und -Technologien.
Daran anschließend wird das auch als „Defense-in-Depth“ bezeichnete Schutzmodell der
Tiefenverteidigung von Office beschrieben. Darüber hinaus werden zentrale
Sicherheitstechnologien wie die Office-Dateiüberprüfung, die geschützte Ansicht und
vertrauenswürdige Dokumente ausführlich erklärt. Abschließend werden kurz die
Sicherheitsverbesserungen Office 2010 erläutert, u. a. wird dabei auf die
Datenausführungsverhinderung, das ActiveX-Killbit, Anforderungen an die Komplexität
von Kennwörtern sowie Verbesserungen der Verschlüsselung und von digitalen
Signaturen eingegangen.
3
Sicherheit in früheren Office-Versionen
Bevor die Sicherheitsverbesserungen in Office 2010 erläutert werden und
veranschaulicht wird, wie diese bei einem umfassenden Tiefenschutz zusammenwirken,
empfiehlt es sich, einen Blick auf die zunehmenden Bedrohungen in den letzten Jahren
zu werfen und zu verdeutlichen, wie Microsoft darauf durch eine stetige Verbesserung
der Office-Sicherheit reagiert hat. 1
Office und die Zunahme von Bedrohungen
Die Bedrohungen, mit denen Informationstechnologien in Unternehmen konfrontiert
sind, haben sich seit der Mitte der 1990er-Jahre dramatisch gewandelt, als der
Internetzugang zu einer Kernanforderung für Unternehmen wurde, um auf den
dynamischen globalen Märkten konkurrenzfähig zu bleiben. Bei anfänglichen Versuchen
von Angreifern, in Unternehmensnetzwerke einzudringen, lag der Schwerpunkt auf der
Entdeckung und Ausnutzung von Schwachstellen in Betriebssystemen, wobei zunächst
die Server angegriffen wurden, auf denen sich gewöhnlich die wertvollen
Geschäftsdaten befanden. Anbieter von Betriebssystemen wie Microsoft reagierten
durch die Härtung ihrer Serverbetriebssysteme: Neben der Integration von Firewalls
wurden die standardmäßigen Konfigurationseinstellungen sicherer gestaltet. Die ITAbteilungen von Unternehmen reagierten ähnlich auf diese Gefahren, indem sie
zusätzliche Sicherheitsschichten wie Umkreisfirewalls einbezogen und
Verschlüsselungstechnologien einsetzten, um die Unternehmensnetzwerke besser zu
schützen.
Doch alle diese Sicherheitsverbesserungen konnten Angriffe gegen
Unternehmensnetzwerke weder verhindern noch eindämmen. Stattdessen verschob
sich das Augenmerk der Angreifer weg von den Servern auf die Clients, und die Angriffe
wurden sogar noch verstärkt. In Erwartung dieser Verschiebung hat auch Microsoft mit
jeder neuen Betriebssystemversion für Windows-Desktops die Sicherheit durch
1
Die Sicherheit für Outlook 2010 wird im vorliegenden Whitepaper nicht behandelt, da
es sich hierbei um ein spezielles Thema handelt, das gesondert behandelt werden muss.
Weitere Informationen zur Sicherheit für Outlook 2010 finden Sie im Abschnitt „Weitere
Ressourcen“ am Ende dieses Whitepapers.
4
Einbeziehung neuer Sicherheitsfeatures, die Umgestaltung von Kernkomponenten und
die Bereitstellung von Tools für die Automatisierung der Patchverwaltung verbessert,
um Schwachstellen auszuräumen, sobald diese erkannt werden. Da sich Angreifer
jedoch bei ihren Aktivitäten stets den „am niedrigsten hängenden Früchten“ zuwenden,
führten diese Verbesserungen im Grunde zu einer weiteren Verschiebung der
Bedrohungen, dieses Mal in Richtung Anwendungsraum.
In den letzten Jahren lag der Schwerpunkt von Angriffen auf Unternehmensnetzwerke
zunehmend in zwei Bereichen. Erstens zielen Angreifer zunehmend auf
Desktopanwendungen ab, da Anwendungsanbieter hinsichtlich der Produktsicherheit
generell hinter den Betriebssystemanbietern zurückbleiben. Jetzt sind die gängigen
Angriffsziele populäre Desktopanwendungen wie Adobe Flash Player, Adobe Acrobat,
Apple QuickTime und Microsoft Office. Zweitens ist aber auch eine beträchtliche
Zunahme von Angriffen gegen Websites und webbasierte Anwendungen zu verzeichnen.
Meist erfolgen diese über Backend-Datenbanken durch Einschleusen von SQL-Code oder
mithilfe von websiteübergreifenden Skripts, mit denen Berechtigungen heraufgestuft
werden und bösartiger Code in Webseiten eingeschleust wird. Der Bericht des SANS
Institute vom September 2009 verweist darauf, dass das Patchen von Schwachstellen in
Desktopanwendungen und Webanwendungen zwei der wichtigsten Prioritäten
darstellen, die sich für IT-Experten beim Absichern von Unternehmensnetzwerken
stellen.2
Für nahezu ein Jahrzehnt hatte Microsoft eine führende Rolle hinsichtlich der Sicherheit
im Anwendungsraum inne. Seit der Verbreitung des Virus „Melissa“ im März 1999
umfasste jede seitdem veröffentlichte Version von Microsoft Office innovative neue
Sicherheitstechnologien und -features, die die IT-Teams von Unternehmen dabei
unterstützen sollen, Angreifern stets um einen Schritt voraus zu sein. Mit der
Veröffentlichung von Microsoft Update im Juni 2005 war Microsoft der erste Anbieter,
der einen Mechanismus zum automatischen Anwenden von Patches auf Client- und
Serveranwendungen wie Office 2003, Exchange Server 2003 und SQL Server 2000 anbot.
Auch wenn andere Anbieter mittlerweile Sicherheitsfeatures anbieten, die denen in
früheren Office-Versionen ähneln, bleibt Microsoft führend in diesem Bereich. So hat
2
Den Bericht des SANS Institute, Top Cyber Security Risks – Executive Summary (Größte
Cyber-Sicherheitsrisiken – Zusammenfassung) finden Sie unter http://www.sans.org/topcyber-security-risks/summary.php.
5
Adobe beispielsweise angekündigt, dass die kommende Version von Acrobat Reader
eine Sandkastentechnologie mit geschütztem Modus enthalten wird, die mit der
entsprechenden Technologie in Office 2010 vergleichbar ist.3
Bevor auf die neuen Sicherheitsfeatures in Office 2010 eingegangen wird, lohnt es sich,
die Sicherheit der früheren Office-Versionen zu beleuchten. Im Folgenden finden Sie
eine kurze Übersicht über die grundlegenden Sicherheitsverbesserungen, die in den
verschiedenen Office-Versionen ab Office 2000 eingeführt wurden. Seit Office XP
können die meisten dieser Sicherheitsfeatures anhand von Gruppenrichtlinien
konfiguriert werden.
Grundlegende Sicherheitsverbesserungen in Office 2000:


Signieren von Makros Damit besteht die Möglichkeit, Makros mit digitalen
Signaturen zu versehen, um den Ersteller des jeweiligen Makros zu
authentifizieren und sicherzustellen, dass dieses nicht manipuliert wurde.
Vertrauenswürdige Quellen Hiermit können vertrauenswürdige Quellen
angegeben werden, die durch die digitalen Signaturen identifiziert werden, mit
denen Makros signiert wurden. Das heißt, dass Benutzer Word 2000 so
konfigurieren konnten, dass Makros aus vertrauenswürdigen Quellen
automatisch ausgeführt werden, wenn das zugehörige Dokument geöffnet wird.
Grundlegende Sicherheitsverbesserungen in Office XP:

Sicherheitsstufen für Makros Der Makroschutz wurde erweitert, indem drei
Stufen der Makrosicherheit definiert wurden: Hoch, Mittel und Niedrig. Bei
hoher Sicherheit (der Standardeinstellung) wurden nicht signierte Makros
deaktiviert, und nur die Ausführung von signierten Makros aus
vertrauenswürdigen Quellen wurde zugelassen. Bei mittlerer Sicherheit konnte
der Benutzer entscheiden, ob ein nicht signiertes Makro ausgeführt wird. Bei
niedriger Sicherheit wurden sämtliche Makros ausgeführt, egal, ob diese signiert
waren oder nicht. Dieses Modell wurde in Office 2003 auf vier Stufen erweitert;
in dieser Version wurde die Stufe Sehr hoch eingeführt.
3
Sie finden den ASSET-Blog [Adobe Secure Software Engineering Team, Introducing
Adobe Reader Protected Mode (Einführung des geschützten Modus für Adobe Reader)]
unter http://blogs.adobe.com/asset/2010/07/introducing-adobe-reader-protected-mode.html.
6
Grundlegende Sicherheitsverbesserungen in Office 2003:




CryptoAPI-Unterstützung Durch im System installierte CryptoAPI-Anbieter
wurde die Unterstützung neuer Verschlüsselungstypen eingeführt. Darüber
hinaus konnten sämtliche Office-Anwendungen für die standardmäßige
Verwendung eines bestimmten Verschlüsselungstyps konfiguriert werden,
sodass der Verschlüsselungstyp standardisiert werden konnte, der beim
Schützen von Office-Datendateien mit einem Kennwort verwendet wurde.
Vertrauenswürdige Herausgeber Es wurden Funktionen zum Verwalten
vertrauenswürdiger Herausgeber eingeführt, beispielsweise die Möglichkeit,
installierte Zertifikate zu entfernen, wenn diese verdächtig sind oder nicht mehr
benötigt werden. Außerdem konnte mit der Einführung der Liste der
unzulässigen Herausgeber sichergestellt werden, dass widerrufene oder
abgelaufene Zertifikate abgelehnt werden, wenn durch Office ermittelt wird, ob
ein digital signiertes Dokument geöffnet, ein Makro ausgeführt oder ein
ActiveX-Steuerelement initialisiert werden soll.
Sicherheit für ActiveX-Steuerelemente Damit wurde eine größere Kontrolle
des Administrators über die Ereignisse beim Ausführen von ActiveXSteuerelementen auf Benutzercomputern erreicht. In früheren Versionen von
Office wurde beispielsweise nicht zwischen als SFI (Safe for Initialization, sicher
zur Initialisierung) gekennzeichneten und als UFI (Unsafe for Initialization, nicht
sicher zur Initialisierung) gekennzeichneten ActiveX-Steuerelementen
unterschieden. In Office 2003 wird bei UFI-Steuerelementen jedoch eine
Benachrichtigung für Benutzer angezeigt, in der das Steuerelement als
potenziell unsicher gemeldet wird. Benutzer können dann entscheiden, ob das
Steuerelement initialisiert werden soll oder nicht (standardmäßig wird das
Steuerelement nicht initialisiert).
Verwaltung von Informationsrechten Mit der Verwaltung von
Informationsrechten (IRM-Technologien) erhalten Organisationen größere
Kontrolle über weitergeleitete, kopierte und gedruckte Informationen. IRMTechnologien in Office 2003 sind in die Dienste für die WindowsRechteverwaltung (RMS) integriert, die mit Windows Server 2003 eingeführt
wurden. Mit diesen können Organisationen differenziertere
Berechtigungsrichtlinien erstellen, in denen die unterschiedlichen Aktionen
definiert werden, die von verschiedenen Benutzergruppen für OfficeDokumente ausgeführt werden können.
7

Weitere Sicherheitsverbesserungen Außerdem wurde eine Reihe weiterer
anwendungsspezifischer Sicherheitsverbesserungen der Office-Suite eingeführt.
Hierzu zählt beispielsweise die Funktion des erweiterten Dokumentschutzes von
Word 2003, mit der Einschränkungen der Dokumentformatierung auf eine
vordefinierte Auswahl von Stilen sowie die Beschränkung des Zugriffs für
einzelne Benutzer oder Gruppen möglich sind. Excel 2003, PowerPoint 2003
und andere Office-Anwendungen bieten ähnliche Sicherheitserweiterungen.
Grundlegende Sicherheitsverbesserungen in Office 2007:



Änderungen an Standardfunktionen Gemäß den Standardeinstellungen wird
nun der Zugriff auf potenziell gefährliche externe Inhalte blockiert; es können
nur vertrauenswürdige Makros ausgeführt werden; die Ausführung installierter
und registrierter Add-Ins wird ohne Benutzereingriff gestattet; das Öffnen von
Dokumenten wird auch dann immer zugelassen, wenn diese nicht
vertrauenswürdige aktive Inhalte aufweisen (solche Inhalte bleiben deaktiviert,
bis der Benutzer auf die angezeigte Benachrichtigung reagiert); die Ausführung
von ActiveX-Steuerelementen ohne Benutzereingriff wird nur unter exakt
definierten Umständen zugelassen.
Weniger Sicherheitsentscheidungen und -eingabeaufforderungen Die Anzahl
der Sicherheitsentscheidungen, die Endbenutzer treffen müssen, wurde
minimiert. Die Informationen, die Benutzer für diese Entscheidungen benötigen,
werden nun anders dargestellt, sodass Eingabeaufforderungen und Warnungen
weniger aufdringlich, aber trotzdem informativer sind. Somit erhalten Benutzer
nur dann eine Eingabeaufforderung, wenn ihr Eingriff tatsächlich erforderlich
ist, um eine sichere Arbeitsumgebung sicherzustellen. Aufgrund dieser
Änderungen können Benutzer intelligentere Sicherheitsentscheidungen für
ihren Computer treffen, womit die Bedrohungen durch Malware (bösartiger
Software) für Privatbenutzer und Unternehmensnetzwerke verringert werden.
Office Open XML-Dateiformat In Office 2007 wurden die neuen XML-basierten
Dateiformate Open XML für Word, Excel und PowerPoint 2007 eingeführt. Mit
diesen neuen Dateiformaten werden Dateiverwaltung und -wiederherstellung
verbessert und die Interoperabilität vereinfacht, da nun der Zugriff auf und die
Arbeit mit Office-Datendateien aus beliebigen branchenspezifischen
Anwendungen mit XML-Unterstützung möglich ist. Open XML erweitert die
Sicherheit von Office 2007, da die Dokumentinformationen im XML-Format
gespeichert werden. Das heißt, dass es sich bei Office-Datendateien mit den
Erweiterungen .docx, .xlsx und .pptx einfach um Nur-Text-Dateien handelt, die
8




in komprimierter (archivierter) Form gespeichert werden und daher keinen
ausführbaren Code enthalten können, wie dies bei Datendateien der Fall war,
die in den älteren Office-Binärdateiformaten (.doc, .xls, .ppt) gespeichert
wurden. Daher können IT-Experten in Unternehmen ohne Bedenken die
Übertragung von DOCX-, XLSX- und PPTX-Dateien durch Umkreisfirewalls
gestatten, während Datendateien mit eingebettetem Code mit einer anderen
Dateierweiterung (DOCM, XLSM und PPTM) gespeichert werden, sodass sie
schnell erkannt und/oder blockiert werden können.
Vertrauensstellungscenter Die meisten anwendungsspezifischen
Sicherheitseinstellungen und Datenschutzoptionen wurden zentral in an einem
einzigen Speicherort zusammengefasst, der als Vertrauensstellungscenter
bezeichnet wird. Auf diese Weise können Benutzer die Sicherheitseinstellungen
und Datenschutzoptionen von Office-Anwendungen besser verstehen und
verwalten sowie die Vertraulichkeit, Integrität und Verfügbarkeit der auf ihren
Computern gespeicherten Daten sicherstellen.
Statusleiste Die meisten Sicherheitswarnungen wurden in einen neuen
Benachrichtigungsbereich verschoben, der als Statusleiste bezeichnet wird.
Über die Statusleiste können Benutzer Dokumente mit aktiven Inhalten wie
Makros und ActiveX-Steuerelemente öffnen und anzeigen, ohne dass die
betreffenden Makros ausgeführt oder die ActiveX-Steuerelemente initialisiert
werden.
Vertrauenswürdige Speicherorte Benutzer können einen vertrauenswürdigen
Speicherort wie einen lokalen Ordner oder eine Netzwerkfreigabe angeben
(standardmäßig können Benutzer nur lokale Ordner und keine
Netzwerkspeicherorte als vertrauenswürdige Speicherorte angeben). Wenn ein
Benutzer ein Office-Dokument an einem vertrauenswürdigen Speicherort
öffnet, werden alle aktiven Inhalte automatisch aktiviert und initialisiert,
einschließlich von ActiveX-Steuerelementen, Makros und Links zu externen nicht
vertrauenswürdigen Datenquellen. Beim Öffnen solcher Dokumente werden
keine Warnungen und Eingabeaufforderungen angezeigt.
Sicherheit für aktive Inhalte Makrosicherheitseinstellungen werden
eindeutiger beschrieben, und Benutzer können Bedingungen angeben, unter
denen Benachrichtigungen und Warnungen zu Makros angezeigt werden sollen.
Benutzer können zudem viele dieser Einstellungen für einzelne Anwendungen
konfigurieren. Darüber hinaus ist eine neue globale Einstellung verfügbar, mit
der Benutzer VBA für alle Office-Anwendungen deaktivieren können.
9


Einstellungen für den Zugriffsschutz Hiermit können Administratoren festlegen
und durchsetzen, welche Office-Dateiformate in ihrer Organisation verwendet
werden.
Dokumentprüfung Hiermit können Benutzer auf einfache Weise vertrauliche
ausgeblendete Informationen aus Dokumenten entfernen.
Einführung in die Office 2010-Sicherheit
Seit der Markteinführung von Office 2007 haben sich die Bedrohungen, mit denen
Unternehmen konfrontiert sind, stetig gewandelt. Zunehmend stellen
Endbenutzeranwendungen das Ziel von Angriffen durch Malware-Entwickler dar, und
auch Office-Produkte sind einer höheren Anzahl vielfältigerer Angriffsformen
ausgesetzt. Makro-Exploits stellen heute nicht mehr das größte Risiko dar, das sich für
Office-Kunden stellt. Eine grundlegende Bedrohung liegt für Benutzer von Microsoft
Office-Anwendungen nunmehr in Dateiformat-Exploits. Bei diesen werden in den
älteren Binärdateiformaten (.doc, .xls und .ppt) gespeicherte, falsch formatierte Word-,
Excel- oder PowerPoint-Dateien ausgenutzt, um Pufferüberlaufbedingungen zu
erzeugen, mit dem Ziel, Berechtigungen heraufzustufen und die Systemsicherheit zu
durchbrechen.
Um bereits erkannte und neu auftretende Sicherheitslücken in diesem Bereich zu
schließen, hat das Office-Entwicklungsteam bei der Entwicklung von Office 2010 drei
grundlegende Ziele verfolgt:



Verbessern der Sicherheitsentwicklung für Office
Bereitstellen von effektiven und benutzerfreundlichen Schutztechnologien für
Office-Benutzer
Ausbauen der zentralen Office-Sicherheitsfeatures und -technologien
Verbesserungen der Sicherheitsentwicklung für Office 2010
Das Ziel der Sicherheitsentwicklung besteht in der Bereitstellung sicherer Software
durch Bedrohungsmodellierung, sichere Codierungsverfahren, Überprüfungstools und
Tests. Die Office 2007-Sicherheitsverbesserungen gehen hauptsächlich auf die neuen
10
Prozesse, Verfahren und Tools bei der Sicherheitsentwicklung zurück, die das OfficeEntwicklerteam als Reaktion auf die Trusted Computing-Initiative4 umgesetzt hat. Zu
diesen Sicherheitsentwicklungsprozessen, -verfahren und -tools zählen der Security
Development Lifecycle (SDL, Entwicklungszyklus für sichere Software)5, sichere
Codierungsverfahren, die Modellierung von Bedrohungen sowie intern entwickelte
Überprüfungstools. Als Ergebnis dieser Initiativen konnten zentrale Bereiche der
Codebasis von Office-Anwendungen gehärtet werden, um deren Sicherheit zu
verstärken. Diese Verbesserungen trugen zusammen mit dem bereits beschriebenen
Open XML-Dateiformat dazu bei, die Sicherheit von Office 2007 im Vergleich zu den
Vorversionen zu steigern.
Trotz dieser Verbesserungen bei der Sicherheitsentwicklung für Office 2007 stellte sich
jedoch für viele Organisationen immer noch das Problem, dass umfassende Mengen von
Dokumenten, Arbeitsblättern und Präsentationen verwaltet werden mussten, die in
früheren Office-Versionen erstellt wurden. Selbst Organisationen, die Office 2007 als
Standard einführten und ihr Repository von Office-Binärdateien in Open XML
konvertierten, hatten es häufig mit Binärdateien zu tun, wenn sie
Geschäftsinformationen mit Partnern und Kunden austauschten oder gemeinsam
nutzten, die noch keine Migration auf Office 2007 ausgeführt hatten.
Um auf diese problematische Situation einzugehen und die Sicherheit bei der Arbeit mit
Binärdatendateien zu steigern, griff das Office 2010-Team in großem Umfang auf das
„Fuzzing“ zurück. Hierbei handelt es sich um ein Sicherheitsentwicklungsverfahren, bei
dem willkürlich ausgewählte Teile von Datendateien hinzugefügt, entfernt und geändert
werden, um bisher unbekannte Schwachstellen des jeweiligen Dateiformats
aufzudecken. Vieles weist darauf hin, dass böswillige Angreifer häufig Schwachstellen in
Office-Binärdateiformaten erkannt haben, indem sie Word-Dokumente und ExcelArbeitsblätter einem Fuzzing unterzogen. Ein Beispiel: Wenn ein Angreifer laufend
4
Weitere Informationen zur Trustworthy Computing Initiative von Microsoft finden Sie
im Whitepaper http://download.microsoft.com/download/a/f/2/af22fd56-7f19-47aa-81674b1d73cd3c57/twc_mundie.doc.
5
Weitere Informationen zum Trustworthy Computing Security Development Lifecycle
von Microsoft finden Sie auf der MSDN-Website unter http://msdn.microsoft.com/dede/library/ms995349.aspx.
11
willkürliche Änderungen an den Bits einer in einem Word-Binärdateiformat (z. B. .doc)
gespeicherten Datei vornimmt und versucht, jede dieser mittels Fuzzing erzeugten
Dateien in Word zu öffnen, besteht die Möglichkeit, dass schließlich eine der
manipulierten Dateien einen Absturz von Word bewirkt, weil die Eingabedaten
außerhalb eines bestimmten vorgesehenen Bereichs des Dateiformats liegen. Wenn der
Angreifer nun mit einem Debugger untersucht, aus welchem Grund die manipulierte
Datei einen Absturz von Word hervorgerufen hat, kann er eine Schwachstelle
entdecken, die er als Ausgangspunkt für einen Angriff auf Word-Benutzer ausnutzen
kann. Dazu erstellt er eine spezielle fehlerhaft formatierte DOC-Datei mit aktiven
Inhalten zum Ausnutzen der Schwachstelle und versendet diese im gesamten Internet
als E-Mail-Anhang. Benutzer, die diese E-Mails empfangen und den zugehörigen Anhang
öffnen, aktivieren die aktiven Inhalte, die wiederum ihre Systeme beschädigen – ein
Albtraum für Netzwerkadministratoren und Produktivitätsverlust für die betroffenen
Unternehmen.
Da das Fuzzing solch ein einfaches, aber trotzdem effektives Verfahren zum Aufspüren
von Dateiformatschwachstellen darstellt, hat das Office-Entwicklungsteam bei der
Entwicklung von Office 2010 umfassende verteilte Fuzzing-Techniken in seinen
Sicherheitsentwicklungsprozess eingebunden. Dabei wurden vom Office-Team Millionen
von Office-Dateien aus dem Internet heruntergeladen, die das komplette Spektrum der
mehr als 300 verschiedenen Dateiformate der gesamten Office-Suite repräsentieren.
Diese Dateien wurden millionenfach auf verschiedenste Weise mittels Fuzzing
manipuliert, um neue Schwachstellen in den Binärdateiformaten von Word, Excel und
PowerPoint zu ermitteln. Die Ergebnisse dieser verteilten Fuzzing-Aktivitäten wurden
vom Office-Team wie folgt genutzt: Erstens konnten Hunderte von neuen Fehlern
korrigiert werden, die im Code für Office-Anwendungen festgestellt wurden. Zweitens
wurden auf der Grundlage der Ergebnisse XSD (XML Schema Definition)-Spezifikationen
für Office-Binärdateiformate (z. B. .doc, .xls und .ppt) erstellt, für die bisher noch keine
XSD-Spezifikationen vorhanden waren, anhand derer solche Dateien überprüft werden
konnten. In Office 2010 wurden neue Schutztechnologien integriert, die auf diesen XSDSpezifikationen aufbauen, um Benutzer vor Exploits auf der Grundlage von OfficeBinärdateiformaten zu schützen. Diese Schutztechnologien werden im Folgenden
beschrieben.
Neue Schutztechnologien in Office 2010
Neben den Verbesserungen bei der Sicherheitsentwicklung bietet Office 2010 auch neue
Schutztechnologien sowie ein neues Vertrauensmodell, das über mehrschichtige
12
Verteidigungsmaßnahmen eine verbesserte Abwehr von Angriffen sicherstellt. Wenn
ein Benutzer in früheren Office-Versionen beispielsweise versuchte, ein WordDokument zu öffnen, wurde von Word zunächst untersucht, ob es sich bei der Datei um
ein ordnungsgemäß formatiertes Word-Dokument handelt. Wurde das geöffnete
Dokument als eine mit Word 2007 erstellte DOCX-Datei auf der Grundlage der Office
Open XML-Spezifikation erkannt, wurde es von Word durch eine Analyse anhand der
XSD-Spezifikation für das betreffende Dateiformat überprüft. Wenn es sich bei dem
geöffneten Dokument jedoch um eine DOC-Datei handelte, die mit dem früheren
Binärdateiformat (Word 97 bis Word 2003) erstellt wurde, wurde die Datei einfach in
den Speicher geladen und ohne weitere Überprüfung angezeigt, da eine XMLSpezifikation oder sonstige Standards zur Überprüfung der Datei fehlten. Dasselbe galt
für die Vorversionen von Excel und PowerPoint.
Aus diesem Grund wurden vom Office-Team neue Technologien zum Schutz und der
Abschwächung von Bedrohungen in Word 2010, Excel 2010 und PowerPoint 2010
entwickelt. Zwei dieser neuen Technologien, die Office-Dateiüberprüfung und die
geschützte Ansicht, tragen zum Schutz der Ressourcen von Unternehmen bei, indem
potenziell schädliche Auswirkungen gemildert werden, die aus Exploits von OfficeBinärdateiformaten resultieren können. „Vertrauenswürdige Dokumente“ stellen ein
drittes neues Feature in Office 2010 dar. Dieses bietet Benutzern im Zusammenwirken
mit den zuvor erwähnten Schutztechnologien eine verbesserte Benutzererfahrung, da
sie beim Arbeiten mit Dokumenten mit aktiven Inhalten wie Makros oder ActiveXSteuerelementen weniger Sicherheitsentscheidungen treffen müssen.
Wenn ein Benutzer in Word 2010 beispielsweise versucht, eine DOC-Datei zu öffnen,
wird die Datei nicht mehr von Word selbst in den Speicher geladen und angezeigt.
Stattdessen wird die Datei zunächst an eine DLL übergeben. Diese prüft die Datei
eingehend anhand der XML-Spezifikation, die mit den Ergebnissen des umfassenden
verteilten Fuzzing erstellt wurde, das im Rahmen des Sicherheitsentwicklungsprozesses
für Office 2010 erfolgte. Wenn die DOC-Datei diese Überprüfung besteht, wird sie von
der DLL an die Datei Winword.exe übergeben, die sie öffnet und ihre Inhalte mit
uneingeschränkt aktivierten Bearbeitungsfunktionen anzeigt. Wenn die Datei die
Überprüfung jedoch nicht besteht, kann sie möglicherweise schädliche Auswirkungen
auf den Computer des Benutzers haben. In einem solchen Fall wird sie innerhalb einer
isolierten „Sandkastenumgebung“ geöffnet, die als geschützte Ansicht bezeichnet wird.
In dieser geschützten Ansicht kann der Benutzer das Dokument durchsuchen und seine
Inhalte anzeigen, sämtliche Bearbeitungsfunktionen und alle aktiven Inhalte im
Dokument sind jedoch deaktiviert. An dieser Stelle wird das Dokument von einem
13
Winword.exe-Sandkastenprozess mit niedrigen Rechten und nicht vom Winword.exeHostprozess gerendert.
Nachdem der Benutzer den Inhalt des Dokuments überprüft und sich vergewissert hat,
dass dieses aus einer zulässigen Quelle stammt, kann er die Bearbeitung des Dokuments
aktivieren. Hierzu muss er auf eine entsprechende Eingabeaufforderung auf der
Statusleiste reagieren. An diesem Punkt wird der Sandkastenprozess der geschützten
Ansicht beendet, und das Dokument wird mit dem Winword.exe-Hostprozess erneut
geöffnet, wobei alle Bearbeitungsfunktionen aktiviert werden. Sollte das Dokument
aktive Inhalte enthalten, wird auf der Statusleiste eine zweite Eingabeaufforderung
angezeigt, in der der Benutzer angeben kann, ob die aktiven Inhalte aktiviert werden
sollen. Wenn der Benutzer nun festlegt, dass die aktiven Inhalte im Dokument aktiviert
werden sollen, kann die Entscheidung des Benutzers in Bezug auf die
Vertrauenswürdigkeit nun durch das neue Office 2010-Feature „Vertrauenswürdige
Dokumente“ gespeichert werden. Das heißt, dass beim erneuten Öffnen des
vertrauenswürdigen Dokuments die darin enthaltenen aktiven Inhalte automatisch
aktiviert werden, ohne dass für den Benutzer eine entsprechende Eingabeaufforderung
ausgegeben wird. Dies unterscheidet sich von dem Verhalten für Word 2007, bei dem
der Benutzer bei jedem Öffnen eines Dokuments mit Makros oder ActiveXSteuerelementen aufgefordert wurde, aktive Inhalte zu aktivieren.
Ähnliche DLLs wie die für Word 2010 wurden auch für Excel 2010 und PowerPoint 2010
entwickelt. Mit diesen DLLs werden XLS- und PPT-Dateien überprüft, und in Excel 2010
und PowerPoint 2010 werden Dateien ebenfalls in der geschützten Ansicht angezeigt,
wenn die Datei die Überprüfung nicht besteht. Administratoren können Office 2010
zudem so konfigurieren, dass Informationen zu Dateien, die die Überprüfung nicht
bestanden haben, über den Kanal der Windows-Fehlerberichterstattung (Watson)
eingesendet werden, sodass diese vom Microsoft Security Response Center (MSRC)
untersucht werden können. Bei Feststellung neuer Schwachstellen in Bezug auf OfficeBinärdateiformate werden Updates der XML-Spezifikationen veröffentlicht und von
Office 2010 automatisch heruntergeladen, sodass sie von der Office-Dateiüberprüfung
genutzt werden können. Ein entscheidender Vorteil dieses Ansatzes besteht darin, dass
schneller auf neu entdeckte Dateiformatschwachstellen reagiert werden kann, als dies
mit dem herkömmlichen Softwarepatching-Prozess möglich war.
14
Zentrale Sicherheitsverbesserungen in Office 2010
Eine verbesserte Sicherheitsentwicklung und neue Schutztechnologien sind nicht die
einzigen Sicherheitsverbesserungen, durch die sich Office 2010 auszeichnet. Darüber
hinaus wurden auch zentrale Sicherheitstechnologien verbessert, um den Datenschutz
bei gleichzeitiger Nutzung neuartiger Szenarien für die Zusammenarbeit zu verstärken.
Digitale Signaturen und Verschlüsselungstechnologien wurden in Office 2010 in
verschiedener Hinsicht weiterentwickelt, und die Verwaltung von Informationsrechten
(IRM) wurde verbessert und erweitert, um die unternehmensübergreifende
Zusammenarbeit zu fördern. Selbst der Kennwortschutz, mit dem Word-Dokumente
häufig gesichert werden, um ihre Bearbeitung durch andere Personen zu verhindern,
wurde weiterentwickelt. Dazu wurde die Erzwingung der Komplexitätsanforderungen
für Domänenkennwörter auf kennwortgeschützte Office-Datendateien ausgeweitet.
Diese und andere zentrale Sicherheitsverbesserungen werden an späterer Stelle im
vorliegenden Whitepaper ausführlicher beschrieben.
Office 2010-Sicherheit: Tiefenverteidigung
Eine Schlüsselstrategie für jede Informationssicherheitslösung ist die Tiefenverteidigung.
Durch das Implementieren mehrerer redundanter Sicherheitskontrollen auf
unterschiedlichen Ebenen eines Informationssystems können Sicherheitsbedrohungen,
die eine Verteidigungsschicht durchdringen, immer noch durch eine andere Schicht
abgewehrt werden. In Office 2010 werden im Rahmen dieser Strategie vier
Verteidigungsschichten bereitgestellt, mit denen Benutzer gegen Bedrohungen wie
bösartig formatierte Word-Dokumente, Excel-Kalkulationstabellen und PowerPointPräsentationen geschützt werden. Auf jeder Sicherheitsschicht in Office 2010 werden
spezifische Gegenmaßnahmen implementiert, die in dem Augenblick initiiert werden, in
dem ein Benutzer eine Datei in einer Office 2010-Anwendung öffnet, und so lange in
Kraft verbleiben, bis die Datei erfolgreich für die Bearbeitung geöffnet wurde. Diese vier
Schichten der Office-Sicherheit werden in Abbildung 1 veranschaulicht und führen die
folgenden Funktionen aus:

Härtung der Angriffsfläche durch verbesserte Sicherheitsentwicklung im
Verbund mit zentralen Sicherheitsfeatures des Betriebssystems Windows, die in
Office 2010 integriert sind. Unterstützung von DEP/NX (Data Execution
Protection/No eXecute), robuste und flexible Kryptografie und weitere
Technologien stellen eine starke, erste Verteidigungsschicht gegen
Bedrohungen durch bösartige Office-Datendateien dar.
15



Verringern der Angriffsfläche durch Beschränken der Dateitypen, die von
Anwendungen geöffnet werden können, sowie durch Verhindern der
Ausführung gewisser Typen von eingebettetem Code. Die OfficeDateiüberprüfung stellt eine Schlüsseltechnologie auf dieser Schicht dar.
Dasselbe gilt für zwei weitere Office 2010-Features (Einstellungen für den
Zugriffsschutz und das Office ActiveX-Killbit), die im vorliegenden Whitepaper an
späterer Stelle beschrieben werden. In ihrem Zusammenwirken verringern
diese Technologien Anzahl und Vielfalt möglicher Stoßrichtungen von Angriffen,
die die erste Verteidigungsschicht durchdringen.
Abwehren von Exploits, sodass die Auswirkungen von Angriffen minimiert
werden, die die ersten zwei Verteidigungsschichten überwinden. Die
Office 2010-Schlüsseltechnologie auf dieser Schicht ist die „Geschützte Ansicht“,
die das gefahrlose Anzeigen gefährlicher Office-Dateien und deren
Untersuchung ermöglicht, ohne dass der Computer des Benutzers oder das
angeschlossene Netzwerk beeinträchtigt werden.
Verbessern der Benutzererfahrung durch Reduzieren der Anzahl von
Sicherheitsentscheidungen, die vom Benutzer getroffen werden müssen, und
Unterstützen des Benutzers beim Treffen intelligenter
Sicherheitsentscheidungen. Das neue Feature „Vertrauenswürdige Dokumente“
in Office 2010 stellt hier ein Schlüsselfeature dar, da ein „Abstumpfungseffekt“
durch Eingabeaufforderungen verhindert wird. (Hiervon sind die meisten
Benutzer betroffen, wenn sie zu viele und wiederholte Sicherheitswarnungen
erhalten, sodass sie verleitet werden, künftige Warnungen zu ignorieren.)
Abbildung 1: Tiefenverteidigung für Office 2010.
16
Office 2010-Sicherheit: Steuern des Informationsflusses
Neben Technologien zur Abwehr potenzieller Exploits bietet Office 2010 auch eine Reihe
erweiterter Technologien, mit deren Hilfe Sie den Informationsfluss in Ihrer
Organisation steuern und verwalten können. Zu diesen erweiterten Technologien zum
Steuern und Verwalten von Informationen zählen Folgende:





Erweiterte Komplexitätseinstellungen für Kennwörter
Verschiedene Verbesserungen der Kryptografie
Verbesserungen in Bezug auf digitale Signaturen
Dokumentprüfung
Verbesserung der Verwaltung von Informationsrechten (IRM)
Im folgenden Abschnitt wird erläutert, wie von Office 2010 potenzielle Exploits
abgewehrt werden. Im daran anschließenden Abschnitt wird erläutert, wie Sie mithilfe
von Office 2010 den Informationsfluss in Ihrer Organisation steuern können.
Abwehr von Exploits durch Office 2010
Der Beitrag der Office 2010-Tiefenverteidigung zum Schutz eines Computers kann am
besten durch eine Erläuterung der Ereignisse bei der Arbeit mit einer Office-Anwendung
veranschaulicht werden. Abbildung 1 (oben) zeigt die verschiedenen
Schutztechnologien, mit denen Office 2010 mögliche Exploits abwehrt. Es ist jedoch
aufschlussreich, die Funktionsweise dieser Technologien zu betrachten, wenn ein
Benutzer tatsächlich eine Datei mit einer Office 2010-Anwendung (z. B. Word 2010)
öffnet. Dazu werden in Abbildung 2 einige der grundlegenden Überprüfungen sowie die
Aktionen zur Abwehr potenzieller Exploits dargestellt, die bei jedem Öffnen eines
Dokuments mit Word 2010 ausgeführt werden.6 Eine ähnliche Folge von Schritten wird
6
Die Überprüfungen in dieser Abbildung werden von Word 2010 ausgeführt, wenn ein
Dokument direkt durch einen Benutzer, über ein Befehlsskript oder mithilfe einer
beliebigen anderen Methode geöffnet wird. Beachten Sie, dass in der Abbildung nicht
alle der von Office 2010-Anwendungen ausgeführten Überprüfungen dargestellt sind.
Die Datenausführungsverhinderung (DEP) beispielsweise wird von Office 2010 ebenfalls
zur Abwehr potenzieller Exploits genutzt; DEP ist jedoch in das zugrunde liegende
Betriebssystem Windows und nicht in Office selbst integriert.
17
beim Öffnen von Dateien mit Excel 2010 bzw. PowerPoint 2010 ausgeführt; einige dieser
Schritte gelten auch für das Öffnen von Dateien mit anderen Office 2010-Anwendungen.
In den folgenden Abschnitten werden zudem ausführlich die Verbesserungen der
Office 2010-Sicherheit in Bezug auf die Abwehr von Exploits erläutert. Zudem enthalten
sie Links zu weiterführenden Informationen in Microsoft TechNet.
Abbildung 2: Abfolge der ausgeführten Schritte, wenn ein Benutzer versucht, eine Datei
in Word 2010, Excel 2010 oder PowerPoint 2010 zu öffnen.
Datenausführungsverhinderung
Die erste Schutztechnologie, die Office 2010 zur Abwehr von Exploits einsetzt, ist die
Datenausführungsverhinderung (DEP), eine in das Betriebssystem Windows integrierte
Hardware- und Softwaretechnologie. DEP härtet die Angriffsfläche vor Viren und
anderen Angriffsformen und trägt auf diese Weise zur Abwehr von Exploits durch
bösartigen Code bei. DEP bestimmt dazu die Dateien, die versuchen, Code aus
18
Speicherbereichen auszuführen, die ausschließlich für Daten und nicht für ausführbare
Programme reserviert sind. DEP wurde erstmals in Windows XP SP2 und Windows
Server 2003 unterstützt. Mit der Veröffentlichung von Office 2010 wurde die DEPUnterstützung nun auf sämtliche Office-Anwendungen ausgeweitet. DEP stellt heute die
erste Verteidigungsschicht der Tiefenverteidigung von Office 2010 dar (siehe
Abbildung 1, oben).
DEP wird in 64-Bit-Editionen von Office 2010 automatisch erzwungen und kann nicht
deaktiviert werden. In 32-Bit-Editionen kann DEP jedoch für einzelne Anwendungen
über das Sicherheitscenter oder Gruppenrichtlinien aktiviert bzw. deaktiviert werden.
Für Anwendungen wie die 32-Bit-Versionen von Word, Excel und PowerPoint befindet
sich die Einstellung zum Aktivieren bzw. Deaktivieren von DEP im Sicherheitscenter auf
der Seite Geschützte Ansicht. Andere 32-Bit-Anwendungen von Office 2010 verfügen
über eine separate Seite DEP-Einstellungen.7 Nach dem Ändern von DEP-Einstellungen
muss die Office-Anwendung neu gestartet werden, damit die Änderungen wirksam
werden.
Sie können sich im Task-Manager vergewissern, ob DEP für Office-Anwendungen
ausgeführt wird. In der folgenden Abbildung wird die Registerkarte Prozesse im TaskManager veranschaulicht, während Word 2010 in der geschützten Ansicht geöffnet ist.8
Der Registerkarte wurde die Spalte Datenausführungsverhinderung hinzugefügt, um
anzugeben, dass DEP für diese Office-Anwendung aktiviert ist.
7
Wenn das Kontrollkästchen für die Einstellungen der Datenausführungsverhinderung
ausgegraut ist, liegt dies daran, dass die DEP-Richtlinie auf dem Computer entweder auf
AlwaysOn oder auf AlwaysOff festgelegt ist.
8
Der erste Prozess Winword.exe in dieser Abbildung ist der Clientprozess der
geschützten Ansicht (die „Sandkastenumgebung“), während es sich bei dem zweiten
Prozess Winword.exe um den Word 2010-Hostprozess handelt, der den Clientprozess
aufgerufen hat.
19
Abbildung 3: Sie können sich im Task-Manager vergewissern, dass DEP aktiviert ist.
DEP-Ausnahmen werden immer dann ausgelöst, wenn ein Programm versucht, Code auf
Speicherseiten auszuführen, die nicht als ausführbar markiert sind. Die Office 2010Anwendungen generieren selten selbst DEP-Ausnahmen. In der Regel sind solche
Ausnahmen auf bösartige oder fehlerhaft codierte Add-Ins zurückzuführen. Wenn eine
DEP-Ausnahme bei einem Add-In für eine Office-Anwendung auftritt, wird die
Anwendung automatisch heruntergefahren, um den Computer zu schützen. Beim
nächsten Starten der Office-Anwendung wird ein Dialogfeld geöffnet, in dem empfohlen
wird, das betreffende Add-In zu deaktivieren, bis das Problem untersucht und behoben
wurde.
Weitere Einzelheiten zur DEP-Unterstützung für Office 2010 finden Sie im Office
Engineering-Blog unter
http://blogs.technet.com/b/office2010/archive/2010/02/04/data-excecutionprevention-in-office-2010.aspx.
Vertrauensmodell
Wenn ein Benutzer versucht, eine Datei zu öffnen, überprüft Office 2010 zunächst deren
Vertrauenswürdigkeit. Dateien wie Word-Dokumente und darin enthaltene aktive
20
Inhalte wie Makros und ActiveX-Steuerelemente werden von Office 2010 entweder als
vertrauenswürdig oder als nicht vertrauenswürdig eingestuft. Wenn eine Datei und ihr
Inhalt vertrauenswürdig sind, werden beim Öffnen des Dokuments alle unten
beschriebenen Sicherheitsprüfungen umgangen. Wenn Sie beispielsweise auf ein
vertrauenswürdiges Word-Dokument doppelklicken, wird das Dokument einfach in
Word geöffnet, und sein gesamter Inhalt wird aktiviert, einschließlich von Makros, AddIns, ActiveX-Steuerelementen, Hyperlinks und Links zu Datenquellen und Medien. Falls
eine Datei oder Teile ihres Inhalts jedoch nicht vertrauenswürdig sind, wird die Abfolge
der unten beschriebenen Sicherheitsprüfungen ausgeführt, je nachdem ob die einzelnen
Sicherheitsfeatures von der jeweiligen Office-Anwendung unterstützt werden.
„Geschützte Ansicht“ wird z. B. lediglich von Word 2010, Excel 2010 und
PowerPoint 2010 unterstützt. Daher wird diese Sicherungsprüfung beim Öffnen einer
Datei in Publisher 2010 nicht ausgeführt.
Wie kann Office jedoch bestimmen, ob eine bestimmte Datei und deren Inhalt
vertrauenswürdig sind? In der vorherigen Version von Office 2007 gab es zwei
Möglichkeiten, Dateien und ihren Inhalt als vertrauenswürdig zu bestimmen:


Von vertrauenswürdigen Herausgebern signierte Makros, Add-Ins und ActiveXSteuerelemente werden als vertrauenswürdig eingestuft und daher automatisch
aktiviert, wenn die zugehörige Datei von der Office-Anwendung geöffnet wird.
Ein vertrauenswürdiger Herausgeber ist ein Herausgeber, dessen digitales
Zertifikat (CER-Datei) zum Signieren von Inhalten der Liste Vertrauenswürdige
Herausgeber einer Office-Anwendung hinzugefügt wurde. Makros oder andere
aktive Inhalte konnten von vertrauenswürdigen Herausgebern signiert werden.
Weitere Einzelheiten zum Feature „Vertrauenswürdige Herausgeber“ von
Office 2010 finden Sie in der TechNet-Bibliothek unter
http://technet.microsoft.com/de-de/library/ff428091.aspx.
An vertrauenswürdigen Speicherorten gespeicherte Dateien werden
automatisch als vertrauenswürdig angesehen; dies gilt ebenso für den Inhalt der
Dateien, einschließlich von nicht signierten Makros, Add-Ins oder ActiveXSteuerelementen. Daher werden sie nie in der geschützten Ansicht geöffnet.
Ein vertrauenswürdiger Speicherort kann entweder lokal (ein Ordner auf der
Festplatte des Computers) oder remote (ein freigegebener Ordner auf einem
Dateiserver im Netzwerk) sein, standardmäßig ist jedoch die Möglichkeit,
vertrauenswürdige Remotespeicherorte festzulegen, nicht aktiviert.
Vertrauenswürdige Speicherorte können global für alle Office-Anwendungen
oder für einzelne Anwendungen angegeben werden. Eine Reihe von
21
Speicherorten, beispielsweise der Ordner, in dem Benutzer Word-Vorlagen
speichern, sind als vertrauenswürdige Speicherorte vorkonfiguriert. Einige
Speicherorte mit hohem Risiko, z. B. der Outlook 2007-Cache und der Ordner
Temp, können nicht als vertrauenswürdige Speicherorte festgelegt werden.
Weitere Einzelheiten zum Feature „Vertrauenswürdige Speicherorte“ von
Office 2010 finden Sie in der TechNet-Bibliothek unter
http://technet.microsoft.com/de-de/library/cc179039.aspx.
Office 2007 bot damit zwei Möglichkeiten, Dateien als vertrauenswürdig zu
kennzeichnen: Sicherstellen, dass sämtliche aktiven Inhalte in der Datei digital signiert
sind, oder Verschieben der Datei an einen vertrauenswürdigen Speicherort. Beide
Vertrauensstellungsmethoden konnten über das Vertrauensstellungscenter für einzelne
Benutzer konfiguriert werden. Dieses stellte in Office 2007 den zentralen
Konfigurationsort für Sicherheits- und Datenschutzeinstellungen dar. Die Konfiguration
bzw. Sperrung beider Methoden waren in Active Directory-Umgebung auch über
Gruppenrichtlinien möglich. Diese Vertrauensmodelle und beide Methoden für ihre
Konfiguration werden in Office 2010 immer noch unterstützt. Darüber hinaus ist jedoch
auch das neue Feature „Vertrauenswürdige Dokumente“ verfügbar, mit dem
Vertrauenswürdigkeit für einzelne Dateien festgelegt werden kann. Mit anderen
Worten: „Vertrauenswürdige Dokumente“ ermöglicht es Benutzern, selbstständig
Entscheidungen über die Vertrauenswürdigkeit ausgewählter Dokumente,
Kalkulationstabellen und anderer Typen von Office-Dateien zu treffen. Wenn ein
Benutzer die Vertrauenswürdigkeit für ein Word-Dokument festlegt, das in der
geschützten Ansicht geöffnet wird, da es Makros oder sonstige aktive Inhalte enthält,
wird seine Entscheidung in Bezug auf das betreffende Dokument gespeichert, sodass es
künftig nicht mehr in der geschützten Ansicht geöffnet wird. Das heißt, dass beim
nächsten Öffnen des Dokuments keine Aufforderung zum Aktivieren von Makros mehr
angezeigt wird. Dies stellt eine verbesserte Benutzererfahrung im Vergleich zu
Office 2007 dar, da in dieser Office-Version bei jedem Öffnen eines Word-Dokuments
mit Makros oder einer Excel-Kalkulationstabelle mit Links zu einer externen Datenquelle
eine Aufforderung zum Aktivieren von Makros angezeigt wurde. Das Feature
„Vertrauenswürdige Dokumente“ wird in dieser exemplarischen Vorgehensweise an
späterer Stelle ausführlicher beschrieben. Der wichtigste Aspekt in diesem
Zusammengang ist jedoch, dass Office beim Öffnen einer Datei als ersten Schritt eine
Überprüfung von deren Vertrauensstatus ausführt.
22
Zugriffsschutz
Wenn ein Benutzer versucht, eine Datei zu öffnen und diese als nicht vertrauenswürdig
erkannt wird, überprüft Office vor dem Öffnen der Datei den Dateityp und bestimmt, ob
diese blockiert und nicht geöffnet werden soll. Die Zugriffsschutzfunktion wurde in
Office 2007 eingeführt. Hiermit kann zugelassen bzw. verhindert werden, dass Benutzer
bestimmte Typen von Word-, Excel- oder PowerPoint-Dateien öffnen oder speichern.
Damit sollte insbesondere Administratoren ermöglicht werden zu verhindern, dass
Benutzer Dateien im Zusammenhang mit Zero-Day-Angriffen öffnen oder speichern, die
bestimmte Office-Dateiformate ausnutzen. Angenommen, ein bösartiger Angreifer hat
einen Exploit entwickelt, bei dem schädliche Dateien zum Einsatz kommen, die im
Binärdateiformat von Word 97 erstellt wurden. Sobald die Verbreitung des Exploits
gemeldet wurde, kann der Administrator die Abwehrmaßnahme in den Word 2007Zugriffsschutzeinstellungen konfigurieren, um zu verhindern, dass Benutzer Dateien mit
diesem Dateiformat öffnen. Nach der Veröffentlichung eines entsprechenden
Softwareupdates zum Beheben des Problems kann der Administrator die
vorgenommenen Konfigurationsänderungen wieder rückgängig machen.
In Office 2007 wurden Zugriffsschutzeinstellungen im Allgemeinen vom Administrator
mithilfe von Gruppenrichtlinien konfiguriert. Fortgeschrittene Benutzer, die diese
Einstellungen selbstständig festlegen wollten, mussten dazu die Registrierung
bearbeiten. In den Office 2010-Anwendungen Word, Excel und PowerPoint ist nun im
Sicherheitscenter die neue Seite Einstellungen für den Zugriffsschutz verfügbar, auf der
Benutzer Zugriffsschutzeinstellungen für einzelne Anwendungen selbstständig
konfigurieren oder überprüfen können, welche Einstellungen durch die
Gruppenrichtlinien für die jeweilige Anwendung erzwungen werden:
23
Abbildung 4: Konfigurieren von Einstellungen für den Zugriffsschutz im Sicherheitscenter
in Word 2010.
Wie im unteren Teil der Abbildung veranschaulicht, besteht das Standardverhalten beim
Öffnen einer Datei mit Zugriffsschutz darin, dass die Datei in der geschützten Ansicht mit
deaktivierter Bearbeitung geöffnet wird. Dies wird dem Benutzer mit der folgenden
Statusleistenmeldung mitgeteilt:
Abbildung 5: Standardmäßig werden Dateien mit Zugriffsschutz in der geschützten
Ansicht mit deaktivierter Bearbeitung geöffnet.
Wenn die blockierte Datei in Word in der geschützten Ansicht angezeigt wird und der
Benutzer versucht, Daten einzugeben, wird in der Statusleiste am unteren Rand eine
Meldung angezeigt: Diese Änderung ist nicht zulässig, weil das Dokument nur zur
Ansicht geöffnet ist. Wenn der Benutzer in der Abbildung oben auf den Text in der
Statusleiste klickt, kann über die Office-Backstage-Ansicht auf die Seite Einstellungen für
den Zugriffsschutz im Sicherheitscenter zugegriffen werden. Dazu muss auf den in der
folgenden Abbildung mit einem Pfeil gekennzeichneten Link geklickt werden:
24
Abbildung 6: Die Backstage-Ansicht ermöglicht den Zugriff auf die Seite Einstellungen
für den Zugriffsschutz im Sicherheitscenter.
Wie bereits in Abbildung 4 veranschaulicht, gibt es zwei andere Möglichkeiten, das
Zugriffsschutz-Standardverhalten zu konfigurieren: Das Öffnen (oder Speichern) von
Dateien kann generell blockiert werden, oder es kann festgelegt werden, dass blockierte
Dateien in der geschützten Ansicht geöffnet werden und die Bearbeitung freigegeben
werden muss. Wenn die letztere Option festgelegt ist, enthält die Meldung auf der
Statusleiste eine Schaltfläche, mit der der Benutzer ggf. die Bearbeitung der Datei
aktivieren kann:
Abbildung 7: Zugriffsschutzeinstellungen können so konfiguriert werden, dass blockierte
Dateien in der geschützten Ansicht angezeigt werden und die Bearbeitung ggf. aktiviert
werden kann.
Im Folgenden werden einige weitere wichtige Aspekte zum Zugriffsschutz in Office 2010
erläutert:

Zugriffsschutzeinstellungen werden nicht angewendet, wenn die Datei an einem
vertrauenswürdigen Speicherort gespeichert oder als vertrauenswürdiges
Dokument festgelegt ist.
25


Zugriffsschutzeinstellungen werden für einzelne Anwendungen konfiguriert, und
sie sind nur für Word, Excel und PowerPoint verfügbar.
Wenn Administratoren während der Bereitstellung von Office 2010
Zugriffsschutzeinstellungen mithilfe des Office-Anpassungstools anpassen,
können die betreffenden Einstellungen von den Benutzern später geändert
werden, es sei denn, der Zugang zu den Zugriffsschutzeinstellungen wird
mithilfe von Gruppenrichtlinien blockiert.
Weitere Einzelheiten zum Zugriffsschutz-Feature von Office 2010 finden Sie in der
TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/cc179230.aspx.
ActiveX-Killbit
Eine weitere Schutztechnologie, mit der in Office 2010-Anwendungen Exploits
abgewehrt werden können, ist das ActiveX-Killbit, eine Registrierungseinstellung, die das
Laden eines bestimmten ActiveX-Steuerelements unter allen Umständen verhindert,
selbst nach dem vollständigen Laden des Steuerelements. Damit soll sichergestellt
werden, dass selbst ein ungeschütztes Steuerelement beim Einführen oder erneuten
Einführen in ein System inaktiv und damit harmlos bleibt. ActiveX-Killbits wurden
erstmalig in Internet Explorer 5.01 SP2 eingeführt. Sie verhindern, dass bösartige
ActiveX-Steuerelemente durch das HTML-Renderingmodul von Internet Explorer
geladen werden. Sie werden gelegentlich beim Herunterladen und Anwenden gewisser
Sicherheitsupdates durch Windows Update festgelegt, um Benutzer vor kritischen, vom
MSRC erkannten Exploits zu schützen.
Die Unterstützung von ActiveX-Killbits wurde jetzt auf Office 2010 ausgedehnt. Damit
kann die Ausführung bestimmter ActiveX-Steuerelemente in den Office 2010Anwendungen Word, Excel, PowerPoint, Access und Visio verhindert werden, wobei sich
dies nicht auf die Ausführung der betreffenden Steuerelemente in Internet Explorer
auswirkt. Das ActiveX-Killbit ist in der Standardeinstellung nicht konfiguriert. Es kann für
einzelne Steuerelemente durch Bearbeiten der Registrierung aktiviert werden. In der
Vorversion Office 2007 konnte mit dem Internet Explorer-ActiveX-Killbit eine
vergleichbare Funktionalität bereitgestellt werden. Office 2010 bietet jedoch nun
separate Killbit-Registrierungseinstellungen für Office-Anwendungen und Internet
26
Explorer, sodass Administratoren beim Sperren bösartiger ActiveX-Steuerelemente
flexibler vorgehen können.9
Wenn beispielsweise ein Killbit für ein bestimmtes ActiveX-Steuerelement festgelegt ist,
wird dieses beim Öffnen des zugehörigen Dokuments in Word 2010 weder geladen noch
initialisiert, und der Benutzer wird nicht durch eine Meldung auf der Statusleiste
aufgefordert, das Steuerelement zu aktivieren. Dieses Verhalten gilt immer, wobei es
keine Rolle spielt, ob das Dokument an einem vertrauenswürdigen Speicherort
gespeichert oder durch den Benutzer als vertrauenswürdiges Dokument festgelegt ist.
Benutzer können das Steuerelement auch keinen neu erstellten Word-Dokumenten
hinzufügen.
In Office 2010 wurde außerdem ein COM-Killbit eingeführt. Mit diesem können
Administratoren verhindern, dass bestimmte COM-Objekte (einschließlich von ActiveXSteuerelementen) in Office 2010-Anwendungen ausgeführt werden. Wie ActiveXKillbits werden auch COM-Killbits in der Registrierung mit dem Klassenbezeichner
(CLSID) des COM-Objekts angegeben.
Weitere Einzelheiten zur Unterstützung von ActiveX-Killbits für Office 2010 finden Sie in
der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc179076.aspx.
Office-Dateiüberprüfung
Wenn die geöffnete Datei nicht vertrauenswürdig, ihr Dateityp jedoch nicht blockiert ist,
wird von der Office 2010-Anwendung im nächsten Schritt die interne Struktur der Datei
mithilfe der Office-Dateiüberprüfung untersucht. Wie bereits an früherer Stelle im
vorliegenden Whitepaper erläutert, stellt die Office-Dateiüberprüfung eine der neuen
Schutztechnologien dar, die in die Office 2010-Anwendungen Word, Excel und
PowerPoint integriert ist. Das Ziel dieses Features besteht darin, OfficeDateiformatangriffe durch das Untersuchen von Office-Dateien zu verhindern, bevor die
Dateien geöffnet werden, und sicherzustellen, dass ihre Struktur vollständig den Office-
9
Wenn ein Killbit für ein bestimmtes Steuerelement sowohl für Office als auch für
Internet Explorer festgelegt wird, hat das Office-Killbit standardmäßig Vorrang (dieses
Verhalten kann mithilfe von Gruppenrichtlinien konfiguriert werden).
27
Dateiformatspezifikationen entspricht. Es werden nur Dateien mit einem OfficeBinärformat untersucht. Hierzu zählen lediglich Office 97-2003-Dateien mit den
Erweiterungen .doc, .dot, .xls, .xlt, .ppt, .pps und .pot.
Wenn sich die geöffnete Datei nicht an einem unsicheren Speicherort befindet und
diese Überprüfung besteht, wird die geschützte Ansicht umgangen, und welche
Sicherheitsprüfung als nächste ausgeführt wird, hängt davon ab, ob die Datei aktive
Inhalte enthält, die aktiviert werden müssen. Wenn die geöffnete Datei die
Überprüfung jedoch nicht besteht, wird sie in der geschützten Ansicht geöffnet, und auf
der Statusleiste wird eindeutig darauf hingewiesen, dass ein Problem für die Datei
festgestellt wurde:
Abbildung 8: Die geöffnete Datei hat die Überprüfung nicht bestanden.
Die Office-Dateiüberprüfung wurde zwar für einen einfachen Betrieb ohne vorherige
Konfiguration konzipiert, es sind jedoch trotzdem verschiedene Konfigurationsoptionen
für dieses Feature verfügbar. Administratoren können beispielsweise die Überprüfung
für einzelne Anwendungen deaktivieren. Dies wird von Microsoft jedoch nicht
empfohlen. Administrator können auch festlegen, wie bei Nichtbestehen der
Überprüfung vorgegangen werden soll. Die Standardaktion besteht im Öffnen der Datei
in der geschützten Ansicht, wobei die Bearbeitung deaktiviert ist. Darüber hinaus ist die
Office-Dateiüberprüfung so entworfen, dass sie laufend optimiert wird: Jedes Mal, wenn
eine Datei die Überprüfung nicht besteht, werden von Office Daten zu den Gründen des
Nichtbestehens gesammelt. Etwa zwei Wochen nach der nicht bestandenen
Überprüfung wird von Office ein Watson-Dialogfeld angezeigt, in dem der Benutzer um
die Erlaubnis gebeten wird, die gesammelten Daten über die WindowsFehlerberichterstattung an Microsoft einzusenden:
28
Abbildung 9: Watson-Dialogfeld, das angezeigt wird, wenn eine Word-Datei die
Überprüfung nicht bestanden hat.
Zu den für jede Datei mit nicht bestandener Überprüfungen gesendeten Daten zählen
der Dateityp, die Dateigröße, der Zeitpunkt, zu dem die Datei geöffnet wurde, der
Zeitpunkt der Überprüfung der Datei sowie eine Kopie der Datei selbst. Diese
Informationen können Microsoft beim Verbessern des Features „OfficeDateiüberprüfung“ unterstützen. Unternehmen mit hohen Datenschutzanforderungen
haben jedoch die Möglichkeit, die Fehlerberichterstattung der Office-Dateiüberprüfung
zu deaktivieren.
Im Unterschied zu den meisten anderen Sicherheitsfeatures von Office 2010 kann die
Office-Dateiüberprüfung nicht im Sicherheitscenter konfiguriert werden. Stattdessen
können diese Einstellungen nur mit Gruppenrichtlinien oder mithilfe des OfficeAnpassungstools konfiguriert werden.10 Die Richtlinieneinstellung zum Deaktivieren der
Dateiüberprüfung befindet sich beispielsweise unter folgendem Pfad:
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word
2010\Word-Optionen\Sicherheit
In der folgenden Abbildung wird der Richtlinienpfad im Gruppenrichtlinien-Editor
veranschaulicht, wenn die administrativen Office 2010-Vorlagendateien (ADMX) in den
10
Erfahrene Benutzer können die Office-Dateiüberprüfung durch Bearbeiten der
Registrierung konfigurieren.
29
Ordner SYSVOL\<Domäne>\PolicyDefinitions auf einem Domänencontroller kopiert
wurden:
Abbildung 10: Richtlinienpfad für die Einstellung zum Deaktivieren der OfficeDateiüberprüfung für Word 2010.
Wird die Richtlinie Dateiüberprüfung deaktivieren unter diesem Pfad aktiviert, wird die
Office-Dateiüberprüfung für Word 2010 deaktiviert:
30
Abbildung 11: Richtlinieneinstellung zum Deaktivieren der Office-Dateiüberprüfung für
Word 2010.
Die Richtlinieneinstellung zum Konfigurieren der ausgeführten Aktionen bei
Nichtbestehen einer Dateiüberprüfung befindet sich unter folgendem Pfad:
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word
2010\Word-Optionen\Sicherheit\Sicherheitscenter\Geschützte Ansicht
Administratoren können diese Richtlinie so konfigurieren, dass eine Datei, die die
Überprüfung nicht besteht, in der geschützten Ansicht mit deaktivierter Bearbeitung
geöffnet wird (Standardeinstellung), dass die Datei in der geschützten Ansicht mit der
Option zum Aktivieren der Bearbeitung geöffnet wird oder dass das Öffnen der Datei
blockiert wird:
31
Abbildung 12: Richtlinieneinstellung zum Konfigurieren der ausgeführten Aktionen beim
Nichtbestehen der Dateiüberprüfung.
Schließlich können Administratoren, die nicht wünschen, dass Benutzer zum Einsenden
von Daten zu nicht bestandenen Dateiüberprüfungen an Microsoft aufgefordert
werden, die Anzeige solcher Dialogfelder unterdrücken, indem sie die
Richtlinieneinstellung Fehlerberichterstattung für Dateien mit
Dateiüberprüfungsfehlern deaktivieren aktivieren, die für alle Office-Anwendungen gilt.
Diese Richtlinieneinstellung befindet sich unter folgendem Pfad:
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office
2010\Sicherheit
Im Folgenden werden einige weitere wichtige Aspekte zur Office-Dateiüberprüfung in
Office 2010 erläutert:



Die Office-Dateiüberprüfung wird für einzelne Anwendungen konfiguriert
(separat von der Fehlerberichterstattung), und sie ist nur für Word, Excel und
PowerPoint verfügbar.
Es wird keine Überprüfung ausgeführt, wenn die Datei an einem
vertrauenswürdigen Speicherort gespeichert oder als vertrauenswürdiges
Dokument festgelegt ist.
Gelegentlich sind Dateien, die die Überprüfung nicht bestehen, tatsächlich
gültig. Aus diesem Grund werden Dateien mit Dateiüberprüfungsfehlern von
32
Office 2010 über die Windows-Fehlerberichterstattung hochgeladen. Ziel ist
dabei die Verbesserung der Office-Dateiüberprüfung.
Weitere Einzelheiten zur Office-Dateiüberprüfung finden Sie in der TechNet-Bibliothek
unter http://technet.microsoft.com/de-de/library/ee857084.aspx sowie im Office
Engineering-Blog unter
http://blogs.technet.com/b/office2010/archive/2009/12/16/office-2010-filevalidation.aspx. Weitere Informationen zu Office 2010-Gruppenrichtlinieneinstellungen
finden Sie in der Arbeitsmappe Office2010GroupPolicyAndOCTSettings_Reference.xls,
die im Microsoft Download Center unter Office 2010 Administrative Template files
(ADM, ADMX/ADML) and Office Customization Tool (Administrative Vorlagendateien
(ADM, ADMX, ADML) für Office 2010 und das Office-Anpassungstool) verfügbar ist.
Weitere Informationen zum Office-Anpassungstool für Office 2010 finden Sie unter
http://technet.microsoft.com/de-de/library/cc179097.aspx.
Geschützte Ansicht
Wenn die geöffnete Datei nicht vertrauenswürdig ist oder die OfficeSicherheitsprüfungen nicht besteht, wird eine Statusleistenmeldung angezeigt. In dieser
wird darauf hingewiesen, dass die Datei in einer isolierten Sandkastenumgebung
geöffnet wird, der so genannten geschützten Ansicht. Hierbei handelt es sich um eine
der neuen Schutztechnologien in den Office 2010-Anwendungen Word, Excel und
PowerPoint. Die geschützte Ansicht stellt eine einschränkte Umgebung mit niedrigen
Rechten dar, in der verdächtige Dateien in einer sicheren Vorschau angezeigt werden
können. Benutzer können verdächtige Dokumente, Kalkulationstabellen und
Präsentationen in der geschützten Ansicht standardmäßig durchsuchen, um den Inhalt
der jeweiligen Datei zu untersuchen. Gleichzeitig sind jedoch sämtliche Funktionen zum
Bearbeiten, Speichern und Drucken sowie alle aktiven Inhalte in der Datei deaktiviert.
Verschiedene Faktoren können bewirken, dass eine Datei automatisch in der
geschützten Ansicht geöffnet wird. Wenn die Datei beispielsweise aus dem Internet
heruntergeladen und noch nicht als vertrauenswürdig festgelegt wurde sowie keine
Zugriffsschutzrichtlinie für die Umgebung konfiguriert ist, wird die Datei in der
geschützten Ansicht geöffnet. Diese enthält eine gelbe Statusleiste, ein blaues InfoSchild-Symbol sowie eine Schaltfläche zum Aktivieren der Bearbeitung:
33
Abbildung 13: Standarddarstellung der Statusleiste, wenn eine aus dem Internet
heruntergeladene Datei in der geschützten Ansicht geöffnet wird.
Wird eine Datei aus einem unsicheren Speicherort wie dem Outlook-Anlagencache
geöffnet, ist die Statusleiste ebenfalls gelb, und sie enthält das blaue Info-Schild-Symbol
und die Schaltfläche zum Aktivieren der Bearbeitung:
Abbildung 14: Standarddarstellung der Statusleiste, wenn ein Outlook-Anhang in der
geschützten Ansicht geöffnet wird.
Wenn die Datei einen blockierten Dateiformattyp aufweist, ist die Statusleiste ebenfalls
gelb. Sie enthält jedoch nun ein rotes Schild-Symbol, und die Schaltfläche Bearbeitung
aktivieren ist nicht vorhanden:
Abbildung 15: Standarddarstellung der Statusleiste, wenn eine Datei mit einem
blockierten Dateiformattyp in der geschützten Ansicht geöffnet wird.
Wenn die Datei die Office-Dateiüberprüfung nicht besteht, sind sowohl das
Schildsymbol als auch die Statusleiste rot, und es ist keine Option zum Aktivieren der
Bearbeitung vorhanden:
Abbildung 16: Standarddarstellung der Statusleiste, wenn eine Datei, die die
Dateiüberprüfung nicht besteht, in der geschützten Ansicht geöffnet wird.
Für das letzte der oben beschriebenen Szenarien gilt Folgendes: Wenn der Benutzer sich
durch Untersuchen des Dateiinhalts vergewissert hat, dass die Datei aus einer
vertrauenswürdigen Quelle stammt, kann er auf den Text auf der roten Statusleiste
klicken, um die Backstage-Ansicht (siehe unten) zu öffnen. Wenn der Benutzer nun auf
Trotzdem bearbeiten klickt, wird die Datei zu einem vertrauenswürdigen Dokument
erklärt, die geschützte Ansicht wird geschlossen, und die Datei wird in der
entsprechenden Office-Anwendung geöffnet.
34
Abbildung 17: Durch Klicken auf Trotzdem bearbeiten wird die geschützte Ansicht
geschlossen, und die Datei wird in der entsprechenden Office-Anwendung geöffnet.
Wenn der Benutzer auf den in der Abbildung oben gezeigten Link Einstellungen für die
geschützte Ansicht klickt, wird die Seite Geschützte Ansicht im Sicherheitscenter
geöffnet. Hier finden sich die in der Abbildung oben dargestellten Einstellungen, mit
denen konfiguriert werden kann, unter welchen Umständen Dateien in der geschützten
Ansicht geöffnet werden. Mit diesen Einstellungen kann die geschützte Ansicht für aus
dem Internet heruntergeladene Dateien, für als Outlook 2010-Anhänge empfangene
Dateien und für an unsicheren Speicherorten gespeicherte Dateien aktiviert bzw.
deaktiviert werden:11
11
Die Einstellung zum Aktivieren des Datenausführungsverhinderungs-Modus wird in
diesem Whitepaper an späterer Stelle erläutert.
35
Abbildung 18: Konfigurieren der geschützten Ansicht im Sicherheitscenter.
Administratoren können die oben aufgeführten Einstellungen auch mithilfe von
Gruppenrichtlinien sperren. Außerdem können die Einstellungen auch während der
Bereitstellung von Office 2010 mit dem Office-Anpassungstool vorkonfiguriert werden.
Die Gruppenrichtlinieneinstellungen zum Konfigurieren der geschützten Ansicht
befinden sich unter folgendem Pfad:
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word
2010\Word-Optionen\Sicherheit\Sicherheitscenter\Geschützte Ansicht
Gruppenrichtlinien enthalten auch eine zusätzliche Einstellung für die geschützte
Ansicht, die im Sicherheitscenter nicht zugänglich ist. Mit dieser kann erzwungen
werden, dass Dateien in freigegebenen Ordnern im lokalen Intranet in der geschützten
Ansicht geöffnet werden, wenn festgestellt wird, dass ihr jeweiliger UNC-Pfad in der
Internetzone liegt:
36
Abbildung 19: Richtlinieneinstellung für die geschützte Ansicht, die in der
Benutzeroberfläche des Sicherheitscenters nicht verfügbar ist.
Im Folgenden werden einige weitere wichtige Aspekte zur geschützten Ansicht in
Office 2010 erläutert:






Die geschützte Ansicht wird für einzelne Anwendungen konfiguriert, und sie ist
nur für Word, Excel und PowerPoint verfügbar.
Die geschützte Ansicht wird nicht geöffnet, wenn die Datei an einem
vertrauenswürdigen Speicherort gespeichert oder als vertrauenswürdiges
Dokument festgelegt ist.
Die geschützte Ansicht ist so konzipiert, dass sie automatisch geöffnet wird,
wenn eine verdächtige Datei aufgerufen wird. Benutzer können jedoch das
Öffnen beliebiger Dateien in der geschützten Ansicht erzwingen, indem sie die
Umschalttaste gedrückt halten, im Explorer mit der rechten Maustaste auf die
Datei klicken und die Option In geschützter Ansicht öffnen auswählen.
In der geschützten Ansicht sind zwar alle Funktionen zum Bearbeiten, Speichern
und Drucken der Datei deaktiviert. Benutzer können jedoch ggf. Inhalte aus der
Datei kopieren und in einem anderen Dokument einfügen.
Sie können sich vergewissern, dass die Bearbeitung in der geschützten Ansicht
deaktiviert ist, indem Sie auf dem Menüband von Word, Excel oder PowerPoint
auf verschiedene Registerkarten klicken, da alle Menübandelemente
abgeblendet dargestellt (ausgegraut) sind.
Wenn Sie versuchen, eine Datei in der geschützten Ansicht zu speichern, wird
ein Dialogfeld mit folgender Meldung geöffnet: Speichern ist in der geschützten
37
Ansicht nicht verfügbar. Wenn die Quelle der Datei vertrauenswürdig ist,
klicken Sie auf "Speichern aktivieren", um diesen Befehl zu aktivieren. Wenn
Sie auf Speichern aktivieren klicken, verlassen Sie die geschützte Ansicht, und
das Dialogfeld Speichern unter wird geöffnet, über das Sie die Datei speichern
können. Ein ähnliches Verhalten gilt, wenn Sie versuchen, eine Datei in der
geschützten Ansicht zu drucken. In beiden Fällen wird die Datei zu einem
vertrauenswürdigen Dokument, wenn die geschützte Ansicht geschlossen wird.
Dieser Aspekt wird im folgenden Abschnitt erläutert.
Weitere Einzelheiten zur geschützten Ansicht finden Sie in der TechNet-Bibliothek unter
http://technet.microsoft.com/de-de/library/ee857087.aspx sowie im Office
Engineering-Blog unter
http://blogs.technet.com/b/office2010/archive/2009/08/13/protected-view-in-office2010.aspx.
Vertrauenswürdige Dokumente
Wie bereits zu Beginn dieser exemplarischen Vorgehensweise erläutert, enthalten die
Office 2010-Anwendungen Word, Excel und PowerPoint das neue Feature
„Vertrauenswürdige Dokumente“, mit dem die Vertrauenswürdigkeit für einzelne
Dokumente festgelegt werden kann. Mit dem Feature „Vertrauenswürdige
Dokumente“ können Benutzer insbesondere eigene Entscheidungen über die
Vertrauenswürdigkeit bestimmter Dokumente, Kalkulationstabellen oder
Präsentationen treffen, die beim Versuch, die jeweilige Datei zu öffnen, eine oder
mehrere Sicherheitsprüfungen nicht bestehen. Wenn die Bearbeitung für eine Datei
aktiviert wird, die eine Überprüfung nicht bestanden hat, oder wenn aktive Inhalte in
einer Datei aktiviert werden, ändert der Benutzer damit den Vertrauensstatus der Datei.
Eine solche Änderung des Vertrauensstatus der Datei wird vom Feature
„Vertrauenswürdige Dokumente“ verfolgt und in der HKCU-Registrierungsstruktur auf
dem Computer des Benutzers aufgezeichnet.
Angenommen, ein Benutzer lädt ein Word-Dokument aus dem Internet herunter, das
Makros enthält. Da mit dem Internet Explorer heruntergeladenen Dateien durch das
Feature AES (Attachment Execution Services, Anhangausführungsdienste) ab Windows
XP SP2 Zoneninformationen hinzugefügt werden, wird in den Zoneninformationen der
Datei angegeben, dass die Datei aus der Internetzone stammt. Wenn der Benutzer also
auf das Dokument doppelklickt, um es zu öffnen, wird die heruntergeladene Datei in der
38
geschützten Ansicht angezeigt, und auf der Statusleiste wird die folgende Meldung
angezeigt:
Abbildung 20: Meldung auf der Statusleiste, die darauf verweist, dass die
Zoneninformationen der Datei die Internetzone als deren Ursprung angeben.
Wenn der Benutzer auf der Statusleiste in der Abbildung oben auf die Schaltfläche
Bearbeitung aktivieren klickt, wird die Entscheidung des Benutzers vom Feature
„Vertrauenswürdige Dokumente“ als Vertrauensstellungs-Datensatz in der Registrierung
gespeichert.12 Wenn der Benutzer nun das Dokument schließt und anschließend wieder
öffnet, wird die oben dargestellte Statusleistenmeldung nicht mehr angezeigt. Die Datei
ist an diesem Punkt jedoch nicht uneingeschränkt vertrauenswürdig, da sie Makros
enthält. Nachdem auf Bearbeitung aktivieren geklickt wurde, wird daher eine zweite
Statusleistenmeldung wie die folgende angezeigt:
Abbildung 21: Die zweite Statusleistenmeldung gibt an, dass das Dokument Makros
enthält.
Wenn der Benutzer nun auf der oben dargestellten Statusleiste auf Inhalt aktivieren
klickt, wird das Dokument als vollständig vertrauenswürdig festgelegt, und sein
Vertrauensstatus wird in der Registrierung entsprechend aktiviert. Wenn der Benutzer
das Dokument jetzt schließt und wieder öffnet, werden keine Statusleistenmeldungen
angezeigt, und das Dokument wird mit aktivierten Makros in Word geöffnet. Das
Verschieben der Datei an einen vertrauenswürdigen Speicherort führt zum selben
Ergebnis.
Das Feature „Vertrauenswürdige Dokumente“ von Word 2010 kann über das
Sicherheitscenter, mit Gruppenrichtlinien oder mithilfe des Office-Anpassungstools
konfiguriert werden. In der folgenden Abbildung werden die Einstellungen
veranschaulicht, die beim Konfigurieren von „Vertrauenswürdige Dokumente“ im
12
Wenn der Benutzer im Explorer mit der rechten Maustaste auf die Datei klickt, die
Option Eigenschaften auswählt und in den Dateieigenschaften auf der Registerkarte
Allgemein auf Zulassen klickt, führt dies zum selben Ergebnis.
39
Sicherheitscenter verfügbar sind. Benutzer können auf Netzwerkfreigaben gespeicherte
Dokumente als vertrauenswürdige Dokumente festlegen (diese Option ist
standardmäßig aktiviert), das Feature „Vertrauenswürdige Dokumente“ deaktivieren
(wodurch bei jedem Öffnen einer Datei mit aktiven Inhalten wiederholte
Statusleistenmeldungen angezeigt werden) und den Registrierungscache von
„Vertrauenswürdige Dokumente“ leeren (wodurch keine vertrauenswürdigen
Dokumente mehr vorhanden sind, außer Dokumenten an vertrauenswürdigen
Speicherorten und Dokumenten mit Inhalten, die von vertrauenswürdigen
Herausgebern signiert wurden).
Abbildung 22: Konfigurieren des Features „Vertrauenswürdige Dokumente“ im
Sicherheitscenter.
Sie können die oben dargestellten Einstellungen auch mit Gruppenrichtlinien
konfigurieren. Mithilfe von Gruppenrichtlinien können Sie auch die maximale Anzahl
von Vertrauensstellungs-Datensätzen angeben, die für dieses Feature in der
Registrierung gespeichert werden können. Standardmäßig ist die maximale Anzahl von
vertrauenswürdigen Dokumenten auf 500 festgelegt. Sie können diesen Wert auf bis zu
20.000 heraufsetzen; bei Erreichen dieser Obergrenze kann jedoch die Leistung
beeinträchtigt werden. Die Richtlinieneinstellungen zum Konfigurieren von
„Vertrauenswürdige Dokumente“ befinden sich unter folgendem Pfad:
40
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word
2010\Word-Optionen\Sicherheit\Sicherheitscenter
Abbildung 23: Gruppenrichtlinieneinstellung zum Konfigurieren der maximalen Anzahl
von Vertrauensstellungs-Datensätzen für „Vertrauenswürdige Dokumente“.
Im Folgenden werden einige weitere wichtige Aspekte zum Feature „Vertrauenswürdige
Dokumente“ von Office 2010 erläutert:


Das Feature „Vertrauenswürdige Dokumente“ wird für einzelne Anwendungen
konfiguriert, und es ist nur für Word, Excel, PowerPoint, Access und Visio
verfügbar.
Für vertrauenswürdige Dokumente werden beim Öffnen die meisten
Sicherheitsprüfungen übergangen. Zwei Sicherheitsprüfungen (Virenscan und
ActiveX-Killbit-Prüfung) werden hingegen dennoch ausgeführt.
Weitere Einzelheiten zu vertrauenswürdigen Dokumenten finden Sie im Office
Engineering-Blog unter
http://blogs.technet.com/b/office2010/archive/2009/09/28/trusted-documents.aspx.
Aktive Inhalte
Wenn die vom Benutzer aufgerufene Datei alle Office 2010-Sicherheitsprüfungen
bestanden hat, wird sie in der entsprechenden Office-Anwendung geöffnet, und
sämtliche darin enthaltenen aktiven Inhalte werden aktiviert. Diese Prüfungen werden
im Allgemeinen in etwa einer Zehntelsekunde ausgeführt, es sei denn, die Datei ist sehr
groß. Im vorangegangenen Abschnitt zu vertrauenswürdigen Dokumenten wurde
41
darauf hingewiesen, dass in der Standardeinstellung von Office 2010 alle aktiven Inhalte
von Dateien deaktiviert werden, es sei denn, diese sind vertrauenswürdig. Wie in
Office 2007 kann jedoch das Standardverhalten für die Behandlung von aktiven Inhalten
auf verschiedene Weise konfiguriert werden: über das Sicherheitscenter, mit
Gruppenrichtlinien oder mithilfe des Office-Anpassungstools. Im Grunde sind die
verfügbaren Optionen zum Konfigurieren des Umgangs mit VBA-Makros, ActiveXSteuerelementen und Add-Ins in Office 2010 nahezu identisch mit den Optionen in der
Vorversion Office 2007. In der folgenden Abbildung ist beispielsweise die Seite
Einstellungen für Makros im Vertrauensstellungscenter in Office 2007 dargestellt:
Abbildung 24: Seite Einstellungen für Makros im Vertrauensstellungscenter in
Office 2007.
Zum Vergleich ist hier dieselbe Seite im Sicherheitscenter von Office 2010 abgebildet:
Abbildung 25: Seite Einstellungen für Makros im Vertrauensstellungscenter in
Office 2010.
Es ist jedoch klar ersichtlich, dass abgesehen von geringfügigen Abweichungen in
Bezeichnungen in Office 2010 keine wesentliche Änderungen hinsichtlich der
42
Behandlung von Makros gegenüber Office 2007 vorgenommen wurden. Dasselbe gilt für
die Seiten ActiveX-Einstellungen und Add-Ins. Eine Ausnahme stellt lediglich die
Unterstützung von ActiveX-Killbits dar, die in Office 2010 neu ist und später in diesem
Whitepaper im Abschnitt „ActiveX-Killbit“ beschrieben wird. Daher wird das
Konfigurieren der Sicherheit für Makros, ActiveX-Steuerelemente und Add-Ins im
vorliegenden Dokument nicht weiter erläutert. Leser, die weiterführende Informationen
zur Behandlung von aktiven Inhalten in Office 2010 erhalten möchten, werden auf
folgende Themen der TechNet-Bibliothek verwiesen:



Weitere Informationen zum Konfigurieren von Einstellungen für VBA-Makros
finden Sie unter http://technet.microsoft.com/de-de/library/ee857085.aspx.
Weitere Informationen zum Konfigurieren von Einstellungen für ActiveXSteuerelemente finden Sie unter http://technet.microsoft.com/dede/library/cc179076.aspx.
Weitere Informationen zum Konfigurieren von Einstellungen für Add-Ins finden
Sie unter http://technet.microsoft.com/de-de/library/ee857086.aspx.
Statusleiste
Wenn die aufgerufene Datei alle Office-Sicherheitsprüfungen bestanden hat, kann sie
vom Benutzer in der entsprechenden Office-Anwendung bearbeitet werden. Bevor
dieses Thema abgeschlossen wird, empfiehlt es sich jedoch, die Statusleiste, auf der
Benutzer über Sicherheitsprobleme informiert werden und Anleitungen zu deren
Behebung erhalten, etwas genauer zu betrachten. In Office 2010 gibt es nicht nur eine
geringere Anzahl von Sicherheitsbenachrichtigungen als in Office 2007. Die Meldungen
sind zudem auch für Benutzer ohne technischen Hintergrund leichter verständlich. Das
Office-Engineeringteam hat große Anstrengungen darauf verwendet,
Sicherheitsbenachrichtigungen weniger einschüchternd zu gestalten, sodass sich
Benutzer voll auf die Entscheidungen konzentrieren können, die sie für die Erledigung
ihrer Arbeit treffen müssen. Wenn ein Benutzer von Word 2007 beispielsweise
versuchte, ein aus dem Internet heruntergeladenes Dokument mit Makros zu öffnen,
sah die Statusleiste wie folgt aus:
Abbildung 26: Statusleiste in Word 2007, die beim Öffnen eines Dokuments mit Makros
angezeigt wird.
43
Anstatt dem Benutzer konkrete Anleitungen zu liefern, ist die Statusleiste sehr knapp
gehalten und verspricht lediglich, „Optionen“ für mögliche Vorgehensweisen
bereitzustellen. Unsicher hinsichtlich des weiteren Vorgehens und der eigentlichen
Gründe für die Anzeige der Meldung klickt der Benutzer auf Optionen, und er wird mit
dem folgenden einschüchternden Dialogfeld konfrontiert:
Abbildung 27: Optionen in Word 2007 für die Behandlung eines Dokuments, das Makros
enthält.
Das oben dargestellte Dialogfeld wirkt aus einer Reihe von Gründen eher
einschüchternd:





Es enthält ein außergewöhnlich großes orangefarbenes Schild-Symbol.
Das Wort Sicherheitswarnung erscheint in großen Buchstaben.
Der Text ist fett formatiert und beginnt mit Warnung.
Das Dialogfeld enthält sehr viele Informationen (mehr als 80 Wörter).
Es enthält Inhalte technischer Natur (einen Dateipfad).
Zudem wird empfohlen, die Inhalte (Makros) nicht zu aktivieren, ohne die Gründe dafür
zu erläutern. Es wird lediglich darauf hingewiesen, dass nicht ermittelt werden kann, ob
die Datei vertrauenswürdig oder nicht vertrauenswürdig ist. Der Benutzer hatte jedoch
sicherlich einen Grund, die Datei herunterzuladen, und ohne das Aktivieren der Makros
erfüllt die Datei nicht ihren Bestimmungszweck.
44
Betrachten Sie nun, was geschieht, wenn dieselbe Datei in Word 2010 geöffnet wird. In
diesem Fall sieht die Statusleiste wie folgt aus:
Abbildung 28: Statusleiste in Word 2010, die beim Öffnen desselben Dokuments
angezeigt wird.
Die oben dargestellte Statusleiste weist im Vergleich mit der in Word 2007 eine Reihe
von Verbesserungen auf:






Die Leiste ist farblich hervorgehoben, sodass sie sich deutlich von der in
Word 2007 abhebt.
Das blaue Schild-Symbol mit dem Buchstaben „i“ erinnert an den Begriff
„Information“, d. h. dass die Statusleiste dem Benutzer Informationen
vermitteln soll.
Die gelbe Färbung der Leiste fordert zu erhöhter Aufmerksamkeit auf und ruft
auf Seiten des Benutzers kein Erschrecken hervor (eine rote Leiste fordert
eindeutig ein höheres Maß an Vorsicht als eine gelbe Leiste).
Die Ursache für die nötige erhöhte Aufmerksamkeit wird deutlich erklärt: Die
Datei stammt aus dem Internet und kann daher Sicherheitsprobleme bergen.
Da die Datei möglicherweise nicht sicher ist, wird der Benutzer informiert, dass
das Dokument in der geschützten Ansicht geöffnet wurde.
Weil der Benutzer die Datei wahrscheinlich zu einem bestimmten Zweck
heruntergeladen hat, wird in Word 2010 davon ausgegangen, dass er mit der
Datei arbeiten möchte. Deshalb ist eine Schaltfläche verfügbar, über die der
Benutzer die Bearbeitung mit einem einzigen Mausklick aktivieren kann.
Für den Fall, dass der Benutzer nicht weiß, weshalb die Meldung angezeigt wurde,
enthält diese zudem folgende Aufforderung: Klicken Sie hier, um weitere Details
anzuzeigen. Durch Befolgen dieser Anweisung wird die Backstage-Ansicht geöffnet:
Abbildung 29: Die Backstage-Ansicht von Word 2010 wird angezeigt, wenn auf Klicken
Sie hier, um weitere Details anzuzeigen geklickt wird.
45
Dies wirkt sehr viel weniger einschüchternd als das in Word 2007 angezeigte Dialogfeld
Sicherheitswarnung – Makros, und anstatt dem Benutzer eine Reihe von Optionen zur
Prüfung anzubieten, wird er direkt auf die wichtigste Frage verwiesen: „Glauben Sie,
dass Sie dem Inhalt dieser Datei vertrauen können?“ Der Benutzer wird damit
aufgefordert, eine Entscheidung zur Vertrauenswürdigkeit zu treffen, die ganzheitlicher
Natur ist und keine Sicherheitsentscheidung darstellt, die technischen Charakter trägt.
Wenn der Benutzer der Meinung ist, dass das Dokument vertrauenswürdig ist, kann er
auf Bearbeitung aktivieren klicken, um die geschützte Ansicht zu verlassen und das
Dokument in Word zu öffnen. Wenn er sich jedoch in Bezug auf die
Vertrauenswürdigkeit des Dokuments nicht sicher ist, kann er es einfach schließen und
sich anderen Dingen widmen.
Betrachten Sie erneut die Word 2010-Statusleiste mit der Schaltfläche Bearbeitung
aktivieren. Wenn der Benutzer auf diese Schaltfläche klickt, wird das Dokument in der
geschützten Ansicht geschlossen und in Word geöffnet, und eine zweite Statusleiste
wird angezeigt:
Abbildung 30: Statusleiste in Word 2010 mit dem Hinweis auf deaktivierte Makros.
Ein Vergleich dieser neuen Statusleiste mit der oben abgebildeten von Word 2007
verdeutlicht, dass beide dieselbe Botschaft vermitteln, jedoch auf unterschiedliche
Weise. Die Statusleiste in Word 2007 weist dieselbe Farbe wie das Menüband auf, und
sie springt (mit Ausnahme des kleinen orangefarbenen Schild-Symbols) nicht ins Auge.
Im Gegensatz dazu ist die Statusleiste von Word 2010 gelb gefärbt, und sie enthält ein
gelbes Schild-Symbol mit einem Ausrufezeichen, die als angemessene Reaktion seitens
des Benutzers Aufmerksamkeit fordern. Und wiederum wird in Word 2010 davon
ausgegangen, dass der Benutzer wahrscheinlich mit der Datei arbeiten möchte, da er sie
heruntergeladen hat. Sollte das Dokument aktive Inhalte enthalten, weist die
Statusleiste daher eine Schaltfläche auf, über die diese Makros mit einem einzigen
Mausklick aktiviert werden können. Wenn das Dokument keine aktiven Inhalte enthält,
wird keine zweite Statusleiste angezeigt.
Wenn der Benutzer schließlich auf Inhalt aktivieren klickt, werden alle Makros im
Dokument aktiviert, und anschließend werden für dieses Dokument keine weiteren
Sicherheitsbenachrichtigungen mehr angezeigt. Im Gegensatz dazu wird in Word 2007
bei jedem Öffnen des Dokuments die Benachrichtigung Sicherheitswarnung – Makros
wurden deaktiviert angezeigt. Damit bieten Office 2010-Anwendungen eine deutlich
46
verbesserte Benutzerfreundlichkeit in Bezug auf Sicherheitsbenachrichtigungen, da in
Office 2010 lediglich zwei Benachrichtigungen beim erstmaligen Öffnen des Dokuments
und anschließend keine weiteren Meldungen angezeigt werden, während der Benutzer
in Office 2007 bei jedem Öffnen des Dokuments eine Sicherheitsbenachrichtigung
erhält.
47
Steuern des Informationsflusses in Office 2010
Wie weiter oben in diesem Whitepaper dargelegt, unterstützt Sie Office 2010 nicht nur
beim Bekämpfen potenzieller Schwachstellen, sondern bietet auch verbesserte
Technologien zur Steuerung und Verwaltung des Informationsflusses in Ihrer gesamten
Organisation. In den folgenden Abschnitten werden einige Sicherheitsverbesserungen
in Office 2010 in diesem Bereich vorgestellt.
Einstellungen für die Kennwortkomplexität
Benutzer früherer Versionen von Word, Excel und PowerPoint konnten Dokumente,
Kalkulationstabellen und Präsentationen vor unbefugtem Zugriff auf den Inhalt mit
einem Kennwort schützen. Bei Verwendung des Kennwortschutzes wurde ein
Dokument mit den von der Office-Version und der zugrunde liegenden WindowsVersion unterstützten Verschlüsselungstechnologien verschlüsselt. Um beispielsweise
ein Word 2007-Dokument zu schützen, müssen Benutzer auf die Office-Schaltfläche
klicken, auf Vorbereiten zeigen, auf Dokument verschlüsseln klicken und zweimal ein
Kennwort eingeben, bei dem die Groß- und Kleinschreibung berücksichtigt wird (das
zweite Mal zur Bestätigung). Aus dem Kennwort wurde dann von Word ein
Verschlüsselungsschlüssel abgeleitet. Je länger und komplexer das angegebene
Kennwort war, desto stärker war auch die Verschlüsselung zum Schutz des Dokuments.
Office 2010 bietet die neue Backstage-Ansicht in der Benutzeroberfläche, in der Sie ein
Kennwort für ein Word-Dokument festlegen, indem Sie auf Datei, Info, Dokument
schützen und Mit Kennwort verschlüsseln klicken:
48
Abbildung 31: Einrichten des Kennwortschutzes für ein Word 2010-Dokument mit
Verschlüsselung.
Neu in der Office 2010-Sicherheit für Word, Excel und PowerPoint ist die Möglichkeit,
Anforderungen an die Kennwortlänge und -komplexität zu erzwingen, um
sicherzustellen, dass Benutzer zur Verschlüsselung von Dokumenten starke Kennwörter
festlegen. Administratoren können diese Kennwortanforderungen mithilfe von
Gruppenrichtlinien oder des OAT konfigurieren. Es kann festgelegt werden, dass
Benutzer Kennwörter mit einer bestimmten Mindestlänge, Kennwörter mit einer
Mindestlänge und einer angegebenen Komplexität oder Kennwörter mit der
Mindestlänge und der Komplexität festlegen müssen, die in der Kennwortrichtlinie der
Organisationsdomäne angegeben sind. Zum Konfigurieren der Anforderungen an
Kennwortlänge und -komplexität in Office werden mehrere Gruppenrichtlinien
verwendet. Diese sind unter folgendem Pfad gespeichert:
Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office
2010\Sicherheit
Die wichtigste dieser Richtlinien ist die hier dargestellte Einstellung Regelstufe für
Kennwort festlegen:
49
Abbildung 32: Richtlinieneinstellung Regelstufe für Kennwort festlegen.
Standardmäßig werden keine Kennwortüberprüfungen erzwungen, und Benutzer
können beliebige Kennwörter angeben, egal wie kurz diese sind oder wie leicht diese
erraten werden können. Wenn die lokale Längenüberprüfung aktiviert ist, müssen
Kennwörter mindestens die Anzahl von Zeichen aufweisen, die in der Richtlinie
Mindestlänge für Kennwort festlegen angegeben ist. Diese befindet sich ebenfalls unter
Administrative Vorlagen\Microsoft Office 2010\Sicherheit. Wenn die lokale
Komplexitätsüberprüfung aktiviert ist, müssen Kennwörter Zeichen aus mindestens drei
der folgenden Zeichensätze enthalten: a–z, A–Z, 0–9 und nicht-alphanumerische
Zeichen. Wenn die Domänenrichtlinienüberprüfung aktiviert ist, versucht Office
zunächst, einen Domänencontroller für die domänenbasierte Kennwortrichtlinie zu
kontaktieren. Falls innerhalb eines bestimmten Zeitraums (auch über
Gruppenrichtlinien konfigurierbar) kein Domänencontroller kontaktiert werden kann,
werden von Office standardmäßig die lokalen Richtlinieneinstellungen für Länge und
Komplexität verwendet.
Organisationen, die domänenbasierte Kennwortrichtlinien erzwingen, wird empfohlen,
zum Schutz von Office-Dokumenten dieselben Richtlinien zu verwenden. Dazu
50
aktivieren Sie, wie in der Abbildung oben dargestellt, die Richtlinieneinstellung
Regelstufe für Kennwort festlegen, und konfigurieren Sie weitere OfficeKennwortrichtlinien entsprechend.
Weitere Einzelheiten zum Kennwortschutz für Office 2010-Dokumente finden Sie in der
TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/ff657853.aspx
und im Office Engineering-Blog unter
http://blogs.technet.com/b/office2010/archive/2009/10/16/enabling-password-rulesfor-office-2010.aspx.
Kryptografische Verbesserungen
In Office 2010 wurden außerdem Verbesserungen an den Technologien für die
Verschlüsselung und digitale Signaturen vorgenommen, um den Schutz vor Angriffen auf
die Integrität und Vertraulichkeit von Office-Dokumenten zu stärken. Zwei wichtige
Verbesserungen auf diesem Gebiet sind die agile Kryptografie und die
Integritätsüberprüfung verschlüsselter Dateien. Diese Features können in
Gruppenrichtlinien konfiguriert werden und werden im Sicherheitscenter nicht
angezeigt.
Mit agiler Kryptografie wird die Unterstützung für CryptoAPI Next Generation (CNG)
bezeichnet. Sie ermöglicht es Administratoren, die Kryptografiealgorithmen anzugeben,
die zum Verschlüsseln und Signieren von Office-Dokumenten verwendet werden. CNG
ermöglicht die Angabe jedes beliebigen Verschlüsselungs- oder Hashalgorithmus, der
vom Betriebssystem für diesen Zweck unterstützt wird. CNG kann zudem erweitert
werden und unterstützt die Verwendung von Verschlüsselungsmodulen von
Drittanbietern. CNG wird von den Office 2010-Anwendungen Word, Excel, PowerPoint,
Access, OneNote und InfoPath unterstützt. Wenn ein Benutzer ein Dokument im
OpenXML-Dateiformat von Office 2010 mit einem Kennwort schützt, z. B. ein DOCXDokument, wird zu dessen Verschlüsselung der erweiterte 128-Bit-
51
Verschlüsselungsstandard (Advanced Encryption Standard, AES) verwendet.13 Office
2007 SP2 und Office 2010 unterstützen die gleichen
Standardverschlüsselungsalgorithmen (AES, DES, DESX, 3DES, 3DES_112 und RC2) und
Hashalgorithmen (MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384
und SHA512). Dies bedeutet beispielsweise, dass verschlüsselte Word 2010-Dokumente
auch von Benutzern gelesen werden können, die Word 2007 SP2 ausführen. Zudem
unterstützen einige Office 2010-Anwendung nun die Suite B-Kryptografie.
Integritätsüberprüfungen verschlüsselter Dateien ermöglichen es Administratoren, beim
Verschlüsseln eines Office-Dokuments einen hashbasierten
Nachrichtenauthentifizierungscode (Hash-based Message Authentication Code, HMAC)
zu implementieren. Die Implementierung erleichtert es Organisationen zu ermitteln, ob
das verschlüsselte Dokument manipuliert wurde. Mit Gruppenrichtlinien können
Administratoren den Kryptografieanbieter, den Hash und den Kontext zum Generieren
des HMAC konfigurieren. Die Integritätsüberprüfung verschlüsselter Dateien wird von
den Office 2010-Anwendungen Word, Excel und PowerPoint unterstützt.
Weitere Einzelheiten zu den kryptografischen Verbesserungen in Office 2010 finden Sie
in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc179125.aspx.
Verbesserungen an digitalen Signaturen
Die Unterstützung für digitale Signaturen wurde in Office 2010 in mehrfacher Hinsicht
verbessert. Digitale Signaturen werden in Geschäftsumgebungen immer wichtiger und
zum Sicherstellen von Authentizität, Integrität und Nichtabweisbarkeit von Dokumenten
verwendet. Wenn ein Dokument mit einem Zertifikat signiert wurde, das von einer
vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) stammt, kann der
Empfänger des Dokuments die Identität der Person überprüfen, die das Dokument
13
In Office 2010 wird aus Gründen der Abwärtskompatibilität mit Office 2003 und
früher weiterhin der weniger sichere RC4-Algorithmus für die Verschlüsselung älterer
Office-Binärdateiformate, z. B. von DOC-Dateien, verwendet. Da die RC4Verschlüsselung jedoch leicht entschlüsselt werden kann, wird deren Verwendung nicht
mehr empfohlen.
52
signiert hat, und sicher sein, dass der Inhalt des Dokuments seit dem Signieren nicht
geändert oder manipuliert wurde.
Ein Problem bei digitalen Signaturen besteht darin, dass beim Ablauf des Zertifikats, auf
dem diese basieren, die Signaturen ungültig werden, da sie nicht mehr überprüft
werden können. In Office 2010 wurde dieses Problem durch Unterstützung
vertrauenswürdiger Zeitstempel gelöst, sodass sichergestellt ist, dass die Signaturen
auch dann gültig und rechtlich wirksam bleiben, wenn das zugrunde liegende Zertifikat
abgelaufen ist. Vertrauenswürdige Zeitstempel werden von den Office 2010Anwendungen Word, Excel, PowerPoint und InfoPath unterstützt und basieren auf dem
Standard XAdES (XML Advanced Electronic Signatures, erweiterte elektronische XMLSignaturen) des W3C. XAdES besteht aus einer Reihe geschichteter Erweiterungen von
XML-DSig, dem offenen Standard für digitale Signaturen in Office 2007.
Tabelle 1 zeigt die unterschiedlichen Ebenen von XAdES-Signaturen, die in Office 2010
über XML-DSig-Signaturen hinaus implementiert werden können, um zunehmend
zuverlässigere digitale Signaturen bereitzustellen. Da für Office 2007 ein anderer
Standardsignaturentyp als für Office 2010 verwendet wird, sind mit Office 2010Anwendungen erstellte digitale Signaturen nur dann mit Office 2007-Anwendungen
kompatibel, wenn XAdES für Office 2010 über Gruppenrichtlinien deaktiviert wurde.14
Tabelle 1: XAdES-Erweiterungen für XML-DSig in Office 2010.
Signaturebene
Beschreibung
XML-DSig
Einfache digitale Signatur, der nicht mehr vertraut werden
sollte, sobald deren signierendes Zertifikat abgelaufen ist
(Standardsignaturtyp für Office 2007)
XAdES-EPES (Base)
Fügt der XML-DSig-Signatur Informationen zum signierenden
Zertifikat hinzu (Standardsignaturtyp für Office 2010)
14
Aufgrund von Unterschieden bei der Implementierung digitaler Signaturen in
verschiedenen Office-Versionen können die Signaturen von Dokumenten, die in
Office 2010- oder Office 2007-Anwendungen signiert wurden, in Office 2003Anwendungen oder früher nicht überprüft werden.
53
XAdES-T (Timestamp)
Fügt den XML-DSig- und XAdES-EPES-Abschnitten der Signatur
einen Zeitstempel hinzu, um vor Zertifikatablauf zu schützen
XAdES-C (Complete)
Fügt Verweise auf die Zertifikatkette und Informationen zum
Sperrstatus hinzu
XAdES-X (Extended)
Fügt dem XML-DSig SignatureValue-Element und den -T- und C-Abschnitten der Signatur einen Zeitstempel hinzu, um die
zusätzlichen Daten vor Abweisbarkeit zu schützen
XAdES-X-L (Extended
Long Term)
Speichert das eigentliche Zertifikat und dessen
Sperrinformationen zusammen mit der Signatur, um die
Zertifikatüberprüfung auch dann zu ermöglichen, wenn die
Zertifikatserver nicht mehr verfügbar sind
Die Art der Verwendung und Anwendung digitaler Signaturen auf Dokumente wurde in
Office 2010 ebenfalls verbessert. Wenn Sie beispielsweise ein Dokument in Word 2007
signieren, ist die resultierende Signatur unsichtbar und kann nur im geöffneten
Aufgabenbereich Signatur angezeigt werden. Zwar unterstützt Office 2010 unsichtbare
Signaturen weiterhin, doch können Benutzer auch eine Signaturzeile15 einfügen, die
einen sichtbaren Beweis bietet, dass das Dokument digital signiert wurde. Um zum
Beispiel in einem Word 2010-Dokument eine Signaturzeile einzufügen, gehen Sie wie
folgt vor:
1. Stellen Sie zunächst sicher, dass Sie über eine digitale ID verfügen, mit der Sie
das Dokument signieren können, und speichern Sie dann das Dokument als
Datei im OpenXML-Format (.docx).
2. Klicken Sie im Menüband auf der Registerkarte Einfügen in der Gruppe Text auf
Signaturzeile:
15
Office 2010 unterstützt auch Signaturstempel, die in einigen asiatischen Ländern
häufig statt Signaturzeilen verwendet werden.
54
3. Geben Sie im Dialogfeld Signatureinrichtung Ihren Namen, Ihre Position und
Ihre E-Mail-Adresse ein:
4. Wenn Sie auf OK klicken, wird dem Dokument eine leere Signaturzeile
hinzugefügt:
55
5. Doppelklicken Sie auf die Signaturzeile, um das Dialogfeld Signieren zu öffnen,
und geben Sie Ihren Namen erneut ein:
6. Klicken Sie auf Signieren. Die Signaturzeile zeigt nun einen sichtbaren
Nachweis, dass das Dokument digital signiert wurde.
56
Weitere Einzelheiten zu den Verbesserungen an digitalen Signaturen in Office 2010
finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc545900.aspx und im Office Engineering-Blog unter
http://blogs.technet.com/b/office2010/archive/2009/12/08/digital-signitures-in-office2010.aspx.
Dokumentprüfung
Die Dokumentprüfung bildet ein Datenschutztool, mit dem Benutzer persönliche
Informationen und verborgene Daten aus einem Dokument entfernen können, bevor sie
dieses an andere weitergeben. Die Dokumentprüfung wurde erstmals in Office 2007
eingeführt und ist in Office 2010 mit einer verbesserten Benutzeroberfläche versehen:
Abbildung 33: Verwendung der Dokumentprüfung in Word 2010.
Eine neue Funktion der Dokumentprüfung in Office 2010 besteht in der Möglichkeit, ein
Dokument auf nicht sichtbaren Inhalt zu prüfen – Objekte, die nicht angezeigt werden,
weil sie entsprechend formatiert wurden. Dazu zählen jedoch keine Objekte, die nicht
sichtbar sind, weil sie von anderen Objekten verdeckt werden. Eine weitere Funktion
von Office 2010 stellt die Option Barrierefreiheit überprüfen dar, mit der Benutzer
überprüfen können, ob die von ihnen erstellten Dokumente für Personen mit
Behinderungen lesbar sind. Office 2010 umfasst zudem verschiedene
Datenschutzoptionen, die über Gruppenrichtlinien konfiguriert werden können.
57
Weitere Einzelheiten zu den Datenschutzoptionen in Office 2010 finden Sie in der
TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/cc179123.aspx,
Details zur Barrierefreiheitsprüfung finden Sie unter http://technet.microsoft.com/dede/library/ff602182.aspx.
Verwaltung von Informationsrechten
Die Verwaltung von Informationsrechten (IRM) besteht aus einer Reihe von
Technologien, die Organisationen bei der Steuerung des Flusses digitaler Informationen
erleichtert, indem Benutzer Berechtigungen für den Zugriff auf und die Verwendung von
Dokumenten und Nachrichten festlegen können. IRM beruht auf den Rights
Management Services (RMS), einer Reihe in Windows Server 2003 eingeführter Dienste,
die unter Windows Server 2008 R2 als AD RMS-Serverrolle (Active Directory Rights
Management Services) verfügbar waren. Durch Implementieren von IRM mit RMSTechnologien von Microsoft können Organisationen verhindern, dass vertrauliche
Informationen von Unbefugten weitergeleitet, kopiert oder gedruckt werden.
Zum Implementieren von Office 2010 IRM ist eine RMS-Infrastruktur erforderlich, die
Office 2010 IRM-Einstellungen können über Gruppenrichtlinien oder das OAT
konfiguriert werden. Die Bereitstellung und Verwaltung von IRM für Office 2010 ist
detailliert in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc179103.aspx beschrieben.
58
Vergleich der Sicherheit in Office 2010 und
Office 2007
Wenn Ihre Organisation die Migration von Office 2007 nach Office 2010 plant, sollten
Sie sich bewusst sein, welche Sicherheits- und Datenschutzverbesserungen in
Office 2010 neu sind, welche in Office 2007 eingeführt wurden, für Office 2010 jedoch
erweitert wurden, und welche in der neuen Version von Office im Wesentlichen
unverändert geblieben sind. Tabelle 2 bietet diese Informationen in übersichtlicher
Form.
Tabelle 2 Vergleich der Sicherheits- und Datenschutzfeatures in Office 2010 und
Office 2007
Sicherheitsfeature
Beschreibung
Office 200
7
Office 2010
Anwendungsspezifische
Ermöglicht das Deaktivieren
Einstellungen für Add-Ins von Add-Ins, das Festlegen,
dass Add-Ins von einem
vertrauenswürdigen
Herausgeber signiert sein
müssen, und das
Konfigurieren von Add-InWarnungen.
Neu
Unverändert
Kryptografische
Flexibilität
Ermöglicht das Angeben von
Kryptografieeinstellungen
zum Verschlüsseln von
Dokumenten.
Entfällt
Neu
Datenausführungsverhin
derung (DEP)
Eine Hardware- und
Softwaretechnologie zur
Härtung der Angriffsfläche,
bei der Viren und Würmer
an der Ausnutzung von
Pufferüberläufen gehindert
werden.
Entfällt
Neu
59
Dokumentprüfung
Die Datenschutztool, mit
dem Benutzer persönliche
Informationen und
verborgene Daten aus
einem Dokument entfernen
können.
Neu
Verbesserte
Benutzeroberfl
äche
Erweiterte globale und
anwendungsspezifische
Einstellungen für VBAMakros
Ermöglicht das Deaktivieren
von VBA und Konfigurieren
von Warneinstellungen für
Makros.
Neu
Unverändert
Einstellungen für den
Zugriffsschutz
Eine Reihe von
Sicherheitseinstellungen,
über die Sie Benutzer am
Öffnen oder Speichern
bestimmter Arten von
Dateien hindern können.
Neu
Verbesserte
und erweiterte
Einstellungen
Globale und
anwendungsspezifische
Einstellungen für
ActiveX-Steuerelemente
Ermöglicht das Deaktivieren
aller ActiveXSteuerelemente,
Konfigurieren der ActiveXSteuerelementinitialisierung
und Konfigurieren von
Eingabeaufforderungen für
ActiveX-Steuerelemente.
Neu
Unverändert
Integritätsprüfungen für
verschlüsselte Dateien
Ermöglicht das
Implementieren eines
hashbasierten
Nachrichtenauthentifizierun
gscodes (HMAC) beim
Verschlüsseln einer Datei.
Entfällt
Neu
Statusleiste
Ein Element der
Benutzeroberfläche, in dem
Benutzer
Benachrichtigungen und
Neu
Verbesserte
Benutzeroberfl
äche der
60
Warnungen erhalten, wenn
sie ein Dokument mit
potenziell schädlichem
Inhalt öffnen.
Statusleiste
Office ActiveX-Killbit
Ein Office-Feature, mit dem
Administratoren bestimmte
ActiveX-Steuerelemente am
Ausführen in OfficeAnwendungen hindern
können.
Wird als
Internet
Explorer
ActiveXKillbit
implement
iert
Wird als Office
ActiveX-Killbit
implementiert
Office-Dateiüberprüfung
Eine Gegenmaßnahme, mit
der Dateien auf
Formatunterschiede
untersucht werden und
verhindert wird, dass
Dateien mit ungültigem
Format zum Bearbeiten
geöffnet werden.
Entfällt
Neu
Überprüfung und
Durchsetzung der
Kennwortkomplexität
Ermöglicht es, die Länge
und Komplexität von
Kennwörtern anhand von
domänenbasierten
Kennwortrichtlinien zu
überprüfen und
durchzusetzen.
Entfällt
Neu
Geschützte Ansicht
Ein Office-Feature zur
Verhinderung von Angriffen,
durch das Benutzer nicht
vertrauenswürdige oder
potenziell schädliche
Dateien als Vorschau in
einer Sandkastenumgebung
anzeigen können.
Entfällt
Neu
61
Sicherheitscenter
Eine zentrale Konsole in der
Benutzeroberfläche, an der
Benutzer
Sicherheitseinstellungen
und Datenschutzoptionen
anzeigen und konfigurieren
können.
Neu
Verbesserte
und erweiterte
Einstellungen
Vertrauenswürdige
Dokumente
Ein Sicherheitstool, mit dem
Benutzer sichere
Dokumente kennzeichnen
können.
Entfällt
Neu
Vertrauenswürdige
Speicherorte
Ein Sicherheitsfeature, mit
dem Sie zwischen sicheren
und nicht sicheren
Dokumenten unterscheiden
können.
Neu
Unverändert
Vertrauenswürdige
Zeitstempel für digitale
Signaturen
Stellt sicher, dass digitale
Signaturen auch dann gültig
und rechtlich wirksam
bleiben, wenn das Zertifikat,
das Sie zum Signieren des
Dokuments verwendet
haben, abgelaufen ist.
Entfällt
Neu
62
Office 2010 und Windows 7
Office 2010 bietet beeindruckende Sicherheitsverbesserungen. In diesem
Zusammenhang stellt sich die Frage, ob zwischen diesen Sicherheitsverbesserungen und
der zugrunde liegenden Version von Microsoft Windows, unter der Office 2010
installiert ist, Abhängigkeiten bestehen. Dies ist wichtig für Organisationen, die
weiterhin mit Windows XP arbeiten und die Bereitstellung von Office 2010 in ihrer
vorhandenen Umgebung erwägen.
Die kurze Antwort lautet, dass Windows 7 mit Abstand das beste Betriebssystem zum
Ausführen von Office 2010 darstellt. Dafür bestehen u. a. die folgenden Gründe:


Windows 7 unterstützt zusätzliche Kryptografiealgorithmen über CryptoAPI
Next Generation (CNG), eine Reihe von APIs, die erstmals in Windows Vista und
Windows Server 2008 eingeführt wurden und zum Installieren zusätzlicher
Kryptografieanbieter, Verwalten von Verschlüsselungsschlüsseln, Erstellen von
Hashalgorithmen sowie zum Verschlüsseln/Entschlüsseln von Daten verwendet
werden. Anders als bei der CryptoAPI 1.0 unter Windows XP werden von CNG
die Suite B-Kryptografiealgorithmen der US-Regierung implementiert. Dies
bedeutet beispielsweise, dass beim Ausführen von Office 2010 unter Windows 7
die ECC- (Elliptic Curve Cryptography, Kryptografie für elliptische Kurven) und
andere fortschrittliche Verschlüsselungstechnologien verwendet werden
können, die bei Ausführung von Office 2010 unter Windows XP nicht verfügbar
sind.
Windows 7 bietet die Benutzeroberflächen-Rechteisolierung (User Interface
Privilege Isolation, UIPI), ein erweitertes Sicherheitsmodell, das erstmals in
Windows Vista eingeführt wurde und den Zugriff von Prozessen mit geringerer
Integrität auf Prozesse mit höherer Integrität blockiert. UIPI trägt zur
Verhinderung so genannter „Shatter Attacks“ bei, bei denen ein Prozess mit
geringerer Integrität versucht, die eigenen Rechte durch Einschleusen von Code
in einen Prozess mit höherer Integrität heraufzustufen. Dazu werden vom Code
Fensternachrichten verwendet. Beispielsweise kann unter Windows XP
bösartiger Code ein gefälschtes Dialogfeld über einem authentischen
Office 2010-Dialogfeld zeichnen. Der Benutzer reagiert dann auf das gefälschte
Dialogfeld, da er dieses für das legitime hält, und bösartiger Code wird
ausgeführt. Solche Shatter Attacks können unter Windows XP nicht vollständig
verhindert werden, und dies ist ein überzeugender Grund für die Migration der
63

Desktopinfrastruktur nach Windows 7. Im Gegensatz dazu trägt UIPI zur
Verhinderung solcher Angriffsformen unter Windows Vista und höher bei.
Daher kann ein Benutzer, der bei Ausführung von Office 2010 unter Windows 7
aufgefordert wird, die Bearbeitung eines aus dem Internet heruntergeladenen
Dokuments zu aktivieren, darauf vertrauen, dass es sich bei der Schaltfläche
Bearbeitung aktivieren auf der Statusleiste tatsächlich um die von Office 2010
und nicht um eine Form von Malware handelt.
Verbesserungen der Benutzeroberfläche in Windows 7, z. B. die erweiterte
Taskleiste, Sprunglisten und die einheitliche Verwendung des Menübands in
Windows-Anwendungen, machen die Verwendung von Office 2010Anwendungen noch produktiver als unter Windows XP. Das neue
Bibliotheksfeature von Windows 7 erleichtert Benutzern zudem das Auffinden
und Ordnen ihrer Office-Dokumente.
Letzten Endes bietet die Zusammenarbeit von Windows 7 und Office 2010 im Vergleich
zu der von Office 2010 und Windows XP eine höhere Sicherheit und eine überlegene
Benutzerumgebung. Einen allgemeinen Vergleich der Verfügbarkeit der einzelnen
Office-Sicherheitsfeatures in den einzelnen Versionen von Windows finden Sie im
Anhang am Ende dieses Whitepapers.
64
Schlussbemerkung
Office 2010 ist die bisher sicherste Version von Microsoft Office. Mit einem
verbesserten Vertrauensstellungsmodell, bei dem Vertrauensstellungen auf Dateibasis
beibehalten werden, und neuen Technologien, z. B. der Office-Dateiüberprüfung und
der geschützten Ansicht, sind Benutzer besser vor Angriffen geschützt, bei denen OfficeDokumente als Angriffsvektoren genutzt werden. Mit den allgemeinen Verbesserungen
der Verschlüsselungstechnologien, den neuen Funktionen für digitale Signaturen und
der Unterstützung für domänenbasierte Anforderungen an die Kennwortkomplexität
können Benutzer ihre Office-Dokumente wirksamer vor Manipulationen schützen.
Zudem bietet die Datenausführungsverhinderung eine zusätzliche Schutzebene, die
zusammen mit anderen Office-Sicherheitstechnologien eine Tiefenverteidigung für
Benutzer sicherstellt, die mit Office-Anwendungen arbeiten. Weitere Informationen zu
den verschiedenen in diesem Whitepaper beschriebenen Features und Technologien
finden Sie im folgenden Abschnitt „Weitere Ressourcen“.
65
Weitere Ressourcen
In diesem Whitepaper wurde auf eine Anzahl weiterer Ressourcen verwiesen, darunter
Themen in der TechNet-Bibliothek und Beiträge im Office Engineering-Blog. Diese und
andere Verweise sind in diesem Abschnitt zusammengefasst, damit Sie rasch auf
weitere Ressourcen zur Sicherheit von Office 2010 zugreifen können.








Vertrauenswürdige Herausgeber Weitere Einzelheiten zum Office 2010Feature „Vertrauenswürdige Herausgeber“ finden Sie in der TechNet-Bibliothek
unter http://technet.microsoft.com/de-de/library/ff428091.aspx.
Vertrauenswürdige Speicherorte Weitere Einzelheiten zum Office 2010Feature „Vertrauenswürdige Speicherorte“ finden Sie in der TechNet-Bibliothek
unter http://technet.microsoft.com/de-de/library/cc179039.aspx.
Zugriffsschutz Weitere Einzelheiten zum Office 2010-Feature „Zugriffsschutz“
finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc179230.aspx.
Office-Dateiüberprüfung Weitere Einzelheiten zur Office-Dateiüberprüfung
finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/ee857084.aspx und im Office Engineering-Blog unter
http://blogs.technet.com/b/office2010/archive/2009/12/16/office-2010-filevalidation.aspx.
Geschützte Ansicht Weitere Einzelheiten zur geschützten Ansicht finden Sie in
der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/ee857087.aspx und im Office Engineering-Blog unter
http://blogs.technet.com/b/office2010/archive/2009/08/13/protected-view-inoffice-2010.aspx.
Vertrauenswürdige Dokumente Weitere Einzelheiten zu vertrauenswürdigen
Dokumenten finden Sie im Office Engineering-Blog unter
http://blogs.technet.com/b/office2010/archive/2009/09/28/trusteddocuments.aspx.
VBA-Makroeinstellungen Informationen zum Konfigurieren von Einstellungen
für VBA-Makros finden Sie unter http://technet.microsoft.com/dede/library/ee857085.aspx.
Einstellungen für ActiveX-Steuerelemente Informationen zum Konfigurieren
von Einstellungen für ActiveX-Steuerelemente finden Sie unter
http://technet.microsoft.com/de-de/library/cc179076.aspx.
66






Add-In-Einstellungen Informationen zum Konfigurieren von Einstellungen für
Add-Ins finden Sie unter http://technet.microsoft.com/dede/library/ee857086.aspx.
Datenausführungsverhinderung Weitere Einzelheiten zur Unterstützung der
Datenausführungsverhinderung in Office 2010 finden Sie im Office EngineeringBlog unter http://blogs.technet.com/b/office2010/archive/2010/02/04/dataexcecution-prevention-in-office-2010.aspx.
ActiveX-Killbit Weitere Einzelheiten zur Unterstützung des ActiveX-Killbits für
Office 2010 finden Sie in der TechNet-Bibliothek unter
http://technet.microsoft.com/de-de/library/cc179076.aspx.
Einstellungen für die Kennwortkomplexität Weitere Einzelheiten zum
Kennwortschutz für Office 2010-Dokumente finden Sie in der TechNetBibliothek unter http://technet.microsoft.com/de-de/library/ff657853.aspx und
im Office Engineering-Blog unter
http://blogs.technet.com/b/office2010/archive/2009/10/16/enablingpassword-rules-for-office-2010.aspx.
Kryptografische Verbesserungen Weitere Einzelheiten zu den kryptografischen
Verbesserungen in Office 2010 finden Sie in der TechNet-Bibliothek unter
http://technet.microsoft.com/de-de/library/cc179125.aspx.
Verbesserungen an digitalen Signaturen Weitere Einzelheiten zu den
Verbesserungen an digitalen Signaturen in Office 2010 finden Sie in der
TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc545900.aspx und im Office Engineering-Blog unter
http://blogs.technet.com/b/office2010/archive/2009/12/08/digital-signitures-inoffice-2010.aspx.




Datenschutzoptionen Weitere Einzelheiten zu den Datenschutzoptionen in
Office 2010 finden Sie in der TechNet-Bibliothek unter
http://technet.microsoft.com/de-de/library/cc179123.aspx.
Barrierefreiheitsprüfung Einzelheiten zur Barrierefreiheitsprüfung finden Sie
unter http://technet.microsoft.com/de-de/library/ff602182.aspx.
Verwaltung von Informationsrechten Das Bereitstellen und Verwalten der IRM
für Office 2010 ist detailliert in der TechNet-Bibliothek unter
http://technet.microsoft.com/de-de/library/cc179103.aspx beschrieben.
Outlook 2010-Sicherheit Weitere Einzelheiten zur Sicherheit von Outlook 2010
finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc179213.aspx. Weitere Informationen zu den Änderungen an
67



Outlook 2010 finden Sie außerdem unter http://technet.microsoft.com/dede/library/cc179110.aspx.
Gruppenrichtlinieneinstellungen in Office 2010 Informationen zu den
Gruppenrichtlinieneinstellungen in Office 2010 finden Sie in der Datei
Office2010GroupPolicyAndOCTSettings_Reference.xls, die im Microsoft
Download Center unter Office 2010 Administrative Template files (ADM,
ADMX/ADML) and Office Customization Tool (Administrative Vorlagendateien
(ADM, ADMX, ADML) für Office 2010 und das Office-Anpassungstool) verfügbar
ist.
Office-Anpassungstool Informationen zum Office-Anpassungstool für
Office 2010 finden Sie unter http://technet.microsoft.com/dede/library/cc179097.aspx.
Office Open XML-Standard Informationen zu dem ab Office 2007 verwendeten
Office Open XML-Standard finden Sie unter
http://www.microsoft.com/standards/openxml/standard/.
68