Sicherer Umgang mit Unternehmensdaten in Microsoft Office 2010 Veröffentlichung: Januar 2011 © 2010 Microsoft Corporation. Alle Rechte vorbehalten. Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens Microsoft dar, und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt der Veröffentlichung nicht garantieren. Die Informationen beziehen sich auf das Produkt zum Zeitpunkt der Drucklegung des vorliegenden Dokuments; sie sollten ausschließlich zu Planungszwecken verwendet werden. Die Informationen können jederzeit ohne vorherige Benachrichtigung geändert werden. Dieses Whitepaper dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESE ÜBERSICHT JEDE AUSDRÜCKLICHE UND KONKLUDENTE GEWÄHRLEISTUNG AUS. Microsoft, Office, Excel, PowerPoint, ActiveX, Windows, das Windows-Logo und Windows 7 sind entweder eingetragene Marken oder Marken der Microsoft Corporation in den USA und/oder anderen Ländern. Alle anderen Marken sind Eigentum ihrer jeweiligen Besitzer. Inhaltsverzeichnis Inhaltsverzeichnis ............................................................................................................... 2 Zusammenfassung .............................................................................................................. 3 Sicherheit in früheren Office-Versionen ............................................................................. 4 Office und die Zunahme von Bedrohungen .................................................................... 4 Einführung in die Office 2010-Sicherheit .......................................................................... 10 Verbesserungen der Sicherheitsentwicklung für Office 2010 ....................................... 10 Neue Schutztechnologien in Office 2010 ...................................................................... 12 Zentrale Sicherheitsverbesserungen in Office 2010...................................................... 15 Office 2010-Sicherheit: Tiefenverteidigung .................................................................. 15 Office 2010-Sicherheit: Steuern des Informationsflusses ............................................. 17 Abwehr von Exploits durch Office 2010 ........................................................................... 17 Datenausführungsverhinderung ................................................................................... 18 Vertrauensmodell .......................................................................................................... 20 Zugriffsschutz................................................................................................................. 23 ActiveX-Killbit................................................................................................................. 26 Office-Dateiüberprüfung ............................................................................................... 27 Geschützte Ansicht ........................................................................................................ 33 Vertrauenswürdige Dokumente .................................................................................... 38 Aktive Inhalte................................................................................................................. 41 Statusleiste .................................................................................................................... 43 Steuern des Informationsflusses in Office 2010 ............................................................... 48 Einstellungen für die Kennwortkomplexität.................................................................. 48 Kryptografische Verbesserungen .................................................................................. 51 Verbesserungen an digitalen Signaturen ...................................................................... 52 Dokumentprüfung ......................................................................................................... 57 Verwaltung von Informationsrechten ........................................................................... 58 Vergleich der Sicherheit in Office 2010 und Office 2007.................................................. 59 Office 2010 und Windows 7.............................................................................................. 63 Schlussbemerkung ............................................................................................................ 65 2 Weitere Ressourcen .......................................................................................................... 66 Zusammenfassung In diesem Whitepaper werden die neuen Sicherheitsfeatures und -erweiterungen in Microsoft Office 2010 erläutert, mit denen Organisationen gegen Angriffe auf Benutzer geschützt werden können, die Office-Anwendungen in ihrer täglichen Arbeit nutzen. Zunächst wird auf die Zunahme der vielfältigen Bedrohungen eingegangen, die das Office-Entwicklungsteam zur Einführung dieser Verbesserungen bewogen hat. Zudem wird die Weiterentwicklung der Office-Sicherheit in den verschiedenen Versionen erläutert. Anschließend werden die drei Sicherheitsziele beschrieben, an denen sich die Office-Entwicklungsprozesse ausrichteten: Verbessern der Sicherheitsentwicklung, Bereitstellen von effektiven und benutzerfreundlichen Schutztechnologien für OfficeBenutzer und Ausbauen der zentralen Office-Sicherheitsfeatures und -Technologien. Daran anschließend wird das auch als „Defense-in-Depth“ bezeichnete Schutzmodell der Tiefenverteidigung von Office beschrieben. Darüber hinaus werden zentrale Sicherheitstechnologien wie die Office-Dateiüberprüfung, die geschützte Ansicht und vertrauenswürdige Dokumente ausführlich erklärt. Abschließend werden kurz die Sicherheitsverbesserungen Office 2010 erläutert, u. a. wird dabei auf die Datenausführungsverhinderung, das ActiveX-Killbit, Anforderungen an die Komplexität von Kennwörtern sowie Verbesserungen der Verschlüsselung und von digitalen Signaturen eingegangen. 3 Sicherheit in früheren Office-Versionen Bevor die Sicherheitsverbesserungen in Office 2010 erläutert werden und veranschaulicht wird, wie diese bei einem umfassenden Tiefenschutz zusammenwirken, empfiehlt es sich, einen Blick auf die zunehmenden Bedrohungen in den letzten Jahren zu werfen und zu verdeutlichen, wie Microsoft darauf durch eine stetige Verbesserung der Office-Sicherheit reagiert hat. 1 Office und die Zunahme von Bedrohungen Die Bedrohungen, mit denen Informationstechnologien in Unternehmen konfrontiert sind, haben sich seit der Mitte der 1990er-Jahre dramatisch gewandelt, als der Internetzugang zu einer Kernanforderung für Unternehmen wurde, um auf den dynamischen globalen Märkten konkurrenzfähig zu bleiben. Bei anfänglichen Versuchen von Angreifern, in Unternehmensnetzwerke einzudringen, lag der Schwerpunkt auf der Entdeckung und Ausnutzung von Schwachstellen in Betriebssystemen, wobei zunächst die Server angegriffen wurden, auf denen sich gewöhnlich die wertvollen Geschäftsdaten befanden. Anbieter von Betriebssystemen wie Microsoft reagierten durch die Härtung ihrer Serverbetriebssysteme: Neben der Integration von Firewalls wurden die standardmäßigen Konfigurationseinstellungen sicherer gestaltet. Die ITAbteilungen von Unternehmen reagierten ähnlich auf diese Gefahren, indem sie zusätzliche Sicherheitsschichten wie Umkreisfirewalls einbezogen und Verschlüsselungstechnologien einsetzten, um die Unternehmensnetzwerke besser zu schützen. Doch alle diese Sicherheitsverbesserungen konnten Angriffe gegen Unternehmensnetzwerke weder verhindern noch eindämmen. Stattdessen verschob sich das Augenmerk der Angreifer weg von den Servern auf die Clients, und die Angriffe wurden sogar noch verstärkt. In Erwartung dieser Verschiebung hat auch Microsoft mit jeder neuen Betriebssystemversion für Windows-Desktops die Sicherheit durch 1 Die Sicherheit für Outlook 2010 wird im vorliegenden Whitepaper nicht behandelt, da es sich hierbei um ein spezielles Thema handelt, das gesondert behandelt werden muss. Weitere Informationen zur Sicherheit für Outlook 2010 finden Sie im Abschnitt „Weitere Ressourcen“ am Ende dieses Whitepapers. 4 Einbeziehung neuer Sicherheitsfeatures, die Umgestaltung von Kernkomponenten und die Bereitstellung von Tools für die Automatisierung der Patchverwaltung verbessert, um Schwachstellen auszuräumen, sobald diese erkannt werden. Da sich Angreifer jedoch bei ihren Aktivitäten stets den „am niedrigsten hängenden Früchten“ zuwenden, führten diese Verbesserungen im Grunde zu einer weiteren Verschiebung der Bedrohungen, dieses Mal in Richtung Anwendungsraum. In den letzten Jahren lag der Schwerpunkt von Angriffen auf Unternehmensnetzwerke zunehmend in zwei Bereichen. Erstens zielen Angreifer zunehmend auf Desktopanwendungen ab, da Anwendungsanbieter hinsichtlich der Produktsicherheit generell hinter den Betriebssystemanbietern zurückbleiben. Jetzt sind die gängigen Angriffsziele populäre Desktopanwendungen wie Adobe Flash Player, Adobe Acrobat, Apple QuickTime und Microsoft Office. Zweitens ist aber auch eine beträchtliche Zunahme von Angriffen gegen Websites und webbasierte Anwendungen zu verzeichnen. Meist erfolgen diese über Backend-Datenbanken durch Einschleusen von SQL-Code oder mithilfe von websiteübergreifenden Skripts, mit denen Berechtigungen heraufgestuft werden und bösartiger Code in Webseiten eingeschleust wird. Der Bericht des SANS Institute vom September 2009 verweist darauf, dass das Patchen von Schwachstellen in Desktopanwendungen und Webanwendungen zwei der wichtigsten Prioritäten darstellen, die sich für IT-Experten beim Absichern von Unternehmensnetzwerken stellen.2 Für nahezu ein Jahrzehnt hatte Microsoft eine führende Rolle hinsichtlich der Sicherheit im Anwendungsraum inne. Seit der Verbreitung des Virus „Melissa“ im März 1999 umfasste jede seitdem veröffentlichte Version von Microsoft Office innovative neue Sicherheitstechnologien und -features, die die IT-Teams von Unternehmen dabei unterstützen sollen, Angreifern stets um einen Schritt voraus zu sein. Mit der Veröffentlichung von Microsoft Update im Juni 2005 war Microsoft der erste Anbieter, der einen Mechanismus zum automatischen Anwenden von Patches auf Client- und Serveranwendungen wie Office 2003, Exchange Server 2003 und SQL Server 2000 anbot. Auch wenn andere Anbieter mittlerweile Sicherheitsfeatures anbieten, die denen in früheren Office-Versionen ähneln, bleibt Microsoft führend in diesem Bereich. So hat 2 Den Bericht des SANS Institute, Top Cyber Security Risks – Executive Summary (Größte Cyber-Sicherheitsrisiken – Zusammenfassung) finden Sie unter http://www.sans.org/topcyber-security-risks/summary.php. 5 Adobe beispielsweise angekündigt, dass die kommende Version von Acrobat Reader eine Sandkastentechnologie mit geschütztem Modus enthalten wird, die mit der entsprechenden Technologie in Office 2010 vergleichbar ist.3 Bevor auf die neuen Sicherheitsfeatures in Office 2010 eingegangen wird, lohnt es sich, die Sicherheit der früheren Office-Versionen zu beleuchten. Im Folgenden finden Sie eine kurze Übersicht über die grundlegenden Sicherheitsverbesserungen, die in den verschiedenen Office-Versionen ab Office 2000 eingeführt wurden. Seit Office XP können die meisten dieser Sicherheitsfeatures anhand von Gruppenrichtlinien konfiguriert werden. Grundlegende Sicherheitsverbesserungen in Office 2000: Signieren von Makros Damit besteht die Möglichkeit, Makros mit digitalen Signaturen zu versehen, um den Ersteller des jeweiligen Makros zu authentifizieren und sicherzustellen, dass dieses nicht manipuliert wurde. Vertrauenswürdige Quellen Hiermit können vertrauenswürdige Quellen angegeben werden, die durch die digitalen Signaturen identifiziert werden, mit denen Makros signiert wurden. Das heißt, dass Benutzer Word 2000 so konfigurieren konnten, dass Makros aus vertrauenswürdigen Quellen automatisch ausgeführt werden, wenn das zugehörige Dokument geöffnet wird. Grundlegende Sicherheitsverbesserungen in Office XP: Sicherheitsstufen für Makros Der Makroschutz wurde erweitert, indem drei Stufen der Makrosicherheit definiert wurden: Hoch, Mittel und Niedrig. Bei hoher Sicherheit (der Standardeinstellung) wurden nicht signierte Makros deaktiviert, und nur die Ausführung von signierten Makros aus vertrauenswürdigen Quellen wurde zugelassen. Bei mittlerer Sicherheit konnte der Benutzer entscheiden, ob ein nicht signiertes Makro ausgeführt wird. Bei niedriger Sicherheit wurden sämtliche Makros ausgeführt, egal, ob diese signiert waren oder nicht. Dieses Modell wurde in Office 2003 auf vier Stufen erweitert; in dieser Version wurde die Stufe Sehr hoch eingeführt. 3 Sie finden den ASSET-Blog [Adobe Secure Software Engineering Team, Introducing Adobe Reader Protected Mode (Einführung des geschützten Modus für Adobe Reader)] unter http://blogs.adobe.com/asset/2010/07/introducing-adobe-reader-protected-mode.html. 6 Grundlegende Sicherheitsverbesserungen in Office 2003: CryptoAPI-Unterstützung Durch im System installierte CryptoAPI-Anbieter wurde die Unterstützung neuer Verschlüsselungstypen eingeführt. Darüber hinaus konnten sämtliche Office-Anwendungen für die standardmäßige Verwendung eines bestimmten Verschlüsselungstyps konfiguriert werden, sodass der Verschlüsselungstyp standardisiert werden konnte, der beim Schützen von Office-Datendateien mit einem Kennwort verwendet wurde. Vertrauenswürdige Herausgeber Es wurden Funktionen zum Verwalten vertrauenswürdiger Herausgeber eingeführt, beispielsweise die Möglichkeit, installierte Zertifikate zu entfernen, wenn diese verdächtig sind oder nicht mehr benötigt werden. Außerdem konnte mit der Einführung der Liste der unzulässigen Herausgeber sichergestellt werden, dass widerrufene oder abgelaufene Zertifikate abgelehnt werden, wenn durch Office ermittelt wird, ob ein digital signiertes Dokument geöffnet, ein Makro ausgeführt oder ein ActiveX-Steuerelement initialisiert werden soll. Sicherheit für ActiveX-Steuerelemente Damit wurde eine größere Kontrolle des Administrators über die Ereignisse beim Ausführen von ActiveXSteuerelementen auf Benutzercomputern erreicht. In früheren Versionen von Office wurde beispielsweise nicht zwischen als SFI (Safe for Initialization, sicher zur Initialisierung) gekennzeichneten und als UFI (Unsafe for Initialization, nicht sicher zur Initialisierung) gekennzeichneten ActiveX-Steuerelementen unterschieden. In Office 2003 wird bei UFI-Steuerelementen jedoch eine Benachrichtigung für Benutzer angezeigt, in der das Steuerelement als potenziell unsicher gemeldet wird. Benutzer können dann entscheiden, ob das Steuerelement initialisiert werden soll oder nicht (standardmäßig wird das Steuerelement nicht initialisiert). Verwaltung von Informationsrechten Mit der Verwaltung von Informationsrechten (IRM-Technologien) erhalten Organisationen größere Kontrolle über weitergeleitete, kopierte und gedruckte Informationen. IRMTechnologien in Office 2003 sind in die Dienste für die WindowsRechteverwaltung (RMS) integriert, die mit Windows Server 2003 eingeführt wurden. Mit diesen können Organisationen differenziertere Berechtigungsrichtlinien erstellen, in denen die unterschiedlichen Aktionen definiert werden, die von verschiedenen Benutzergruppen für OfficeDokumente ausgeführt werden können. 7 Weitere Sicherheitsverbesserungen Außerdem wurde eine Reihe weiterer anwendungsspezifischer Sicherheitsverbesserungen der Office-Suite eingeführt. Hierzu zählt beispielsweise die Funktion des erweiterten Dokumentschutzes von Word 2003, mit der Einschränkungen der Dokumentformatierung auf eine vordefinierte Auswahl von Stilen sowie die Beschränkung des Zugriffs für einzelne Benutzer oder Gruppen möglich sind. Excel 2003, PowerPoint 2003 und andere Office-Anwendungen bieten ähnliche Sicherheitserweiterungen. Grundlegende Sicherheitsverbesserungen in Office 2007: Änderungen an Standardfunktionen Gemäß den Standardeinstellungen wird nun der Zugriff auf potenziell gefährliche externe Inhalte blockiert; es können nur vertrauenswürdige Makros ausgeführt werden; die Ausführung installierter und registrierter Add-Ins wird ohne Benutzereingriff gestattet; das Öffnen von Dokumenten wird auch dann immer zugelassen, wenn diese nicht vertrauenswürdige aktive Inhalte aufweisen (solche Inhalte bleiben deaktiviert, bis der Benutzer auf die angezeigte Benachrichtigung reagiert); die Ausführung von ActiveX-Steuerelementen ohne Benutzereingriff wird nur unter exakt definierten Umständen zugelassen. Weniger Sicherheitsentscheidungen und -eingabeaufforderungen Die Anzahl der Sicherheitsentscheidungen, die Endbenutzer treffen müssen, wurde minimiert. Die Informationen, die Benutzer für diese Entscheidungen benötigen, werden nun anders dargestellt, sodass Eingabeaufforderungen und Warnungen weniger aufdringlich, aber trotzdem informativer sind. Somit erhalten Benutzer nur dann eine Eingabeaufforderung, wenn ihr Eingriff tatsächlich erforderlich ist, um eine sichere Arbeitsumgebung sicherzustellen. Aufgrund dieser Änderungen können Benutzer intelligentere Sicherheitsentscheidungen für ihren Computer treffen, womit die Bedrohungen durch Malware (bösartiger Software) für Privatbenutzer und Unternehmensnetzwerke verringert werden. Office Open XML-Dateiformat In Office 2007 wurden die neuen XML-basierten Dateiformate Open XML für Word, Excel und PowerPoint 2007 eingeführt. Mit diesen neuen Dateiformaten werden Dateiverwaltung und -wiederherstellung verbessert und die Interoperabilität vereinfacht, da nun der Zugriff auf und die Arbeit mit Office-Datendateien aus beliebigen branchenspezifischen Anwendungen mit XML-Unterstützung möglich ist. Open XML erweitert die Sicherheit von Office 2007, da die Dokumentinformationen im XML-Format gespeichert werden. Das heißt, dass es sich bei Office-Datendateien mit den Erweiterungen .docx, .xlsx und .pptx einfach um Nur-Text-Dateien handelt, die 8 in komprimierter (archivierter) Form gespeichert werden und daher keinen ausführbaren Code enthalten können, wie dies bei Datendateien der Fall war, die in den älteren Office-Binärdateiformaten (.doc, .xls, .ppt) gespeichert wurden. Daher können IT-Experten in Unternehmen ohne Bedenken die Übertragung von DOCX-, XLSX- und PPTX-Dateien durch Umkreisfirewalls gestatten, während Datendateien mit eingebettetem Code mit einer anderen Dateierweiterung (DOCM, XLSM und PPTM) gespeichert werden, sodass sie schnell erkannt und/oder blockiert werden können. Vertrauensstellungscenter Die meisten anwendungsspezifischen Sicherheitseinstellungen und Datenschutzoptionen wurden zentral in an einem einzigen Speicherort zusammengefasst, der als Vertrauensstellungscenter bezeichnet wird. Auf diese Weise können Benutzer die Sicherheitseinstellungen und Datenschutzoptionen von Office-Anwendungen besser verstehen und verwalten sowie die Vertraulichkeit, Integrität und Verfügbarkeit der auf ihren Computern gespeicherten Daten sicherstellen. Statusleiste Die meisten Sicherheitswarnungen wurden in einen neuen Benachrichtigungsbereich verschoben, der als Statusleiste bezeichnet wird. Über die Statusleiste können Benutzer Dokumente mit aktiven Inhalten wie Makros und ActiveX-Steuerelemente öffnen und anzeigen, ohne dass die betreffenden Makros ausgeführt oder die ActiveX-Steuerelemente initialisiert werden. Vertrauenswürdige Speicherorte Benutzer können einen vertrauenswürdigen Speicherort wie einen lokalen Ordner oder eine Netzwerkfreigabe angeben (standardmäßig können Benutzer nur lokale Ordner und keine Netzwerkspeicherorte als vertrauenswürdige Speicherorte angeben). Wenn ein Benutzer ein Office-Dokument an einem vertrauenswürdigen Speicherort öffnet, werden alle aktiven Inhalte automatisch aktiviert und initialisiert, einschließlich von ActiveX-Steuerelementen, Makros und Links zu externen nicht vertrauenswürdigen Datenquellen. Beim Öffnen solcher Dokumente werden keine Warnungen und Eingabeaufforderungen angezeigt. Sicherheit für aktive Inhalte Makrosicherheitseinstellungen werden eindeutiger beschrieben, und Benutzer können Bedingungen angeben, unter denen Benachrichtigungen und Warnungen zu Makros angezeigt werden sollen. Benutzer können zudem viele dieser Einstellungen für einzelne Anwendungen konfigurieren. Darüber hinaus ist eine neue globale Einstellung verfügbar, mit der Benutzer VBA für alle Office-Anwendungen deaktivieren können. 9 Einstellungen für den Zugriffsschutz Hiermit können Administratoren festlegen und durchsetzen, welche Office-Dateiformate in ihrer Organisation verwendet werden. Dokumentprüfung Hiermit können Benutzer auf einfache Weise vertrauliche ausgeblendete Informationen aus Dokumenten entfernen. Einführung in die Office 2010-Sicherheit Seit der Markteinführung von Office 2007 haben sich die Bedrohungen, mit denen Unternehmen konfrontiert sind, stetig gewandelt. Zunehmend stellen Endbenutzeranwendungen das Ziel von Angriffen durch Malware-Entwickler dar, und auch Office-Produkte sind einer höheren Anzahl vielfältigerer Angriffsformen ausgesetzt. Makro-Exploits stellen heute nicht mehr das größte Risiko dar, das sich für Office-Kunden stellt. Eine grundlegende Bedrohung liegt für Benutzer von Microsoft Office-Anwendungen nunmehr in Dateiformat-Exploits. Bei diesen werden in den älteren Binärdateiformaten (.doc, .xls und .ppt) gespeicherte, falsch formatierte Word-, Excel- oder PowerPoint-Dateien ausgenutzt, um Pufferüberlaufbedingungen zu erzeugen, mit dem Ziel, Berechtigungen heraufzustufen und die Systemsicherheit zu durchbrechen. Um bereits erkannte und neu auftretende Sicherheitslücken in diesem Bereich zu schließen, hat das Office-Entwicklungsteam bei der Entwicklung von Office 2010 drei grundlegende Ziele verfolgt: Verbessern der Sicherheitsentwicklung für Office Bereitstellen von effektiven und benutzerfreundlichen Schutztechnologien für Office-Benutzer Ausbauen der zentralen Office-Sicherheitsfeatures und -technologien Verbesserungen der Sicherheitsentwicklung für Office 2010 Das Ziel der Sicherheitsentwicklung besteht in der Bereitstellung sicherer Software durch Bedrohungsmodellierung, sichere Codierungsverfahren, Überprüfungstools und Tests. Die Office 2007-Sicherheitsverbesserungen gehen hauptsächlich auf die neuen 10 Prozesse, Verfahren und Tools bei der Sicherheitsentwicklung zurück, die das OfficeEntwicklerteam als Reaktion auf die Trusted Computing-Initiative4 umgesetzt hat. Zu diesen Sicherheitsentwicklungsprozessen, -verfahren und -tools zählen der Security Development Lifecycle (SDL, Entwicklungszyklus für sichere Software)5, sichere Codierungsverfahren, die Modellierung von Bedrohungen sowie intern entwickelte Überprüfungstools. Als Ergebnis dieser Initiativen konnten zentrale Bereiche der Codebasis von Office-Anwendungen gehärtet werden, um deren Sicherheit zu verstärken. Diese Verbesserungen trugen zusammen mit dem bereits beschriebenen Open XML-Dateiformat dazu bei, die Sicherheit von Office 2007 im Vergleich zu den Vorversionen zu steigern. Trotz dieser Verbesserungen bei der Sicherheitsentwicklung für Office 2007 stellte sich jedoch für viele Organisationen immer noch das Problem, dass umfassende Mengen von Dokumenten, Arbeitsblättern und Präsentationen verwaltet werden mussten, die in früheren Office-Versionen erstellt wurden. Selbst Organisationen, die Office 2007 als Standard einführten und ihr Repository von Office-Binärdateien in Open XML konvertierten, hatten es häufig mit Binärdateien zu tun, wenn sie Geschäftsinformationen mit Partnern und Kunden austauschten oder gemeinsam nutzten, die noch keine Migration auf Office 2007 ausgeführt hatten. Um auf diese problematische Situation einzugehen und die Sicherheit bei der Arbeit mit Binärdatendateien zu steigern, griff das Office 2010-Team in großem Umfang auf das „Fuzzing“ zurück. Hierbei handelt es sich um ein Sicherheitsentwicklungsverfahren, bei dem willkürlich ausgewählte Teile von Datendateien hinzugefügt, entfernt und geändert werden, um bisher unbekannte Schwachstellen des jeweiligen Dateiformats aufzudecken. Vieles weist darauf hin, dass böswillige Angreifer häufig Schwachstellen in Office-Binärdateiformaten erkannt haben, indem sie Word-Dokumente und ExcelArbeitsblätter einem Fuzzing unterzogen. Ein Beispiel: Wenn ein Angreifer laufend 4 Weitere Informationen zur Trustworthy Computing Initiative von Microsoft finden Sie im Whitepaper http://download.microsoft.com/download/a/f/2/af22fd56-7f19-47aa-81674b1d73cd3c57/twc_mundie.doc. 5 Weitere Informationen zum Trustworthy Computing Security Development Lifecycle von Microsoft finden Sie auf der MSDN-Website unter http://msdn.microsoft.com/dede/library/ms995349.aspx. 11 willkürliche Änderungen an den Bits einer in einem Word-Binärdateiformat (z. B. .doc) gespeicherten Datei vornimmt und versucht, jede dieser mittels Fuzzing erzeugten Dateien in Word zu öffnen, besteht die Möglichkeit, dass schließlich eine der manipulierten Dateien einen Absturz von Word bewirkt, weil die Eingabedaten außerhalb eines bestimmten vorgesehenen Bereichs des Dateiformats liegen. Wenn der Angreifer nun mit einem Debugger untersucht, aus welchem Grund die manipulierte Datei einen Absturz von Word hervorgerufen hat, kann er eine Schwachstelle entdecken, die er als Ausgangspunkt für einen Angriff auf Word-Benutzer ausnutzen kann. Dazu erstellt er eine spezielle fehlerhaft formatierte DOC-Datei mit aktiven Inhalten zum Ausnutzen der Schwachstelle und versendet diese im gesamten Internet als E-Mail-Anhang. Benutzer, die diese E-Mails empfangen und den zugehörigen Anhang öffnen, aktivieren die aktiven Inhalte, die wiederum ihre Systeme beschädigen – ein Albtraum für Netzwerkadministratoren und Produktivitätsverlust für die betroffenen Unternehmen. Da das Fuzzing solch ein einfaches, aber trotzdem effektives Verfahren zum Aufspüren von Dateiformatschwachstellen darstellt, hat das Office-Entwicklungsteam bei der Entwicklung von Office 2010 umfassende verteilte Fuzzing-Techniken in seinen Sicherheitsentwicklungsprozess eingebunden. Dabei wurden vom Office-Team Millionen von Office-Dateien aus dem Internet heruntergeladen, die das komplette Spektrum der mehr als 300 verschiedenen Dateiformate der gesamten Office-Suite repräsentieren. Diese Dateien wurden millionenfach auf verschiedenste Weise mittels Fuzzing manipuliert, um neue Schwachstellen in den Binärdateiformaten von Word, Excel und PowerPoint zu ermitteln. Die Ergebnisse dieser verteilten Fuzzing-Aktivitäten wurden vom Office-Team wie folgt genutzt: Erstens konnten Hunderte von neuen Fehlern korrigiert werden, die im Code für Office-Anwendungen festgestellt wurden. Zweitens wurden auf der Grundlage der Ergebnisse XSD (XML Schema Definition)-Spezifikationen für Office-Binärdateiformate (z. B. .doc, .xls und .ppt) erstellt, für die bisher noch keine XSD-Spezifikationen vorhanden waren, anhand derer solche Dateien überprüft werden konnten. In Office 2010 wurden neue Schutztechnologien integriert, die auf diesen XSDSpezifikationen aufbauen, um Benutzer vor Exploits auf der Grundlage von OfficeBinärdateiformaten zu schützen. Diese Schutztechnologien werden im Folgenden beschrieben. Neue Schutztechnologien in Office 2010 Neben den Verbesserungen bei der Sicherheitsentwicklung bietet Office 2010 auch neue Schutztechnologien sowie ein neues Vertrauensmodell, das über mehrschichtige 12 Verteidigungsmaßnahmen eine verbesserte Abwehr von Angriffen sicherstellt. Wenn ein Benutzer in früheren Office-Versionen beispielsweise versuchte, ein WordDokument zu öffnen, wurde von Word zunächst untersucht, ob es sich bei der Datei um ein ordnungsgemäß formatiertes Word-Dokument handelt. Wurde das geöffnete Dokument als eine mit Word 2007 erstellte DOCX-Datei auf der Grundlage der Office Open XML-Spezifikation erkannt, wurde es von Word durch eine Analyse anhand der XSD-Spezifikation für das betreffende Dateiformat überprüft. Wenn es sich bei dem geöffneten Dokument jedoch um eine DOC-Datei handelte, die mit dem früheren Binärdateiformat (Word 97 bis Word 2003) erstellt wurde, wurde die Datei einfach in den Speicher geladen und ohne weitere Überprüfung angezeigt, da eine XMLSpezifikation oder sonstige Standards zur Überprüfung der Datei fehlten. Dasselbe galt für die Vorversionen von Excel und PowerPoint. Aus diesem Grund wurden vom Office-Team neue Technologien zum Schutz und der Abschwächung von Bedrohungen in Word 2010, Excel 2010 und PowerPoint 2010 entwickelt. Zwei dieser neuen Technologien, die Office-Dateiüberprüfung und die geschützte Ansicht, tragen zum Schutz der Ressourcen von Unternehmen bei, indem potenziell schädliche Auswirkungen gemildert werden, die aus Exploits von OfficeBinärdateiformaten resultieren können. „Vertrauenswürdige Dokumente“ stellen ein drittes neues Feature in Office 2010 dar. Dieses bietet Benutzern im Zusammenwirken mit den zuvor erwähnten Schutztechnologien eine verbesserte Benutzererfahrung, da sie beim Arbeiten mit Dokumenten mit aktiven Inhalten wie Makros oder ActiveXSteuerelementen weniger Sicherheitsentscheidungen treffen müssen. Wenn ein Benutzer in Word 2010 beispielsweise versucht, eine DOC-Datei zu öffnen, wird die Datei nicht mehr von Word selbst in den Speicher geladen und angezeigt. Stattdessen wird die Datei zunächst an eine DLL übergeben. Diese prüft die Datei eingehend anhand der XML-Spezifikation, die mit den Ergebnissen des umfassenden verteilten Fuzzing erstellt wurde, das im Rahmen des Sicherheitsentwicklungsprozesses für Office 2010 erfolgte. Wenn die DOC-Datei diese Überprüfung besteht, wird sie von der DLL an die Datei Winword.exe übergeben, die sie öffnet und ihre Inhalte mit uneingeschränkt aktivierten Bearbeitungsfunktionen anzeigt. Wenn die Datei die Überprüfung jedoch nicht besteht, kann sie möglicherweise schädliche Auswirkungen auf den Computer des Benutzers haben. In einem solchen Fall wird sie innerhalb einer isolierten „Sandkastenumgebung“ geöffnet, die als geschützte Ansicht bezeichnet wird. In dieser geschützten Ansicht kann der Benutzer das Dokument durchsuchen und seine Inhalte anzeigen, sämtliche Bearbeitungsfunktionen und alle aktiven Inhalte im Dokument sind jedoch deaktiviert. An dieser Stelle wird das Dokument von einem 13 Winword.exe-Sandkastenprozess mit niedrigen Rechten und nicht vom Winword.exeHostprozess gerendert. Nachdem der Benutzer den Inhalt des Dokuments überprüft und sich vergewissert hat, dass dieses aus einer zulässigen Quelle stammt, kann er die Bearbeitung des Dokuments aktivieren. Hierzu muss er auf eine entsprechende Eingabeaufforderung auf der Statusleiste reagieren. An diesem Punkt wird der Sandkastenprozess der geschützten Ansicht beendet, und das Dokument wird mit dem Winword.exe-Hostprozess erneut geöffnet, wobei alle Bearbeitungsfunktionen aktiviert werden. Sollte das Dokument aktive Inhalte enthalten, wird auf der Statusleiste eine zweite Eingabeaufforderung angezeigt, in der der Benutzer angeben kann, ob die aktiven Inhalte aktiviert werden sollen. Wenn der Benutzer nun festlegt, dass die aktiven Inhalte im Dokument aktiviert werden sollen, kann die Entscheidung des Benutzers in Bezug auf die Vertrauenswürdigkeit nun durch das neue Office 2010-Feature „Vertrauenswürdige Dokumente“ gespeichert werden. Das heißt, dass beim erneuten Öffnen des vertrauenswürdigen Dokuments die darin enthaltenen aktiven Inhalte automatisch aktiviert werden, ohne dass für den Benutzer eine entsprechende Eingabeaufforderung ausgegeben wird. Dies unterscheidet sich von dem Verhalten für Word 2007, bei dem der Benutzer bei jedem Öffnen eines Dokuments mit Makros oder ActiveXSteuerelementen aufgefordert wurde, aktive Inhalte zu aktivieren. Ähnliche DLLs wie die für Word 2010 wurden auch für Excel 2010 und PowerPoint 2010 entwickelt. Mit diesen DLLs werden XLS- und PPT-Dateien überprüft, und in Excel 2010 und PowerPoint 2010 werden Dateien ebenfalls in der geschützten Ansicht angezeigt, wenn die Datei die Überprüfung nicht besteht. Administratoren können Office 2010 zudem so konfigurieren, dass Informationen zu Dateien, die die Überprüfung nicht bestanden haben, über den Kanal der Windows-Fehlerberichterstattung (Watson) eingesendet werden, sodass diese vom Microsoft Security Response Center (MSRC) untersucht werden können. Bei Feststellung neuer Schwachstellen in Bezug auf OfficeBinärdateiformate werden Updates der XML-Spezifikationen veröffentlicht und von Office 2010 automatisch heruntergeladen, sodass sie von der Office-Dateiüberprüfung genutzt werden können. Ein entscheidender Vorteil dieses Ansatzes besteht darin, dass schneller auf neu entdeckte Dateiformatschwachstellen reagiert werden kann, als dies mit dem herkömmlichen Softwarepatching-Prozess möglich war. 14 Zentrale Sicherheitsverbesserungen in Office 2010 Eine verbesserte Sicherheitsentwicklung und neue Schutztechnologien sind nicht die einzigen Sicherheitsverbesserungen, durch die sich Office 2010 auszeichnet. Darüber hinaus wurden auch zentrale Sicherheitstechnologien verbessert, um den Datenschutz bei gleichzeitiger Nutzung neuartiger Szenarien für die Zusammenarbeit zu verstärken. Digitale Signaturen und Verschlüsselungstechnologien wurden in Office 2010 in verschiedener Hinsicht weiterentwickelt, und die Verwaltung von Informationsrechten (IRM) wurde verbessert und erweitert, um die unternehmensübergreifende Zusammenarbeit zu fördern. Selbst der Kennwortschutz, mit dem Word-Dokumente häufig gesichert werden, um ihre Bearbeitung durch andere Personen zu verhindern, wurde weiterentwickelt. Dazu wurde die Erzwingung der Komplexitätsanforderungen für Domänenkennwörter auf kennwortgeschützte Office-Datendateien ausgeweitet. Diese und andere zentrale Sicherheitsverbesserungen werden an späterer Stelle im vorliegenden Whitepaper ausführlicher beschrieben. Office 2010-Sicherheit: Tiefenverteidigung Eine Schlüsselstrategie für jede Informationssicherheitslösung ist die Tiefenverteidigung. Durch das Implementieren mehrerer redundanter Sicherheitskontrollen auf unterschiedlichen Ebenen eines Informationssystems können Sicherheitsbedrohungen, die eine Verteidigungsschicht durchdringen, immer noch durch eine andere Schicht abgewehrt werden. In Office 2010 werden im Rahmen dieser Strategie vier Verteidigungsschichten bereitgestellt, mit denen Benutzer gegen Bedrohungen wie bösartig formatierte Word-Dokumente, Excel-Kalkulationstabellen und PowerPointPräsentationen geschützt werden. Auf jeder Sicherheitsschicht in Office 2010 werden spezifische Gegenmaßnahmen implementiert, die in dem Augenblick initiiert werden, in dem ein Benutzer eine Datei in einer Office 2010-Anwendung öffnet, und so lange in Kraft verbleiben, bis die Datei erfolgreich für die Bearbeitung geöffnet wurde. Diese vier Schichten der Office-Sicherheit werden in Abbildung 1 veranschaulicht und führen die folgenden Funktionen aus: Härtung der Angriffsfläche durch verbesserte Sicherheitsentwicklung im Verbund mit zentralen Sicherheitsfeatures des Betriebssystems Windows, die in Office 2010 integriert sind. Unterstützung von DEP/NX (Data Execution Protection/No eXecute), robuste und flexible Kryptografie und weitere Technologien stellen eine starke, erste Verteidigungsschicht gegen Bedrohungen durch bösartige Office-Datendateien dar. 15 Verringern der Angriffsfläche durch Beschränken der Dateitypen, die von Anwendungen geöffnet werden können, sowie durch Verhindern der Ausführung gewisser Typen von eingebettetem Code. Die OfficeDateiüberprüfung stellt eine Schlüsseltechnologie auf dieser Schicht dar. Dasselbe gilt für zwei weitere Office 2010-Features (Einstellungen für den Zugriffsschutz und das Office ActiveX-Killbit), die im vorliegenden Whitepaper an späterer Stelle beschrieben werden. In ihrem Zusammenwirken verringern diese Technologien Anzahl und Vielfalt möglicher Stoßrichtungen von Angriffen, die die erste Verteidigungsschicht durchdringen. Abwehren von Exploits, sodass die Auswirkungen von Angriffen minimiert werden, die die ersten zwei Verteidigungsschichten überwinden. Die Office 2010-Schlüsseltechnologie auf dieser Schicht ist die „Geschützte Ansicht“, die das gefahrlose Anzeigen gefährlicher Office-Dateien und deren Untersuchung ermöglicht, ohne dass der Computer des Benutzers oder das angeschlossene Netzwerk beeinträchtigt werden. Verbessern der Benutzererfahrung durch Reduzieren der Anzahl von Sicherheitsentscheidungen, die vom Benutzer getroffen werden müssen, und Unterstützen des Benutzers beim Treffen intelligenter Sicherheitsentscheidungen. Das neue Feature „Vertrauenswürdige Dokumente“ in Office 2010 stellt hier ein Schlüsselfeature dar, da ein „Abstumpfungseffekt“ durch Eingabeaufforderungen verhindert wird. (Hiervon sind die meisten Benutzer betroffen, wenn sie zu viele und wiederholte Sicherheitswarnungen erhalten, sodass sie verleitet werden, künftige Warnungen zu ignorieren.) Abbildung 1: Tiefenverteidigung für Office 2010. 16 Office 2010-Sicherheit: Steuern des Informationsflusses Neben Technologien zur Abwehr potenzieller Exploits bietet Office 2010 auch eine Reihe erweiterter Technologien, mit deren Hilfe Sie den Informationsfluss in Ihrer Organisation steuern und verwalten können. Zu diesen erweiterten Technologien zum Steuern und Verwalten von Informationen zählen Folgende: Erweiterte Komplexitätseinstellungen für Kennwörter Verschiedene Verbesserungen der Kryptografie Verbesserungen in Bezug auf digitale Signaturen Dokumentprüfung Verbesserung der Verwaltung von Informationsrechten (IRM) Im folgenden Abschnitt wird erläutert, wie von Office 2010 potenzielle Exploits abgewehrt werden. Im daran anschließenden Abschnitt wird erläutert, wie Sie mithilfe von Office 2010 den Informationsfluss in Ihrer Organisation steuern können. Abwehr von Exploits durch Office 2010 Der Beitrag der Office 2010-Tiefenverteidigung zum Schutz eines Computers kann am besten durch eine Erläuterung der Ereignisse bei der Arbeit mit einer Office-Anwendung veranschaulicht werden. Abbildung 1 (oben) zeigt die verschiedenen Schutztechnologien, mit denen Office 2010 mögliche Exploits abwehrt. Es ist jedoch aufschlussreich, die Funktionsweise dieser Technologien zu betrachten, wenn ein Benutzer tatsächlich eine Datei mit einer Office 2010-Anwendung (z. B. Word 2010) öffnet. Dazu werden in Abbildung 2 einige der grundlegenden Überprüfungen sowie die Aktionen zur Abwehr potenzieller Exploits dargestellt, die bei jedem Öffnen eines Dokuments mit Word 2010 ausgeführt werden.6 Eine ähnliche Folge von Schritten wird 6 Die Überprüfungen in dieser Abbildung werden von Word 2010 ausgeführt, wenn ein Dokument direkt durch einen Benutzer, über ein Befehlsskript oder mithilfe einer beliebigen anderen Methode geöffnet wird. Beachten Sie, dass in der Abbildung nicht alle der von Office 2010-Anwendungen ausgeführten Überprüfungen dargestellt sind. Die Datenausführungsverhinderung (DEP) beispielsweise wird von Office 2010 ebenfalls zur Abwehr potenzieller Exploits genutzt; DEP ist jedoch in das zugrunde liegende Betriebssystem Windows und nicht in Office selbst integriert. 17 beim Öffnen von Dateien mit Excel 2010 bzw. PowerPoint 2010 ausgeführt; einige dieser Schritte gelten auch für das Öffnen von Dateien mit anderen Office 2010-Anwendungen. In den folgenden Abschnitten werden zudem ausführlich die Verbesserungen der Office 2010-Sicherheit in Bezug auf die Abwehr von Exploits erläutert. Zudem enthalten sie Links zu weiterführenden Informationen in Microsoft TechNet. Abbildung 2: Abfolge der ausgeführten Schritte, wenn ein Benutzer versucht, eine Datei in Word 2010, Excel 2010 oder PowerPoint 2010 zu öffnen. Datenausführungsverhinderung Die erste Schutztechnologie, die Office 2010 zur Abwehr von Exploits einsetzt, ist die Datenausführungsverhinderung (DEP), eine in das Betriebssystem Windows integrierte Hardware- und Softwaretechnologie. DEP härtet die Angriffsfläche vor Viren und anderen Angriffsformen und trägt auf diese Weise zur Abwehr von Exploits durch bösartigen Code bei. DEP bestimmt dazu die Dateien, die versuchen, Code aus 18 Speicherbereichen auszuführen, die ausschließlich für Daten und nicht für ausführbare Programme reserviert sind. DEP wurde erstmals in Windows XP SP2 und Windows Server 2003 unterstützt. Mit der Veröffentlichung von Office 2010 wurde die DEPUnterstützung nun auf sämtliche Office-Anwendungen ausgeweitet. DEP stellt heute die erste Verteidigungsschicht der Tiefenverteidigung von Office 2010 dar (siehe Abbildung 1, oben). DEP wird in 64-Bit-Editionen von Office 2010 automatisch erzwungen und kann nicht deaktiviert werden. In 32-Bit-Editionen kann DEP jedoch für einzelne Anwendungen über das Sicherheitscenter oder Gruppenrichtlinien aktiviert bzw. deaktiviert werden. Für Anwendungen wie die 32-Bit-Versionen von Word, Excel und PowerPoint befindet sich die Einstellung zum Aktivieren bzw. Deaktivieren von DEP im Sicherheitscenter auf der Seite Geschützte Ansicht. Andere 32-Bit-Anwendungen von Office 2010 verfügen über eine separate Seite DEP-Einstellungen.7 Nach dem Ändern von DEP-Einstellungen muss die Office-Anwendung neu gestartet werden, damit die Änderungen wirksam werden. Sie können sich im Task-Manager vergewissern, ob DEP für Office-Anwendungen ausgeführt wird. In der folgenden Abbildung wird die Registerkarte Prozesse im TaskManager veranschaulicht, während Word 2010 in der geschützten Ansicht geöffnet ist.8 Der Registerkarte wurde die Spalte Datenausführungsverhinderung hinzugefügt, um anzugeben, dass DEP für diese Office-Anwendung aktiviert ist. 7 Wenn das Kontrollkästchen für die Einstellungen der Datenausführungsverhinderung ausgegraut ist, liegt dies daran, dass die DEP-Richtlinie auf dem Computer entweder auf AlwaysOn oder auf AlwaysOff festgelegt ist. 8 Der erste Prozess Winword.exe in dieser Abbildung ist der Clientprozess der geschützten Ansicht (die „Sandkastenumgebung“), während es sich bei dem zweiten Prozess Winword.exe um den Word 2010-Hostprozess handelt, der den Clientprozess aufgerufen hat. 19 Abbildung 3: Sie können sich im Task-Manager vergewissern, dass DEP aktiviert ist. DEP-Ausnahmen werden immer dann ausgelöst, wenn ein Programm versucht, Code auf Speicherseiten auszuführen, die nicht als ausführbar markiert sind. Die Office 2010Anwendungen generieren selten selbst DEP-Ausnahmen. In der Regel sind solche Ausnahmen auf bösartige oder fehlerhaft codierte Add-Ins zurückzuführen. Wenn eine DEP-Ausnahme bei einem Add-In für eine Office-Anwendung auftritt, wird die Anwendung automatisch heruntergefahren, um den Computer zu schützen. Beim nächsten Starten der Office-Anwendung wird ein Dialogfeld geöffnet, in dem empfohlen wird, das betreffende Add-In zu deaktivieren, bis das Problem untersucht und behoben wurde. Weitere Einzelheiten zur DEP-Unterstützung für Office 2010 finden Sie im Office Engineering-Blog unter http://blogs.technet.com/b/office2010/archive/2010/02/04/data-excecutionprevention-in-office-2010.aspx. Vertrauensmodell Wenn ein Benutzer versucht, eine Datei zu öffnen, überprüft Office 2010 zunächst deren Vertrauenswürdigkeit. Dateien wie Word-Dokumente und darin enthaltene aktive 20 Inhalte wie Makros und ActiveX-Steuerelemente werden von Office 2010 entweder als vertrauenswürdig oder als nicht vertrauenswürdig eingestuft. Wenn eine Datei und ihr Inhalt vertrauenswürdig sind, werden beim Öffnen des Dokuments alle unten beschriebenen Sicherheitsprüfungen umgangen. Wenn Sie beispielsweise auf ein vertrauenswürdiges Word-Dokument doppelklicken, wird das Dokument einfach in Word geöffnet, und sein gesamter Inhalt wird aktiviert, einschließlich von Makros, AddIns, ActiveX-Steuerelementen, Hyperlinks und Links zu Datenquellen und Medien. Falls eine Datei oder Teile ihres Inhalts jedoch nicht vertrauenswürdig sind, wird die Abfolge der unten beschriebenen Sicherheitsprüfungen ausgeführt, je nachdem ob die einzelnen Sicherheitsfeatures von der jeweiligen Office-Anwendung unterstützt werden. „Geschützte Ansicht“ wird z. B. lediglich von Word 2010, Excel 2010 und PowerPoint 2010 unterstützt. Daher wird diese Sicherungsprüfung beim Öffnen einer Datei in Publisher 2010 nicht ausgeführt. Wie kann Office jedoch bestimmen, ob eine bestimmte Datei und deren Inhalt vertrauenswürdig sind? In der vorherigen Version von Office 2007 gab es zwei Möglichkeiten, Dateien und ihren Inhalt als vertrauenswürdig zu bestimmen: Von vertrauenswürdigen Herausgebern signierte Makros, Add-Ins und ActiveXSteuerelemente werden als vertrauenswürdig eingestuft und daher automatisch aktiviert, wenn die zugehörige Datei von der Office-Anwendung geöffnet wird. Ein vertrauenswürdiger Herausgeber ist ein Herausgeber, dessen digitales Zertifikat (CER-Datei) zum Signieren von Inhalten der Liste Vertrauenswürdige Herausgeber einer Office-Anwendung hinzugefügt wurde. Makros oder andere aktive Inhalte konnten von vertrauenswürdigen Herausgebern signiert werden. Weitere Einzelheiten zum Feature „Vertrauenswürdige Herausgeber“ von Office 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/ff428091.aspx. An vertrauenswürdigen Speicherorten gespeicherte Dateien werden automatisch als vertrauenswürdig angesehen; dies gilt ebenso für den Inhalt der Dateien, einschließlich von nicht signierten Makros, Add-Ins oder ActiveXSteuerelementen. Daher werden sie nie in der geschützten Ansicht geöffnet. Ein vertrauenswürdiger Speicherort kann entweder lokal (ein Ordner auf der Festplatte des Computers) oder remote (ein freigegebener Ordner auf einem Dateiserver im Netzwerk) sein, standardmäßig ist jedoch die Möglichkeit, vertrauenswürdige Remotespeicherorte festzulegen, nicht aktiviert. Vertrauenswürdige Speicherorte können global für alle Office-Anwendungen oder für einzelne Anwendungen angegeben werden. Eine Reihe von 21 Speicherorten, beispielsweise der Ordner, in dem Benutzer Word-Vorlagen speichern, sind als vertrauenswürdige Speicherorte vorkonfiguriert. Einige Speicherorte mit hohem Risiko, z. B. der Outlook 2007-Cache und der Ordner Temp, können nicht als vertrauenswürdige Speicherorte festgelegt werden. Weitere Einzelheiten zum Feature „Vertrauenswürdige Speicherorte“ von Office 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/cc179039.aspx. Office 2007 bot damit zwei Möglichkeiten, Dateien als vertrauenswürdig zu kennzeichnen: Sicherstellen, dass sämtliche aktiven Inhalte in der Datei digital signiert sind, oder Verschieben der Datei an einen vertrauenswürdigen Speicherort. Beide Vertrauensstellungsmethoden konnten über das Vertrauensstellungscenter für einzelne Benutzer konfiguriert werden. Dieses stellte in Office 2007 den zentralen Konfigurationsort für Sicherheits- und Datenschutzeinstellungen dar. Die Konfiguration bzw. Sperrung beider Methoden waren in Active Directory-Umgebung auch über Gruppenrichtlinien möglich. Diese Vertrauensmodelle und beide Methoden für ihre Konfiguration werden in Office 2010 immer noch unterstützt. Darüber hinaus ist jedoch auch das neue Feature „Vertrauenswürdige Dokumente“ verfügbar, mit dem Vertrauenswürdigkeit für einzelne Dateien festgelegt werden kann. Mit anderen Worten: „Vertrauenswürdige Dokumente“ ermöglicht es Benutzern, selbstständig Entscheidungen über die Vertrauenswürdigkeit ausgewählter Dokumente, Kalkulationstabellen und anderer Typen von Office-Dateien zu treffen. Wenn ein Benutzer die Vertrauenswürdigkeit für ein Word-Dokument festlegt, das in der geschützten Ansicht geöffnet wird, da es Makros oder sonstige aktive Inhalte enthält, wird seine Entscheidung in Bezug auf das betreffende Dokument gespeichert, sodass es künftig nicht mehr in der geschützten Ansicht geöffnet wird. Das heißt, dass beim nächsten Öffnen des Dokuments keine Aufforderung zum Aktivieren von Makros mehr angezeigt wird. Dies stellt eine verbesserte Benutzererfahrung im Vergleich zu Office 2007 dar, da in dieser Office-Version bei jedem Öffnen eines Word-Dokuments mit Makros oder einer Excel-Kalkulationstabelle mit Links zu einer externen Datenquelle eine Aufforderung zum Aktivieren von Makros angezeigt wurde. Das Feature „Vertrauenswürdige Dokumente“ wird in dieser exemplarischen Vorgehensweise an späterer Stelle ausführlicher beschrieben. Der wichtigste Aspekt in diesem Zusammengang ist jedoch, dass Office beim Öffnen einer Datei als ersten Schritt eine Überprüfung von deren Vertrauensstatus ausführt. 22 Zugriffsschutz Wenn ein Benutzer versucht, eine Datei zu öffnen und diese als nicht vertrauenswürdig erkannt wird, überprüft Office vor dem Öffnen der Datei den Dateityp und bestimmt, ob diese blockiert und nicht geöffnet werden soll. Die Zugriffsschutzfunktion wurde in Office 2007 eingeführt. Hiermit kann zugelassen bzw. verhindert werden, dass Benutzer bestimmte Typen von Word-, Excel- oder PowerPoint-Dateien öffnen oder speichern. Damit sollte insbesondere Administratoren ermöglicht werden zu verhindern, dass Benutzer Dateien im Zusammenhang mit Zero-Day-Angriffen öffnen oder speichern, die bestimmte Office-Dateiformate ausnutzen. Angenommen, ein bösartiger Angreifer hat einen Exploit entwickelt, bei dem schädliche Dateien zum Einsatz kommen, die im Binärdateiformat von Word 97 erstellt wurden. Sobald die Verbreitung des Exploits gemeldet wurde, kann der Administrator die Abwehrmaßnahme in den Word 2007Zugriffsschutzeinstellungen konfigurieren, um zu verhindern, dass Benutzer Dateien mit diesem Dateiformat öffnen. Nach der Veröffentlichung eines entsprechenden Softwareupdates zum Beheben des Problems kann der Administrator die vorgenommenen Konfigurationsänderungen wieder rückgängig machen. In Office 2007 wurden Zugriffsschutzeinstellungen im Allgemeinen vom Administrator mithilfe von Gruppenrichtlinien konfiguriert. Fortgeschrittene Benutzer, die diese Einstellungen selbstständig festlegen wollten, mussten dazu die Registrierung bearbeiten. In den Office 2010-Anwendungen Word, Excel und PowerPoint ist nun im Sicherheitscenter die neue Seite Einstellungen für den Zugriffsschutz verfügbar, auf der Benutzer Zugriffsschutzeinstellungen für einzelne Anwendungen selbstständig konfigurieren oder überprüfen können, welche Einstellungen durch die Gruppenrichtlinien für die jeweilige Anwendung erzwungen werden: 23 Abbildung 4: Konfigurieren von Einstellungen für den Zugriffsschutz im Sicherheitscenter in Word 2010. Wie im unteren Teil der Abbildung veranschaulicht, besteht das Standardverhalten beim Öffnen einer Datei mit Zugriffsschutz darin, dass die Datei in der geschützten Ansicht mit deaktivierter Bearbeitung geöffnet wird. Dies wird dem Benutzer mit der folgenden Statusleistenmeldung mitgeteilt: Abbildung 5: Standardmäßig werden Dateien mit Zugriffsschutz in der geschützten Ansicht mit deaktivierter Bearbeitung geöffnet. Wenn die blockierte Datei in Word in der geschützten Ansicht angezeigt wird und der Benutzer versucht, Daten einzugeben, wird in der Statusleiste am unteren Rand eine Meldung angezeigt: Diese Änderung ist nicht zulässig, weil das Dokument nur zur Ansicht geöffnet ist. Wenn der Benutzer in der Abbildung oben auf den Text in der Statusleiste klickt, kann über die Office-Backstage-Ansicht auf die Seite Einstellungen für den Zugriffsschutz im Sicherheitscenter zugegriffen werden. Dazu muss auf den in der folgenden Abbildung mit einem Pfeil gekennzeichneten Link geklickt werden: 24 Abbildung 6: Die Backstage-Ansicht ermöglicht den Zugriff auf die Seite Einstellungen für den Zugriffsschutz im Sicherheitscenter. Wie bereits in Abbildung 4 veranschaulicht, gibt es zwei andere Möglichkeiten, das Zugriffsschutz-Standardverhalten zu konfigurieren: Das Öffnen (oder Speichern) von Dateien kann generell blockiert werden, oder es kann festgelegt werden, dass blockierte Dateien in der geschützten Ansicht geöffnet werden und die Bearbeitung freigegeben werden muss. Wenn die letztere Option festgelegt ist, enthält die Meldung auf der Statusleiste eine Schaltfläche, mit der der Benutzer ggf. die Bearbeitung der Datei aktivieren kann: Abbildung 7: Zugriffsschutzeinstellungen können so konfiguriert werden, dass blockierte Dateien in der geschützten Ansicht angezeigt werden und die Bearbeitung ggf. aktiviert werden kann. Im Folgenden werden einige weitere wichtige Aspekte zum Zugriffsschutz in Office 2010 erläutert: Zugriffsschutzeinstellungen werden nicht angewendet, wenn die Datei an einem vertrauenswürdigen Speicherort gespeichert oder als vertrauenswürdiges Dokument festgelegt ist. 25 Zugriffsschutzeinstellungen werden für einzelne Anwendungen konfiguriert, und sie sind nur für Word, Excel und PowerPoint verfügbar. Wenn Administratoren während der Bereitstellung von Office 2010 Zugriffsschutzeinstellungen mithilfe des Office-Anpassungstools anpassen, können die betreffenden Einstellungen von den Benutzern später geändert werden, es sei denn, der Zugang zu den Zugriffsschutzeinstellungen wird mithilfe von Gruppenrichtlinien blockiert. Weitere Einzelheiten zum Zugriffsschutz-Feature von Office 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/cc179230.aspx. ActiveX-Killbit Eine weitere Schutztechnologie, mit der in Office 2010-Anwendungen Exploits abgewehrt werden können, ist das ActiveX-Killbit, eine Registrierungseinstellung, die das Laden eines bestimmten ActiveX-Steuerelements unter allen Umständen verhindert, selbst nach dem vollständigen Laden des Steuerelements. Damit soll sichergestellt werden, dass selbst ein ungeschütztes Steuerelement beim Einführen oder erneuten Einführen in ein System inaktiv und damit harmlos bleibt. ActiveX-Killbits wurden erstmalig in Internet Explorer 5.01 SP2 eingeführt. Sie verhindern, dass bösartige ActiveX-Steuerelemente durch das HTML-Renderingmodul von Internet Explorer geladen werden. Sie werden gelegentlich beim Herunterladen und Anwenden gewisser Sicherheitsupdates durch Windows Update festgelegt, um Benutzer vor kritischen, vom MSRC erkannten Exploits zu schützen. Die Unterstützung von ActiveX-Killbits wurde jetzt auf Office 2010 ausgedehnt. Damit kann die Ausführung bestimmter ActiveX-Steuerelemente in den Office 2010Anwendungen Word, Excel, PowerPoint, Access und Visio verhindert werden, wobei sich dies nicht auf die Ausführung der betreffenden Steuerelemente in Internet Explorer auswirkt. Das ActiveX-Killbit ist in der Standardeinstellung nicht konfiguriert. Es kann für einzelne Steuerelemente durch Bearbeiten der Registrierung aktiviert werden. In der Vorversion Office 2007 konnte mit dem Internet Explorer-ActiveX-Killbit eine vergleichbare Funktionalität bereitgestellt werden. Office 2010 bietet jedoch nun separate Killbit-Registrierungseinstellungen für Office-Anwendungen und Internet 26 Explorer, sodass Administratoren beim Sperren bösartiger ActiveX-Steuerelemente flexibler vorgehen können.9 Wenn beispielsweise ein Killbit für ein bestimmtes ActiveX-Steuerelement festgelegt ist, wird dieses beim Öffnen des zugehörigen Dokuments in Word 2010 weder geladen noch initialisiert, und der Benutzer wird nicht durch eine Meldung auf der Statusleiste aufgefordert, das Steuerelement zu aktivieren. Dieses Verhalten gilt immer, wobei es keine Rolle spielt, ob das Dokument an einem vertrauenswürdigen Speicherort gespeichert oder durch den Benutzer als vertrauenswürdiges Dokument festgelegt ist. Benutzer können das Steuerelement auch keinen neu erstellten Word-Dokumenten hinzufügen. In Office 2010 wurde außerdem ein COM-Killbit eingeführt. Mit diesem können Administratoren verhindern, dass bestimmte COM-Objekte (einschließlich von ActiveXSteuerelementen) in Office 2010-Anwendungen ausgeführt werden. Wie ActiveXKillbits werden auch COM-Killbits in der Registrierung mit dem Klassenbezeichner (CLSID) des COM-Objekts angegeben. Weitere Einzelheiten zur Unterstützung von ActiveX-Killbits für Office 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc179076.aspx. Office-Dateiüberprüfung Wenn die geöffnete Datei nicht vertrauenswürdig, ihr Dateityp jedoch nicht blockiert ist, wird von der Office 2010-Anwendung im nächsten Schritt die interne Struktur der Datei mithilfe der Office-Dateiüberprüfung untersucht. Wie bereits an früherer Stelle im vorliegenden Whitepaper erläutert, stellt die Office-Dateiüberprüfung eine der neuen Schutztechnologien dar, die in die Office 2010-Anwendungen Word, Excel und PowerPoint integriert ist. Das Ziel dieses Features besteht darin, OfficeDateiformatangriffe durch das Untersuchen von Office-Dateien zu verhindern, bevor die Dateien geöffnet werden, und sicherzustellen, dass ihre Struktur vollständig den Office- 9 Wenn ein Killbit für ein bestimmtes Steuerelement sowohl für Office als auch für Internet Explorer festgelegt wird, hat das Office-Killbit standardmäßig Vorrang (dieses Verhalten kann mithilfe von Gruppenrichtlinien konfiguriert werden). 27 Dateiformatspezifikationen entspricht. Es werden nur Dateien mit einem OfficeBinärformat untersucht. Hierzu zählen lediglich Office 97-2003-Dateien mit den Erweiterungen .doc, .dot, .xls, .xlt, .ppt, .pps und .pot. Wenn sich die geöffnete Datei nicht an einem unsicheren Speicherort befindet und diese Überprüfung besteht, wird die geschützte Ansicht umgangen, und welche Sicherheitsprüfung als nächste ausgeführt wird, hängt davon ab, ob die Datei aktive Inhalte enthält, die aktiviert werden müssen. Wenn die geöffnete Datei die Überprüfung jedoch nicht besteht, wird sie in der geschützten Ansicht geöffnet, und auf der Statusleiste wird eindeutig darauf hingewiesen, dass ein Problem für die Datei festgestellt wurde: Abbildung 8: Die geöffnete Datei hat die Überprüfung nicht bestanden. Die Office-Dateiüberprüfung wurde zwar für einen einfachen Betrieb ohne vorherige Konfiguration konzipiert, es sind jedoch trotzdem verschiedene Konfigurationsoptionen für dieses Feature verfügbar. Administratoren können beispielsweise die Überprüfung für einzelne Anwendungen deaktivieren. Dies wird von Microsoft jedoch nicht empfohlen. Administrator können auch festlegen, wie bei Nichtbestehen der Überprüfung vorgegangen werden soll. Die Standardaktion besteht im Öffnen der Datei in der geschützten Ansicht, wobei die Bearbeitung deaktiviert ist. Darüber hinaus ist die Office-Dateiüberprüfung so entworfen, dass sie laufend optimiert wird: Jedes Mal, wenn eine Datei die Überprüfung nicht besteht, werden von Office Daten zu den Gründen des Nichtbestehens gesammelt. Etwa zwei Wochen nach der nicht bestandenen Überprüfung wird von Office ein Watson-Dialogfeld angezeigt, in dem der Benutzer um die Erlaubnis gebeten wird, die gesammelten Daten über die WindowsFehlerberichterstattung an Microsoft einzusenden: 28 Abbildung 9: Watson-Dialogfeld, das angezeigt wird, wenn eine Word-Datei die Überprüfung nicht bestanden hat. Zu den für jede Datei mit nicht bestandener Überprüfungen gesendeten Daten zählen der Dateityp, die Dateigröße, der Zeitpunkt, zu dem die Datei geöffnet wurde, der Zeitpunkt der Überprüfung der Datei sowie eine Kopie der Datei selbst. Diese Informationen können Microsoft beim Verbessern des Features „OfficeDateiüberprüfung“ unterstützen. Unternehmen mit hohen Datenschutzanforderungen haben jedoch die Möglichkeit, die Fehlerberichterstattung der Office-Dateiüberprüfung zu deaktivieren. Im Unterschied zu den meisten anderen Sicherheitsfeatures von Office 2010 kann die Office-Dateiüberprüfung nicht im Sicherheitscenter konfiguriert werden. Stattdessen können diese Einstellungen nur mit Gruppenrichtlinien oder mithilfe des OfficeAnpassungstools konfiguriert werden.10 Die Richtlinieneinstellung zum Deaktivieren der Dateiüberprüfung befindet sich beispielsweise unter folgendem Pfad: Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word 2010\Word-Optionen\Sicherheit In der folgenden Abbildung wird der Richtlinienpfad im Gruppenrichtlinien-Editor veranschaulicht, wenn die administrativen Office 2010-Vorlagendateien (ADMX) in den 10 Erfahrene Benutzer können die Office-Dateiüberprüfung durch Bearbeiten der Registrierung konfigurieren. 29 Ordner SYSVOL\<Domäne>\PolicyDefinitions auf einem Domänencontroller kopiert wurden: Abbildung 10: Richtlinienpfad für die Einstellung zum Deaktivieren der OfficeDateiüberprüfung für Word 2010. Wird die Richtlinie Dateiüberprüfung deaktivieren unter diesem Pfad aktiviert, wird die Office-Dateiüberprüfung für Word 2010 deaktiviert: 30 Abbildung 11: Richtlinieneinstellung zum Deaktivieren der Office-Dateiüberprüfung für Word 2010. Die Richtlinieneinstellung zum Konfigurieren der ausgeführten Aktionen bei Nichtbestehen einer Dateiüberprüfung befindet sich unter folgendem Pfad: Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word 2010\Word-Optionen\Sicherheit\Sicherheitscenter\Geschützte Ansicht Administratoren können diese Richtlinie so konfigurieren, dass eine Datei, die die Überprüfung nicht besteht, in der geschützten Ansicht mit deaktivierter Bearbeitung geöffnet wird (Standardeinstellung), dass die Datei in der geschützten Ansicht mit der Option zum Aktivieren der Bearbeitung geöffnet wird oder dass das Öffnen der Datei blockiert wird: 31 Abbildung 12: Richtlinieneinstellung zum Konfigurieren der ausgeführten Aktionen beim Nichtbestehen der Dateiüberprüfung. Schließlich können Administratoren, die nicht wünschen, dass Benutzer zum Einsenden von Daten zu nicht bestandenen Dateiüberprüfungen an Microsoft aufgefordert werden, die Anzeige solcher Dialogfelder unterdrücken, indem sie die Richtlinieneinstellung Fehlerberichterstattung für Dateien mit Dateiüberprüfungsfehlern deaktivieren aktivieren, die für alle Office-Anwendungen gilt. Diese Richtlinieneinstellung befindet sich unter folgendem Pfad: Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2010\Sicherheit Im Folgenden werden einige weitere wichtige Aspekte zur Office-Dateiüberprüfung in Office 2010 erläutert: Die Office-Dateiüberprüfung wird für einzelne Anwendungen konfiguriert (separat von der Fehlerberichterstattung), und sie ist nur für Word, Excel und PowerPoint verfügbar. Es wird keine Überprüfung ausgeführt, wenn die Datei an einem vertrauenswürdigen Speicherort gespeichert oder als vertrauenswürdiges Dokument festgelegt ist. Gelegentlich sind Dateien, die die Überprüfung nicht bestehen, tatsächlich gültig. Aus diesem Grund werden Dateien mit Dateiüberprüfungsfehlern von 32 Office 2010 über die Windows-Fehlerberichterstattung hochgeladen. Ziel ist dabei die Verbesserung der Office-Dateiüberprüfung. Weitere Einzelheiten zur Office-Dateiüberprüfung finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/ee857084.aspx sowie im Office Engineering-Blog unter http://blogs.technet.com/b/office2010/archive/2009/12/16/office-2010-filevalidation.aspx. Weitere Informationen zu Office 2010-Gruppenrichtlinieneinstellungen finden Sie in der Arbeitsmappe Office2010GroupPolicyAndOCTSettings_Reference.xls, die im Microsoft Download Center unter Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool (Administrative Vorlagendateien (ADM, ADMX, ADML) für Office 2010 und das Office-Anpassungstool) verfügbar ist. Weitere Informationen zum Office-Anpassungstool für Office 2010 finden Sie unter http://technet.microsoft.com/de-de/library/cc179097.aspx. Geschützte Ansicht Wenn die geöffnete Datei nicht vertrauenswürdig ist oder die OfficeSicherheitsprüfungen nicht besteht, wird eine Statusleistenmeldung angezeigt. In dieser wird darauf hingewiesen, dass die Datei in einer isolierten Sandkastenumgebung geöffnet wird, der so genannten geschützten Ansicht. Hierbei handelt es sich um eine der neuen Schutztechnologien in den Office 2010-Anwendungen Word, Excel und PowerPoint. Die geschützte Ansicht stellt eine einschränkte Umgebung mit niedrigen Rechten dar, in der verdächtige Dateien in einer sicheren Vorschau angezeigt werden können. Benutzer können verdächtige Dokumente, Kalkulationstabellen und Präsentationen in der geschützten Ansicht standardmäßig durchsuchen, um den Inhalt der jeweiligen Datei zu untersuchen. Gleichzeitig sind jedoch sämtliche Funktionen zum Bearbeiten, Speichern und Drucken sowie alle aktiven Inhalte in der Datei deaktiviert. Verschiedene Faktoren können bewirken, dass eine Datei automatisch in der geschützten Ansicht geöffnet wird. Wenn die Datei beispielsweise aus dem Internet heruntergeladen und noch nicht als vertrauenswürdig festgelegt wurde sowie keine Zugriffsschutzrichtlinie für die Umgebung konfiguriert ist, wird die Datei in der geschützten Ansicht geöffnet. Diese enthält eine gelbe Statusleiste, ein blaues InfoSchild-Symbol sowie eine Schaltfläche zum Aktivieren der Bearbeitung: 33 Abbildung 13: Standarddarstellung der Statusleiste, wenn eine aus dem Internet heruntergeladene Datei in der geschützten Ansicht geöffnet wird. Wird eine Datei aus einem unsicheren Speicherort wie dem Outlook-Anlagencache geöffnet, ist die Statusleiste ebenfalls gelb, und sie enthält das blaue Info-Schild-Symbol und die Schaltfläche zum Aktivieren der Bearbeitung: Abbildung 14: Standarddarstellung der Statusleiste, wenn ein Outlook-Anhang in der geschützten Ansicht geöffnet wird. Wenn die Datei einen blockierten Dateiformattyp aufweist, ist die Statusleiste ebenfalls gelb. Sie enthält jedoch nun ein rotes Schild-Symbol, und die Schaltfläche Bearbeitung aktivieren ist nicht vorhanden: Abbildung 15: Standarddarstellung der Statusleiste, wenn eine Datei mit einem blockierten Dateiformattyp in der geschützten Ansicht geöffnet wird. Wenn die Datei die Office-Dateiüberprüfung nicht besteht, sind sowohl das Schildsymbol als auch die Statusleiste rot, und es ist keine Option zum Aktivieren der Bearbeitung vorhanden: Abbildung 16: Standarddarstellung der Statusleiste, wenn eine Datei, die die Dateiüberprüfung nicht besteht, in der geschützten Ansicht geöffnet wird. Für das letzte der oben beschriebenen Szenarien gilt Folgendes: Wenn der Benutzer sich durch Untersuchen des Dateiinhalts vergewissert hat, dass die Datei aus einer vertrauenswürdigen Quelle stammt, kann er auf den Text auf der roten Statusleiste klicken, um die Backstage-Ansicht (siehe unten) zu öffnen. Wenn der Benutzer nun auf Trotzdem bearbeiten klickt, wird die Datei zu einem vertrauenswürdigen Dokument erklärt, die geschützte Ansicht wird geschlossen, und die Datei wird in der entsprechenden Office-Anwendung geöffnet. 34 Abbildung 17: Durch Klicken auf Trotzdem bearbeiten wird die geschützte Ansicht geschlossen, und die Datei wird in der entsprechenden Office-Anwendung geöffnet. Wenn der Benutzer auf den in der Abbildung oben gezeigten Link Einstellungen für die geschützte Ansicht klickt, wird die Seite Geschützte Ansicht im Sicherheitscenter geöffnet. Hier finden sich die in der Abbildung oben dargestellten Einstellungen, mit denen konfiguriert werden kann, unter welchen Umständen Dateien in der geschützten Ansicht geöffnet werden. Mit diesen Einstellungen kann die geschützte Ansicht für aus dem Internet heruntergeladene Dateien, für als Outlook 2010-Anhänge empfangene Dateien und für an unsicheren Speicherorten gespeicherte Dateien aktiviert bzw. deaktiviert werden:11 11 Die Einstellung zum Aktivieren des Datenausführungsverhinderungs-Modus wird in diesem Whitepaper an späterer Stelle erläutert. 35 Abbildung 18: Konfigurieren der geschützten Ansicht im Sicherheitscenter. Administratoren können die oben aufgeführten Einstellungen auch mithilfe von Gruppenrichtlinien sperren. Außerdem können die Einstellungen auch während der Bereitstellung von Office 2010 mit dem Office-Anpassungstool vorkonfiguriert werden. Die Gruppenrichtlinieneinstellungen zum Konfigurieren der geschützten Ansicht befinden sich unter folgendem Pfad: Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word 2010\Word-Optionen\Sicherheit\Sicherheitscenter\Geschützte Ansicht Gruppenrichtlinien enthalten auch eine zusätzliche Einstellung für die geschützte Ansicht, die im Sicherheitscenter nicht zugänglich ist. Mit dieser kann erzwungen werden, dass Dateien in freigegebenen Ordnern im lokalen Intranet in der geschützten Ansicht geöffnet werden, wenn festgestellt wird, dass ihr jeweiliger UNC-Pfad in der Internetzone liegt: 36 Abbildung 19: Richtlinieneinstellung für die geschützte Ansicht, die in der Benutzeroberfläche des Sicherheitscenters nicht verfügbar ist. Im Folgenden werden einige weitere wichtige Aspekte zur geschützten Ansicht in Office 2010 erläutert: Die geschützte Ansicht wird für einzelne Anwendungen konfiguriert, und sie ist nur für Word, Excel und PowerPoint verfügbar. Die geschützte Ansicht wird nicht geöffnet, wenn die Datei an einem vertrauenswürdigen Speicherort gespeichert oder als vertrauenswürdiges Dokument festgelegt ist. Die geschützte Ansicht ist so konzipiert, dass sie automatisch geöffnet wird, wenn eine verdächtige Datei aufgerufen wird. Benutzer können jedoch das Öffnen beliebiger Dateien in der geschützten Ansicht erzwingen, indem sie die Umschalttaste gedrückt halten, im Explorer mit der rechten Maustaste auf die Datei klicken und die Option In geschützter Ansicht öffnen auswählen. In der geschützten Ansicht sind zwar alle Funktionen zum Bearbeiten, Speichern und Drucken der Datei deaktiviert. Benutzer können jedoch ggf. Inhalte aus der Datei kopieren und in einem anderen Dokument einfügen. Sie können sich vergewissern, dass die Bearbeitung in der geschützten Ansicht deaktiviert ist, indem Sie auf dem Menüband von Word, Excel oder PowerPoint auf verschiedene Registerkarten klicken, da alle Menübandelemente abgeblendet dargestellt (ausgegraut) sind. Wenn Sie versuchen, eine Datei in der geschützten Ansicht zu speichern, wird ein Dialogfeld mit folgender Meldung geöffnet: Speichern ist in der geschützten 37 Ansicht nicht verfügbar. Wenn die Quelle der Datei vertrauenswürdig ist, klicken Sie auf "Speichern aktivieren", um diesen Befehl zu aktivieren. Wenn Sie auf Speichern aktivieren klicken, verlassen Sie die geschützte Ansicht, und das Dialogfeld Speichern unter wird geöffnet, über das Sie die Datei speichern können. Ein ähnliches Verhalten gilt, wenn Sie versuchen, eine Datei in der geschützten Ansicht zu drucken. In beiden Fällen wird die Datei zu einem vertrauenswürdigen Dokument, wenn die geschützte Ansicht geschlossen wird. Dieser Aspekt wird im folgenden Abschnitt erläutert. Weitere Einzelheiten zur geschützten Ansicht finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/ee857087.aspx sowie im Office Engineering-Blog unter http://blogs.technet.com/b/office2010/archive/2009/08/13/protected-view-in-office2010.aspx. Vertrauenswürdige Dokumente Wie bereits zu Beginn dieser exemplarischen Vorgehensweise erläutert, enthalten die Office 2010-Anwendungen Word, Excel und PowerPoint das neue Feature „Vertrauenswürdige Dokumente“, mit dem die Vertrauenswürdigkeit für einzelne Dokumente festgelegt werden kann. Mit dem Feature „Vertrauenswürdige Dokumente“ können Benutzer insbesondere eigene Entscheidungen über die Vertrauenswürdigkeit bestimmter Dokumente, Kalkulationstabellen oder Präsentationen treffen, die beim Versuch, die jeweilige Datei zu öffnen, eine oder mehrere Sicherheitsprüfungen nicht bestehen. Wenn die Bearbeitung für eine Datei aktiviert wird, die eine Überprüfung nicht bestanden hat, oder wenn aktive Inhalte in einer Datei aktiviert werden, ändert der Benutzer damit den Vertrauensstatus der Datei. Eine solche Änderung des Vertrauensstatus der Datei wird vom Feature „Vertrauenswürdige Dokumente“ verfolgt und in der HKCU-Registrierungsstruktur auf dem Computer des Benutzers aufgezeichnet. Angenommen, ein Benutzer lädt ein Word-Dokument aus dem Internet herunter, das Makros enthält. Da mit dem Internet Explorer heruntergeladenen Dateien durch das Feature AES (Attachment Execution Services, Anhangausführungsdienste) ab Windows XP SP2 Zoneninformationen hinzugefügt werden, wird in den Zoneninformationen der Datei angegeben, dass die Datei aus der Internetzone stammt. Wenn der Benutzer also auf das Dokument doppelklickt, um es zu öffnen, wird die heruntergeladene Datei in der 38 geschützten Ansicht angezeigt, und auf der Statusleiste wird die folgende Meldung angezeigt: Abbildung 20: Meldung auf der Statusleiste, die darauf verweist, dass die Zoneninformationen der Datei die Internetzone als deren Ursprung angeben. Wenn der Benutzer auf der Statusleiste in der Abbildung oben auf die Schaltfläche Bearbeitung aktivieren klickt, wird die Entscheidung des Benutzers vom Feature „Vertrauenswürdige Dokumente“ als Vertrauensstellungs-Datensatz in der Registrierung gespeichert.12 Wenn der Benutzer nun das Dokument schließt und anschließend wieder öffnet, wird die oben dargestellte Statusleistenmeldung nicht mehr angezeigt. Die Datei ist an diesem Punkt jedoch nicht uneingeschränkt vertrauenswürdig, da sie Makros enthält. Nachdem auf Bearbeitung aktivieren geklickt wurde, wird daher eine zweite Statusleistenmeldung wie die folgende angezeigt: Abbildung 21: Die zweite Statusleistenmeldung gibt an, dass das Dokument Makros enthält. Wenn der Benutzer nun auf der oben dargestellten Statusleiste auf Inhalt aktivieren klickt, wird das Dokument als vollständig vertrauenswürdig festgelegt, und sein Vertrauensstatus wird in der Registrierung entsprechend aktiviert. Wenn der Benutzer das Dokument jetzt schließt und wieder öffnet, werden keine Statusleistenmeldungen angezeigt, und das Dokument wird mit aktivierten Makros in Word geöffnet. Das Verschieben der Datei an einen vertrauenswürdigen Speicherort führt zum selben Ergebnis. Das Feature „Vertrauenswürdige Dokumente“ von Word 2010 kann über das Sicherheitscenter, mit Gruppenrichtlinien oder mithilfe des Office-Anpassungstools konfiguriert werden. In der folgenden Abbildung werden die Einstellungen veranschaulicht, die beim Konfigurieren von „Vertrauenswürdige Dokumente“ im 12 Wenn der Benutzer im Explorer mit der rechten Maustaste auf die Datei klickt, die Option Eigenschaften auswählt und in den Dateieigenschaften auf der Registerkarte Allgemein auf Zulassen klickt, führt dies zum selben Ergebnis. 39 Sicherheitscenter verfügbar sind. Benutzer können auf Netzwerkfreigaben gespeicherte Dokumente als vertrauenswürdige Dokumente festlegen (diese Option ist standardmäßig aktiviert), das Feature „Vertrauenswürdige Dokumente“ deaktivieren (wodurch bei jedem Öffnen einer Datei mit aktiven Inhalten wiederholte Statusleistenmeldungen angezeigt werden) und den Registrierungscache von „Vertrauenswürdige Dokumente“ leeren (wodurch keine vertrauenswürdigen Dokumente mehr vorhanden sind, außer Dokumenten an vertrauenswürdigen Speicherorten und Dokumenten mit Inhalten, die von vertrauenswürdigen Herausgebern signiert wurden). Abbildung 22: Konfigurieren des Features „Vertrauenswürdige Dokumente“ im Sicherheitscenter. Sie können die oben dargestellten Einstellungen auch mit Gruppenrichtlinien konfigurieren. Mithilfe von Gruppenrichtlinien können Sie auch die maximale Anzahl von Vertrauensstellungs-Datensätzen angeben, die für dieses Feature in der Registrierung gespeichert werden können. Standardmäßig ist die maximale Anzahl von vertrauenswürdigen Dokumenten auf 500 festgelegt. Sie können diesen Wert auf bis zu 20.000 heraufsetzen; bei Erreichen dieser Obergrenze kann jedoch die Leistung beeinträchtigt werden. Die Richtlinieneinstellungen zum Konfigurieren von „Vertrauenswürdige Dokumente“ befinden sich unter folgendem Pfad: 40 Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word 2010\Word-Optionen\Sicherheit\Sicherheitscenter Abbildung 23: Gruppenrichtlinieneinstellung zum Konfigurieren der maximalen Anzahl von Vertrauensstellungs-Datensätzen für „Vertrauenswürdige Dokumente“. Im Folgenden werden einige weitere wichtige Aspekte zum Feature „Vertrauenswürdige Dokumente“ von Office 2010 erläutert: Das Feature „Vertrauenswürdige Dokumente“ wird für einzelne Anwendungen konfiguriert, und es ist nur für Word, Excel, PowerPoint, Access und Visio verfügbar. Für vertrauenswürdige Dokumente werden beim Öffnen die meisten Sicherheitsprüfungen übergangen. Zwei Sicherheitsprüfungen (Virenscan und ActiveX-Killbit-Prüfung) werden hingegen dennoch ausgeführt. Weitere Einzelheiten zu vertrauenswürdigen Dokumenten finden Sie im Office Engineering-Blog unter http://blogs.technet.com/b/office2010/archive/2009/09/28/trusted-documents.aspx. Aktive Inhalte Wenn die vom Benutzer aufgerufene Datei alle Office 2010-Sicherheitsprüfungen bestanden hat, wird sie in der entsprechenden Office-Anwendung geöffnet, und sämtliche darin enthaltenen aktiven Inhalte werden aktiviert. Diese Prüfungen werden im Allgemeinen in etwa einer Zehntelsekunde ausgeführt, es sei denn, die Datei ist sehr groß. Im vorangegangenen Abschnitt zu vertrauenswürdigen Dokumenten wurde 41 darauf hingewiesen, dass in der Standardeinstellung von Office 2010 alle aktiven Inhalte von Dateien deaktiviert werden, es sei denn, diese sind vertrauenswürdig. Wie in Office 2007 kann jedoch das Standardverhalten für die Behandlung von aktiven Inhalten auf verschiedene Weise konfiguriert werden: über das Sicherheitscenter, mit Gruppenrichtlinien oder mithilfe des Office-Anpassungstools. Im Grunde sind die verfügbaren Optionen zum Konfigurieren des Umgangs mit VBA-Makros, ActiveXSteuerelementen und Add-Ins in Office 2010 nahezu identisch mit den Optionen in der Vorversion Office 2007. In der folgenden Abbildung ist beispielsweise die Seite Einstellungen für Makros im Vertrauensstellungscenter in Office 2007 dargestellt: Abbildung 24: Seite Einstellungen für Makros im Vertrauensstellungscenter in Office 2007. Zum Vergleich ist hier dieselbe Seite im Sicherheitscenter von Office 2010 abgebildet: Abbildung 25: Seite Einstellungen für Makros im Vertrauensstellungscenter in Office 2010. Es ist jedoch klar ersichtlich, dass abgesehen von geringfügigen Abweichungen in Bezeichnungen in Office 2010 keine wesentliche Änderungen hinsichtlich der 42 Behandlung von Makros gegenüber Office 2007 vorgenommen wurden. Dasselbe gilt für die Seiten ActiveX-Einstellungen und Add-Ins. Eine Ausnahme stellt lediglich die Unterstützung von ActiveX-Killbits dar, die in Office 2010 neu ist und später in diesem Whitepaper im Abschnitt „ActiveX-Killbit“ beschrieben wird. Daher wird das Konfigurieren der Sicherheit für Makros, ActiveX-Steuerelemente und Add-Ins im vorliegenden Dokument nicht weiter erläutert. Leser, die weiterführende Informationen zur Behandlung von aktiven Inhalten in Office 2010 erhalten möchten, werden auf folgende Themen der TechNet-Bibliothek verwiesen: Weitere Informationen zum Konfigurieren von Einstellungen für VBA-Makros finden Sie unter http://technet.microsoft.com/de-de/library/ee857085.aspx. Weitere Informationen zum Konfigurieren von Einstellungen für ActiveXSteuerelemente finden Sie unter http://technet.microsoft.com/dede/library/cc179076.aspx. Weitere Informationen zum Konfigurieren von Einstellungen für Add-Ins finden Sie unter http://technet.microsoft.com/de-de/library/ee857086.aspx. Statusleiste Wenn die aufgerufene Datei alle Office-Sicherheitsprüfungen bestanden hat, kann sie vom Benutzer in der entsprechenden Office-Anwendung bearbeitet werden. Bevor dieses Thema abgeschlossen wird, empfiehlt es sich jedoch, die Statusleiste, auf der Benutzer über Sicherheitsprobleme informiert werden und Anleitungen zu deren Behebung erhalten, etwas genauer zu betrachten. In Office 2010 gibt es nicht nur eine geringere Anzahl von Sicherheitsbenachrichtigungen als in Office 2007. Die Meldungen sind zudem auch für Benutzer ohne technischen Hintergrund leichter verständlich. Das Office-Engineeringteam hat große Anstrengungen darauf verwendet, Sicherheitsbenachrichtigungen weniger einschüchternd zu gestalten, sodass sich Benutzer voll auf die Entscheidungen konzentrieren können, die sie für die Erledigung ihrer Arbeit treffen müssen. Wenn ein Benutzer von Word 2007 beispielsweise versuchte, ein aus dem Internet heruntergeladenes Dokument mit Makros zu öffnen, sah die Statusleiste wie folgt aus: Abbildung 26: Statusleiste in Word 2007, die beim Öffnen eines Dokuments mit Makros angezeigt wird. 43 Anstatt dem Benutzer konkrete Anleitungen zu liefern, ist die Statusleiste sehr knapp gehalten und verspricht lediglich, „Optionen“ für mögliche Vorgehensweisen bereitzustellen. Unsicher hinsichtlich des weiteren Vorgehens und der eigentlichen Gründe für die Anzeige der Meldung klickt der Benutzer auf Optionen, und er wird mit dem folgenden einschüchternden Dialogfeld konfrontiert: Abbildung 27: Optionen in Word 2007 für die Behandlung eines Dokuments, das Makros enthält. Das oben dargestellte Dialogfeld wirkt aus einer Reihe von Gründen eher einschüchternd: Es enthält ein außergewöhnlich großes orangefarbenes Schild-Symbol. Das Wort Sicherheitswarnung erscheint in großen Buchstaben. Der Text ist fett formatiert und beginnt mit Warnung. Das Dialogfeld enthält sehr viele Informationen (mehr als 80 Wörter). Es enthält Inhalte technischer Natur (einen Dateipfad). Zudem wird empfohlen, die Inhalte (Makros) nicht zu aktivieren, ohne die Gründe dafür zu erläutern. Es wird lediglich darauf hingewiesen, dass nicht ermittelt werden kann, ob die Datei vertrauenswürdig oder nicht vertrauenswürdig ist. Der Benutzer hatte jedoch sicherlich einen Grund, die Datei herunterzuladen, und ohne das Aktivieren der Makros erfüllt die Datei nicht ihren Bestimmungszweck. 44 Betrachten Sie nun, was geschieht, wenn dieselbe Datei in Word 2010 geöffnet wird. In diesem Fall sieht die Statusleiste wie folgt aus: Abbildung 28: Statusleiste in Word 2010, die beim Öffnen desselben Dokuments angezeigt wird. Die oben dargestellte Statusleiste weist im Vergleich mit der in Word 2007 eine Reihe von Verbesserungen auf: Die Leiste ist farblich hervorgehoben, sodass sie sich deutlich von der in Word 2007 abhebt. Das blaue Schild-Symbol mit dem Buchstaben „i“ erinnert an den Begriff „Information“, d. h. dass die Statusleiste dem Benutzer Informationen vermitteln soll. Die gelbe Färbung der Leiste fordert zu erhöhter Aufmerksamkeit auf und ruft auf Seiten des Benutzers kein Erschrecken hervor (eine rote Leiste fordert eindeutig ein höheres Maß an Vorsicht als eine gelbe Leiste). Die Ursache für die nötige erhöhte Aufmerksamkeit wird deutlich erklärt: Die Datei stammt aus dem Internet und kann daher Sicherheitsprobleme bergen. Da die Datei möglicherweise nicht sicher ist, wird der Benutzer informiert, dass das Dokument in der geschützten Ansicht geöffnet wurde. Weil der Benutzer die Datei wahrscheinlich zu einem bestimmten Zweck heruntergeladen hat, wird in Word 2010 davon ausgegangen, dass er mit der Datei arbeiten möchte. Deshalb ist eine Schaltfläche verfügbar, über die der Benutzer die Bearbeitung mit einem einzigen Mausklick aktivieren kann. Für den Fall, dass der Benutzer nicht weiß, weshalb die Meldung angezeigt wurde, enthält diese zudem folgende Aufforderung: Klicken Sie hier, um weitere Details anzuzeigen. Durch Befolgen dieser Anweisung wird die Backstage-Ansicht geöffnet: Abbildung 29: Die Backstage-Ansicht von Word 2010 wird angezeigt, wenn auf Klicken Sie hier, um weitere Details anzuzeigen geklickt wird. 45 Dies wirkt sehr viel weniger einschüchternd als das in Word 2007 angezeigte Dialogfeld Sicherheitswarnung – Makros, und anstatt dem Benutzer eine Reihe von Optionen zur Prüfung anzubieten, wird er direkt auf die wichtigste Frage verwiesen: „Glauben Sie, dass Sie dem Inhalt dieser Datei vertrauen können?“ Der Benutzer wird damit aufgefordert, eine Entscheidung zur Vertrauenswürdigkeit zu treffen, die ganzheitlicher Natur ist und keine Sicherheitsentscheidung darstellt, die technischen Charakter trägt. Wenn der Benutzer der Meinung ist, dass das Dokument vertrauenswürdig ist, kann er auf Bearbeitung aktivieren klicken, um die geschützte Ansicht zu verlassen und das Dokument in Word zu öffnen. Wenn er sich jedoch in Bezug auf die Vertrauenswürdigkeit des Dokuments nicht sicher ist, kann er es einfach schließen und sich anderen Dingen widmen. Betrachten Sie erneut die Word 2010-Statusleiste mit der Schaltfläche Bearbeitung aktivieren. Wenn der Benutzer auf diese Schaltfläche klickt, wird das Dokument in der geschützten Ansicht geschlossen und in Word geöffnet, und eine zweite Statusleiste wird angezeigt: Abbildung 30: Statusleiste in Word 2010 mit dem Hinweis auf deaktivierte Makros. Ein Vergleich dieser neuen Statusleiste mit der oben abgebildeten von Word 2007 verdeutlicht, dass beide dieselbe Botschaft vermitteln, jedoch auf unterschiedliche Weise. Die Statusleiste in Word 2007 weist dieselbe Farbe wie das Menüband auf, und sie springt (mit Ausnahme des kleinen orangefarbenen Schild-Symbols) nicht ins Auge. Im Gegensatz dazu ist die Statusleiste von Word 2010 gelb gefärbt, und sie enthält ein gelbes Schild-Symbol mit einem Ausrufezeichen, die als angemessene Reaktion seitens des Benutzers Aufmerksamkeit fordern. Und wiederum wird in Word 2010 davon ausgegangen, dass der Benutzer wahrscheinlich mit der Datei arbeiten möchte, da er sie heruntergeladen hat. Sollte das Dokument aktive Inhalte enthalten, weist die Statusleiste daher eine Schaltfläche auf, über die diese Makros mit einem einzigen Mausklick aktiviert werden können. Wenn das Dokument keine aktiven Inhalte enthält, wird keine zweite Statusleiste angezeigt. Wenn der Benutzer schließlich auf Inhalt aktivieren klickt, werden alle Makros im Dokument aktiviert, und anschließend werden für dieses Dokument keine weiteren Sicherheitsbenachrichtigungen mehr angezeigt. Im Gegensatz dazu wird in Word 2007 bei jedem Öffnen des Dokuments die Benachrichtigung Sicherheitswarnung – Makros wurden deaktiviert angezeigt. Damit bieten Office 2010-Anwendungen eine deutlich 46 verbesserte Benutzerfreundlichkeit in Bezug auf Sicherheitsbenachrichtigungen, da in Office 2010 lediglich zwei Benachrichtigungen beim erstmaligen Öffnen des Dokuments und anschließend keine weiteren Meldungen angezeigt werden, während der Benutzer in Office 2007 bei jedem Öffnen des Dokuments eine Sicherheitsbenachrichtigung erhält. 47 Steuern des Informationsflusses in Office 2010 Wie weiter oben in diesem Whitepaper dargelegt, unterstützt Sie Office 2010 nicht nur beim Bekämpfen potenzieller Schwachstellen, sondern bietet auch verbesserte Technologien zur Steuerung und Verwaltung des Informationsflusses in Ihrer gesamten Organisation. In den folgenden Abschnitten werden einige Sicherheitsverbesserungen in Office 2010 in diesem Bereich vorgestellt. Einstellungen für die Kennwortkomplexität Benutzer früherer Versionen von Word, Excel und PowerPoint konnten Dokumente, Kalkulationstabellen und Präsentationen vor unbefugtem Zugriff auf den Inhalt mit einem Kennwort schützen. Bei Verwendung des Kennwortschutzes wurde ein Dokument mit den von der Office-Version und der zugrunde liegenden WindowsVersion unterstützten Verschlüsselungstechnologien verschlüsselt. Um beispielsweise ein Word 2007-Dokument zu schützen, müssen Benutzer auf die Office-Schaltfläche klicken, auf Vorbereiten zeigen, auf Dokument verschlüsseln klicken und zweimal ein Kennwort eingeben, bei dem die Groß- und Kleinschreibung berücksichtigt wird (das zweite Mal zur Bestätigung). Aus dem Kennwort wurde dann von Word ein Verschlüsselungsschlüssel abgeleitet. Je länger und komplexer das angegebene Kennwort war, desto stärker war auch die Verschlüsselung zum Schutz des Dokuments. Office 2010 bietet die neue Backstage-Ansicht in der Benutzeroberfläche, in der Sie ein Kennwort für ein Word-Dokument festlegen, indem Sie auf Datei, Info, Dokument schützen und Mit Kennwort verschlüsseln klicken: 48 Abbildung 31: Einrichten des Kennwortschutzes für ein Word 2010-Dokument mit Verschlüsselung. Neu in der Office 2010-Sicherheit für Word, Excel und PowerPoint ist die Möglichkeit, Anforderungen an die Kennwortlänge und -komplexität zu erzwingen, um sicherzustellen, dass Benutzer zur Verschlüsselung von Dokumenten starke Kennwörter festlegen. Administratoren können diese Kennwortanforderungen mithilfe von Gruppenrichtlinien oder des OAT konfigurieren. Es kann festgelegt werden, dass Benutzer Kennwörter mit einer bestimmten Mindestlänge, Kennwörter mit einer Mindestlänge und einer angegebenen Komplexität oder Kennwörter mit der Mindestlänge und der Komplexität festlegen müssen, die in der Kennwortrichtlinie der Organisationsdomäne angegeben sind. Zum Konfigurieren der Anforderungen an Kennwortlänge und -komplexität in Office werden mehrere Gruppenrichtlinien verwendet. Diese sind unter folgendem Pfad gespeichert: Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2010\Sicherheit Die wichtigste dieser Richtlinien ist die hier dargestellte Einstellung Regelstufe für Kennwort festlegen: 49 Abbildung 32: Richtlinieneinstellung Regelstufe für Kennwort festlegen. Standardmäßig werden keine Kennwortüberprüfungen erzwungen, und Benutzer können beliebige Kennwörter angeben, egal wie kurz diese sind oder wie leicht diese erraten werden können. Wenn die lokale Längenüberprüfung aktiviert ist, müssen Kennwörter mindestens die Anzahl von Zeichen aufweisen, die in der Richtlinie Mindestlänge für Kennwort festlegen angegeben ist. Diese befindet sich ebenfalls unter Administrative Vorlagen\Microsoft Office 2010\Sicherheit. Wenn die lokale Komplexitätsüberprüfung aktiviert ist, müssen Kennwörter Zeichen aus mindestens drei der folgenden Zeichensätze enthalten: a–z, A–Z, 0–9 und nicht-alphanumerische Zeichen. Wenn die Domänenrichtlinienüberprüfung aktiviert ist, versucht Office zunächst, einen Domänencontroller für die domänenbasierte Kennwortrichtlinie zu kontaktieren. Falls innerhalb eines bestimmten Zeitraums (auch über Gruppenrichtlinien konfigurierbar) kein Domänencontroller kontaktiert werden kann, werden von Office standardmäßig die lokalen Richtlinieneinstellungen für Länge und Komplexität verwendet. Organisationen, die domänenbasierte Kennwortrichtlinien erzwingen, wird empfohlen, zum Schutz von Office-Dokumenten dieselben Richtlinien zu verwenden. Dazu 50 aktivieren Sie, wie in der Abbildung oben dargestellt, die Richtlinieneinstellung Regelstufe für Kennwort festlegen, und konfigurieren Sie weitere OfficeKennwortrichtlinien entsprechend. Weitere Einzelheiten zum Kennwortschutz für Office 2010-Dokumente finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/ff657853.aspx und im Office Engineering-Blog unter http://blogs.technet.com/b/office2010/archive/2009/10/16/enabling-password-rulesfor-office-2010.aspx. Kryptografische Verbesserungen In Office 2010 wurden außerdem Verbesserungen an den Technologien für die Verschlüsselung und digitale Signaturen vorgenommen, um den Schutz vor Angriffen auf die Integrität und Vertraulichkeit von Office-Dokumenten zu stärken. Zwei wichtige Verbesserungen auf diesem Gebiet sind die agile Kryptografie und die Integritätsüberprüfung verschlüsselter Dateien. Diese Features können in Gruppenrichtlinien konfiguriert werden und werden im Sicherheitscenter nicht angezeigt. Mit agiler Kryptografie wird die Unterstützung für CryptoAPI Next Generation (CNG) bezeichnet. Sie ermöglicht es Administratoren, die Kryptografiealgorithmen anzugeben, die zum Verschlüsseln und Signieren von Office-Dokumenten verwendet werden. CNG ermöglicht die Angabe jedes beliebigen Verschlüsselungs- oder Hashalgorithmus, der vom Betriebssystem für diesen Zweck unterstützt wird. CNG kann zudem erweitert werden und unterstützt die Verwendung von Verschlüsselungsmodulen von Drittanbietern. CNG wird von den Office 2010-Anwendungen Word, Excel, PowerPoint, Access, OneNote und InfoPath unterstützt. Wenn ein Benutzer ein Dokument im OpenXML-Dateiformat von Office 2010 mit einem Kennwort schützt, z. B. ein DOCXDokument, wird zu dessen Verschlüsselung der erweiterte 128-Bit- 51 Verschlüsselungsstandard (Advanced Encryption Standard, AES) verwendet.13 Office 2007 SP2 und Office 2010 unterstützen die gleichen Standardverschlüsselungsalgorithmen (AES, DES, DESX, 3DES, 3DES_112 und RC2) und Hashalgorithmen (MD2, MD4, MD5, RIPEMD-128, RIPEMD-160, SHA-1, SHA256, SHA384 und SHA512). Dies bedeutet beispielsweise, dass verschlüsselte Word 2010-Dokumente auch von Benutzern gelesen werden können, die Word 2007 SP2 ausführen. Zudem unterstützen einige Office 2010-Anwendung nun die Suite B-Kryptografie. Integritätsüberprüfungen verschlüsselter Dateien ermöglichen es Administratoren, beim Verschlüsseln eines Office-Dokuments einen hashbasierten Nachrichtenauthentifizierungscode (Hash-based Message Authentication Code, HMAC) zu implementieren. Die Implementierung erleichtert es Organisationen zu ermitteln, ob das verschlüsselte Dokument manipuliert wurde. Mit Gruppenrichtlinien können Administratoren den Kryptografieanbieter, den Hash und den Kontext zum Generieren des HMAC konfigurieren. Die Integritätsüberprüfung verschlüsselter Dateien wird von den Office 2010-Anwendungen Word, Excel und PowerPoint unterstützt. Weitere Einzelheiten zu den kryptografischen Verbesserungen in Office 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc179125.aspx. Verbesserungen an digitalen Signaturen Die Unterstützung für digitale Signaturen wurde in Office 2010 in mehrfacher Hinsicht verbessert. Digitale Signaturen werden in Geschäftsumgebungen immer wichtiger und zum Sicherstellen von Authentizität, Integrität und Nichtabweisbarkeit von Dokumenten verwendet. Wenn ein Dokument mit einem Zertifikat signiert wurde, das von einer vertrauenswürdigen Zertifizierungsstelle (Certificate Authority, CA) stammt, kann der Empfänger des Dokuments die Identität der Person überprüfen, die das Dokument 13 In Office 2010 wird aus Gründen der Abwärtskompatibilität mit Office 2003 und früher weiterhin der weniger sichere RC4-Algorithmus für die Verschlüsselung älterer Office-Binärdateiformate, z. B. von DOC-Dateien, verwendet. Da die RC4Verschlüsselung jedoch leicht entschlüsselt werden kann, wird deren Verwendung nicht mehr empfohlen. 52 signiert hat, und sicher sein, dass der Inhalt des Dokuments seit dem Signieren nicht geändert oder manipuliert wurde. Ein Problem bei digitalen Signaturen besteht darin, dass beim Ablauf des Zertifikats, auf dem diese basieren, die Signaturen ungültig werden, da sie nicht mehr überprüft werden können. In Office 2010 wurde dieses Problem durch Unterstützung vertrauenswürdiger Zeitstempel gelöst, sodass sichergestellt ist, dass die Signaturen auch dann gültig und rechtlich wirksam bleiben, wenn das zugrunde liegende Zertifikat abgelaufen ist. Vertrauenswürdige Zeitstempel werden von den Office 2010Anwendungen Word, Excel, PowerPoint und InfoPath unterstützt und basieren auf dem Standard XAdES (XML Advanced Electronic Signatures, erweiterte elektronische XMLSignaturen) des W3C. XAdES besteht aus einer Reihe geschichteter Erweiterungen von XML-DSig, dem offenen Standard für digitale Signaturen in Office 2007. Tabelle 1 zeigt die unterschiedlichen Ebenen von XAdES-Signaturen, die in Office 2010 über XML-DSig-Signaturen hinaus implementiert werden können, um zunehmend zuverlässigere digitale Signaturen bereitzustellen. Da für Office 2007 ein anderer Standardsignaturentyp als für Office 2010 verwendet wird, sind mit Office 2010Anwendungen erstellte digitale Signaturen nur dann mit Office 2007-Anwendungen kompatibel, wenn XAdES für Office 2010 über Gruppenrichtlinien deaktiviert wurde.14 Tabelle 1: XAdES-Erweiterungen für XML-DSig in Office 2010. Signaturebene Beschreibung XML-DSig Einfache digitale Signatur, der nicht mehr vertraut werden sollte, sobald deren signierendes Zertifikat abgelaufen ist (Standardsignaturtyp für Office 2007) XAdES-EPES (Base) Fügt der XML-DSig-Signatur Informationen zum signierenden Zertifikat hinzu (Standardsignaturtyp für Office 2010) 14 Aufgrund von Unterschieden bei der Implementierung digitaler Signaturen in verschiedenen Office-Versionen können die Signaturen von Dokumenten, die in Office 2010- oder Office 2007-Anwendungen signiert wurden, in Office 2003Anwendungen oder früher nicht überprüft werden. 53 XAdES-T (Timestamp) Fügt den XML-DSig- und XAdES-EPES-Abschnitten der Signatur einen Zeitstempel hinzu, um vor Zertifikatablauf zu schützen XAdES-C (Complete) Fügt Verweise auf die Zertifikatkette und Informationen zum Sperrstatus hinzu XAdES-X (Extended) Fügt dem XML-DSig SignatureValue-Element und den -T- und C-Abschnitten der Signatur einen Zeitstempel hinzu, um die zusätzlichen Daten vor Abweisbarkeit zu schützen XAdES-X-L (Extended Long Term) Speichert das eigentliche Zertifikat und dessen Sperrinformationen zusammen mit der Signatur, um die Zertifikatüberprüfung auch dann zu ermöglichen, wenn die Zertifikatserver nicht mehr verfügbar sind Die Art der Verwendung und Anwendung digitaler Signaturen auf Dokumente wurde in Office 2010 ebenfalls verbessert. Wenn Sie beispielsweise ein Dokument in Word 2007 signieren, ist die resultierende Signatur unsichtbar und kann nur im geöffneten Aufgabenbereich Signatur angezeigt werden. Zwar unterstützt Office 2010 unsichtbare Signaturen weiterhin, doch können Benutzer auch eine Signaturzeile15 einfügen, die einen sichtbaren Beweis bietet, dass das Dokument digital signiert wurde. Um zum Beispiel in einem Word 2010-Dokument eine Signaturzeile einzufügen, gehen Sie wie folgt vor: 1. Stellen Sie zunächst sicher, dass Sie über eine digitale ID verfügen, mit der Sie das Dokument signieren können, und speichern Sie dann das Dokument als Datei im OpenXML-Format (.docx). 2. Klicken Sie im Menüband auf der Registerkarte Einfügen in der Gruppe Text auf Signaturzeile: 15 Office 2010 unterstützt auch Signaturstempel, die in einigen asiatischen Ländern häufig statt Signaturzeilen verwendet werden. 54 3. Geben Sie im Dialogfeld Signatureinrichtung Ihren Namen, Ihre Position und Ihre E-Mail-Adresse ein: 4. Wenn Sie auf OK klicken, wird dem Dokument eine leere Signaturzeile hinzugefügt: 55 5. Doppelklicken Sie auf die Signaturzeile, um das Dialogfeld Signieren zu öffnen, und geben Sie Ihren Namen erneut ein: 6. Klicken Sie auf Signieren. Die Signaturzeile zeigt nun einen sichtbaren Nachweis, dass das Dokument digital signiert wurde. 56 Weitere Einzelheiten zu den Verbesserungen an digitalen Signaturen in Office 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc545900.aspx und im Office Engineering-Blog unter http://blogs.technet.com/b/office2010/archive/2009/12/08/digital-signitures-in-office2010.aspx. Dokumentprüfung Die Dokumentprüfung bildet ein Datenschutztool, mit dem Benutzer persönliche Informationen und verborgene Daten aus einem Dokument entfernen können, bevor sie dieses an andere weitergeben. Die Dokumentprüfung wurde erstmals in Office 2007 eingeführt und ist in Office 2010 mit einer verbesserten Benutzeroberfläche versehen: Abbildung 33: Verwendung der Dokumentprüfung in Word 2010. Eine neue Funktion der Dokumentprüfung in Office 2010 besteht in der Möglichkeit, ein Dokument auf nicht sichtbaren Inhalt zu prüfen – Objekte, die nicht angezeigt werden, weil sie entsprechend formatiert wurden. Dazu zählen jedoch keine Objekte, die nicht sichtbar sind, weil sie von anderen Objekten verdeckt werden. Eine weitere Funktion von Office 2010 stellt die Option Barrierefreiheit überprüfen dar, mit der Benutzer überprüfen können, ob die von ihnen erstellten Dokumente für Personen mit Behinderungen lesbar sind. Office 2010 umfasst zudem verschiedene Datenschutzoptionen, die über Gruppenrichtlinien konfiguriert werden können. 57 Weitere Einzelheiten zu den Datenschutzoptionen in Office 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/cc179123.aspx, Details zur Barrierefreiheitsprüfung finden Sie unter http://technet.microsoft.com/dede/library/ff602182.aspx. Verwaltung von Informationsrechten Die Verwaltung von Informationsrechten (IRM) besteht aus einer Reihe von Technologien, die Organisationen bei der Steuerung des Flusses digitaler Informationen erleichtert, indem Benutzer Berechtigungen für den Zugriff auf und die Verwendung von Dokumenten und Nachrichten festlegen können. IRM beruht auf den Rights Management Services (RMS), einer Reihe in Windows Server 2003 eingeführter Dienste, die unter Windows Server 2008 R2 als AD RMS-Serverrolle (Active Directory Rights Management Services) verfügbar waren. Durch Implementieren von IRM mit RMSTechnologien von Microsoft können Organisationen verhindern, dass vertrauliche Informationen von Unbefugten weitergeleitet, kopiert oder gedruckt werden. Zum Implementieren von Office 2010 IRM ist eine RMS-Infrastruktur erforderlich, die Office 2010 IRM-Einstellungen können über Gruppenrichtlinien oder das OAT konfiguriert werden. Die Bereitstellung und Verwaltung von IRM für Office 2010 ist detailliert in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc179103.aspx beschrieben. 58 Vergleich der Sicherheit in Office 2010 und Office 2007 Wenn Ihre Organisation die Migration von Office 2007 nach Office 2010 plant, sollten Sie sich bewusst sein, welche Sicherheits- und Datenschutzverbesserungen in Office 2010 neu sind, welche in Office 2007 eingeführt wurden, für Office 2010 jedoch erweitert wurden, und welche in der neuen Version von Office im Wesentlichen unverändert geblieben sind. Tabelle 2 bietet diese Informationen in übersichtlicher Form. Tabelle 2 Vergleich der Sicherheits- und Datenschutzfeatures in Office 2010 und Office 2007 Sicherheitsfeature Beschreibung Office 200 7 Office 2010 Anwendungsspezifische Ermöglicht das Deaktivieren Einstellungen für Add-Ins von Add-Ins, das Festlegen, dass Add-Ins von einem vertrauenswürdigen Herausgeber signiert sein müssen, und das Konfigurieren von Add-InWarnungen. Neu Unverändert Kryptografische Flexibilität Ermöglicht das Angeben von Kryptografieeinstellungen zum Verschlüsseln von Dokumenten. Entfällt Neu Datenausführungsverhin derung (DEP) Eine Hardware- und Softwaretechnologie zur Härtung der Angriffsfläche, bei der Viren und Würmer an der Ausnutzung von Pufferüberläufen gehindert werden. Entfällt Neu 59 Dokumentprüfung Die Datenschutztool, mit dem Benutzer persönliche Informationen und verborgene Daten aus einem Dokument entfernen können. Neu Verbesserte Benutzeroberfl äche Erweiterte globale und anwendungsspezifische Einstellungen für VBAMakros Ermöglicht das Deaktivieren von VBA und Konfigurieren von Warneinstellungen für Makros. Neu Unverändert Einstellungen für den Zugriffsschutz Eine Reihe von Sicherheitseinstellungen, über die Sie Benutzer am Öffnen oder Speichern bestimmter Arten von Dateien hindern können. Neu Verbesserte und erweiterte Einstellungen Globale und anwendungsspezifische Einstellungen für ActiveX-Steuerelemente Ermöglicht das Deaktivieren aller ActiveXSteuerelemente, Konfigurieren der ActiveXSteuerelementinitialisierung und Konfigurieren von Eingabeaufforderungen für ActiveX-Steuerelemente. Neu Unverändert Integritätsprüfungen für verschlüsselte Dateien Ermöglicht das Implementieren eines hashbasierten Nachrichtenauthentifizierun gscodes (HMAC) beim Verschlüsseln einer Datei. Entfällt Neu Statusleiste Ein Element der Benutzeroberfläche, in dem Benutzer Benachrichtigungen und Neu Verbesserte Benutzeroberfl äche der 60 Warnungen erhalten, wenn sie ein Dokument mit potenziell schädlichem Inhalt öffnen. Statusleiste Office ActiveX-Killbit Ein Office-Feature, mit dem Administratoren bestimmte ActiveX-Steuerelemente am Ausführen in OfficeAnwendungen hindern können. Wird als Internet Explorer ActiveXKillbit implement iert Wird als Office ActiveX-Killbit implementiert Office-Dateiüberprüfung Eine Gegenmaßnahme, mit der Dateien auf Formatunterschiede untersucht werden und verhindert wird, dass Dateien mit ungültigem Format zum Bearbeiten geöffnet werden. Entfällt Neu Überprüfung und Durchsetzung der Kennwortkomplexität Ermöglicht es, die Länge und Komplexität von Kennwörtern anhand von domänenbasierten Kennwortrichtlinien zu überprüfen und durchzusetzen. Entfällt Neu Geschützte Ansicht Ein Office-Feature zur Verhinderung von Angriffen, durch das Benutzer nicht vertrauenswürdige oder potenziell schädliche Dateien als Vorschau in einer Sandkastenumgebung anzeigen können. Entfällt Neu 61 Sicherheitscenter Eine zentrale Konsole in der Benutzeroberfläche, an der Benutzer Sicherheitseinstellungen und Datenschutzoptionen anzeigen und konfigurieren können. Neu Verbesserte und erweiterte Einstellungen Vertrauenswürdige Dokumente Ein Sicherheitstool, mit dem Benutzer sichere Dokumente kennzeichnen können. Entfällt Neu Vertrauenswürdige Speicherorte Ein Sicherheitsfeature, mit dem Sie zwischen sicheren und nicht sicheren Dokumenten unterscheiden können. Neu Unverändert Vertrauenswürdige Zeitstempel für digitale Signaturen Stellt sicher, dass digitale Signaturen auch dann gültig und rechtlich wirksam bleiben, wenn das Zertifikat, das Sie zum Signieren des Dokuments verwendet haben, abgelaufen ist. Entfällt Neu 62 Office 2010 und Windows 7 Office 2010 bietet beeindruckende Sicherheitsverbesserungen. In diesem Zusammenhang stellt sich die Frage, ob zwischen diesen Sicherheitsverbesserungen und der zugrunde liegenden Version von Microsoft Windows, unter der Office 2010 installiert ist, Abhängigkeiten bestehen. Dies ist wichtig für Organisationen, die weiterhin mit Windows XP arbeiten und die Bereitstellung von Office 2010 in ihrer vorhandenen Umgebung erwägen. Die kurze Antwort lautet, dass Windows 7 mit Abstand das beste Betriebssystem zum Ausführen von Office 2010 darstellt. Dafür bestehen u. a. die folgenden Gründe: Windows 7 unterstützt zusätzliche Kryptografiealgorithmen über CryptoAPI Next Generation (CNG), eine Reihe von APIs, die erstmals in Windows Vista und Windows Server 2008 eingeführt wurden und zum Installieren zusätzlicher Kryptografieanbieter, Verwalten von Verschlüsselungsschlüsseln, Erstellen von Hashalgorithmen sowie zum Verschlüsseln/Entschlüsseln von Daten verwendet werden. Anders als bei der CryptoAPI 1.0 unter Windows XP werden von CNG die Suite B-Kryptografiealgorithmen der US-Regierung implementiert. Dies bedeutet beispielsweise, dass beim Ausführen von Office 2010 unter Windows 7 die ECC- (Elliptic Curve Cryptography, Kryptografie für elliptische Kurven) und andere fortschrittliche Verschlüsselungstechnologien verwendet werden können, die bei Ausführung von Office 2010 unter Windows XP nicht verfügbar sind. Windows 7 bietet die Benutzeroberflächen-Rechteisolierung (User Interface Privilege Isolation, UIPI), ein erweitertes Sicherheitsmodell, das erstmals in Windows Vista eingeführt wurde und den Zugriff von Prozessen mit geringerer Integrität auf Prozesse mit höherer Integrität blockiert. UIPI trägt zur Verhinderung so genannter „Shatter Attacks“ bei, bei denen ein Prozess mit geringerer Integrität versucht, die eigenen Rechte durch Einschleusen von Code in einen Prozess mit höherer Integrität heraufzustufen. Dazu werden vom Code Fensternachrichten verwendet. Beispielsweise kann unter Windows XP bösartiger Code ein gefälschtes Dialogfeld über einem authentischen Office 2010-Dialogfeld zeichnen. Der Benutzer reagiert dann auf das gefälschte Dialogfeld, da er dieses für das legitime hält, und bösartiger Code wird ausgeführt. Solche Shatter Attacks können unter Windows XP nicht vollständig verhindert werden, und dies ist ein überzeugender Grund für die Migration der 63 Desktopinfrastruktur nach Windows 7. Im Gegensatz dazu trägt UIPI zur Verhinderung solcher Angriffsformen unter Windows Vista und höher bei. Daher kann ein Benutzer, der bei Ausführung von Office 2010 unter Windows 7 aufgefordert wird, die Bearbeitung eines aus dem Internet heruntergeladenen Dokuments zu aktivieren, darauf vertrauen, dass es sich bei der Schaltfläche Bearbeitung aktivieren auf der Statusleiste tatsächlich um die von Office 2010 und nicht um eine Form von Malware handelt. Verbesserungen der Benutzeroberfläche in Windows 7, z. B. die erweiterte Taskleiste, Sprunglisten und die einheitliche Verwendung des Menübands in Windows-Anwendungen, machen die Verwendung von Office 2010Anwendungen noch produktiver als unter Windows XP. Das neue Bibliotheksfeature von Windows 7 erleichtert Benutzern zudem das Auffinden und Ordnen ihrer Office-Dokumente. Letzten Endes bietet die Zusammenarbeit von Windows 7 und Office 2010 im Vergleich zu der von Office 2010 und Windows XP eine höhere Sicherheit und eine überlegene Benutzerumgebung. Einen allgemeinen Vergleich der Verfügbarkeit der einzelnen Office-Sicherheitsfeatures in den einzelnen Versionen von Windows finden Sie im Anhang am Ende dieses Whitepapers. 64 Schlussbemerkung Office 2010 ist die bisher sicherste Version von Microsoft Office. Mit einem verbesserten Vertrauensstellungsmodell, bei dem Vertrauensstellungen auf Dateibasis beibehalten werden, und neuen Technologien, z. B. der Office-Dateiüberprüfung und der geschützten Ansicht, sind Benutzer besser vor Angriffen geschützt, bei denen OfficeDokumente als Angriffsvektoren genutzt werden. Mit den allgemeinen Verbesserungen der Verschlüsselungstechnologien, den neuen Funktionen für digitale Signaturen und der Unterstützung für domänenbasierte Anforderungen an die Kennwortkomplexität können Benutzer ihre Office-Dokumente wirksamer vor Manipulationen schützen. Zudem bietet die Datenausführungsverhinderung eine zusätzliche Schutzebene, die zusammen mit anderen Office-Sicherheitstechnologien eine Tiefenverteidigung für Benutzer sicherstellt, die mit Office-Anwendungen arbeiten. Weitere Informationen zu den verschiedenen in diesem Whitepaper beschriebenen Features und Technologien finden Sie im folgenden Abschnitt „Weitere Ressourcen“. 65 Weitere Ressourcen In diesem Whitepaper wurde auf eine Anzahl weiterer Ressourcen verwiesen, darunter Themen in der TechNet-Bibliothek und Beiträge im Office Engineering-Blog. Diese und andere Verweise sind in diesem Abschnitt zusammengefasst, damit Sie rasch auf weitere Ressourcen zur Sicherheit von Office 2010 zugreifen können. Vertrauenswürdige Herausgeber Weitere Einzelheiten zum Office 2010Feature „Vertrauenswürdige Herausgeber“ finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/ff428091.aspx. Vertrauenswürdige Speicherorte Weitere Einzelheiten zum Office 2010Feature „Vertrauenswürdige Speicherorte“ finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/cc179039.aspx. Zugriffsschutz Weitere Einzelheiten zum Office 2010-Feature „Zugriffsschutz“ finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc179230.aspx. Office-Dateiüberprüfung Weitere Einzelheiten zur Office-Dateiüberprüfung finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/ee857084.aspx und im Office Engineering-Blog unter http://blogs.technet.com/b/office2010/archive/2009/12/16/office-2010-filevalidation.aspx. Geschützte Ansicht Weitere Einzelheiten zur geschützten Ansicht finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/ee857087.aspx und im Office Engineering-Blog unter http://blogs.technet.com/b/office2010/archive/2009/08/13/protected-view-inoffice-2010.aspx. Vertrauenswürdige Dokumente Weitere Einzelheiten zu vertrauenswürdigen Dokumenten finden Sie im Office Engineering-Blog unter http://blogs.technet.com/b/office2010/archive/2009/09/28/trusteddocuments.aspx. VBA-Makroeinstellungen Informationen zum Konfigurieren von Einstellungen für VBA-Makros finden Sie unter http://technet.microsoft.com/dede/library/ee857085.aspx. Einstellungen für ActiveX-Steuerelemente Informationen zum Konfigurieren von Einstellungen für ActiveX-Steuerelemente finden Sie unter http://technet.microsoft.com/de-de/library/cc179076.aspx. 66 Add-In-Einstellungen Informationen zum Konfigurieren von Einstellungen für Add-Ins finden Sie unter http://technet.microsoft.com/dede/library/ee857086.aspx. Datenausführungsverhinderung Weitere Einzelheiten zur Unterstützung der Datenausführungsverhinderung in Office 2010 finden Sie im Office EngineeringBlog unter http://blogs.technet.com/b/office2010/archive/2010/02/04/dataexcecution-prevention-in-office-2010.aspx. ActiveX-Killbit Weitere Einzelheiten zur Unterstützung des ActiveX-Killbits für Office 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/cc179076.aspx. Einstellungen für die Kennwortkomplexität Weitere Einzelheiten zum Kennwortschutz für Office 2010-Dokumente finden Sie in der TechNetBibliothek unter http://technet.microsoft.com/de-de/library/ff657853.aspx und im Office Engineering-Blog unter http://blogs.technet.com/b/office2010/archive/2009/10/16/enablingpassword-rules-for-office-2010.aspx. Kryptografische Verbesserungen Weitere Einzelheiten zu den kryptografischen Verbesserungen in Office 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/cc179125.aspx. Verbesserungen an digitalen Signaturen Weitere Einzelheiten zu den Verbesserungen an digitalen Signaturen in Office 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc545900.aspx und im Office Engineering-Blog unter http://blogs.technet.com/b/office2010/archive/2009/12/08/digital-signitures-inoffice-2010.aspx. Datenschutzoptionen Weitere Einzelheiten zu den Datenschutzoptionen in Office 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/cc179123.aspx. Barrierefreiheitsprüfung Einzelheiten zur Barrierefreiheitsprüfung finden Sie unter http://technet.microsoft.com/de-de/library/ff602182.aspx. Verwaltung von Informationsrechten Das Bereitstellen und Verwalten der IRM für Office 2010 ist detailliert in der TechNet-Bibliothek unter http://technet.microsoft.com/de-de/library/cc179103.aspx beschrieben. Outlook 2010-Sicherheit Weitere Einzelheiten zur Sicherheit von Outlook 2010 finden Sie in der TechNet-Bibliothek unter http://technet.microsoft.com/dede/library/cc179213.aspx. Weitere Informationen zu den Änderungen an 67 Outlook 2010 finden Sie außerdem unter http://technet.microsoft.com/dede/library/cc179110.aspx. Gruppenrichtlinieneinstellungen in Office 2010 Informationen zu den Gruppenrichtlinieneinstellungen in Office 2010 finden Sie in der Datei Office2010GroupPolicyAndOCTSettings_Reference.xls, die im Microsoft Download Center unter Office 2010 Administrative Template files (ADM, ADMX/ADML) and Office Customization Tool (Administrative Vorlagendateien (ADM, ADMX, ADML) für Office 2010 und das Office-Anpassungstool) verfügbar ist. Office-Anpassungstool Informationen zum Office-Anpassungstool für Office 2010 finden Sie unter http://technet.microsoft.com/dede/library/cc179097.aspx. Office Open XML-Standard Informationen zu dem ab Office 2007 verwendeten Office Open XML-Standard finden Sie unter http://www.microsoft.com/standards/openxml/standard/. 68