[English]Kürzlich ist mir ein Problem von Tobias Migge gemeldet worden, welches ich mal hier im Blog aufbereite. Das Problem: Kunden bzw. Nutzer bekommen unter Access beim Zugriff auf Backend-ACCDB-Datenbanken per IP-Adresse, die auf einem Server liegen, "plötzlich" den Fehler, dass Makros aus Sicherheitsgründen blockiert werden. Das Ganze hängt wohl damit zusammen, dass Microsoft begonnen hat, VBA-Makros aus Sicherheitsgründen zu blockieren, wenn Dateien auf Internetseiten liegen. Ich habe das mal aufbereitet, denn vielleicht gibt es weitere Betroffene.
Anzeige
Makroausführung bei ACCBD-Datenbank blockiert
Es war ein kurzer Tweet, in dem mich Tobias Migge auf ein Problem hinwies, was er seit einigen Tagen mit verschiedenen Kunden hatte. Es gab Probleme mit Access und dessen Zugriff auf Backend-ACCDB-Datenbanken, wenn er über eine IP-Adresse in der URL zugreifen wollte.
Sobald auf das auf einem Server liegende Backend der ACCDB-Datenbank via IP-Adresse (statt Servernamen oder Netzlaufwerk) zugegriffen wird, verweigert Access die Makroausführung. Der Nutzer bekommt den in obigem Tweet gezeigten Sicherheitshinweis mit der Anmerkung, dass ein potenzielles Sicherheitsrisiko erkannt worden sei. Der per IP-Adresse angegebene Dateipfad wird als unsicher angesehen und gesperrt. Im Hinterkopf klingelte bei mir was, dass Microsoft in Office die Makroausführung von Internetseiten blockiert. Der Administrator hatte bereits versucht, die IP-Adresse als "Trusted Location" einzutragen, was aber angeblich nicht geholfen habe.
Makros blockiert in lokalem Netzwerk
Es gibt den Microsoft-Answers-Forenpost Office 365 Macros now blocked on local network vom 14. Juni 2022. Dort wies jemand darauf hin, dass bei ihm seit einer Woche Excel-Makros (MS 365 for Business) auf unserem lokalen Server nicht mehr funktionieren. Die Trust Center-Einstellungen für den Speicherort und das Zulassen von Makros haben, laut Poster, keine Wirkung. Im aktuellen Fall aus dem Microsoft-Answers-Forum wurde das Problem dadurch gelöst, dass der Server mit der URL \\fileserver\servername anstelle der Server-IP zugeordnet und dann als vertrauenswürdiger Ort über das Trust Center hinzugefügt wurde. War aber für die Kunden aus obigem Access-Fall keine Lösung.
Anzeige
Winkelzüge bei Microsofts Makro-Blockierung
Ich hatte ja im Juli 2022 im Beitrag Microsoft: Default-Deaktivierung von Office VBA-Makros wird fortgesetzt auf diesen Sachverhalt und die Pläne Microsofts zum Blockieren bestimmter Office-Makros hingewiesen. Microsoft hatte seinerzeit damit begonnen, Makros erneut zu blockieren, wenn die Dateien aus dem Internet stammen. Das Ganze war eine On-Off-Geschichte – denn die Blockierung war bereits früher schrittweise ausgerollt worden, wurde dann wegen Problemen – wie in obigem MS-Answers-Fall ausgesetzt (siehe den Blog-Beitrag Microsoft will standardmäßig nun doch keine Makros in Office blockieren) und sollte wieder aufgenommen werden (siehe den Blog-Beitrag Office Makro-Blockade: Aussetzung ist nur temporär).
Lösung: Vertrauenswürdige Speicherorte definieren
Die Lösung besteht darin, dass Administratoren die Speicherorte für eigene Dateien (also z.B. das Backend auf dem Server) als vertrauenswürdigen Speicherort festlegen. Tobias Migge hat dann selbst den Supportbeitrag Makros aus dem Internet werden in Office standardmäßig blockiert vom 3. August 2022 gefunden. In diesem Support-Dokument erläutert Microsoft, dass man das Standardverhalten von Office-Anwendungen geändert habe, um Makros in Dateien aus dem Internet aus Sicherheitsgründen zu blockieren. Der Hintergrund ist, dass VBA-Makros eine gängige Möglichkeit für böswillige Akteure sind, Zugriff auf die Bereitstellung von Schadsoftware und Ransomware zu erhalten. Öffnet der Benutzer eine Datei, die aus dem Internet stammt, z. B. eine E-Mail-Anlage, wird die Makroausführung nach der von Microsoft in Office vorgenommen Änderung blockiert. Enthält die Datei Makros enthält, wird die folgende Meldung angezeigt:
Microsoft hat die Ausführung von Makros blockiert, da die Quelle dieser Datei nicht vertrauenswürdig ist.
Das ist aber genau die Fehlermeldung aus obigem Access-Makro-Problem-Fall. Im Supportdokument beschreibt Microsoft, wie sich Administratoren auf diesen Fall vorbereiten können. Und es wird auch beschrieben, wie die Blockierung von VBA-Makros für vertrauenswürdige Dateien aufgehoben erden kann. Für das oben genannte Access-Szenario mit einer Backend-Datenbank auf einem Server muss ein vertrauenswürdiger Speicherort festgelegt werden.
Tobias hat dies in den Interneteigenschaften probiert und einfach den Server mit seiner IP-Adresse in die Liste Vertrauenswürdige Sites eingetragen (siehe obiger Tweet). Anschließend konnten die Access-Makros wieder ausgeführt werden, auch wenn die ACCDB-Dateien auf einem per IP-Adresse angesprochenen Server lagen. Vielleicht hilft es Betroffenen weiter.
Ähnliche Artikel:
Microsoft: Default-Deaktivierung von Office VBA-Makros wird fortgesetzt
Microsoft will standardmäßig nun doch keine Makros in Office blockieren
Office Makro-Blockade: Aussetzung ist nur temporär
Anzeige
Liest sich auch wie die unendliche Geschichte…
Mal wieder eine sehr oberflächliche Scheinlösung, die vor allem Mehraufwand bei dem Nutzern generiert, da scheinbar nicht einmal zwischen privaten und öffentlichen Adressraum unterschieden wird.
IP gegen DNS zu tauschen und als Securityfeature zu "verkaufen" ist etwas sehr kurzsichtig. Ja, es KANN eine weitere (niedrige) Hürde sein, bietet aber auch entsprechend nur wenig mehr Schutz und auch nur gegen wenig versierte Angreifer.
Jau, das trat bei einem Kunden mit kleinem p2p-Netz auch auf, da liegen Dokumente in einer Freigabe auf einem Win10-PC. Zugriff erfolgt "sicherheitshalber" über die IP-Adresse, da kein interner DNS verfügbar ist und eh alle Geräte feste IPs haben. Plötzlich wollte Excel die Buchungstabelle nur noch ohne Makros öffnen, und die Not war groß.
Über die vetrauenswürdigen Sites war das Problem in der Tat schnell ausgemerzt. Spannend, dass MS eine offensichtlich private IP-Adresse (192.168.x.x) als "Internet" ansieht.
Unerwünschter Nebeneffekt: Bei der Kollegin, die noch mit einer alten Office-Version arbeitet, trat das Problem nicht auf. Was der Kunde sich vermutlich unbewusst merkt ist: "Office lieber nicht updaten, da handelt man sich nur Probleme ein."
Hallo Herr Born und das Internet
Bin oft hier und bekomme Dinge geflickt. Ausnahmsweise kann der Artikel hier etwas erweitert werden. In den Internetoptionen Adressen als Intranet zu deklarieren ist wirklich die Lösung, um unsignierte VBA weiter zu betreiben. Man darf jedoch wissen, welche es sein dürfen. So kann eine Datei aus Onedrive mit dem Client gezogen per Voreinstellung nur dann vollständig genutzt werden, wenn diese nicht aus einem geteilten Bereich eines anderen Users stammt.
Man mag nun denken, also mal schnell https://onedrive.live.com ins Intranet hieven und das sei es dann gewesen. Reicht leider nicht. Zusätzlich (alleinig wäre wahrscheinlich ausreichend, na ja) die Adresse des effektiv abgerufenen Dokuments ermittelt und eingefügt, geht es dann wirklich: . Es werden sicher bald weitere einzufügen sein. MS zeigt sich gerne anpassungsfreudig.
Ich hatte den URL in der Registry bei Office des aktuellen Users unter Office/Excel (was ich brauchte) in einem Unterbereich "Security" entdeckt. Andere hätten es wohl mit netstat in der Konsole gesehen… wie auch immer.
Einen hübschen Tag allerseits.