[English]Unschöne Geschichte, eigentlich ein Skandal, die ich hier im Blog mal zur Diskussion stelle. Wer Microsoft 365 Apps for Business verwendet, erlebt eine unschöne Überraschung. Microsoft hat das Produkt beschnitten, so diese Produkt keine Richtlinien zur Verwaltung der Makroausführung (GPOs usw.) unterstützt. Nur auf die Microsoft 365 Enterprise-Variante bietet diese Funktionalität.
Anzeige
Das Thema ist mir ein wenig durchgerutscht, Blog-Leser AndiW hat mich auf ein unschönes Thema im Umfeld von Microsoft 365 aufmerksam gemacht. Mitte Januar 2023 erreichte mich nachfolgender Tweet von Leser AndiW, der das Ganze aufgreift und auf diesen Tweet verweist.
Die Aussage im Tweet lautet: Wenn Sie Microsoft 365 Apps for Business verwenden, ignoriert die Office-Installation Richtlinien (GPOs usw.), einschließlich solcher, die Makro-Sicherheitseinstellungen erzwingen. Hier mal einige Informationen sortiert.
Microsoft empfiehlt GPOs für Macro-Ausführung
Es ist hinreichend bekannt, dass VBA-Makros ein gängiger Weg für Angreifer sind, sich Zugang zu Systemen zu verschaffen, um Malware und Ransomware einzusetzen. Die Lösung von Microsoft zur Verbesserung der Sicherheit in Office besteht darin, das Standardverhalten von Office-Anwendungen zu ändern. Makros in Dateien aus dem Internet sollen künftig blockiert werden.
Anzeige
Mit dieser Änderung wird die folgende Meldung angezeigt, wenn Benutzer eine Datei öffnen, die aus dem Internet stammt, z. B. eine E-Mail-Anlage, und diese Datei Makros enthält:
Das kann man in dem am 26. Januar 2023 aktualisierten Support-Beitrag Macros from the internet will be blocked by default in Office von Microsoft wunderbar nachlesen.
Wenn das Microsoft-Marketing zuschlägt
In Unternehmensumgebungen haben Administratoren aber die Möglichkeit, die Richtlinien zur Verarbeitung von Macros über Richtlinien zu verwalten. Microsoft hat das im Abschnitt Use policies to manage how Office handles macros super erklärt. Die Kinnlade dürfte den Administratoren aber spätestens dann herunterfallen, wenn man sich mal die Details genauer anschaut. Ich habe es mal als Screenshot herausgezogen – vielleicht ist das ja bei Administratoren bereits bestens bekannt.
Microsoft empfiehlt, die betreffenden Gruppenrichtlinien zur Verwaltung der Macro-Ausführung zu verwenden. Dann hat das Marketing aber wohl zugeschlagen. Wer Microsoft 365 Apps for Business einsetzt, hat aber die "Katze im Sack" gekauft – dort ist die Verwendung von Richtlinien laut dem "Important"-Einschub nicht möglich. Wer Macros per Gruppenrichtlinien verwalten möchte, ist auf Microsoft 365 Apps for Enterprise angewiesen.
Ein technischer Grund ist da nicht erkennbar, das ist eine reine Marketing-Entscheidung (ähnlich wie bei der Kastrierung der GPO-Unterstützung bei Windows 10/11 Pro), die Leute sollen auf Microsoft 365 Apps for Enterprise gezwungen werden. Das ist einer der Gründe, warum Microsoft (nicht nur bei mir) eine saumäßige Reputation hat. Der betreffende Benutzer md hat in einer Reihe an Folge-Tweets berechtigte Fragen aufgeworfen.
Oder wie seht ihr das so? Ist das in der Praxis kein Problem, weil es a) nicht gebraucht wird, oder b) man gleich auf Microsoft 365 Apps for Enterprise setzt, weil alternativlos?
Ergänzungen aus Rückmeldungen in FB-Gruppen: Die Macros werden seit Sommer 2022 (27.7.2022) in Office generell blockiert (siehe Microsoft: Default-Deaktivierung von Office VBA-Makros wird fortgesetzt). Und eine Aussage: Generell sollte man sich vielleicht mal im Kopf verabschieden über GPO's in der Cloud nachzudenken. Modernes Cloud Management und Konfiguration hat absolut NICHTS mit traditionellen GPO's aus einem AD zu tun. Da hats andere Wege und Mittel genau das zu erreichen.
Die Word-App hat z.B. eine Cloudanbindung. Und das wird in der Zukunft noch viel mehr werden an der stelle wenn man die wachsende KI sieht. Das waren früher mal Standalone Programme ja natürlich, aber das wird doch immer mehr eine Cloudverlängerung. Sinn und Unsinn mag ich an der Stelle echt nicht diskutieren das muss jeder für sich selber entscheiden was ihm taugt und was nicht. Da hat echt jeder seinen eigenen persönlichen Gusto. Die Business Premium zieht nicht auf Ad Umgebungen ab da wärs dann eher die Standard +EMS E3 die mir dann wieder die Berechtigung gibt einen lokalen Configuration Manager zu betreiben und schon habe ich meine Management wieder unten im Co Management mit Intune.
Mark Heitbrink schrieb auf Facebook: Das ist nichts Neues. GPOs sind bereits seit Office 2013 nur in den VL-Versionen möglich. Alle anderen können über Einstellungen (hkcu – Software -Microsoft – Office) statt über Richtlinien (hkcu – Software – Richtlinien …) gesteuert werden.
Ein anderer Benutzer schrieb: Microsoft 365 Apps Business kann über MDM verwaltet werden. Dort kann man auch die Makros steuern.
Anzeige
dazu wohl passend:
https://www.jdfoxmicro.com/resource-center/articles/group-policy-office-2013/
was wir aber bei Tests beobachtet haben:
– gesetzte GPO's für Vertrauenwürdige Speicherorte werden NICHT im Trust Center angezeigt (unter Richtlienienspeicherorte) , aber dennoch beachtet …
– gesetzte GPO's für Makro deaktivieren werden berücksichtigt, allerdings wird dem User das umstellen erlaubt (unter Optionen)
D.h. die GPO's werden (Stand jetzt) schon irgendwie "beachtet" , nur drauf verlassen sollte man sich nicht …
jup
Nachtrag:
siehe
https://4sysops.com/archives/microsoft-365-business-configure-macro-security-settings-via-group-policies/
als dirty Fix
Für mich klingt das stark nach Geldschneiderei auf Kosten der Sicherheit. Einerseits empfiehlt Microsoft die Anwendung der GPOs für Makros kastriert wiederum alles bis auf die teuerste Version so dass es eben nicht angewendet werden kann. Also heißt das für mich alles unterhalb der Enterpriseversion ist alles unsicheres Spielzeug egal ob Windows oder Office.
Nur mal so gefragt wer hat es denn früher mal eingeführt mit der sicherheitskritischen Makrofunktion?
Hm, also nichts neues in diesem Fall, das ist ein "alter Hase" den es früher auch schon gab – vor allem ab den ClickToRun 2013 Home and Business.
Das bis jetzt noch immer nichts geändert wurde, ist tatsächlich ein Skandal seitens MS.
Seit Jahren betreibt MS eine Entmündigung des "kleineren Kunden", sehr zu dessen Schaden.
Haben wir bei uns auch weil 365 Bus. Standard / Premium Kunde"nur"…
Witzigerweise unterstützt Apps for Business Gruppenrichtlinien, die den Datenschutz betreffen. So kann man zb. die Online dienste abschalten.
Dass alle anderen Richtlinien nicht gehen, hat mich auch geärgert. Aber immerhin kann man das Office Paket ja "vorkonfigurieren" und die Makros dort deaktivieren.
Dann müsste der Anwender schon aktiv in die Einstellungen gehen und Makros wieder zulassen.
Der konkrete Fall ist letztlich keine Änderung zur OnPremis-Variante.
Es wird jedoch immer deutlicher das die gesamte kommerzielle IT darauf ausgelegt ist mit kostengünstigen "Features" zu locken, und wenn genügend Anwender auf den Zug gesprungen sind durch Abos, Cloud-Bindung, Featurebeschneidungen, etc. pp. die dann abhängige Kundschaft darauf auszupressen.
MS und seine Vasallen sind kein Stück besser als Rauschgift Deaker. Die verschenken erst das Hasch auf dem Schulhof, dann kommt da "versehentlich" durch böse Dritte, ein bisschen Heroin oder Crystal rein, damit die Kids süchtig werden, mehr konsumieren und schließlich feststellen, das Crack doch besser zudröhnt.
Alle Warnungen vor einer letalen Abhängigkeit werden in den Wind geschlagen, weil das Gehirn eh schon kaputt ist.
Kommt irgendwem das Vorgehen bekannt vor?
Ok. Dealer sind moralisch besser, denn sie versuchen nivht auch Geld damit zu machen, in dem sie ihren Usern Tools andrehen, die Verunreinigungen feststellen sollen und so den User "schützen" …
Und es hat schon seinen Grund, warum nur Dealer und SoftwareHersteller ihre Kunden "User" nennen…
In der Landwirtschaft weiß man seit tausenden Jahren, daß Monokultur auf Dauer nicht funktioniert.
Sorry für diese andere Betrachtungsweise.
Übrigens :
Warum machen das nicht alle so?
Weil die meisten Menschen wissen was "Moral" ist.
Nur in den Führungsetagen sitzt der Rest.
Genau aus dem Grund funktioniert ein Makro zur Stundeneingabe unter Office 2010 erstellt beim Unternehmensoffice für Business 365 seit letzten Update nicht mehr. Danke M$. Hängt ja nur mein Geld dran.
Also Erledigung auf Windows XP mit Office 2010 auf ner virtuellen Maschine und Umwandlung in PDF. Genau DAS hab ich von euch gebraucht.
facepalm
Ist doch nichts neues…Das war vor 1,5 Jahren bereits so, als wir O365 (Apps for Business & Business Standard) eingeführt haben…
Unsere "Lösung": GPO gesetzt, parallel dazu die passenden Reg-Einträge (Doppelt gemoppelt quasi) und ja, auf den Clients lässt es sich dennoch umstellen, die GPO überschreibt es aber halt dann wieder…Unschön…aber was will man machen…
Sollte man so etwas nicht eh per Registry Hack einrichten?
AFAIK sind GPO nicht scriptbar, die Dokumentation eher selten und man kann nur das ändern, was MS erlaubt hat.
Oder sind den heutigen Admins registry Eingriffe zu gefährlich?
Das Problem ist nicht die grundlegende Steuerung (ja, ich weiß, das verwechseln bei dem Problem viele Leute) sondern, dass Software Policies (GPO) die Werte enforcen können, also der User das Setting dadurch nicht mehr selbst verändern kann. Das Enforcement wird aber nur von Apps for Enterprise umgesetzt, bei Apps for Business kann der user stetig selbst die Settings verändern.
Und wie bekommst Du die Daten aus den XP?
Per USB?
Per Email?
Oder geht es direkt zum USB-Drucker auf Papier,
Das dann eingescannt wird für das durchsuchbare Archiv? Oder wie archivierst Du das für die Steuerprüfer? (das "Du" ist nicht persönlich gemeint)
Irgendwie verständlich das da große Dankbarkeit aufkommt…
Über die Zwischenablage kann man Daten zwischen VM und Host austauschen.
Also einfach in der XP-Maschine die .pdf im Explorer markieren, Strg+C, dann in den Host wechseln, Explorer starten, Strg+V und tada, .pdf ist auf dem Host.
Umgekehrt geht das genauso.
Was Makros angeht:
Die werden bei mir in der Firma gebraucht.
Z.B. um aus Access heraus Excel-Dateien zu erstellen, in Outlook Emails zu erstellen, etc.
Und für Access wird das eh benötigt. Ohne VBA kann man Access vergessen.
Daher haben wir das anders gelöst:
Office-Dateien mit Makros werden bei uns schon vom Exchange ausgefiltert und erreichen die Empfänger gar nicht erst.
Hallo, das ist ja echt kalt. Da ist GPP dein Freund… Oder halt Apps4Enterprise mit einer Business Premium Lizenz, da geht GPO auch. Und das kann MS (noch) nicht unterbinden.
Hi,
kann ich komplett bestätigen. Weise ich dem User eine E3 Lizenz zu funktionieren die Office GPOs. Sobald ich aber wieder eine Business Premium Lizenz zuweise und die E3 wegnehme werden die Einstellungen wieder vom User veränderbar. Auch mit Intune habe ich es nicht hin bekommen.
Somit werden auf uns die doppelten Kosten zukommen. Danke Microsoft.
Beim letzten Satz:
Microsoft 365 Apps Business kann über MDM verwaltet werden.
Giltet das aber nicht nur für Business Premium? Standard hat ja kein InTune dabei.
Hallo miteinander
Ja, es gibt genug Gründe, sich aufzuregen über gewisse Praktiken von MS; nur bringt das, ausser Bestätigung, dass viele das auch so sehen, nichts… Deshalb hier ein konstruktiver Lösungsbeitrag, der nach 15 Minuten Webrecherche mit der Suchmaschine des Vertrauens zu Tage kommt:
Für M365 Business Pakete gibts schon seit längerem GPOs, die funktionieren: https://github.com/iothacker/Microsoft-Office-365-Business-Group-Policy-ADMX-Templates/blob/master/en-US/office16-365.adml
Die GPOs sind exakt gleich benannt, wie das (englische) Original. Sie lassen sich auf die gleiche Art und Weise einstellen. Im Hintergrund werden die zugehörigen Reg-Einträge gesetzt. Vor ca. 3 Wochen haben wir bei uns mit dem M365 Business Premium Plan (< 300 Benutzer) erfolgreich die M365 Apps for Business mit den GPOs ausgerollt; funktioniert alles einwandfrei…
Noch eine Ergänzung zu den GPOs mit den Vertrauenswürdigen Speicherorten: und ist ebenfalls aufgefallen, dass diese nicht angezeigt werden. Wir haben dies gelöst, indem wir die Trust Center Einstellung nicht nur in der GPO für Office eingestellt haben, sondern zusätzlich bei Word, Excel, Powerpoint… Die Verzeichnisse werden jedoch nicht bei den Remoteverzeichnissen angezeigt, sondern in der oberen Rubrik…
Ich hoffe, damit einen konstruktiven Beitrag zur Lösung des unschönen MS-Problems zu bieten und wünsche gutes Gelingen bei der Umsetzung…