Microsoft hat sich nun doch -
Wenn Sie versuchen, ein Office-Dokument(z. B. DOCM, DOC, XLSM) oder eine Vorlagendatei zu öffnen, die aus einer nicht vertrauenswürdigen Quelle wie dem Web oder einem Mailanhang stammt und zudem mindestens ein VBA-Makro enthält, erscheint zwischen Symbolleiste und Arbeitsbereich des zugehörigen Office-Programms eine rot hinterlegte Warnmeldung, dass alle enthaltenen Makros deaktiviert sind, weil sie aus einer nicht vertrauenswürdigen Quelle stammen.
Bei heruntergeladenen oder per Mail empfangenen Office-Dateien weist eine rot hinterlegte Warnung auf die deaktivierten Makros hin.
Richtig, eine Makrowarnung für Office-Dateien, die Sie aus dem Netz heruntergeladen oder aus einem Mailanhang gespeichert haben, gibt es schon länger. Jedoch stand die auf gelbem Hintergrund und Sie konnten sie mit einem Bestätigungsklick überspringen – und Datei und Makros danach problemlos öffnen. Die neue Makrosperre in Rot enthält zwar auch eine Schaltfläche zum Anklicken ("Weitere Informationen"); die führt aber nur zu einer erklärenden Webseite von Microsoft.
Bislang greift der Makroschutz nur in Microsoft Office für Windows, und zwar – je nach Update-Kanal – ab Version 2203 (Aktueller Vorschaukanal) respektive 2206 (Aktueller Kanal). Wie bei Microsoft-Produkten üblich wird das Update nach und nach ausgerollt; es kommt also nicht bei allen Nutzern zum gleichen Zeitpunkt an. Enterprise-Versionen sind je nach Updatefrequenz etwas später dran. Nicht betroffen sind Office für macOS, die Browserversionen (Office Online), Office für Android und iOS. Wann Microsoft den Schutz auch für ältere und Einmalkauf-Office-Versionen (Office 2016, 2019, 2021) scharf schaltet, ist unklar. Angekündigt ist es jedenfalls.
Im NTFS-Dateisystem gibt es zu jeder Datei optionale zusätzliche Datensätze. Einer dieser sogenannten Alternate Data Streams (Zone.Identifier) hält die Quelle einer Datei fest. Diese Kennzeichnung setzen Browser beim Download und Mailprogramme beim Speichern eines Dateianhangs, sie nennt sich auch Mark of the Web (MOTW). Office-Programme wie Word prüfen auf das MOTW und aktivieren gegebenenfalls den Makroschutz.
Klicken Sie die betroffene Datei im Windows-Explorer mit der rechten Maustaste an – hängt sie an einer Mail, speichern Sie sie zuvor in einen Ordner Ihrer Wahl. Wählen Sie aus dem Kontextmenü "Eigenschaften". Auf der Registerkarte "Allgemein" des folgenden Dialogs steht unten der Hinweis "Diese Datei stammt von einem anderen Computer. Der Zugriff wurde aus Sicherheitsgründen eventuell blockiert". Setzen Sie das Häkchen rechts von dem Hinweis beim Kästchen "Zulassen". Der Hinweis verschwindet und die Datei kann mit Makros geöffnet werden. Die MOTW-Kennzeichnung wird dabei aus der Datei entfernt.
Die Makrosperre einer einzelnen Datei heben Sie auf, indem Sie im Explorer-Eigenschaften-Dialog der betreffenden Datei den Schalter "Zulassen" setzen.
Ja. Sie können die Datei in einem Ordner speichern, den Sie zuvor zum vertrauenswürdigen Speicherort erklärt haben. Klicken Sie dazu im Office-Programm auf "Datei/Optionen/Trust Center/Einstellungen für das Trust Center…" und wählen links "Vertrauenswürdige Speicherorte". Klicken Sie auf "Neuen Speicherort hinzufügen…", geben im folgenden Dialog einen Speicherpfad an und aktivieren Sie optional "Unterordner dieses Speicherorts sind ebenfalls vertrauenswürdig". Nachdem Sie alle Dialoge mit "OK" geschlossen haben, können Sie künftig heruntergeladene oder per Mail empfangene Office-Dateien im betreffenden Ordner speichern und dadurch den Schutz automatisch deaktivieren. Die MOTW-Kennung wird dabei nicht entfernt, sondern von Office nur ignoriert. Eine Kopie der Datei aus dem betreffenden Speicherort löst also wieder die Makrosperre aus – auch, wenn Sie sie nicht über das Internet verschicken.
Speichern Sie die Datei jedoch auf einem Datenträger, der nicht mit NTFS formatiert ist, also zum Beispiel einem USB-Stick im FAT- oder FAT32-Format, wird MOTW entfernt und so der Schutz dauerhaft abgeschaltet.
Ja. Dazu müssen Sie den oder die betreffenden Serveradressen in der Systemsteuerung unter "Internetoptionen/Sicherheit" entweder der Zone "Lokales Intranet" oder "Vertrauenswürdige Sites" hinzufügen. Klicken Sie auf "Sites", beim lokalen Intranet zusätzlich noch auf "Erweitert" und tragen im Feld "Diese Webseite zur Zone hinzufügen" die vertrauenswürdige Adresse ein. Um unverschlüsselte Quellen ("http://") zu erlauben, entfernen Sie das Häkchen bei "Für Sites dieser Zone ist eine Serverüberprüfung (https
erforderlich".
Microsoft steckt in einer Zwickmühle. Bei vielen Anwendern – häufig in Unternehmen – sind VBA-Makros wichtiger Bestandteil komplexer Workflows. Eine komplette Sperre käme einer Sabotage gleich. Die Entwickler wagen es vermutlich aus diesem Grund nicht, VBA komplett abzuschalten oder die Sprache so zu verändern, dass Makros zum Beispiel nur noch Zugriff auf Office-Objekte haben und keine externen Programme starten oder externe Libraries nutzen können. Die neue Blockadefunktion legt nur die Latte etwas höher, die Nutzer überspringen müssen, bevor sie Makros starten können. Besonders hoch ist sie aber immer noch nicht.
Ob die Datei die MOTW-Kennung bekommt und Makros somit blockiert werden, hängt vor allem davon ab, wie Sie die Datei aus der Microsoft-Cloud auf Ihren Rechner bekommen. Laden Sie sie zum Beispiel von OneDrive oder OneDrive for Business per Browser herunter, gelten die Zoneneinstellungen in der Systemsteuerung unter "Internetoptionen/Sicherheit". Standardmäßig wird MOTW gesetzt. Nutzen Sie hingegen den OneDrive-Client für Windows und lassen die Datei automatisch synchronisieren, wird die Markierung nicht gesetzt; Makros sind aktiv. Dasselbe gilt, wenn Sie die Datei aus der Webversion eines Office-Programms oder Teams mit "In der App öffnen" beziehungsweise "In Desktop-App öffnen" in ein lokales Office-Programm laden.
Lassen Sie sich von heise.de eine Testmail mit einer Word-Datei (DOC) schicken, die ein harmloses Autostart-Makro enthält. Dazu geben Sie
Die Dateien enthalten einen Alternate Data Stream (ADS) namens "Zone.Identifier". Das ist ein Datensatz mit Informationen über die Herkunft der Datei, unter anderem der ID der Herkunftszone. 0 steht dabei für den eigenen Computer, 1 für das Intranet, 2 für vertrauenswürdige Speicherorte, 3 für das Internet/Mail und 4 für gesperrte Zonen. Falls ein Zone.Identifier in einer Datei vorhanden ist (das prüft zum Beispiel der Kommandozeilenbefehl Dir /r), können Sie ihn per Eingabeaufforderung mit folgendem Befehl auslesen:
notepad <Dateiname>:Zone.Identifier
<Dateiname> ersetzen Sie durch den Pfad und Namen der zu untersuchenden Datei. Es öffnet sich der Windows-Editor, der unter der Überschrift [ZoneTransfer] zum Beispiel ZoneID=3 zeigt. In diesem Fall stammt die Datei aus dem Internet.
Das geht auch mit der PowerShell und direkter Ausgabe im Konsolenfenster mit dem Befehl
Get-Content -path <Dateiname> -stream Zone.Identifier
Eine heruntergeladene oder aus einem Mailanhang gespeicherte Zip-Datei erhält zwar die MOTW-Markierung – die darin enthaltenen Office-Dateien jedoch in der Regel nicht. Der Zip-Mechanismus des Windows-Explorers erkennt das MOTW jedoch in der Archivdatei und setzt es beim Auspacken auch in den enthaltenen Dateien, sogar zusammen mit der Angabe der ursprünglichen Zip-Datei. Letztere lässt sich mit dem PowerShell-Kommando aus der vorherigen Frage auslesen.
Gängige Packprogramme unterstützen hingegen keine NTFS-Streams; Makros in der ausgepackten Office-Datei werden also ungehindert ausgeführt. Eine Ausnahme bildet 7-Zip: Ab der Version 22 können Sie unter "Extras/Optionen…/7-Zip" die Behandlung von MOTW einstellen. Stellen Sie "Propagate Zone.Id Stream" auf "Ja" oder auf "For Office files", um die MOTW-Kennung auch bei ausgepackten Dateien zu setzen, wenn es in der ursprünglichen Zip-Datei aktiv ist.
Quelle: c‘t
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
- dazu entschieden, einen rigorosen Makroschutz für Office-Dateien aus dem Internet oder Mail-Anhängen zu aktivieren – und damit einige Fragen aufgeworfen.Condition Red
Wie äußert sich die Makro-Blockade?Wenn Sie versuchen, ein Office-Dokument(z. B. DOCM, DOC, XLSM) oder eine Vorlagendatei zu öffnen, die aus einer nicht vertrauenswürdigen Quelle wie dem Web oder einem Mailanhang stammt und zudem mindestens ein VBA-Makro enthält, erscheint zwischen Symbolleiste und Arbeitsbereich des zugehörigen Office-Programms eine rot hinterlegte Warnmeldung, dass alle enthaltenen Makros deaktiviert sind, weil sie aus einer nicht vertrauenswürdigen Quelle stammen.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Bei heruntergeladenen oder per Mail empfangenen Office-Dateien weist eine rot hinterlegte Warnung auf die deaktivierten Makros hin.
Ein alter Hut?
Aber eine solche Meldung gab es doch vorher auch schon. Was ist daran neu?Richtig, eine Makrowarnung für Office-Dateien, die Sie aus dem Netz heruntergeladen oder aus einem Mailanhang gespeichert haben, gibt es schon länger. Jedoch stand die auf gelbem Hintergrund und Sie konnten sie mit einem Bestätigungsklick überspringen – und Datei und Makros danach problemlos öffnen. Die neue Makrosperre in Rot enthält zwar auch eine Schaltfläche zum Anklicken ("Weitere Informationen"); die führt aber nur zu einer erklärenden Webseite von Microsoft.
Nur für Office unter Windows
Welche Office-Versionen sind betroffen?Bislang greift der Makroschutz nur in Microsoft Office für Windows, und zwar – je nach Update-Kanal – ab Version 2203 (Aktueller Vorschaukanal) respektive 2206 (Aktueller Kanal). Wie bei Microsoft-Produkten üblich wird das Update nach und nach ausgerollt; es kommt also nicht bei allen Nutzern zum gleichen Zeitpunkt an. Enterprise-Versionen sind je nach Updatefrequenz etwas später dran. Nicht betroffen sind Office für macOS, die Browserversionen (Office Online), Office für Android und iOS. Wann Microsoft den Schutz auch für ältere und Einmalkauf-Office-Versionen (Office 2016, 2019, 2021) scharf schaltet, ist unklar. Angekündigt ist es jedenfalls.
Mark of the Web
Woher weiß Office, dass eine Datei aus dem Internet oder einem Mailanhang stammt?Im NTFS-Dateisystem gibt es zu jeder Datei optionale zusätzliche Datensätze. Einer dieser sogenannten Alternate Data Streams (Zone.Identifier) hält die Quelle einer Datei fest. Diese Kennzeichnung setzen Browser beim Download und Mailprogramme beim Speichern eines Dateianhangs, sie nennt sich auch Mark of the Web (MOTW). Office-Programme wie Word prüfen auf das MOTW und aktivieren gegebenenfalls den Makroschutz.
Schutz aufheben
Wie hebe ich den Makroschutz einer Datei wieder auf?Klicken Sie die betroffene Datei im Windows-Explorer mit der rechten Maustaste an – hängt sie an einer Mail, speichern Sie sie zuvor in einen Ordner Ihrer Wahl. Wählen Sie aus dem Kontextmenü "Eigenschaften". Auf der Registerkarte "Allgemein" des folgenden Dialogs steht unten der Hinweis "Diese Datei stammt von einem anderen Computer. Der Zugriff wurde aus Sicherheitsgründen eventuell blockiert". Setzen Sie das Häkchen rechts von dem Hinweis beim Kästchen "Zulassen". Der Hinweis verschwindet und die Datei kann mit Makros geöffnet werden. Die MOTW-Kennzeichnung wird dabei aus der Datei entfernt.
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Die Makrosperre einer einzelnen Datei heben Sie auf, indem Sie im Explorer-Eigenschaften-Dialog der betreffenden Datei den Schalter "Zulassen" setzen.
Sichere Speicherorte
Gibt es auch noch eine andere Methode?Ja. Sie können die Datei in einem Ordner speichern, den Sie zuvor zum vertrauenswürdigen Speicherort erklärt haben. Klicken Sie dazu im Office-Programm auf "Datei/Optionen/Trust Center/Einstellungen für das Trust Center…" und wählen links "Vertrauenswürdige Speicherorte". Klicken Sie auf "Neuen Speicherort hinzufügen…", geben im folgenden Dialog einen Speicherpfad an und aktivieren Sie optional "Unterordner dieses Speicherorts sind ebenfalls vertrauenswürdig". Nachdem Sie alle Dialoge mit "OK" geschlossen haben, können Sie künftig heruntergeladene oder per Mail empfangene Office-Dateien im betreffenden Ordner speichern und dadurch den Schutz automatisch deaktivieren. Die MOTW-Kennung wird dabei nicht entfernt, sondern von Office nur ignoriert. Eine Kopie der Datei aus dem betreffenden Speicherort löst also wieder die Makrosperre aus – auch, wenn Sie sie nicht über das Internet verschicken.
Speichern Sie die Datei jedoch auf einem Datenträger, der nicht mit NTFS formatiert ist, also zum Beispiel einem USB-Stick im FAT- oder FAT32-Format, wird MOTW entfernt und so der Schutz dauerhaft abgeschaltet.
Server des Vertrauens
Kann man Office-Dateien von einem bekannten Server oder dem Intranet generell von der Makrosperre ausnehmen?Ja. Dazu müssen Sie den oder die betreffenden Serveradressen in der Systemsteuerung unter "Internetoptionen/Sicherheit" entweder der Zone "Lokales Intranet" oder "Vertrauenswürdige Sites" hinzufügen. Klicken Sie auf "Sites", beim lokalen Intranet zusätzlich noch auf "Erweitert" und tragen im Feld "Diese Webseite zur Zone hinzufügen" die vertrauenswürdige Adresse ein. Um unverschlüsselte Quellen ("http://") zu erlauben, entfernen Sie das Häkchen bei "Für Sites dieser Zone ist eine Serverüberprüfung (https
erforderlich".Fragwürdige Schutzwirkung
Wenn es so viele und einfache Möglichkeiten gibt, den Schutz zu umgehen, wo liegt dann der Sicherheitsgewinn der neuen Funktion?Microsoft steckt in einer Zwickmühle. Bei vielen Anwendern – häufig in Unternehmen – sind VBA-Makros wichtiger Bestandteil komplexer Workflows. Eine komplette Sperre käme einer Sabotage gleich. Die Entwickler wagen es vermutlich aus diesem Grund nicht, VBA komplett abzuschalten oder die Sprache so zu verändern, dass Makros zum Beispiel nur noch Zugriff auf Office-Objekte haben und keine externen Programme starten oder externe Libraries nutzen können. Die neue Blockadefunktion legt nur die Latte etwas höher, die Nutzer überspringen müssen, bevor sie Makros starten können. Besonders hoch ist sie aber immer noch nicht.
OneDrive und Teams
Was ist mit Office-Dateien auf OneDrive, SharePoint oder in Teams?Ob die Datei die MOTW-Kennung bekommt und Makros somit blockiert werden, hängt vor allem davon ab, wie Sie die Datei aus der Microsoft-Cloud auf Ihren Rechner bekommen. Laden Sie sie zum Beispiel von OneDrive oder OneDrive for Business per Browser herunter, gelten die Zoneneinstellungen in der Systemsteuerung unter "Internetoptionen/Sicherheit". Standardmäßig wird MOTW gesetzt. Nutzen Sie hingegen den OneDrive-Client für Windows und lassen die Datei automatisch synchronisieren, wird die Markierung nicht gesetzt; Makros sind aktiv. Dasselbe gilt, wenn Sie die Datei aus der Webversion eines Office-Programms oder Teams mit "In der App öffnen" beziehungsweise "In Desktop-App öffnen" in ein lokales Office-Programm laden.
Testmail von heise.de
Ich habe gerade keine Office-Datei mit Makros zur Hand. Wie kann ich testen, ob die Sperre in meinem Office schon aktiv ist?Lassen Sie sich von heise.de eine Testmail mit einer Word-Datei (DOC) schicken, die ein harmloses Autostart-Makro enthält. Dazu geben Sie
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
eine Mailadresse an, an die die Datei geschickt werden soll. Sie erhalten zunächst eine Nachricht mit einem Bestätigungslink. Der führt Sie auf eine Webseite, wo Sie die Testmail anfordern können. Wenn Sie die Mail erhalten haben, öffnen Sie die DOC-Datei im Anhang. Ist der Makroschutz aktiv, erscheint die rot hinterlegte Warnung in Word. Die können Sie zwar mit einem Klick auf das "x" ganz rechts entfernen; das enthaltene Makro bleibt dennoch deaktiviert. Ist der Makroschutz hingegen nicht aktiv, erscheint nur eine gelbe Warnung mit der Schaltfläche "Bearbeitung aktivieren". Ein Klick darauf startet das Makro, das sich mit einem Dialog ("Achtung! Makro wurde ausgeführt!") meldet.MOTW-Forensik
Gibt es außer den Dateieigenschaften im Explorer noch eine andere Methode, um herauszufinden, ob bei einer Datei das MOTW-Attribut gesetzt ist?Die Dateien enthalten einen Alternate Data Stream (ADS) namens "Zone.Identifier". Das ist ein Datensatz mit Informationen über die Herkunft der Datei, unter anderem der ID der Herkunftszone. 0 steht dabei für den eigenen Computer, 1 für das Intranet, 2 für vertrauenswürdige Speicherorte, 3 für das Internet/Mail und 4 für gesperrte Zonen. Falls ein Zone.Identifier in einer Datei vorhanden ist (das prüft zum Beispiel der Kommandozeilenbefehl Dir /r), können Sie ihn per Eingabeaufforderung mit folgendem Befehl auslesen:
notepad <Dateiname>:Zone.Identifier
<Dateiname> ersetzen Sie durch den Pfad und Namen der zu untersuchenden Datei. Es öffnet sich der Windows-Editor, der unter der Überschrift [ZoneTransfer] zum Beispiel ZoneID=3 zeigt. In diesem Fall stammt die Datei aus dem Internet.
Das geht auch mit der PowerShell und direkter Ausgabe im Konsolenfenster mit dem Befehl
Get-Content -path <Dateiname> -stream Zone.Identifier
Die Zip-Lücke
Und was ist mit Office-Dateien in einem Zip-Archiv?Eine heruntergeladene oder aus einem Mailanhang gespeicherte Zip-Datei erhält zwar die MOTW-Markierung – die darin enthaltenen Office-Dateien jedoch in der Regel nicht. Der Zip-Mechanismus des Windows-Explorers erkennt das MOTW jedoch in der Archivdatei und setzt es beim Auspacken auch in den enthaltenen Dateien, sogar zusammen mit der Angabe der ursprünglichen Zip-Datei. Letztere lässt sich mit dem PowerShell-Kommando aus der vorherigen Frage auslesen.
Gängige Packprogramme unterstützen hingegen keine NTFS-Streams; Makros in der ausgepackten Office-Datei werden also ungehindert ausgeführt. Eine Ausnahme bildet 7-Zip: Ab der Version 22 können Sie unter "Extras/Optionen…/7-Zip" die Behandlung von MOTW einstellen. Stellen Sie "Propagate Zone.Id Stream" auf "Ja" oder auf "For Office files", um die MOTW-Kennung auch bei ausgepackten Dateien zu setzen, wenn es in der ursprünglichen Zip-Datei aktiv ist.
Quelle: c‘t
