Das empfiehlt das BSI

Office vor Viren schützen

23.10.2019 von Arne Arnold
Die meisten Viren kommen per Mail auf den Rechner – und am häufigsten stecken die Schädlinge in Office-Dateien für Microsoft Word, Excel & Co. Für mehr Schutz gegen solche und andere Angriffe hat nun das BSI die besten Sicherheitseinstellungen für Office veröffentlicht.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sich Microsoft Office vorgenommen und herausgefunden, was die besten Einstellungen hinsichtlich Sicherheit, Datenschutz und Funktionalität sind. Angewendet werden diese Einstellungen per Gruppenrichtlinien. In diesem Beitrag stellen wir die Empfehlungen des BSI vor und erklären ausführlich, wie Sie diese Einstellungen für Ihr Office umsetzen können.

So sieht ein sicheres Office aus

Sicherheit, Datenschutz und Komfort vertragen sich meist nicht gut miteinander. Wenn Sie sich etwa einen Text in Word in eine andere Sprache übersetzen lassen, ist das sehr komfortabel. Doch Word lädt den Text dafür auf Microsoft-Server, wo er grundsätzlich für Microsoft einsehbar ist. Wenn Sie diese Funktion deaktivieren, erhöhen Sie den Datenschutz, verlieren aber Komfort. Das BSI selbst weist ausdrücklich darauf hin, dass es sich bei den empfohlenen Einstellungen um einen Kompromiss zwischen Datenschutz, Sicherheit und Funktionalität handelt. Im Fokus stehen bei den BSI-Empfehlungen mittelgroße und große Firmen. Wir sehen dabei allerdings eine große Deckung mit den Bedürfnissen eines Privatanwenders. Auch dieser möchte produktiv arbeiten und entsprechende Online-Funktionen von Office nutzen, ohne deswegen auf ein sicheres Outlook verzichten zu müssen.

Dennoch bleiben die Vorlagen des BSI ein Kompromiss – für Firmen genauso wie für den Nutzer zu Hause. Prüfen Sie also die genannten Einstellungen, ob Sie bei Ihrem Office die Zügel nicht doch fester anlegen wollen – oder mehr erlauben möchten.

Voraussetzung: Windows Pro

Es müssen vier Voraussetzungen erfüllt sein, damit Sie die BSI-Empfehlungen umsetzen können.

1. Windows Pro: Sie benötigen Windows Pro 7, 8 oder 10. Die Pro-Version ist nötig, da die Einstellungen per Gruppenrichtlinien umgesetzt werden. Und diese benötigen das Tool „Editor für Gruppenrichtlinien“ (Befehl gpedit.msc), das nur in der Pro-Version funktioniert.

2. Office: Außerdem benötigen Sie Microsoft Office 2013, 2016 oder 2019. Das BSI weist darauf hin, dass einige Einstellungen auf Office 2013 keine Auswirkung haben, da es die entsprechende Funktion in dieser Version noch nicht gibt. In unserem Test funktionierten die Einstellungen auch für Office 365. Allerdings kommen bei dieser Abo-Version laufend neue Funktionen hinzu, sodass sich durch ein Update die Sicherheitskonfiguration ändern kann.

3. BSI-Empfehlungen: Seine Vorschläge bietet das BSI in sieben PDF-Dateien an.

4. Gruppenrichtlinien-Vorlagen: Von Microsoft selber stammen die Gruppenrichtlinien-Vorlagen, die per ADMX-Dateien daherkommen ( Download). Es gibt sie für 32- und 64-Bit-Systeme. In den Gruppenrichtlinien ist an fast allen Stellen in den Beschreibungstexten nur von „Office 2016“ die Rede. Dennoch gelten die Richtlinien offiziell auch für Office 2019 und 365. Microsoft hat sich einfach die Arbeit erspart, die Angaben in den Texten zu korrigieren. Laut BSI funktionieren die Regeln zudem auch für Office 2013, wenn auch mit kleinen Einschränkungen.

Der Gruppenrichtlinien-Editor

Der „Editor für Gruppenrichtlinien“ in den Pro-Versionen von Windows verwaltet viele Einstellungen von Windows und Windows-Anwendungen, etwa Office.

Microsoft gibt Administratoren Gruppenrichtlinien an die Hand, um damit beliebig viele PCs auf einen Schlag konfigurieren zu können. Die Gruppenrichtlinien werden in diesem Fall auf einem Server verwaltet und von diesem aus an die PCs verteilt. Auf Englisch wird eine Gruppenrichtlinie „Group Policy Object“ genannt, weshalb in Fachtexten oft die Abkürzung GPO auftaucht. Eine einzelne Richtlinie steuert eine Einstellung einer Windows-Funktion oder -anwendung. Gruppenrichtlinien-Vorlagen, wie Sie sie von Microsoft herunterladen können, sind ein ganzes Bündel von Richtlinien.

In unserem Fall steuern die Microsoft-Vorlagen für Office über 3000 Einstellungen für das Büropaket. Das BSI hat daraus 457 Richtlinien für eine sichere Konfiguration herausgesucht. Grundsätzlich funktioniert die Nutzung der Richtlinien auch ohne Server, denn das Tool „Editor für Gruppenrichtlinien“ ist in jedem Windows Pro integriert. Starten Sie die Software unter Windows 10, indem Sie in das Suchfeld gpedit eingeben und dann „Gruppenrichtlinie bearbeiten“ aus dem Menü auswählen. Alternativ geben Sie die Tastenkombination Windows-R ein und dann gpedit.msc eingeben.

Sie können per Gruppenrichtlinie verhindern, dass Windows Ihre zuletzt geöffneten Dateien zeigt.

Wir gehen hier von einem Heim-PC aus, der an keinen Firmen-Server angeschlossen ist. Im Editor für Gruppenrichtlinien finden sich dann links unter dem Eintrag „Richtlinien für Lokaler Computer“ die Punkte „Computerkonfiguration“ und „Benutzerkonfiguration“, die weitere Unterordner enthalten. Die Wege zu diesen Einträgen bis hin zu einer Regel beschreiben wir wie Menübefehle, etwa „Benutzerkonfiguration –› Administrative Vorgaben –› Startmenü und Taskleiste –› Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren“. Das ist ein Beispiel für eine Gruppenrichtlinie, die eine Einstellung von Windows betrifft. Es geht um die Liste der zuletzt geöffneten Dateien und Ordner. Diese Liste können Sie sich unter „C:\User\[Benutzername]\Recent“ im Windows-Explorer anzeigen lassen.

Wer nicht möchte, dass Windows diese Information über das Nutzerverhalten speichert, lässt die Liste bei jedem Herunterfahren von Windows löschen. Das geht über die eben genannte Richtlinie „Benutzerkonfiguration –› Administrative Vorgaben –› Startmenü und Taskleiste –› Beim Beenden die Liste der zuletzt geöffneten Dokumente leeren“. Wählen Sie dort „Aktiviert“ und bestätigen Sie mit „OK“. Diese Gruppenrichtlinie ist bereits in Windows integriert. Die Richtlinien für Office müssen Sie zuerst von Microsoft herunterladen, entpacken und in das richtige Verzeichnis kopieren.

Die Vorlagen-Dateien für die Office-Gruppenrichtlinien kommen als EXE-Datei. Ein Doppelklick darauf entpackt die Vorlagen-Dateien im ADMX-Format in ein von Ihnen wählbares Verzeichnis.

Das Entpacken der Gruppenrichtlinie geht über einen Doppelklick auf die Datei admintemplates_x64_4888-1000_en-us.exe für 64-Bit-Systeme, wobei Sie den Ordner angeben können, in dem der Inhalt gespeichert werden soll. Wechseln Sie in diesen Ordner und dann in das Verzeichnis „ADMX“. Darin markieren Sie alle Dateien mit der Endung .ADMX und den Ordner „dede“. Diese Auswahl kopieren Sie in den Ordner C:\Windows\PolicyDefinitions (oder %SYSTEMROOT%\PolicyDefinitions).

Bei diesen ADMX-Dateien (Administrationsdateien) handelt es sich um die Vorlagendateien für Office, die wirksam sind, sobald Sie sie in den Ordner PolicyDefinitions kopiert haben. Bearbeiten lassen sie sich mit dem genannten „Editor für Gruppenrichtlinien“, der intern auch „Gruppenrichtlinienobjekt- Editor“ genannt wird.

Technik-Trends 2019:Digitale Sicherheit

BSI-Tabelle in PDF-Form

So sehen die PDF-Dateien des BSI mit den Empfehlungen für die Gruppenrichtlinien von Microsoft Office aus. Insgesamt gibt es sieben PDFs, die zwischen 19 und 111 Regeln umfassen.

Am Ende dieses Beitrags haben wir die Empfehlungen des BSI zu Einstellung der Gruppenrichtlinien für Office auszugsweise angefügt. Die Daten entsprechen dem Inhalt des PDFs „ Sichere Konfiguration von Microsoft Office 2013/2016/2019“ mit dem Dateinamen BSI-CS_135.pdf. Es stellt für alle Anwendungen von Office grundlegende Weichen in Sachen Sicherheit. Entsprechend lohnt es sich, sich die Empfehlungen dieses Dokuments anzusehen. Für die sechs Einzelprogramme Access, Excel, Outlook, Powerpoint, Visio und Word gibt es eigene PDFs.

Im Überblick: Programme und PDFs aus diesem Beitrag

Name

Beschreibung

System

Gruppenrichtlinien-Vorlagen für Microsoft Office

Vorlagen für Office 365 Pro Plus, 2019, 2016

Windows Pro 7, 8, 10

Sichere Konfiguration von Microsoft Excel 2013/2016/2019, Dateiname: BSI-CS_136.pdf

PDF mit GPO-Einstellungen* für Office

Windows Pro 7, 8, 10

Sichere Konfiguration von Microsoft Office 2013/2016/2019, Dateiname: BSI-CS_135.pdf

PDF mit GPO-Einstellungen* für Office

Windows Pro 7, 8, 10

Sichere Konfiguration von Microsoft Outlook 2013/2016/2019, Dateiname: BSI-CS_139.pdf

PDF mit GPO-Einstellungen* für Office

Windows Pro 7, 8, 10

Sichere Konfiguration von Microsoft PowerPoint 2013/2016/2019, Dateiname: BSI-CS_137.pdf

PDF mit GPO-Einstellungen* für Office

Windows Pro 7, 8, 10

Sichere Konfiguration von Microsoft Visio 2013/2016/2019, Dateiname: BSI-CS_141.pdf

PDF mit GPO-Einstellungen* für Office

Windows Pro 7, 8, 10

Sichere Konfiguration von Microsoft Word 2013/2016/2019, Dateiname: BSI-CS_138.pdf

PDF mit GPO-Einstellungen* für Office

Windows Pro 7, 8, 10

Sichere Konfiguration von Microsoft Access 2013/2016/2019, Dateiname: BSI-CS_140.pdf

PDF mit GPO-Einstellungen* für Office

Windows Pro 7, 8, 10

Vorsicht bei Änderungen

Die BSI-Empfehlungen für die sichere Konfiguration stellen ein gutes Gesamtpaket dar. Die einzelnen Richtlinien haben dabei unterschiedlich große Auswirkungen auf Ihr Office. So hat etwa die Empfehlung Nummer 46 „Veröffentlichen auf einem DAV-Server verhindern“ aus den Richtlinienempfehlungen für Outlook keinen Einfluss auf die meisten privaten Installationen. Es sei denn, Sie haben sich Ihren Outlook-Kalender auf einen Onlineserver ausgeleitet. Doch auch wenn diese Einstellung bei Ihnen keine Auswirkung hat, ist es sinnvoll, sie zu aktivieren. Denn dann kann auch kein Schadcode Ihren Kalender auf einen DAV-Server ausleiten.

Andere Einstellungen haben auf Heim-Installationen ebenfalls keine sinnvolle Auswirkung, sollten aber nicht gesetzt werden. So etwa die BSI-Empfehlung Nummer 68 „Alle E-Mail-Nachrichten signieren“ aus den Richtlinienempfehlungen für Outlook. Denn die meisten Heiminstallationen haben kein Zertifikat fürs Signieren einer Mail installiert. Wer diese Empfehlung aktiviert, erhält beim Versand einer Mail eine Fehlermeldung und kann die Nachricht nicht abschicken. Das klappt erst dann wieder, wenn Sie die Richtlinie zurück auf „Deaktiviert“ oder „Nicht konfiguriert“ gesetzt haben.

Darum gilt grundsätzlich: Ändern Sie nur die Richtlinien, die Sie auch verstehen.

Wichtige Beschreibungstexte

Der Name einer Regel ist meist nur ein paar Wörter lang. In vielen Fällen reicht das nicht aus, um ihre Aufgabe zu verstehen. Gehen Sie in diesen Fällen im Gruppenrichtlinien-Editor zur genannten Regel und klicken Sie diese an. Es erscheint ein Beschreibungstext, der meist Klarheit in die Auswirkungen der Regel bringt. Zumindest wir fanden es dabei hilfreich, sowohl den Absatz zur Wirkung bei „Aktivieren“ als auch den bei „Deaktivieren“ zu lesen.

Falls sich auch dann die Auswirkung der Regel nicht erschließt und auch eine Google-Suche nicht weiterhilft, kann man von einer Änderung entweder die Finger lassen oder Sie notieren sich den Schlüssel in einer separaten Liste. Sollte Office dann mal nicht wie gewünscht reagieren, können Sie auf diese Liste zurückgreifen und die gemachten Änderungen testweise zurücknehmen. Das funktioniert allerdings auch nur dann, wenn diese Liste nicht zu viele Einträge hat.

Große Hebel für mehr Sicherheit

Die Regel „Office-Dokumente beim Browsen mit Lese-/Schreibzugriff senden“ (in BSI-CS_135.pdf) ist ein gutes Beispiel für den Beschreibungstext: Erst wenn man den kompletten Text liest, versteht man die Regel.

Das BSI hat aus über 3000 rund 460 Regeln herausgesucht. Davon sind für typische Office-Installationen zu Hause vielleicht rund 150 bis 200 Regeln sinnvoll. Welche das sind, hängt jedoch von Ihrer Nutzung und Konfiguration ab, weshalb wir keine weitere Eingrenzung des Regelsatzes vornehmen können. Was uns aufgefallen ist, sind ein paar große Hebel für die Konfiguration. Es sind die BSI-Empfehlungen 56 bis 59 für Office im Dokument BSI-CS_135.pdf. Es geht um die Regeln für „verbundene Erfahrungen“. So können Sie etwa Regel 56 „Die Verwendung verbundener Erfahrungen in Office zulassen“ deaktivieren und haben damit die Übersetzungsfunktion in allen Office-Anwendungen ebenso deaktiviert wie etliche weitere Onlinefunktionen. Was alles hinter den „verbundenen Erfahrungen“ steckt, verrät Microsoft hier. Natürlich ist bei einem so großen Hebel auch der Verlust an Komfort und Funktionalität besonders groß. Entsprechend bleiben beim BSI die „verbundenen Erfahrungen“ aktiviert.

Mehr Sicherheit für Outlook gemäß BSICS_139.pdf: Unterhalb von „Benutzerkonfiguration –› Administrative Vorlagen –› Microsoft Outlook 2016 –› Sicherheit“ konfigurieren Sie den Schutz für Ihr Outlook. Die Sicherheitseinstellungen für Makros finden Sie an dieser Stelle im Unterordner „Trust Center“ und den BSI-Empfehlungen 109 bis 111. Doch auch die übrigen Empfehlungen haben allesamt Auswirkungen auf die Sicherheit von Outlook. So verhindert Empfehlung 25 „Alle nicht verwalteten Add-ins blockieren“, dass sich heimlich ein verseuchtes Add-in einschleicht. Allerdings geht das zulasten des Komforts, denn wenn Sie diese Richtlinie aktivieren, können auch Sie selber kein Add-in installieren.

Empfehlung: So gehen Sie vor

Wenn Sie über die Gruppenrichtlinien für Office die „verbundenen Erfahrungen“ deaktivieren, funktioniert der Übersetzer in Word & Co. nicht mehr. Das ist gut für den Datenschutz, aber schlecht für den Komfort.

Sie profitieren am besten von den BSI-Einstellungen, wenn Sie sich alle 457 Vorgaben ansehen und die für Sie passenden umsetzen. Das ist allerdings eine sehr zeitaufwendige Arbeit. Wer nicht so viel Zeit investieren möchte, sollte sich zumindest die BSI-Empfehlungen zu Office (Dokument BSI-CS_135.pdf) ansehen und die persönlich interessanten Einstellungen übernehmen. Darüber hinaus kommt es darauf an, mit welcher Anwendung Sie außerdem arbeiten. Wenn Sie Microsoft Projekt nicht verwenden, müssen Sie die Richtlinien auch nicht konfigurieren. Nutzen Sie aber noch Outlook (Dokument BSI-CS_139.pdf) und Excel ( BSI-CS_136.pdf), lohnt sich bestimmt auch ein Blick in diese Listen.

Alles rückgängig machen:Sollte eine Office-Anwendung nach dem Aktivieren der neuen Richtlinien nicht mehr wie gewünscht funktionieren und Sie wissen nicht, welche Richtlinie genau schuld daran ist, dann können Sie auch einfach die Gruppenrichtliniendatei aus dem Ordner C:\Windows\Policy-Definitions verschieben oder löschen. Sollte etwa Outlook betroffen sein, verschieben Sie die Datei outlk16.admx; ist Word betroffen, wählen Sie word16.admx. Sollte das nicht helfen, verschieben oder löschen Sie office16.admx, also die Gruppenrichtlinienvorlage, die Änderungen für alle Office-Anwendungen vornimmt.

Und zum Schluss noch ein Hinweis des BSI: „Die Konfiguration der Gruppenrichtlinien hilft nur dabei, die Angriffsfläche [...] zu verringern.“ Ein Restrisiko bleibt bestehen.

Microsoft Office sicher konfigurieren

Empfehlungen des BSI für eine sichere Konfiguration von Microsoft Office per Gruppenrichtlinien-Editor (gekürzte Fassung von BSI-CS_135.pdf)

Nicht Standard

Einstellung

Computerrichtlinien

Aktualisierungen

1.

Automatische Updates aktivieren

Ja

2.

Aktualisierungspfad

x

Pfad zum Speicherort

3.

Option zum Aktivieren oder Deaktivieren von Updates ausblenden

x

Ja

4.

Upgrade von Office 2019 auf Office 365 (nicht in Office 2013 verfügbar)

Nein

Sicherheitseinstellungen

5.

Grafikfilterimport

Nein

6.

Kennwortzwischenspeicherung deaktiviert

Nein

7.

VBA für Office-Anwendungen deaktivieren

x

Ja

8.

Paketreparatur deaktivieren

Nein

Sicherheitseinstellungen > IE-Sicherheit

9.

ActiveX-Installation einschränken

x

Ja

10.

Dateidownload einschränken

x

Ja

11.

Add-On-Verwaltung

x

Ja

12.

Sperrung der Zone des lokalen Computers

x

Ja

13.

Konsistente MIME-Verarbeitung

Ja

14.

Sicherheitsfeature für MIME-Ermittlung

x

Ja

15.

Objektzwischenspeicherungsschutz

x

Ja

16.

Sicherheitseinschränkungen für Skriptfenster

x

Ja

17.

Schutz vor Zonenanhebung

x

Ja

18.

Informationsleiste

x

Ja

19.

Benutzername und Kennwort deaktivieren

x

Ja

20.

Binden an Objekt

x

Ja

21.

Gespeichert von URL

x

Ja

22.

URL navigieren

x

Ja

Benutzerrichtlinien

Dokumentinformationsbereich

23.

Dokumenteninformationsbereich für Signal übertragende Elemente der Benutzeroberfläche

x

Benutzeroberfläche immer anzeigen

24.

Dokumenteninformationsbereich deaktivieren

x

Ja

Add-Ins Microsoft „Speicher als PDF“ und „Speichern als XPS“

25.

Einschließen von Dokumenteigenschaften in PDF- und XPS-Ausgabe deaktivieren

x

Ja

Eingeschränkte Berechtigungen verwalten

26. - 31.

Anmerkung von PC-WELT: Diese Richtlinien bestimmen Nutzerrechte überwiegend in Unternehmenskonfigurationen. Sie finden die Richtlinien im PDF BSI-CS_135.pdf

Telemetriedashboard

32.

Telemetrie-Datensammlung aktivieren

Nein

33.

Datenschutzeinstellungen im Office-Telemetrie-Agent aktivieren

x

Ja

34.

Hochladen von Daten für den Office-Telemetrie-Agent

Nein

Smart Document‘s (Word, Excel)

35.

Manifestverwendung durch Smart Document's deaktivieren

x

Ja

Signieren

36. - 39.

Anmerkung von PC-WELT: Diese Richtlinien betreffen Signaturen. Sie finden die Richtlinien im PDF BSI-CS_135.pdf

Servereinstellungen

40.

Abrufen veröffentlichter Hyperlinks von Sharepoint Server durch den Office-Client deaktivieren

x

Ja

Verschiedenes

41.

Onedrive-Anmeldung anzeigen

x

Nein

42.

Screenshots nicht automatisch mit einem Link versehen

x

Ja

43.

Anmeldung bei Office blockieren

x

Ja

44.

Steuerelementbloggen

x

Ja

Globale Optionen > Benutzerdefiniert

45.

Alle Benutzeranpassungen deaktivieren

x

Ja

46.

Benutzeroberflächenerweiterung von Dokumenten und Vorlagen deaktivieren

x

Ja

Online präsentieren

47.

Office-Präsentationsdienst aus der Liste der Onlinepräsentationsdienste in Powerpoint und Word entfernen

x

Ja

48.

Einschränken des programmgesteuerten Zugriffs für das Erstellen von Onlinepräsentationen in Powerpoint und Word

x

Ja

49.

Verhindern, dass Benutzer Onlinepräsentationsdienste in Powerpoint und Word hinzufügen können

Ja

Online präsentieren > Präsentationsdienste

50.

Präsentationsdienst in PowerPoint und Word konfigurieren #1 bis #10

Nein

Datenschutz > Trust Center

51.

Einschließen eines Screenshots in das Office-Feedback zulassen

x

Nein

52.

Bestätigungsassistenten bei der ersten Ausführung deaktivieren

x

Ja

53.

Automatisches Empfangen kleiner Updates zur Verbesserung der Zuverlässigkeit

x

Nein

54.

Programm zur Verbesserung der Benutzerfreundlichkeit aktivieren

x

Nein

55.

Office-Feedback senden

x

Nein

56.

Die Verwendung verbundener Erfahrungen in Office zulassen (nicht für Office 2013 verfügbar)

x

Getrennt

57.

Die Verwendung verbundener Erfahrungen, die Inhalt analysieren, in Office zulassen (nicht für Office 2013 verfügbar)

x

Deaktiviert

58.

Die Verwendung verbundener Erfahrungen, die Onlineinhalte herunterladen, in Office zulassen (nicht für Office 2013 verfügbar)

x

Deaktiviert

59.

Die Verwendung zusätzlicher optionaler verbundener Erfahrungen in Office zulassen (nicht für Office 2013 verfügbar)

x

Deaktiviert

60.

Stufe der von Office an Microsoft gesendeten Clientsoftware-Diagnosedaten konfigurieren (nicht für Office 2013 verfügbar)

x

Weder noch

61.

Persönliche Informationen senden (nicht in Office 2013 verfügbar)

x

Nein

Dienste

62.

Office-Roamingbenutzereinstellungen deaktivieren

x

Ja

Dienste > Fax

63.

Internetfaxfeature deaktivieren

x

Ja

Extras | Optionen | Allgemein | Dienstoptionen > Onlineinhalte

64.

Onlineinhalteoptionen

x

Ja

Extras | Optionen | Allgemein | Weboptionen > Dateien

65.

Office-Dokumente beim Browsen mit Lese-/Schreibzugriff senden

Nein

Extras | Optionen | Rechtschreibprüfung für Datensammlung

66.

Korrekturhilfen verbessern

x

Nein

Sicherheitseinstellungen

67.

Benutzeroberfläche für PDF-Verschlüsselungseinstellung deaktivieren

Nein

68.

OLE-Objekte überprüfen

Ja

69.

Excel-RTD-Server überprüfen

Nein

70.

Verschlüsselungstyp für kennwortgeschützte Office Open XML-Dateien

x

Microsoft Enhanced RSA und AES Cryptographic Provider, AES-256, 256-Bit

71.

Mindestlänge für Kennwort festlegen

x

Ja

72.

Automatisierungssicherheit

x

Ja

73.

Alle ActiveX-Steuerelemente deaktivieren

x

Ja

74.

Kennwort zum Öffnen der Benutzeroberfläche deaktivieren

Nein

75.

Dokumentmetadaten für kennwortgeschützte Dateien schützen

x

Ja

76.

OWC-Datenquellenanbieter überprüfen

x

Ja

77.

Verschlüsselungstyp für kennwortgeschützte Office 97-2003-Dateien

x

Microsoft Enhanced RSA und AES Cryptographic Provider, AES-256, 256-Bit

78.

Linkwarnungen unterdrücken

Nein

79.

ActiveX-Objekte überprüfen

IE-Killbitliste außer Kraft setzen

80.

Fehlerberichterstattung für Dateien mit Dateiüberprüfungsfehlern deaktivieren

x

Ja

81.

Dokumenteigenschaften verschlüsseln

x

Ja

82.

Dokumentmetadaten für Office Open XML-Dateien, deren Rechte verwaltet werden, schützen

x

Ja

83.

VBA für Office-Anwendungen deaktivieren

x

Ja

84.

Steuerelemente in Forms3 laden

1

85.

In Word und Excel können keine verwalteten Codeerweiterungen geladen werden

x

Ja

86.

Regelstufe für Kennwort festlegen

x

Prüfung der lokalen Länge und lokalen Komplexität ...

87.

ActiveX-Steuerelementinitialisierung

4

88.

Kennworthashformat als ISO-kompatibel festlegen

x

Ja

89.

Domänentimeout für Kennwortregeln festlegen

4000

90.

Alle Benachrichtigungen für Vertrauensstellungsleiste aus Sicherheitsgründen deaktivieren

x

Nein

Sicherheitseinstellungen > Digitale Signaturen und Sicherheitseinstellungen > Hinterlegte Zertifikate

91. bis 110.

Anmerkung von PC-WELT: Diese Richtlinien betreffen digitale Signaturen. Details im PDF BSI-CS_135.pdf

Sicherheitseinstellungen > Trust Center

111.

Vertrauenswürdiger Speicherort #1 bis #20

Nein

112.

Mischung aus Richtlinien- und Benutzerspeicherorten zulassen

x

Nein

Sicherheitseinstellungen > Trust Center > Geschützte Ansicht

113.

Unsicherer Speicherort #1 bis #20

Nein

Sicherheitseinstellungen > Trust Center > Vertrauenswürdige Kataloge

114. - 117.

Anmerkung von PC-WELT: Diese Richtlinien betreffen Kataloge. Details im PDF BSI-CS_135.pdf