Freigeben über


Sicherheitsbaseline für Microsoft 365 Apps for Enterprise

Die Sicherheitsbaseline für Microsoft 365 Apps for Enterprise wird zweimal jährlich veröffentlicht, in der Regel im Juni und Dezember. Die aktuellste Version ist Version 2306, die am 29. Juni 2023 veröffentlicht wurde.

Laden Sie das Security Compliance Toolkit herunter, um die Sicherheitsbaseline für Microsoft 365 Apps for Enterprise abzurufen.

Hinweis

Diese Sicherheitsbaseline dient Microsoft 365 Apps for Enterprise. Einige der Richtlinien gelten möglicherweise für andere Versionen von Office, z. B. Office LTSC 2021, Office 2019 oder Office 2016. Sie müssen jedoch ermitteln, welche Richtlinien für diese Versionen gelten.

Übersicht über Sicherheitsbaselines

Eine Sicherheitsbaseline ist eine von Microsoft empfohlene Konfigurationseinstellung für Unternehmenskunden, die in ihren organization bereitgestellt werden können. Sie sollen als Ausgangspunkt für IT-Administratoren dienen, um die Sicherheitsvorteile mit den Produktivitätsanforderungen ihrer Benutzer abzuwägen und entsprechend anzupassen. Diese Einstellungen basieren auf Feedback von Microsoft-Sicherheitsentwicklungsteams, Produktgruppen, Partnern und Kunden.

Sicherheitsbaselines sind für die folgenden Microsoft-Produkte verfügbar:

  • Windows 11, Windows 10 und Windows Server 2022
  • Microsoft 365 Apps for Enterprise
  • Microsoft Edge

Eine Liste der aktuellen Sicherheitsbaselines finden Sie in dieser Versionsmatrix.

Übersicht über das Security Compliance Toolkit

Das Security Compliance Toolkit besteht aus einer Reihe von Tools, mit denen Sicherheitsadministratoren von Microsoft empfohlene Sicherheitskonfigurationsbaselines für Microsoft-Produkte herunterladen, analysieren, testen, bearbeiten und speichern können.

Mithilfe des Toolkits können Administratoren ihre aktuellen Gruppenrichtlinienobjekte mit von Microsoft empfohlenen GPO-Baselines oder anderen Baselines vergleichen, bearbeiten, im GPO-Sicherungsdateiformat speichern und sie allgemein über Active Directory oder einzeln über lokale Richtlinien anwenden.

Weitere Informationen finden Sie unter Microsoft Security Compliance Toolkit 1.0.

Inhalt der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise

Der Download der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise enthält Dokumentation, GP-Berichte, GpOs, Skripts und die administrative Vorlage "MS-Sicherheitshandbuch". Die folgenden Abschnitte enthalten zusätzliche Informationen zu einigen dieser Bereiche.

Gruppenrichtlinie Objects (GPOs)

Der Download der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise enthält mehrere vorkonfigurierte Gruppenrichtlinie Objects (GPOs).

Die meisten Organisationen können problemlos die empfohlenen Einstellungen implementieren, die in den Gruppenrichtlinienobjekten "Computer " und " Benutzer " enthalten sind.

Es gibt jedoch einige Einstellungen, die bei einigen Organisationen zu Betriebsproblemen führen. Wir haben verwandte Gruppen solcher Einstellungen in ihre eigenen GPOs unterteilt, um organisationen das Hinzufügen oder Entfernen dieser Einschränkungen als Gruppe zu erleichtern. Diese Einstellungen sind in den folgenden vier separaten Gruppenrichtlinienobjekten enthalten:

  • DDE-Block: Benutzer: Ein Benutzerkonfigurations-GPO, das die Verwendung von DDE blockiert, um nach vorhandenen DDE-Serverprozessen zu suchen oder neue zu starten.

  • Legacydateiblock: Benutzer, ein Benutzerkonfigurations-GPO, das verhindert, dass Office-Anwendungen ältere Dateiformate öffnen oder speichern.

  • Legacy-JScript-Block: Computer, ein Gruppenrichtlinienobjekt für die Computerkonfiguration, das die JScript-Legacyausführung für Websites in der Internetzone und der Zone für eingeschränkte Sites deaktiviert.

  • Makrosignierung erforderlich: Der Benutzer ist ein Benutzerkonfigurations-GPO, das nicht signierte Makros in jeder Office-Anwendung deaktiviert.

Das Skript für lokale Richtlinien mit dem Namen Baseline-LocalInstall.ps1 bietet Befehlszeilenoptionen zum Steuern, ob diese Gruppenrichtlinienobjekte installiert sind.

"MS-Sicherheitshandbuch" Administrative Vorlage

Der Download der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise enthält die administrative Vorlage "MS-Sicherheitshandbuch". Die SecGuide ADMX/ADML-Dateien enthalten zwei Einstellungen, die für Office-Administratoren von Interesse sind:

  • Flashaktivierung in Office-Dokumenten blockieren
  • Einschränken der Legacy-JScript-Ausführung für Office

Die Einstellung "Flashaktivierung in Office-Dokumenten blockieren" ist nur in der administrativen Vorlage "MS-Sicherheitshandbuch" verfügbar. Die Einstellung "Einschränken der JScript-Legacyausführung für Office" ist auch als Gruppenrichtlinienobjekt im Download der Sicherheitsbaseline verfügbar, wie im vorherigen Abschnitt erwähnt.

Diese Einstellungen werden in der Gruppenrichtlinie Management Console unter Computerkonfiguration\Richtlinien\Administrative Vorlagen\MS-Sicherheitshandbuch angezeigt.

Dokumentation mit verfügbaren Richtlinien und Empfehlungen zur Sicherheitsbaseline

Der Download der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise enthält eine Excel-Datei, in der die verfügbaren Richtlinien für Computerkonfiguration und Benutzerkonfiguration aufgeführt sind. Die Datei enthält auch die Einstellungen, die in der administrativen Vorlage "MS-Sicherheitshandbuch" verfügbar sind.

Sie können die Spalte Bereich nach Sicherheitsbaseline filtern, um die Richtlinien anzuzeigen, die Teil der Sicherheitsbaseline sind. Sie können auch sehen, wie die Einstellung in der Sicherheitsbaseline für jede dieser Richtlinien konfiguriert wird.

Sie können auch die Spalte Bereichskategorie filtern, um Gruppierungen verwandter Richtlinien zu finden. Sie können z. B. nach FileBlock oder nach Makros filtern.

Darüber hinaus gibt es eine Farbcodierung in der Spalte MSFT Office 365 Baseline, um anzugeben, welche Richtlinien von den vier separaten Gruppenrichtlinienobjekten abgedeckt werden, die zuvor erwähnt wurden. Die Legende, die die Farben erläutert, finden Sie im Informationsblatt in der Excel-Datei.

Die Excel-Datei enthält die folgenden Spalten.

Spaltenname Inhaltsbeschreibung
Richtlinienpfad Der Speicherort der Richtlinie in der Gruppenrichtlinie Management Console.
Name der Richtlinieneinstellung Der Name der Richtlinie
MSFT Office 365 Baseline Der empfohlene Sicherheitsbaselinestatus oder -wert, auf den bzw. den die Richtlinie festgelegt werden soll.
Bereich Der Bereich der Politik.

Richtlinien mit "Sicherheitsbaseline" werden empfohlen.

Anmerkung: Richtlinien mit "Sicherheit" sind nicht in den Empfehlungen der Sicherheitsbaseline enthalten. Es handelt sich um restriktivere Sicherheitsrichtlinien.
Bereichskategorie Die Technologiekategorie, die von der Richtlinie gesteuert wird.
Registrierungsinformationen Der Speicherort in der Registrierung, in dem der Status der Richtlinie gespeichert ist.
Hilfetext Die Beschreibung der Richtlinie.

Einige zusätzliche Informationen zu diesen Richtlinien finden Sie in der Excel-Datei, die im Download der Gruppenrichtlinie Administrative Vorlagendateien (ADMX/ADML) für Office enthalten ist.