Sicherheitshinweise für Office-Lösungsentwickler
Festlegen der Office-Sicherheit in einer Testumgebung
Hinweis
Sie können Visual Basic for Applications (VBA)-Code einschließen oder COM-Add-Ins nur in einem Dokument, arbeitsblatt oder einer Präsentation mit Makros ausführen. Sie können eine Makro-fähige Datei erstellen, indem Sie die Dokumente mit der Erweiterung .docm oder .dotm in Word speichern. eine XLSM-, XLTM- oder XLAM-Erweiterung in Excel; oder eine PPTM-, POTM-, PPAM- oder PPSM-Erweiterung in PowerPoint.
Um ein nicht signiertes COM-Add-In zu installieren und auszuführen, müssen die Optionen Anwendungs-Add-Ins müssen vom vertrauenswürdigen Herausgeber signiert werden und Alle Anwendungs-Add-Ins deaktivieren auf der Registerkarte Add-Ins im Trust Center deaktiviert werden. Um die Registerkarte Add-Ins zu öffnen, wählen Sie die Registerkarte Datei und dann Optionen>Trust CenterTrust Center> Einstellungen >Add-Ins aus.
Um alle VBA-Makros auszuführen – auch die Makros ohne digitale Signatur –, muss im Sicherheitscenter die Option Alle Makros aktivieren aktiviert sein. Um die Makroeinstellungen anzuzeigen, wählen Sie die Registerkarte Datei und dann Optionen>Trust CenterTrust Center> Einstellungen >Makros Einstellungen aus. Aus Sicherheitsgründen wird dringend empfohlen, dies nur in einer Testumgebung durchzuführen. Legen Sie die Optionen nach Abschluss des Tests wieder auf ihren ursprünglichen Zustand fest.
Legen Sie im Trust Center auf der Registerkarte Makroeinstellungen die Optionen Alle Makros ohne Benachrichtigung deaktivieren, Alle Makros mit Benachrichtigung deaktivieren oder Alle Makros außer digital signierten Makros deaktivieren fest. Deaktivieren Sie Makros, indem Sie das Word-Dokument, das Excel-Arbeitsblatt oder die PowerPoint-Präsentation als makroaktivierte Dateien (.docm, .xlsm oder .pptm) speichern. Legen Oder deaktivieren Sie den Zugriff auf das VBA-Projektobjektmodell über die Registerkarte Makroeinstellungen , indem Sie die Option Zugriff auf das VBA-Projektobjektmodell vertrauen auswählen oder deaktivieren.
Hinweis
Auf dem Menüband der Office Fluent-Benutzeroberfläche werden die Steuerelemente, wenn COM- und anwendungsspezifische Add-Ins aktiviert und geladen sind, auf der Registerkarte Add-Ins angezeigt.
Eine Liste der verfügbaren Add-Ins finden Sie auf der Registerkarte Add-Ins im Trust Center. Aktivieren, deaktivieren, hinzufügen oder entfernen Sie COM- oder Word-Add-Ins, indem Sie den Typ des Add-Ins im Dropdownfeld neben der Bezeichnung Verwalten auswählen und dann die Schaltfläche Los auswählen.
Ändern der Windows-Registrierung
Das Ändern der Windows-Registrierung auf beliebige Weise, sei es im Registrierungs-Editor oder programmgesteuert, birgt immer ein gewisses Risiko. Eine falsche Änderung kann zu schwerwiegenden Problemen führen, wodurch das Betriebssystem unter Umständen neu installiert werden muss. Es ist immer eine bewährte Methode, zuerst die Registrierung eines Computers zu sichern, bevor Sie sie ändern. Wenn Sie Microsoft Windows NT, Windows 2000, Windows XP oder Windows Server 2003 ausführen, sollten Sie auch Ihren Notfallreparaturdatenträger (Emergency Repair Disk, ERD) aktualisieren.
Informationen zum Bearbeiten der Registrierung finden Sie im Hilfethema Ändern von Schlüsseln und Werten im Registrierungs-Editor (Regedit.exe) oder in den Themen Hinzufügen und Löschen von Informationen in den Registrierungs - und Bearbeitungsinformationen im Registrierungs-Editor (Regedt32.exe).
Ausführen von Windows-API-Funktionsaufrufen
Bevor Sie Windows-API-Funktionen (Application Programming Interface) aufrufen, sollten Sie verstehen, wie Argumente und Datentypen von den Windows-API-DLLs behandelt werden. Falsche Aufrufe der Windows-Funktionen können zu Fehlern wegen ungültiger Seiten oder anderem unerwarteten Verhalten führen. Weitere Informationen zum Aufrufen von Windows-Funktionen finden Sie im Thema "Die Windows-API und andere Dynamic-Link-Bibliotheken" in der Office 2000 Developer Online-Dokumentation.
Digitales Signieren von Code
Das digitale Signieren eines Dokuments ist der Prozess des "Stempelns" eines Dokuments, sodass der Empfänger des Dokuments sicher sein kann, dass es aus einer bestimmten Quelle stammt und erkennen kann, ob sich der Inhalt des Dokuments seit dem Signieren des Dokuments geändert hat. Darüber hinaus können digitale Signaturen verwendet werden, um ein Dokument als schreibgeschützt zu kennzeichnen, um seine Authentizität und Integrität zu schützen.
Zusätzlich zu digitalen Signaturen können Dokumente auch in das Dokument integrierte Signaturen enthalten, die im Inhalt des Dokuments sichtbar sind. Der Absender des Dokuments kann nicht signierte Dokumente mit Signaturzeilen erstellen, die zum Signieren an den Empfänger übermittelt werden können. Der Empfänger öffnet das Dokument, sucht nach der Signaturzeile und signiert das Dokument und sendet es dann zurück an den Absender.
Grundlegende Schritte zum digitalen Signieren eines Dokuments:
- Der Absender des Dokuments komprimiert den Inhalt des Dokuments in ein paar Zeilen, indem er einen Prozess namens "Hashing" verwendet. Der komprimierte Inhalt wird als Nachrichtendigest bezeichnet. Das Hashing wird von Software durchgeführt, die speziell für diesen Zweck konzipiert ist.
- Der Absender des Dokuments verschlüsselt den Nachrichtenhash dann mithilfe eines privaten Schlüssels, den er von einer Signaturstelle erhält. Das Ergebnis ist eine digitale Signatur.
- Der Absender fügt die digitale Signatur an das Dokument an. Alle per Hashing komprimierten Daten sind somit signiert, und die Signatur wurde verschlüsselt und an das Dokument angefügt.
- Der Absender sendet das Dokument dann an den Empfänger.
- Der Empfänger entschlüsselt das Dokument zuerst mithilfe eines öffentlichen Schlüssels, den er vom Absender erhalten hat. Dadurch wird die Signatur wieder in einen Nachrichtenhash geändert. Ist dies problemlos möglich, ist der Beweis erbracht, dass das Dokument vom Absender signiert wurde.
- Der Empfänger führt mithilfe einer Software für das digitale Signieren das Hashing des Dokuments in einen Nachrichtenhash durch und vergleicht diesen Hash mit dem Hash des Absenders. Ergibt sich eine Übereinstimmung, liegt die Bestätigung vor, dass der Inhalt des Dokuments nicht geändert wurde, nachdem der Absender das Dokument gesendet hat.
Digitale Signaturen stehen Kunden seit Office XP zur Verfügung. Office 2007 hat jedoch Features hinzugefügt, die es Benutzern erleichtern, Dokumente digital zu signieren, ihre Dokumente zu signieren, um sie schreibgeschützt zu machen, und inline-Dokumentsignaturzeilen zu einem Dokument hinzuzufügen. Office-Benutzer können diese Aufgaben über die Office-Benutzeroberfläche ausführen, die auf der Registerkarte Datei verfügbar ist.
Mit Office 2007 wurden auch Elemente eingeführt, die das programmatische Arbeiten mit Inline-Signaturen und digitalen Signaturen erleichtern.
Sicheres Bereitstellen von verwalteten COM-Add-Ins in Office
Um die Office-Sicherheit einzuhalten, müssen verwaltete COM-Add-Ins (COM-Add-Ins für die Common Language Runtime) digital signiert sein, und die Sicherheitseinstellungen der Benutzer sollten im Office Trust Center festgelegt werden, um Add-Ins in Ihren Office-Anwendungen zuzulassen. Außerdem müssen Sie in das Projekt mit verwalteten COM-Add-Ins einen kleinen nicht verwalteten Proxy einbinden, der als Shim bezeichnet wird, um unerwartete Sicherheitswarnungen zu vermeiden.
Automatisieren des Visual Basic-Editors
Wenn Sie in Office die Features des Visual Basic for Applications Erweiterbarkeitsobjektmodells aufrufen, erhalten Sie möglicherweise eine Fehlermeldung, dass der programmgesteuerte Zugriff auf das Visual Basic-Projekt nicht vertrauenswürdig ist. Um zu verhindern, dass diese Meldung angezeigt wird, wählen Sie die Registerkarte Datei registerkarte >Optionen>Trust Center aus, und wählen Sie dann Einstellungen für das Trust Center aus. Wählen Sie als Nächstes auf der Registerkarte Makroeinstellungen das Feld Zugriff auf das VBA-Projektobjektmodell vertrauen aus. Durch Aktivieren dieses Kontrollkästchens ermöglichen Sie makros in allen makrofähigen Dokumenten, die Sie öffnen, den Zugriff auf die wichtigsten Visual Basic-Objekte, -Methoden und -Eigenschaften.
Die Aktivierung der Option stellt möglicherweise ein Sicherheitsrisiko dar. Es wird empfohlen, das Kontrollkästchen Zugriff auf das VBA-Projektobjektmodell vertrauen nur für die Dauer eines Makros zu aktivieren, von dem auf das Visual Basic-Objektmodell zugegriffen wird. Stellen Sie sicher, dass Sie das Kontrollkästchen Zugriff auf das VBA-Projektobjektmodell vertrauen deaktivieren, nachdem die Ausführung des Makros beendet ist.
Verwenden von Kennwörtern
Vermeiden Sie das Verwenden von hartcodierten Kennwörtern in Anwendungen. Fordern Sie das Kennwort vom Benutzer an, speichern Sie es in einer Variablen, und verwenden Sie die Variable dann im Code, falls ein Kennwort in einer Prozedur benötigt wird.
Verwenden Sie stets sichere Kennwörter. Sichere Kennwörter sollten folgende Zeichen enthalten:
- Sowohl Klein- als auch Großbuchstaben
- Zahlen
- Symbole (z. B. #, $, %und ^)
- Mindestens acht Zeichen
Sichere Kennwörter sollten keine Muster, Wiederholungen oder Wörter aus Wörterbüchern enthalten.
Beispiele
$tR0n9p@$s
G80dn[s$M4!
Hinweis
Es ist ratsam, das Kennwort häufig zu ändern, z. B. alle ein bis drei Monate.
Support und Feedback
Haben Sie Fragen oder Feedback zu Office VBA oder zu dieser Dokumentation? Unter Office VBA-Support und Feedback finden Sie Hilfestellung zu den Möglichkeiten, wie Sie Support erhalten und Feedback abgeben können.