Um Client-Einstelllungen in Netzwerken mit Active Directory zu automatisieren, sind in vielen Unternehmen Gruppenrichtlinien im Einsatz. Wird in solchen AD-Umgebungen Office 2010 eingesetzt, können Administratoren viele Einstellungen ebenfalls per Richtlinien optimieren. Microsoft bietet dazu kostenlose Vorlagen für Office 2010 an. Im Folgenden erläutern wir, welche Sicherheitseinstellungen eine Rolle spielen. Es lassen sich natürlich aber auch alle anderen Einstellungen in Office 2010 über Richtlinien oder bereits während der Installation anpassen.
Gruppenrichtlinienvorlagen verstehen
Damit Sie Office 2010 im Unternehmen absichern können, müssen Sie sich zunächst die Vorlagendateien für die Gruppenrichtlinien herunterladen. Die Dateien stehen kostenlos zur Verfügung und lassen sich problemlos in Active Directorys mit Windows Server 2008/2008 R2 einbinden.
Der Download umfasst aber nicht nur Vorlagendateien, mit denen Sie Gruppenrichtlinien setzen können, sondern Sie haben auch die Möglichkeit, die Installation von Office 2010 so zu konfigurieren, dass der Assistent die einzelnen Office-Programme sicher installiert. Dazu steht ein Assistent mit grafischer Benutzeroberfläche zur Verfügung.
Damit Sie die Einstellungen nutzen können, müssen Sie auf den Servern mindestens Windows Server 2003 mit SP2 einsetzen, besser Windows Server 2008 oder Windows Server 2008 R2. Auf den Clients muss Windows 7 (mit oder ohne SP1), Windows Vista SP1 (besser SP2) oder Windows XP SP3 zum Einsatz kommen.
Mit diesen Vorlagendateien sichern Sie allerdings nur Office 2010 ab. Wollen Sie Office 2007 schützen, müssen Sie die Vorlagendateien dieses Office-Paketes downloaden. Der Umgang mit diesen entspricht nahezu dem mit den Gruppenrichtlinien in Office 2010.
Laden Sie die 32-Bit oder die 64-Bit-Version der Tools herunter. Der Unterschied besteht in den Anpassungsdateien für das Installationsprogramm, nicht in den Richtlinieneinstellungen. Nach dem Download kopieren Sie die Installationsdateien der Gruppenrichtlinienvorlagen auf einen Domänencontroller und klicken doppelt auf die Installationsdatei. Im Grunde genommen geht es nur darum, dass Sie die Vorlagendateien (*.admx) und die entsprechenden Sprachdateien (*.adml) der Gruppenrichtlinien in die entsprechenden Verzeichnisse auf dem Domänencontroller kopieren. Dazu müssen Sie die beiden Dateien erst extrahieren, was der Installationsassistent durchführt.
ADMX- und ADML-Dateien installieren
Haben Sie die Dateien entpackt, kopieren Sie zunächst die *.admx-Dateien aus dem entpackten Verzeichnis ADMX auf den Domänencontroller in das Verzeichnis C:\Windows\PolicyDefinitions. Am besten kopieren Sie die Dateien auf jeden Domänencontroller im Netzwerk. Bei den Dateien handelt es sich um die eigentlichen Gruppenrichtlinieneinstellungen, die Sie durch das Kopieren im Netzwerk verfügbar machen. In Windows Server 2008 und Windows Server 2008 R2 sind die Einstellungen von Gruppenrichtlinien in *.admx-Dateien gespeichert, in Windows Server 2003 in *.adm-Dateien.
Als Nächstes kopieren Sie alle *.adml-Dateien aus dem Verzeichnis ADMX\de-de in das Verzeichnis C:\Windows\PolicyDefinitions\de-DE. Hierbei handelt es sich um die Sprachdateien für die jeweils installierten Sprachen des Office-Programms. Setzen Sie im Unternehmen mehrere Sprachen ein, kopieren Sie die zusätzlichen *.adml-Dateien ebenfalls noch auf den Domänencontroller. ADMX-Dateien gibt es nur einmal, ADML-Dateien für jede Sprache. In Windows Server 2003 sind die Sprachen noch alle direkt in der *.adm-Datei gespeichert. Das erhöht aber unnötig den Replikationsverkehr zwischen den Domänencontrollern.
Setzen Sie Windows Server 2003 ein, müssen Sie die Gruppenrichtlinienverwaltungskonsole starten und über das Kontextmenü der administrativen Vorlagen die ADM-Dateien importieren. In Windows Server 2008 und Windows Server 2008 R2 reicht das Kopieren der ADMX- und ADML-Dateien in das entsprechende Verzeichnis.
Neue Gruppenrichtlinien erstellen
Wollen Sie für Office 2010 Gruppenrichtlinien einsetzen, ist es empfehlenswert, wenn Sie für diese Einstellung eine eigene Richtlinie erstellen. In dieser nehmen Sie dann nur Einstellungen für Office 2010 vor. Der Vorteil dabei liegt darin, dass Sie bei Deaktivierung nur die Einstellungen für Office 2010 abschalten, nicht andere Einstellungen auch. Außerdem stellen Sie so sicher, dass Sie nicht versehentlich Sicherheitseinstellungen anderer Richtlinien beeinträchtigen.
Dazu öffnen Sie auf den Domänencontrollern die Gruppenrichtlinienverwaltung. Alternativ können Sie diese auch auf einem Admin-PC mit Windows 7 öffnen, wenn Sie die Remote-Server-Verwaltungs-Tools installiert haben. Hier müssen Sie aber darauf achten, ob Sie die Version mit SP1 oder die ohne SP1 installieren, je nachdem, ob Sie Windows Server 2008 R2 mit oder ohne SP1 auf dem Domänencontroller einsetzen.
In der Gruppenrichtlinienverwaltungskonsole navigieren Sie zu <Domänen>\<Ihre Domäne>\Gruppenrichtlinienobjekte. Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte und wählen Sie Neu. Geben Sie der Richtlinie einen passenden Namen, zum Beispiel Office 2010. Nach der Erstellung können Sie die neue Richtlinie über das gleichlautende Kontextmenü Bearbeiten entsprechend ändern. Alle Einstellungen, die Sie vornehmen, werden auf den Clients noch nicht umgesetzt. Erst wenn Sie die Gruppenrichtlinie mit einer Organisationseinheit oder der Domäne verknüpfen, setzen die Clients die Einstellungen um. Die Verknüpfung nehmen Sie vor, wenn Sie alle notwendigen Einstellungen in der Richtlinie gesetzt haben.
Office-2010-Richtlinieneinstellungen setzen
Die meisten Einstellungen für Office 2010 finden Sie über Benutzerkonfiguration\Richtlinien\Administrative Vorlagen. Einige Einstellungen sind über Computerkonfiguration\Richtlinien\Administrative Vorlagen zugänglich.
Einstellungen unter Benutzerkonfiguration wendet Windows an, wenn sich ein Benutzer am PC anmeldet, Einstellungen bei Computerkonfiguration, wenn der entsprechende Computer startet.
Die wichtigsten Sicherheitseinstellungen in Office-Programmen sind die geschützte Ansicht, die Dateiüberprüfung und die Dateiblockierung. Diese drei Optionen sollten Sie auf jeden Fall konfigurieren.
Dateien, die Office 2010-Programme in der geschützten Ansicht öffnen, führen keine Makros aus und sind besonders geschützt, sodass sich kein Schadcode in der Datei verstecken und in das System einschleusen kann. Die Dateiüberprüfung testet die Datei vor dem Öffnen darauf, ob sie den Vorschriften für das Dateiformat entspricht. Dadurch lässt sich oft Schadcode schon vor dem Öffnen entdecken. Die Dateiblockierung verweigert dem Anwender das Öffnen gefährlicher Dateien
Geschützte Ansicht aktivieren und gefährliche Dateien blockieren
Vor allem für Word 2010 sollten Sie hier entsprechende Einstellungen vornehmen. Navigieren Sie dazu zu Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word 2010\Word-Optionen\Sicherheit\Sicherheitscenter\Geschützte Ansicht. Auf der rechten Seite können Sie jetzt dieses Verhalten zentral für alle Computer mit Word 2010 im Netzwerk anpassen.
Setzen Sie die Richtlinie Dokumentverhalten bei Fehlschlagen der Dateiprüfung festlegen auf Aktiviert und dann die Option Datei blockieren. Auf diese Weise können solche Dateien keinen Schadcode einschleusen.
Zugriffschutz steuern - gefährliche Dateien aussperren
In Sachen Zugriffsschutz finden Sie die Einstellungen unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word 2010\Word-Optionen\Sicherheit\Sicherheitscenter\Einstellungen für Zugriffschutz.
In diesem Bereich können Sie verschiedene Einstellungen vornehmen. Dateitypen älteren Datums, die Sie nicht im Unternehmen nutzen wollen, sollten Sie blockieren. Benötigt ein Anwender doch noch eine solche Datei, kann ein Administrator diese überprüfen. Word-6.0- und Word-95-Binärdokumente und andere Dateien können Sie problemlos blockieren. Wollen Sie nur aktuelle Dokumente zulassen, blockieren Sie alles außer Dokumente ab Word 2007.
In den Einstellungen für die einzelnen Sperrungen können Sie aber nicht nur die Datei blockieren lassen, sondern genauer das Verhalten von Word festlegen. So lassen sich das Speichern blockieren, die Datei komplett blockieren, in geschützter Ansicht öffnen oder nur das Bearbeiten unterbinden, das Lesen aber erlauben.
Zusätzlich sollten Sie noch die Richtlinie Warnung anzeigen, bevor eine Datei, die Überarbeitungen oder Kommentare enthält, gedruckt, gespeichert oder versendet wird, aktivieren. Diese finden Sie über Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Word 2010\Word-Optionen\Sicherheit.
Anschließend sollten Sie für alle Office-Programme, die Sie einsetzen, die Einstellungen im Bereich Sicherheit überprüfen. Diese befinden sich an der gleichen Stelle wie die entsprechenden Einstellungen in Word 2010. Gehen Sie die einzelnen Einstellungen durch und setzen diese, falls Sie die entsprechende Option im Unternehmen vorgeben wollen.
Gruppenrichtlinie verknüpfen
Haben Sie alle Einstellungen der Richtlinie gesetzt, müssen Sie diese noch mit der Domäne oder einer OU (Organisationseinheit) verknüpfen. Der einfachste Weg dazu ist, wenn Sie die Gruppenrichtlinie auf die Domäne oder die OU ziehen, um die Verknüpfung herzustellen.
Sobald sich Benutzer neu anmelden, setzt der Computer die entsprechenden Einstellungen um. Öffnet zum Beispiel Word eine Datei durch entsprechende Einstellungen in der geschützten Ansicht, erhalten Anwender eine entsprechende Meldung.
Einstellungen, die Sie in Richtlinien vorgeben, sind bei den Anwendern im Office-2010-Programm deaktiviert, lassen sich also nicht ändern. Wollen Sie sicherstellen, dass die Einstellungen in der Richtlinie nicht durch eine andere Richtlinie wieder überschrieben werden, können Sie diese in der Gruppenrichtlinienverwaltungskonsole mit der rechten Maustaste anklicken. Wählen Sie anschließend Erzwungen aus.
Erweiterte Sicherheitseinstellungen setzen
Neben den bereits erwähnten Einstellungen können Sie für den Einsatz von Office 2010 weitere Einstellungen vorgeben, um die Sicherheit zu erhöhen. Vor allem Einstellungen im Bereich Computerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2010 (Computer)\Sicherheitseinstellungen ermöglichen hier zentrale Konfigurationen. Einstellungen, die Sie hier vornehmen, gelten für alle Office-2010-Programme auf sämtlichen Computern mit Office 2010 in der verknüpften OU oder Domäne. Auf diese Weise unterbinden Sie zum Beispiel mit Kennwortzwischenspeicherung deaktivieren, dass Anwender Kennwörter abspeichern können.
Die Einstellungen im Bereich Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2010 ermöglichen eine zentrale Festlegung der Sicherheitskonfiguration in Office-Programmen. Sie sollten sich alle Einstellungen ansehen und diese nach und nach durchgehen.
Wenn Sie die Einstellung einer Richtlinie aufrufen, erhalten Sie auch eine umfassende Hilfe. Sie können in der Gruppenrichtlinienverwaltungskonsole einen Bericht erzeugen, der Ihnen anzeigt, welche Änderungen in der Richtlinie vorgenommen wurden. Dazu klicken Sie auf die Gruppenrichtlinie und wechseln auf der rechten Seite des Fensters auf die Registerkarte Einstellungen. Die Konsole erstellt jetzt einen Bericht, und über Show all lassen Sie sich die Einstellungen anzeigen.
Neu: Das Microsoft-Office-Anpassungs-Tool
Im Download der Vorlagendateien ist eine Erweiterung des Microsoft-Office-Anpassungs-Tools enthalten. Diese erlaubt es, bereits Einstellungen in Office 2010 während der Installation vorzugeben. Mit dem Microsoft-Office-Anpassungs-Tool (Office Customization Tool, OCT) passen Sie über eine grafische Oberfläche die Installation von Office 2010 an und automatisieren Installation und Einstellungen für die Benutzer.
Änderungen, die Sie mit dem Microsoft Office-Anpassungs-Tool am Office-Setup vornehmen, speichert das Programm in einem Setup-Customization-File. Die Datei erhält als Endung .msp. Beim Start des Office-Setup-Programms führt das Programm die Änderungen in dieser Datei automatisch aus.
Die Datei muss dazu im Unterordner \Updates des Installationsverzeichnisses gespeichert sein. Befindet sich eine .msp-Datei in diesem Verzeichnis, verwendet das Office-Setup diese automatisch bei der Installation, unabhängig davon, ob es sich um eine Installationsdatei oder um einen Patch handelt. Auch Patch-Dateien liegen in diesem Format vor.
Sie können in diesem Verzeichnis daher mehrere Dateien speichern. Ist auf einem Computer bereits Office 2010 installiert, können über diese Datei auch nachträglich Anpassungen vorgenommen oder Programme entfernt werden. Befinden sich auf einem Computer zum Beispiel Word, Excel, Access und Outlook, haben Sie die Möglichkeit, einzelne Komponenten über die .msp-Datei vom Computer entfernen zu lassen, wenn Sie die Anpassungsdatei entsprechend konfigurieren.
Um das Office Customization Tool einzusetzen, starten Sie das Setup-Programm mit der Option /admin, oder Sie nutzen das Microsoft Desktop Deployment Toolkit. Verwenden Sie den Befehl setup /admin bei einer nicht kompatiblen Office-Edition, erscheint eine Fehlermeldung, dass Dateien fehlen. Zusammen mit den Gruppenrichtlinieneinstellungen haben Sie auf diesem Weg also die Möglichkeit, die Sicherheit von Office-2010-Programmen im Netzwerk deutlich zu verbessern. (mje)