Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Makro-Signierung im Unternehmen - Strategie? (lang)
239 views
Skip to first unread message
Jörg Eisenträger
Aug 8, 2017, 5:51:21 PM8/8/17
to
Hallo NG,
gesucht werden Erfahrungen bei der unternehmensweiten Umstellung der
VBA-Makrosicherheit auf das Zulassen nur von signierten Makros. Die
technische Seite (wie erstelle ich Zertifikate, wie signiere ich Code
usw.) hat man sich angeeignet und getestet und ist hier nicht Gegenstand
der Frage. Es geht um die Risikoabschätzung, das
Aufwand/Nutzen-Verhältnis und um das Finden einer geeigneten
Vorgehensweise. Nutzen andere Firmen nur signierte Makros? Wenn ja, wie
haben sie das gemacht?
Die Problemstellung:
In einem mittelständigen Unternehmen werden zahlreiche VBA-Makros -
meist in Excel - verwendet. Das muss bis auf weiteres auch so bleiben.
Es handelt sich um hunderte bis tausende Dateien, erstellt auf der Basis
von einigen zig Vorlagen, verwendet durch einige hundert User,
programmiert von ca. 20 - 30 VBA-Programmierern. Die Makros sind zurzeit
nicht signiert. Sie können durch jeden User ausgeführt werden. Es gibt
eine zentrale Firewall, Virenscanner und andere Sicherheitsmaßnahmen.
Es soll nun geprüft werden, ob und wie man die erhöhte Sicherheit durch
das Signieren von Makros nutzen kann, d. h. indem alle User ihre
Makrosicherheit im Sicherheitscenter der einzelnen Office-Anwendungen
selbst oder per Gruppenrichtlinie eingestellt haben auf: "Alle Makros
außer digital signierten Makros deaktivieren". Der Aufwand ist
erheblich. Im ersten Anlauf wurden folgende Konsequenzen
herausgearbeitet:
1. Maßnahmen _vor_ der unternehmensweiten Umstellungen der
Makrosicherheit auf nur signierte Makros
a) Alle VBA-Programmierer, die Code erzeugen, der durch andere User
ausgeführt werden soll, müssen sich ein persönliches Zertifikat
erzeugen, ggf. auf mehreren Rechnern installieren und künftig
ausnahmslos alle VBA-Projekte signieren.
b) Alle existierenden Dateien und Vorlagen mit Makros, die weiterhin
genutzt werden sollen, müssen nachträglich durch einen VBA-Programmierer
mit Zertifikat signiert werden.
c) Die VBA-Programmierer mit Zertifikat sollten per Gruppenrichtlinie
zur Liste der Vertrauenswürdigen Herausgeber hinzugefügt werden, um die
User nicht durch Sicherheitswarnungen zu verunsichern.
d) Erst, wenn die Maßnahmen a) bis c) umgesetzt sind, kann die
Makrosicherheit aller oder ausgewählter Office-Anwendungen für alle User
per Gruppenrichtlinie auf nur signierte Makros umgestellt werden.
2. Maßnahmen _nach_ der unternehmensweiten Umstellungen der
Makrosicherheit auf nur signierte Makros
e) Die VBA-Programmierer mit Zertifikat müssen alle ihre neuen
VBA-Projekte signieren.
f) Da die Gültigkeit der Zertifikate befristet ist, müssen die
VBA-Programmierer mit Zertifikat alle ihre aktiven VBA-Projekte vor
Ablauf der Gültigkeit mit einem neu ausgestellten Zertifikat erneut
signieren. Die neuen Zertifikate müssen per Gruppenrichtlinie zur Liste
der Vertrauenswürdigen Herausgeber hinzugefügt werden.
g) Neu zum Unternehmen hinzugekommene VBA-Programmierer müssen sich ein
Zertifikat erstellen, welches per Gruppenrichtlinie zur Liste der
Vertrauenswürdigen Herausgeber hinzugefügt werden muss.
h) Wenn ein VBA-Programmierer mit Zertifikat das Unternehmen verlässt,
muss er rechtzeitig dafür sorgen, dass ein anderer Programmierer die
Verantwortung für seine aktiven VBA-Projekte übernimmt und diese mit
seinem eigenen Zertifikat erneut signiert. Unter Umständen muss das
Zertifikat des Programmierers, der das Unternehmen verlässt oder
verlassen hat, weiterhin so lange gültig bleiben, bis alle noch aktiven
VBA-Projekte durch einen anderen VBA-Programmierer mit Zertifikat
signiert wurden.
Ist dieser Aufwand praktikabel? Hat das schon mal jemand gemacht? Wie?
Oder verlässt man sich in der Praxis doch lieber auf Firewall & Co. und
organisatorische Maßnahmen?
Vielen Grüße und danke für's Lesen,
Jörg
gesucht werden Erfahrungen bei der unternehmensweiten Umstellung der
VBA-Makrosicherheit auf das Zulassen nur von signierten Makros. Die
technische Seite (wie erstelle ich Zertifikate, wie signiere ich Code
usw.) hat man sich angeeignet und getestet und ist hier nicht Gegenstand
der Frage. Es geht um die Risikoabschätzung, das
Aufwand/Nutzen-Verhältnis und um das Finden einer geeigneten
Vorgehensweise. Nutzen andere Firmen nur signierte Makros? Wenn ja, wie
haben sie das gemacht?
Die Problemstellung:
In einem mittelständigen Unternehmen werden zahlreiche VBA-Makros -
meist in Excel - verwendet. Das muss bis auf weiteres auch so bleiben.
Es handelt sich um hunderte bis tausende Dateien, erstellt auf der Basis
von einigen zig Vorlagen, verwendet durch einige hundert User,
programmiert von ca. 20 - 30 VBA-Programmierern. Die Makros sind zurzeit
nicht signiert. Sie können durch jeden User ausgeführt werden. Es gibt
eine zentrale Firewall, Virenscanner und andere Sicherheitsmaßnahmen.
Es soll nun geprüft werden, ob und wie man die erhöhte Sicherheit durch
das Signieren von Makros nutzen kann, d. h. indem alle User ihre
Makrosicherheit im Sicherheitscenter der einzelnen Office-Anwendungen
selbst oder per Gruppenrichtlinie eingestellt haben auf: "Alle Makros
außer digital signierten Makros deaktivieren". Der Aufwand ist
erheblich. Im ersten Anlauf wurden folgende Konsequenzen
herausgearbeitet:
1. Maßnahmen _vor_ der unternehmensweiten Umstellungen der
Makrosicherheit auf nur signierte Makros
a) Alle VBA-Programmierer, die Code erzeugen, der durch andere User
ausgeführt werden soll, müssen sich ein persönliches Zertifikat
erzeugen, ggf. auf mehreren Rechnern installieren und künftig
ausnahmslos alle VBA-Projekte signieren.
b) Alle existierenden Dateien und Vorlagen mit Makros, die weiterhin
genutzt werden sollen, müssen nachträglich durch einen VBA-Programmierer
mit Zertifikat signiert werden.
c) Die VBA-Programmierer mit Zertifikat sollten per Gruppenrichtlinie
zur Liste der Vertrauenswürdigen Herausgeber hinzugefügt werden, um die
User nicht durch Sicherheitswarnungen zu verunsichern.
d) Erst, wenn die Maßnahmen a) bis c) umgesetzt sind, kann die
Makrosicherheit aller oder ausgewählter Office-Anwendungen für alle User
per Gruppenrichtlinie auf nur signierte Makros umgestellt werden.
2. Maßnahmen _nach_ der unternehmensweiten Umstellungen der
Makrosicherheit auf nur signierte Makros
e) Die VBA-Programmierer mit Zertifikat müssen alle ihre neuen
VBA-Projekte signieren.
f) Da die Gültigkeit der Zertifikate befristet ist, müssen die
VBA-Programmierer mit Zertifikat alle ihre aktiven VBA-Projekte vor
Ablauf der Gültigkeit mit einem neu ausgestellten Zertifikat erneut
signieren. Die neuen Zertifikate müssen per Gruppenrichtlinie zur Liste
der Vertrauenswürdigen Herausgeber hinzugefügt werden.
g) Neu zum Unternehmen hinzugekommene VBA-Programmierer müssen sich ein
Zertifikat erstellen, welches per Gruppenrichtlinie zur Liste der
Vertrauenswürdigen Herausgeber hinzugefügt werden muss.
h) Wenn ein VBA-Programmierer mit Zertifikat das Unternehmen verlässt,
muss er rechtzeitig dafür sorgen, dass ein anderer Programmierer die
Verantwortung für seine aktiven VBA-Projekte übernimmt und diese mit
seinem eigenen Zertifikat erneut signiert. Unter Umständen muss das
Zertifikat des Programmierers, der das Unternehmen verlässt oder
verlassen hat, weiterhin so lange gültig bleiben, bis alle noch aktiven
VBA-Projekte durch einen anderen VBA-Programmierer mit Zertifikat
signiert wurden.
Ist dieser Aufwand praktikabel? Hat das schon mal jemand gemacht? Wie?
Oder verlässt man sich in der Praxis doch lieber auf Firewall & Co. und
organisatorische Maßnahmen?
Vielen Grüße und danke für's Lesen,
Jörg
0 new messages