Makros aus dem Internet werden in Office standardmäßig blockiert.

VBA-Makros sind eine gängige Möglichkeit für böswillige Akteure, Zugriff auf die Bereitstellung von Schadsoftware und Ransomware zu erhalten. Um die Sicherheit in Office zu verbessern, ändern wir daher das Standardverhalten von Office-Anwendungen, um Makros in Dateien aus dem Internet zu blockieren.

Wenn Benutzer mit dieser Änderung eine Datei öffnen, die aus dem Internet stammt, z. B. eine E-Mail-Anlage, und diese Datei Makros enthält, wird die folgende Meldung angezeigt:

Sicherheitsrisikobanner zu blockierten Makros mit einer Schaltfläche "Weitere Informationen"

Die Schaltfläche " Weitere Informationen " führt zu einem Artikel für Endbenutzer und Information Worker , der Informationen über das Sicherheitsrisiko schlechter Akteure mit Makros, sichere Methoden zur Verhinderung von Phishing und Schadsoftware sowie Anweisungen zum Aktivieren dieser Makros (falls unbedingt erforderlich) enthält.

In einigen Fällen wird benutzern auch die Meldung angezeigt, wenn sich die Datei von einem Speicherort in Ihrem Intranet befindet, der nicht als vertrauenswürdig identifiziert wird. Wenn Benutzer beispielsweise über die IP-Adresse der Freigabe auf Dateien in einer Netzwerkfreigabe zugreifen. Weitere Informationen finden Sie unter Dateien, die sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website befinden.

Wichtig

Bereits vor dieser Änderung, die wir einführen, könnten Organisationen die Blockmakros verwenden, die in Office-Dateien aus der Internetrichtlinie ausgeführt werden, um zu verhindern, dass Benutzer versehentlich Dateien aus dem Internet öffnen, die Makros enthalten. Wir empfehlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise zu aktivieren. Wenn Sie die Richtlinie konfigurieren, wird ihre Organisation von dieser Standardänderung nicht betroffen sein.

Weitere Informationen finden Sie unter Verwenden von Richtlinien zum Verwalten der Behandlung von Makros durch Office.

Vorbereiten auf diese Änderung

Um sich auf diese Änderung vorzubereiten, empfehlen wir Ihnen, mit den Geschäftsbereichen in Ihrer Organisation zu arbeiten, die Makros in Office-Dateien verwenden, die von Speicherorten wie Intranetnetzwerkfreigaben oder Intranetwebsites geöffnet werden. Sie sollten diese Makros identifizieren und bestimmen, welche Schritte ausgeführt werden müssen , um diese Makros weiterhin zu verwenden. Sie sollten auch mit unabhängigen Softwareanbietern (ISVs) zusammenarbeiten, die Makros in Office-Dateien von diesen Speicherorten bereitstellen. Um beispielsweise zu sehen, ob sie ihren Code digital signieren können, und Sie können sie als vertrauenswürdigen Herausgeber behandeln.

Lesen Sie außerdem die folgenden Informationen:

Vorbereitungsaktion Weitere Informationen
Verstehen, welche Versionen und welche Updatekanäle diese Änderung aufweisen (während der Einführung dieser Änderung) Von dieser Änderung betroffene Office-Versionen
Anzeigen eines Flussdiagramms des Prozesses, mit dem Office ermittelt, ob Makros in einer Datei ausgeführt werden sollen Wie Office bestimmt, ob Makros in Dateien aus dem Internet ausgeführt werden sollen
Identifizieren von Dateien mit VBA-Makros, die möglicherweise mit dem Readiness Toolkit blockiert werden Verwenden des Readiness Toolkits zum Identifizieren von Dateien mit VBA-Makros, die möglicherweise blockiert werden
Informationen zu Richtlinien, die Sie zum Steuern der VBA-Makroausführung verwenden können Verwenden von Richtlinien zum Verwalten der Behandlung von Makros durch Office

Schritte zum Zulassen der Ausführung von VBA-Makros in vertrauenswürdigen Dateien

Wie VBA-Makros in vertrauenswürdigen Dateien ausgeführt werden können, hängt davon ab, wo sich diese Dateien befinden oder welchen Dateityp sie haben.

In der folgenden Tabelle sind verschiedene gängige Szenarien und mögliche Ansätze zum Aufheben der Blockierung von VBA-Makros und deren Ausführung aufgeführt.The following table list different common scenarios and possible approaches to take to unblock VBA macros and allow them to run. Sie müssen nicht alle möglichen Ansätze für ein bestimmtes Szenario ausführen. In den Fällen, in denen wir mehrere Ansätze aufgelistet haben, wählen Sie den Ansatz aus, der für Ihre Organisation am besten geeignet ist.

Szenario Mögliche Ansätze
Einzelne Dateien
• Aktivieren des Kontrollkästchens " Blockierung aufheben " auf der Registerkarte " Allgemein " im Dialogfeld "Eigenschaften " für die Datei
• Verwenden des Cmdlets "Unblock-File" in PowerShell

Weitere Informationen finden Sie unter "Markierung des Webs aus einer Datei entfernen".
Dateien, die sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website befinden Heben Sie die Blockierung der Datei mithilfe eines unter "Einzelne Dateien" aufgeführten Ansatzes auf.

Wenn kein Kontrollkästchen " Blockierung aufheben" vorhanden ist und Sie allen Dateien an diesem Netzwerkspeicherort vertrauen möchten:
• Festlegen des Speicherorts als vertrauenswürdige Website
• Hinzufügen des Speicherorts zur Zone "Lokales Intranet"

Weitere Informationen finden Sie unter Dateien, die sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website befinden.
Auf OneDrive oder SharePoint gespeicherte Dateien, einschließlich einer Website, die von einem Teams-Kanal verwendet wird • Benutzern das direkte Öffnen der Datei mithilfe der Option " In Desktop-App öffnen " ermöglichen
• Wenn Benutzer die Datei lokal herunterladen, bevor sie geöffnet wird, entfernen Sie Mark of the Web aus der lokalen Kopie der Datei (siehe die Ansätze unter "Einzelne Dateien")
• Festlegen des Speicherorts als vertrauenswürdige Website

Weitere Informationen finden Sie unter Dateien auf OneDrive oder SharePoint.
Vorlagendateien mit Makros für Word, PowerPoint und Excel Wenn die Vorlagendatei auf dem Gerät des Benutzers gespeichert ist:
• Entfernen von Mark of the Web aus der Vorlagendatei (siehe die Ansätze unter "Einzelne Dateien")
• Speichern der Vorlagendatei an einem vertrauenswürdigen Speicherort

Wenn die Vorlagendatei an einem Netzwerkspeicherort gespeichert ist:
• Verwenden einer digitalen Signatur und Vertrauen des Herausgebers
• Vertrauen Sie der Vorlagendatei (siehe die Ansätze unter "Dateien, die sich zentral auf einer Netzwerkfreigabe oder vertrauenswürdigen Website befinden")

Weitere Informationen finden Sie unter Makro-fähige Vorlagendateien für Word, PowerPoint und Excel.
Makrofähige Add-In-Dateien für PowerPoint • Entfernen von "Mark of the Web" aus der Add-In-Datei
• Verwenden einer digitalen Signatur und Vertrauen des Herausgebers
• Speichern der Add-In-Datei an einem vertrauenswürdigen Speicherort

Weitere Informationen finden Sie unter Makro-fähige Add-In-Dateien für PowerPoint und Excel.
Makrofähige Add-In-Dateien für Excel • Entfernen von "Mark of the Web" aus der Add-In-Datei
• Speichern der Add-In-Datei an einem vertrauenswürdigen Speicherort

Weitere Informationen finden Sie unter Makro-fähige Add-In-Dateien für PowerPoint und Excel.
Makros, die von einem vertrauenswürdigen Herausgeber signiert sind [empfohlen] Stellen Sie das öffentliche Codesignaturzertifikat für den vertrauenswürdigen Herausgeber für Ihre Benutzer bereit, und verhindern Sie, dass Ihre Benutzer selbst vertrauenswürdige Herausgeber hinzufügen.
• "Mark of the Web" aus der Datei entfernen und den Herausgeber des Makros als vertrauenswürdigen Herausgeber hinzufügen lassen.

Weitere Informationen finden Sie unter Makros, die von einem vertrauenswürdigen Herausgeber signiert wurden
.
Gruppen von Dateien, die in Ordnern auf dem Gerät des Benutzers gespeichert sind Festlegen eines vertrauenswürdigen Speicherorts für den Ordner

Weitere Informationen finden Sie unter "Vertrauenswürdige Speicherorte".

Von dieser Änderung betroffene Office-Versionen

Diese Änderung betrifft nur Office auf Geräten unter Windows und nur die folgenden Anwendungen: Access, Excel, PowerPoint, Visio und Word.

Die folgende Tabelle zeigt den prognostizierten Zeitplan, wann diese Änderung in jedem Updatekanal verfügbar sein wird. Kursiv formatiert sind Informationen, die sich ändern können.

Updatekanal Version Datum
Aktueller Kanal (Vorschau) Version 2203 Einführung am 12. April 2022
Aktueller Kanal Version 2206 Einführung am 27. Juli 2022
Monatlicher Enterprise-Kanal Version 2208 11. Oktober 2022
Halbjährlicher Enterprise-Kanal (Vorschau) Version 2208 11. Oktober 2022
Halbjährlicher Enterprise-Kanal Version 2208 10. Januar 2023

Die Änderung wirkt sich nicht auf Office auf einem Mac, Office auf Android- oder iOS-Geräten oder Office im Web aus.

Wie Office bestimmt, ob Makros in Dateien aus dem Internet ausgeführt werden sollen

Die folgende Flussdiagrammgrafik zeigt, wie Office bestimmt, ob Makros in einer Datei aus dem Internet ausgeführt werden sollen.

Flussdiagramm, das zeigt, wie Office bestimmt, ob Makros in Dateien aus dem Internet ausgeführt werden sollen

In den folgenden Schritten werden die Informationen in der Flussdiagrammgrafik mit Ausnahme von Excel-Add-In-Dateien erläutert. Weitere Informationen zu diesen Dateien finden Sie unter Makrofähige Add-In-Dateien für PowerPoint und Excel. Wenn sich eine Datei auf einer Netzwerkfreigabe befindet, die sich nicht in der Zone des lokalen Intranets befindet oder keine vertrauenswürdige Website ist, werden Makros in dieser Datei ebenfalls blockiert.

  1. Ein Benutzer öffnet eine Office-Datei mit Makros, die aus dem Internet abgerufen wurden. Beispielsweise eine E-Mail-Anlage. Die Datei hat Mark of the Web (MOTW).

Hinweis

  • Die Webmarkierung wird von Windows dateien von einem nicht vertrauenswürdigen Speicherort wie dem Internet oder der eingeschränkten Zone hinzugefügt. Beispiel: Browserdownloads oder E-Mail-Anlagen. Weitere Informationen finden Sie unter "Mark of the Web" und "zones".
  • "Mark of the Web" gilt nur für Dateien, die auf einem NTFS-Dateisystem gespeichert sind, nicht für Dateien, die auf FAT32-formatierten Geräten gespeichert sind.
  1. Wenn die Datei von einem vertrauenswürdigen Speicherort stammt, wird die Datei mit aktivierten Makros geöffnet. Wenn die Datei nicht von einem vertrauenswürdigen Speicherort stammt, wird die Auswertung fortgesetzt.

  2. Wenn die Makros digital signiert sind und das entsprechende Zertifikat für vertrauenswürdige Herausgeber auf dem Gerät installiert ist, wird die Datei mit aktivierten Makros geöffnet. Wenn nicht, wird die Auswertung fortgesetzt.

  3. Richtlinien werden überprüft, um festzustellen, ob Makros zulässig oder blockiert sind. Wenn die Richtlinien auf "Nicht konfiguriert" festgelegt sind, wird die Auswertung mit Schritt 6 fortgesetzt.

  4. (a) Wenn Makros durch eine Richtlinie blockiert werden, werden die Makros blockiert.
    (b) Wenn die Makros durch eine Richtlinie aktiviert sind, sind die Makros aktiviert.

  5. Wenn der Benutzer die Datei vor dieser Änderung des Standardverhaltens zuvor geöffnet und Inhalte über die Vertrauensstellungsleiste aktiviert hatte, werden die Makros aktiviert, da die Datei als vertrauenswürdig eingestuft wird.

Hinweis

  1. In diesem Schritt wird die Änderung am Standardverhalten von Office wirksam. Mit dieser Änderung werden Makros in Dateien aus dem Internet blockiert, und Benutzer sehen das Banner "Sicherheitsrisiko ", wenn sie die Datei öffnen.

Hinweis

Zuvor überprüfte die App vor dieser Änderung des Standardverhaltens, ob die VBA-Richtlinie für Makrobenachrichtigungseinstellungen aktiviert und wie sie konfiguriert wurde.

Wenn die Richtlinie auf "Deaktiviert" oder "Nicht konfiguriert" festgelegt wurde, überprüfte die App die Einstellungen unter "Einstellungen des Trust Center für Dateioptionen > > "im Trust Center... > > Makroeinstellungen. Der Standardwert ist auf "Alle Makros mit Benachrichtigung deaktivieren" festgelegt, wodurch Benutzer Inhalte in der Vertrauensstellungsleiste aktivieren können.

Anleitung zum Zulassen der Ausführung von VBA-Makros in Dateien, denen Sie vertrauen

Markierung des Webs aus einer Datei entfernen

Bei einer einzelnen Datei, z. B. einer Datei, die von einem Internetspeicherort heruntergeladen wurde, oder einer E-Mail-Anlage, die der Benutzer auf dem lokalen Gerät gespeichert hat, besteht die einfachste Möglichkeit zum Aufheben der Blockierung von Makros darin, Mark of the Web zu entfernen. Klicken Sie zum Entfernen mit der rechten Maustaste auf die Datei, wählen Sie "Eigenschaften" aus, und aktivieren Sie dann auf der Registerkarte "Allgemein" das Kontrollkästchen "Blockierung aufheben".

Dialogfeld "Dateieigenschaften" mit der Auswahl zum Aufheben der Blockierung

Hinweis

  • In einigen Fällen wird benutzern in der Regel für Dateien auf einer Netzwerkfreigabe das Kontrollkästchen " Blockierung aufheben" für eine Datei, in der Makros blockiert werden, möglicherweise nicht angezeigt. Informationen zu diesen Fällen finden Sie unter Dateien, die sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website befinden.
  • Auch wenn das Kontrollkästchen " Blockierung aufheben" für eine Datei in einer Netzwerkfreigabe verfügbar ist, hat das Aktivieren des Kontrollkästchens keine Auswirkungen, wenn die Freigabe als in der Internetzone betrachtet wird. Weitere Informationen finden Sie unter "Mark of the Web" und "zones".

Sie können auch das Cmdlet "Unblock-File" in PowerShell verwenden, um den ZoneId-Wert aus der Datei zu entfernen. Durch das Entfernen des ZoneId-Werts können VBA-Makros standardmäßig ausgeführt werden. Die Verwendung des Cmdlets bewirkt dasselbe wie das Aktivieren des Kontrollkästchens " Blockierung aufheben" auf der Registerkarte " Allgemein " im Dialogfeld "Eigenschaften " für die Datei. Weitere Informationen zum ZoneId-Wert finden Sie unter "Mark of the Web" und "zones".

Dateien, die sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website befinden

Wenn Ihre Benutzer von einer vertrauenswürdigen Website oder einem internen Dateiserver aus auf Dateien zugreifen, können Sie einen der folgenden Schritte ausführen, damit Makros von diesen Speicherorten nicht blockiert werden.

  • Festlegen des Speicherorts als vertrauenswürdige Website
  • Wenn sich der Netzwerkspeicherort im Intranet befindet, fügen Sie den Speicherort zur Zone " Lokales Intranet" hinzu.

Hinweis

  • Wenn Sie etwas als vertrauenswürdige Website hinzufügen, erteilen Sie auch der gesamten Website erhöhte Berechtigungen für Szenarien, die sich nicht auf Office beziehen.
  • Für den Ansatz " Lokale Intranetzone " empfehlen wir, die Dateien an einem Speicherort zu speichern, der bereits als Teil der Zone " Lokales Intranet " gilt, anstatt dieser Zone neue Speicherorte hinzuzufügen.
  • Im Allgemeinen wird empfohlen, vertrauenswürdige Websites zu verwenden, da diese im Vergleich zur lokalen Intranetzone eine gewisse zusätzliche Sicherheit aufweisen.

Wenn Benutzer beispielsweise über ihre IP-Adresse auf eine Netzwerkfreigabe zugreifen, werden Makros in diesen Dateien blockiert, es sei denn, die Dateifreigabe befindet sich in den vertrauenswürdigen Websites oder in der Zone des lokalen Intranets .

Tipp

  • Um eine Liste der vertrauenswürdigen Websites oder der Elemente in der Zone "Lokales Intranet" anzuzeigen, wechseln Sie zu Systemsteuerung > Internet-Optionen > Ändern der Sicherheitseinstellungen auf einem Windows-Gerät.
  • Informationen zum Überprüfen, ob eine einzelne Datei von einer vertrauenswürdigen Website oder einem lokalen Intranetspeicherort stammt, finden Sie unter "Mark of the Web" und "zones".

Sie können z. B. einen Dateiserver oder eine Netzwerkfreigabe als vertrauenswürdige Website hinzufügen, indem Sie der Liste der vertrauenswürdigen Websites den FQDN oder die IP-Adresse hinzufügen.

Dialogfeld "Vertrauenswürdige Websites"

Wenn Sie URLs hinzufügen möchten, die mit http:// oder Netzwerkfreigaben beginnen, deaktivieren Sie die Serverüberprüfung erforderlich (https:) für alle Websites in dieser Zone Kontrollkästchen.

Wichtig

Da Makros in Dateien an diesen Speicherorten nicht blockiert werden, sollten Sie diese Speicherorte sorgfältig verwalten. Stellen Sie sicher, dass Sie steuern, wer Dateien an diesen Speicherorten speichern darf.

Sie können Gruppenrichtlinie und die Richtlinie "Zuweisungsliste für Standortzonen" verwenden, um Speicherorte als vertrauenswürdige Websites oder zur lokalen Intranetzone für Windows-Geräte in Ihrer Organisation hinzuzufügen. Diese Richtlinie befindet sich unter "Windows-Komponenten\Internet Explorer\Internet Systemsteuerung\Sicherheitsseite" in der Gruppenrichtlinie Verwaltungskonsole. Es steht sowohl unter "Computerkonfiguration\Richtlinien\Administrative Vorlagen" als auch "Benutzerkonfiguration\Richtlinien\Administrative Vorlagen" zur Verfügung.

Dateien auf OneDrive oder SharePoint

  • Wenn ein Benutzer eine Datei auf OneDrive oder SharePoint mithilfe eines Webbrowsers herunterlädt, bestimmt die Konfiguration der Windows-Internetsicherheitszone (Systemsteuerung > Internet Options > Security), ob der Browser "Mark of the Web" festlegt. Microsoft Edge legt z. B. "Mark of the Web" für eine Datei fest, wenn sie als aus der Internetzone stammend bestimmt ist.

  • Wenn ein Benutzer " In Desktop-App öffnen " in einer Datei auswählt, die von der OneDrive-Website oder von einer SharePoint-Website geöffnet wird (einschließlich einer Website, die von einem Teams-Kanal verwendet wird), hat die Datei keine Markierung des Webs.

  • Wenn ein Benutzer den OneDrive-Synchronisation Client ausgeführt hat und der Synchronisierungsclient eine Datei herunterlädt, verfügt die Datei nicht über Mark of the Web.

  • Dateien, die sich in bekannten Windows-Ordnern (Desktop, Dokumente, Bilder, Screenshots und Eigene Aufnahmen) befinden und mit OneDrive synchronisiert werden, verfügen nicht über Mark of the Web.

  • Wenn Sie über eine Gruppe von Benutzern verfügen, z. B. die Finanzabteilung, die Dateien aus OneDrive oder SharePoint verwenden müssen, ohne dass Makros blockiert werden, finden Sie hier einige mögliche Optionen:

    • Lassen Sie sie die Datei mithilfe der Option "In Desktop-App öffnen " öffnen

    • Laden Sie die Datei an einen vertrauenswürdigen Speicherort herunter.

    • Legen Sie die Windows-Internetsicherheitszonenzuweisung für OneDrive- oder SharePoint-Domänen auf vertrauenswürdige Websites fest. Administratoren können die Richtlinie "Site to Zone Assignment List" verwenden und die Richtlinie so konfigurieren, dass sie (für SharePoint) oder https://{your-domain-name}-my.sharepoint.com (für OneDrive) in die Zone "Vertrauenswürdige Sites" eingefügt https://{your-domain-name}.sharepoint.com wird.

      • Diese Richtlinie befindet sich unter "Windows-Komponenten\Internet Explorer\Internet Systemsteuerung\Sicherheitsseite" in der Gruppenrichtlinie Verwaltungskonsole. Es steht sowohl unter "Computerkonfiguration\Richtlinien\Administrative Vorlagen" als auch "Benutzerkonfiguration\Richtlinien\Administrative Vorlagen" zur Verfügung.

      • SharePoint-Berechtigungen und Die OneDrive-Freigabe werden nicht geändert, indem diese Speicherorte zu vertrauenswürdigen Websites hinzugefügt werden. Die Aufrechterhaltung der Zugriffssteuerung ist wichtig. Jeder Benutzer, der über die Berechtigung zum Hinzufügen von Dateien zu SharePoint verfügt, kann Dateien mit aktivem Inhalt hinzufügen, z. B. Makros. Benutzer, die Dateien aus Domänen in der Zone "Vertrauenswürdige Sites" herunterladen, umgehen die Standardeinstellung zum Blockieren von Makros.

Vorlagendateien mit Makros für Word, PowerPoint und Excel

Makrofähige Vorlagendateien für Word, PowerPoint und Excel, die aus dem Internet heruntergeladen werden, verfügen über Mark of the Web. Beispiel: Vorlagendateien mit den folgenden Erweiterungen:

  • .dot
  • .dotm
  • .pot
  • .potm
  • XLT
  • .xltm

Wenn der Benutzer die Vorlagendatei mit Makros öffnet, wird die Ausführung der Makros in der Vorlagendatei blockiert. Wenn der Benutzer der Quelle der Vorlagendatei vertraut, kann er Mark of the Web aus der Vorlagendatei entfernen und dann die Vorlagendatei in der Office-App erneut öffnen.

Wenn Sie über eine Gruppe von Benutzern verfügen, die makrofähige Vorlagen verwenden müssen, ohne dass Makros blockiert werden, können Sie eine der folgenden Aktionen ausführen:

  • Verwenden Sie eine digitale Signatur, und vertrauen Sie dem Herausgeber.
  • Wenn Sie keine digitalen Signaturen verwenden, können Sie die Vorlagendatei an einem vertrauenswürdigen Speicherort speichern und benutzern ermöglichen, die Vorlagendatei von diesem Speicherort abzurufen.

Makrofähige Add-In-Dateien für PowerPoint und Excel

Makrofähige Add-In-Dateien für PowerPoint und Excel, die aus dem Internet heruntergeladen werden, verfügen über Mark of the Web. Beispiel: Add-In-Dateien mit den folgenden Erweiterungen:

  • .ppa
  • .ppam
  • .xla
  • .xlam

Wenn der Benutzer versucht, das makrofähige Add-In mithilfe von Dateioptionen-Add-Ins > > oder mithilfe des Entwicklermenübands zu installieren, wird das Add-In in einem deaktivierten Zustand geladen, und der Benutzer wird für die Verwendung des Add-Ins gesperrt. Wenn der Benutzer der Quelle der Add-In-Datei vertraut, kann er Mark of the Web aus der Add-In-Datei entfernen und dann PowerPoint oder Excel erneut öffnen, um das Add-In zu verwenden.

Wenn Sie über eine Gruppe von Benutzern verfügen, die Add-In-Dateien mit Makros verwenden müssen, ohne dass Makros blockiert werden, können Sie die folgenden Aktionen ausführen.

Für PowerPoint-Add-In-Dateien:

  • Entfernen Sie "Mark of the Web" aus der PPA- oder PPAM-Datei.
  • Verwenden Sie eine digitale Signatur, und vertrauen Sie dem Herausgeber.
  • Speichern Sie die Add-In-Datei an einem vertrauenswürdigen Speicherort , den Benutzer abrufen können.

Für Excel-Add-In-Dateien:

  • Entfernen Sie "Mark of the Web" aus der XLA- oder XLAM-Datei.
  • Speichern Sie die Add-In-Datei an einem vertrauenswürdigen Speicherort , den Benutzer abrufen können.

Hinweis

Das Verwenden einer digitalen Signatur und das Vertrauen des Herausgebers funktioniert nicht für Excel-Add-In-Dateien, die über "Mark of the Web" verfügen. Dieses Verhalten ist für Excel-Add-In-Dateien mit "Mark of the Web" nicht neu. Es funktioniert seit 2016 auf diese Weise, als Ergebnis einer früheren Sicherheitshärtung (im Zusammenhang mit dem Microsoft Security Bulletin MS16-088).

Makros, die von einem vertrauenswürdigen Herausgeber signiert sind

Wenn das Makro signiert ist und Sie das Zertifikat überprüft haben und der Quelle vertrauen, können Sie diese Quelle zu einem vertrauenswürdigen Herausgeber machen. Wir empfehlen, wenn möglich, vertrauenswürdige Herausgeber für Ihre Benutzer zu verwalten. Weitere Informationen finden Sie unter Vertrauenswürdige Herausgeber für Office-Dateien.

Wenn Sie nur wenige Benutzer haben, können Sie festlegen, dass diese mark of the web aus der Datei entfernen und dann die Quelle des Makros als vertrauenswürdigen Herausgeber auf ihren Geräten hinzufügen.

Warnung

  • Alle mit demselben Zertifikat gültig signierten Makros werden als von einem vertrauenswürdigen Herausgeber stammend erkannt und ausgeführt.
  • Das Hinzufügen eines vertrauenswürdigen Herausgebers kann sich auf Szenarien auswirken, die über die von Office hinausgehen, da ein vertrauenswürdiger Herausgeber eine Windows-weite Einstellung ist, nicht nur eine Office-spezifische Einstellung.

Vertrauenswürdige Speicherorte

Beim Speichern von Dateien aus dem Internet an einem vertrauenswürdigen Speicherort auf dem Gerät eines Benutzers wird die Überprüfung auf "Mark of the Web" ignoriert und mit aktivierten VBA-Makros geöffnet. Beispielsweise könnte eine Branchenanwendung Berichte mit Makros auf wiederkehrender Basis senden. Wenn Dateien mit Makros an einem vertrauenswürdigen Speicherort gespeichert werden, müssen Benutzer nicht zu den Eigenschaften für die Datei wechseln und " Blockierung aufheben " auswählen, damit die Makros ausgeführt werden können.

Da Makros nicht in Dateien blockiert werden, die an einem vertrauenswürdigen Speicherort gespeichert sind, sollten Sie vertrauenswürdige Speicherorte sorgfältig verwalten und sparsam verwenden. Netzwerkspeicherorte können auch als vertrauenswürdiger Speicherort festgelegt werden, es wird jedoch nicht empfohlen. Weitere Informationen finden Sie unter Vertrauenswürdige Speicherorte für Office-Dateien.

Zusätzliche Informationen zu Mark of the Web

Webmarkierung und vertrauenswürdige Dokumente

Wenn eine Datei auf ein Gerät heruntergeladen wird, auf dem Windows ausgeführt wird, wird mark of the Web der Datei hinzugefügt, wodurch die Quelle als aus dem Internet identifiziert wird. Wenn ein Benutzer derzeit eine Datei mit "Mark of the Web" öffnet, wird ein Sicherheitswarnungsbanner mit der Schaltfläche " Inhalt aktivieren " angezeigt. Wenn der Benutzer "Inhalt aktivieren" auswählt, wird die Datei als vertrauenswürdiges Dokument betrachtet, und Makros dürfen ausgeführt werden. Die Makros werden auch nach der Änderung des Standardverhaltens zum Blockieren von Makros in Dateien aus dem Internet weiterhin ausgeführt, da die Datei weiterhin als vertrauenswürdiges Dokument betrachtet wird.

Nach der Änderung des Standardverhaltens zum Blockieren von Makros in Dateien aus dem Internet wird Benutzern beim ersten Öffnen einer Datei mit Makros aus dem Internet ein anderes Banner angezeigt. Dieses Banner " SICHERHEITSRISIKO " hat keine Option zum Aktivieren von Inhalten. Benutzer können jedoch zum Dialogfeld "Eigenschaften " für die Datei wechseln und " Blockierung aufheben" auswählen, wodurch mark of the Web aus der Datei entfernt wird und die Makros ausgeführt werden können, solange keine Richtlinien- oder Trust Center-Einstellung blockiert wird.

Markierung des Webs und der Zonen

Standardmäßig wird "Mark of the Web" dateien nur aus den Zonen "Internet " oder " Eingeschränkte Websites " hinzugefügt.

Tipp

Um diese Zonen auf einem Windows-Gerät anzuzeigen, wechseln Sie zu Systemsteuerung > Internet-Optionen > Sicherheitseinstellungen ändern.

Sie können den ZoneId-Wert für eine Datei anzeigen, indem Sie den folgenden Befehl an einer Eingabeaufforderung ausführen und {name of file} durch Ihren Dateinamen ersetzen.

notepad {name of file}:Zone.Identifier

Wenn Sie diesen Befehl ausführen, wird editor die ZoneId im Abschnitt [ZoneTransfer] öffnen und anzeigen.

Hier ist eine Liste der ZoneId-Werte und der Zone, der sie zugeordnet sind.

  • 0 = Mein Computer
  • 1 = Lokales Intranet
  • 2 = Vertrauenswürdige Websites
  • 3 = Internet
  • 4 = Eingeschränkte Websites

Wenn die ZoneId beispielsweise 2 ist, werden VBA-Makros in dieser Datei nicht standardmäßig blockiert. Wenn die ZoneId jedoch 3 ist, werden Makros in dieser Datei standardmäßig blockiert.

Sie können das Cmdlet "Unblock-File" in PowerShell verwenden, um den ZoneId-Wert aus der Datei zu entfernen. Durch das Entfernen des ZoneId-Werts können VBA-Makros standardmäßig ausgeführt werden. Die Verwendung des Cmdlets bewirkt dasselbe wie das Aktivieren des Kontrollkästchens " Blockierung aufheben" auf der Registerkarte " Allgemein " im Dialogfeld "Eigenschaften " für die Datei.

Verwenden des Readiness Toolkits zum Identifizieren von Dateien mit VBA-Makros, die möglicherweise blockiert werden

Um Dateien mit VBA-Makros zu identifizieren, die möglicherweise nicht ausgeführt werden können, können Sie das Readiness Toolkit für Office-Add-Ins und VBA verwenden, ein kostenloser Download von Microsoft.

Das Readiness Toolkit enthält eine eigenständige ausführbare Datei, die über eine Befehlszeile oder in einem Skript ausgeführt werden kann. Sie können das Readiness Toolkit auf dem Gerät eines Benutzers ausführen, um Dateien auf dem Gerät des Benutzers anzuzeigen. Oder Sie können es von Ihrem Gerät aus ausführen, um Dateien auf einer Netzwerkfreigabe anzuzeigen.

Wenn Sie die eigenständige ausführbare Version des Readiness Toolkit ausführen, wird eine JSON-Datei mit den gesammelten Informationen erstellt. Sie sollten die JSON-Dateien an einem zentralen Speicherort speichern, z. B. in einer Netzwerkfreigabe. Anschließend führen Sie den Readiness Report Creator aus, bei dem es sich um eine Benutzeroberflächen-Assistentenversion des Readiness Toolkit handelt. Dieser Assistent konsolidiert die Informationen in den separaten JSON-Dateien in einem einzigen Bericht in Form einer Excel-Datei.

Führen Sie die folgenden grundlegenden Schritte aus, um Dateien zu identifizieren, die mithilfe des Readiness Toolkits betroffen sein könnten:

  1. Laden Sie die neueste Version des Readiness Toolkits aus dem Microsoft Download Center herunter. Stellen Sie sicher, dass Sie mindestens Version 1.2.22161 verwenden, die am 14. Juni 2022 veröffentlicht wurde.

  2. Installieren Sie das Readiness Toolkit.

  3. Wechseln Sie an einer Eingabeaufforderung zu dem Ordner, in dem Sie das Readiness Toolkit installiert haben, und führen Sie den Befehl ReadinessReportCreator.exe mit der Option "blockinternetscan" aus.

    Wenn Sie beispielsweise Dateien im Ordner "c:\officefiles" (und alle unterordner) auf einem Gerät scannen und die JSON-Datei mit den Ergebnissen in der Finanzfreigabe auf Server01 speichern möchten, können Sie den folgenden Befehl ausführen.

ReadinessReportCreator.exe -blockinternetscan -p c:\officefiles\ -r -output \\server01\finance -silent
  1. Nachdem Sie alle Ihre Scans durchgeführt haben, führen Sie den Readiness Report Creator aus.
  2. Wählen Sie auf der Seite "Bereitschaftsbericht erstellen" die Option "Vorherige Bereitschaftsergebnisse" aus, die zusammen in einem lokalen Ordner oder einer Netzwerkfreigabe gespeichert wurden, und geben Sie dann den Speicherort an, an dem Sie alle Dateien für die Scans gespeichert haben.
  3. Wählen Sie auf der Seite "Berichtseinstellungen" den Excel-Bericht aus, und geben Sie dann einen Speicherort für den Bericht an.
  4. Wenn Sie den Bericht in Excel öffnen, wechseln Sie zum Arbeitsblatt " VBA-Ergebnisse ".
  5. Suchen Sie in der Spalte "Richtlinie" nach einer blockierten VBA-Datei aus dem Internet.

Ausführlichere Informationen zur Verwendung des Readiness Toolkit finden Sie unter Verwenden des Readiness Toolkits zum Bewerten der Anwendungskompatibilität für Microsoft 365 Apps.

Verwenden von Richtlinien zum Verwalten der Behandlung von Makros durch Office

Sie können Richtlinien verwenden, um zu verwalten, wie Office Makros behandelt. Es wird empfohlen, dass Sie die Makros blockieren, die in Office-Dateien aus der Internetrichtlinie ausgeführt werden, verwenden. Wenn diese Richtlinie jedoch nicht für Ihre Organisation geeignet ist, ist die andere Option die Richtlinie für die Einstellungen für VBA-Makrobenachrichtigungen .

Weitere Informationen zum Bereitstellen dieser Richtlinien finden Sie unter "Verfügbare Tools zum Verwalten von Richtlinien".

Wichtig

Sie können Richtlinien nur verwenden, wenn Sie Microsoft 365 Apps for Enterprise verwenden. Richtlinien sind für Microsoft 365 Apps for Business nicht verfügbar.

Blockieren der Ausführung von Makros in Office-Dateien aus dem Internet

Diese Richtlinie verhindert, dass Benutzer versehentlich Dateien öffnen, die Makros enthalten, aus dem Internet. Wenn eine Datei auf ein Gerät heruntergeladen wird, auf dem Windows ausgeführt wird, oder von einem Netzwerkfreigabespeicherort geöffnet wird, wird mark of the Web der Datei hinzugefügt, die angibt, dass sie aus dem Internet stammt.

Wir empfehlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise zu aktivieren. Sie sollten diese Richtlinie für die meisten Benutzer aktivieren und bei Bedarf nur Ausnahmen für bestimmte Benutzer festlegen.

Für jede der fünf Anwendungen gibt es eine separate Richtlinie. Die folgende Tabelle zeigt, wo jede Richtlinie in der Gruppenrichtlinie Verwaltungskonsole unter "Benutzerkonfiguration\Richtlinien\Administrative Vorlagen" zu finden ist:

Anwendung Richtlinienspeicherort
Access Microsoft Access 2016\Application Settings\Security\Trust Center
Excel Microsoft Excel 2016\Excel-Optionen\Sicherheit\Trust Center
PowerPoint Microsoft PowerPoint 2016\PowerPoint-Optionen\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word-Optionen\Security\Trust Center

Welcher Zustand Sie für die Richtlinie auswählen, bestimmt die Von Ihnen bereitgestellte Schutzebene. Die folgende Tabelle zeigt die aktuelle Schutzebene, die Sie bei jedem Zustand erhalten, bevor die Änderung des Standardverhaltens implementiert wird.

Symbol Schutzebene Richtlinienstatus Beschreibung
Grüner Kreis mit weißem Häkchen Geschützt [empfohlen] Enabled Benutzer werden daran gehindigt, Makros in Dateien auszuführen, die aus dem Internet abgerufen werden.

Teil der von Microsoft empfohlenen Sicherheitsbaseline.
Roter Kreis mit weißem X Nicht geschützt Deaktiviert Berücksichtigt die Einstellungen, die unter Den Einstellungen des Trust Center > für Dateioptionen > > konfiguriert sind... > Makroeinstellungen.
Roter Kreis mit weißem X Nicht geschützt Nicht konfiguriert Berücksichtigt die Einstellungen, die unter Den Einstellungen des Trust Center > für Dateioptionen > > konfiguriert sind... > Makroeinstellungen.

Hinweis

  • Wenn Sie diese Richtlinie auf "Deaktiviert" festlegen, wird Benutzern standardmäßig eine Sicherheitswarnung angezeigt, wenn sie eine Datei mit einem Makro öffnen. Diese Warnung gibt Benutzern bekannt, dass Makros deaktiviert wurden, ermöglicht es ihnen jedoch, die Makros auszuführen, indem sie die Schaltfläche " Inhalt aktivieren" auswählen .
  • Diese Warnung ist die gleiche Warnung, die Benutzern bereits vor dieser kürzlich vorgenommenen Änderung zum Blockieren von Makros angezeigt wurde.
  • Es wird nicht empfohlen, diese Richtlinie dauerhaft auf "Deaktiviert" festzulegen. In einigen Fällen kann es jedoch sinnvoll sein, dies vorübergehend zu tun, während Sie testen, wie sich das neue Makroblockierungsverhalten auf Ihre Organisation auswirkt und wie Sie eine Lösung entwickeln, um die sichere Verwendung von Makros zu ermöglichen.

Nachdem wir die Änderung am Standardverhalten implementiert haben, ändert sich die Schutzebene, wenn die Richtlinie auf "Nicht konfiguriert" festgelegt ist.

Symbol Schutzebene Richtlinienstatus Beschreibung
Grüner Kreis mit weißem Häkchen Geschützt Nicht konfiguriert Benutzer werden daran gehindigt, Makros in Dateien auszuführen, die aus dem Internet abgerufen werden.

Benutzern wird das Sicherheitsrisiko-Banner mit einer Schaltfläche "Weitere Informationen" angezeigt.

Benachrichtigungseinstellungen für VBA-Makros

Wenn Sie die Richtlinie "Blockieren der Ausführung von Makros in Office-Dateien aus dem Internet" nicht verwenden, können Sie die Richtlinie "VBA-Makrobenachrichtigungseinstellungen" verwenden, um zu verwalten, wie Makros von Office behandelt werden.

Diese Richtlinie verhindert, dass Benutzer dazu verleitet werden, schädliche Makros zu aktivieren. Standardmäßig ist Office so konfiguriert, dass Dateien blockiert werden, die VBA-Makros enthalten, und eine Vertrauensstellungsleiste mit einer Warnung anzeigt, dass Makros vorhanden sind und deaktiviert wurden. Benutzer können die Dateien bei Bedarf prüfen und bearbeiten, aber keine deaktivierten Funktionen verwenden, bis sie auf der Vertrauensleiste "Inhalt aktivieren" auswählen. Wenn der Benutzer " Inhalt aktivieren" auswählt, wird die Datei als vertrauenswürdiges Dokument hinzugefügt, und Makros dürfen ausgeführt werden.

Für jede der fünf Anwendungen gibt es eine separate Richtlinie. Die folgende Tabelle zeigt, wo jede Richtlinie in der Gruppenrichtlinie Verwaltungskonsole unter "Benutzerkonfiguration\Richtlinien\Administrative Vorlagen" zu finden ist:

Anwendung Richtlinienspeicherort
Access Microsoft Access 2016\Application Settings\Security\Trust Center
Excel [1] Microsoft Excel 2016\Excel-Optionen\Sicherheit\Trust Center
PowerPoint Microsoft PowerPoint 2016\PowerPoint-Optionen\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word-Optionen\Security\Trust Center

Hinweis

  • [1] Für Excel heißt die Richtlinie "Makrobenachrichtigungseinstellungen".
  • Die Richtlinie "VBA-Makrobenachrichtigungseinstellungen" ist auch für Project und Publisher verfügbar.

Welcher Zustand Sie für die Richtlinie auswählen, bestimmt die Von Ihnen bereitgestellte Schutzebene. Die folgende Tabelle zeigt die Schutzebene, die Sie bei jedem Zustand erhalten.

Symbol Schutzebene Richtlinienstatus Richtlinienwert
Grüner Kreis mit weißem Häkchen Geschützt [empfohlen] Enabled Alle außer digital signierten Makros deaktivieren (und "Makros müssen von einem vertrauenswürdigen Herausgeber signiert werden müssen") auswählen
Grüner Kreis mit weißem Häkchen Geschützt Enabled Alle ohne Benachrichtigung deaktivieren
Oranger Kreis mit weißem Häkchen Teilweise geschützt Enabled Alle mit Benachrichtigung deaktivieren
Oranger Kreis mit weißem Häkchen Teilweise geschützt Deaktiviert (Gleiches Verhalten wie "Alle mit Benachrichtigung deaktivieren")
Roter Kreis mit weißem X Nicht geschützt Enabled Alle Makros aktivieren (nicht empfohlen)

Wichtig

Das Sichern von Makros ist wichtig. Deaktivieren Sie für Benutzer, die keine Makros benötigen, alle Makros, indem Sie "Alle ohne Benachrichtigung deaktivieren" auswählen.

Unsere Sicherheitsgrundwerte empfehlen, dass Sie Folgendes tun sollten:

  • Aktivieren Sie die Richtlinie "VBA-Makrobenachrichtigungseinstellungen".
  • Für Benutzer, die Makros benötigen, wählen Sie "Alle außer digital signierten Makros deaktivieren" und dann "Erfordern, dass Makros von einem vertrauenswürdigen Herausgeber signiert werden müssen". Das Zertifikat muss als vertrauenswürdiger Herausgeber auf den Geräten der Benutzer installiert werden.

Wenn Sie die Richtlinie nicht konfigurieren, können Benutzer Makroschutzeinstellungen unter "Einstellungen für das****Trust Center > für Dateioptionen > > " konfigurieren... > Makroeinstellungen.

In der folgenden Tabelle sind die Optionen aufgeführt, die Benutzer unter "Makroeinstellungen" treffen können, und der Grad des Schutzes, den jede Einstellung bietet.

Symbol Schutzebene Ausgewählte Einstellung
Grüner Kreis mit weißem Häkchen Geschützt Alle Makros außer digital signierten Makros deaktivieren
Grüner Kreis mit weißem Häkchen Geschützt Alle Makros ohne Benachrichtigung deaktivieren
Oranger Kreis mit weißem Häkchen Teilweise geschützt Alle Makros mit Benachrichtigung deaktivieren (Standard)
Roter Kreis mit weißem X Nicht geschützt Alle Makros aktivieren (nicht empfohlen; potenziell gefährlicher Code kann ausgeführt werden)

Hinweis

In den Richtlinieneinstellungswerten und der Produkt-UI für Excel wird das Wort "alle" durch "VBA" ersetzt. Beispiel: "VBA-Makros ohne Benachrichtigung deaktivieren".

Verfügbare Tools zum Verwalten von Richtlinien

Es stehen ihnen mehrere Tools zum Konfigurieren und Bereitstellen von Richtlinieneinstellungen für Benutzer in Ihrer Organisation zur Verfügung.

Cloudrichtlinie

Sie können die Cloudrichtlinie verwenden, um Richtlinieneinstellungen auf Geräten in Ihrer Organisation zu konfigurieren und bereitzustellen, auch wenn das Gerät nicht der Domäne beigetreten ist. Die Cloudrichtlinie ist ein webbasiertes Tool und befindet sich im Microsoft 365 Apps Admin Center.

In der Cloudrichtlinie erstellen Sie eine Richtlinienkonfiguration, weisen sie einer Gruppe zu und wählen dann Richtlinien aus, die in die Richtlinienkonfiguration einbezogen werden sollen. Um eine einzuschließenden Richtlinie auszuwählen, können Sie nach dem Namen der Richtlinie suchen. Die Cloudrichtlinie zeigt auch, welche Richtlinien Teil der von Microsoft empfohlenen Sicherheitsbasislinie sind. Bei den in der Cloudrichtlinie verfügbaren Richtlinien handelt es sich um dieselben Benutzerkonfigurationsrichtlinien, die in der Gruppenrichtlinie Verwaltungskonsole verfügbar sind.

Weitere Informationen finden Sie unter Übersicht über den Cloudrichtliniendienst für Microsoft 365.

Microsoft Endpoint Manager Admin Center

Im Microsoft Endpoint Manager Admin Center können Sie entweder den Einstellungskatalog (Vorschau) oder administrative Vorlagen verwenden, um Richtlinieneinstellungen für Geräte zu konfigurieren und bereitzustellen, auf denen Windows 10 oder höher ausgeführt werden.

To get started, go to Devices > Configuration profiles > Create profile. Wählen Sie für "Plattform" Windows 10 und höher und dann den Profiltyp aus.

Weitere Informationen finden Sie in den folgenden Artikeln:

Gruppenrichtlinien-Verwaltungskonsole

Wenn Sie Windows Server und Active Directory Domain Services (AD DS) in Ihrer Organisation bereitgestellt haben, können Sie Richtlinien mithilfe von Gruppenrichtlinie konfigurieren. Um Gruppenrichtlinie zu verwenden, laden Sie die aktuellsten Administrativen Vorlagendateien (ADMX/ADML) für Office herunter, die die Richtlinieneinstellungen für Microsoft 365 Apps for Enterprise enthalten. Nachdem Sie die Administrative Vorlagendateien nach AD DS kopiert haben, können Sie die Gruppenrichtlinie-Verwaltungskonsole verwenden, um Gruppenrichtlinie Objekte (GPOs) zu erstellen, die Richtlinieneinstellungen für Ihre Benutzer und für geräte, die in die Domäne eingebunden sind, enthalten.