Freigeben über


Vertrauenswürdige Speicherorte für Office-Dateien

Gilt für:Microsoft 365 Apps, Office LTSC 2021, Office 2019 und Office 2016

Vertrauenswürdige Speicherorte sind ein Feature von Office, bei dem in diesen Ordnern enthaltene Dateien als sicher gelten, z. B. Dateien, die Sie selbst erstellen oder aus einer vertrauenswürdigen Quelle gespeichert haben. Diese Dateien umgehen Bedrohungsschutzdienste, umgehen Dateiblockeinstellungen, und alle aktiven Inhalte sind aktiviert. Dies bedeutet, dass Dateien, die an vertrauenswürdigen Speicherorten gespeichert sind, nicht in der geschützten Ansicht oder in Application Guard geöffnet werden.

Aktive Inhalte können nicht signierte Add-Ins, VBA-Makros, Verbindungen mit externen Daten und vieles mehr umfassen. Stellen Sie sicher, dass Sie der ursprünglichen Quelle der Datei vertrauen, bevor Sie sie an einem vertrauenswürdigen Speicherort speichern. Dies ist wichtig, da alle aktiven Inhalte aktiviert sind und Benutzer keine Benachrichtigungen zu potenziellen Sicherheitsrisiken erhalten. Das folgende Diagramm zeigt den Vertrauensworkflow zum Öffnen von Office-Dateien.

Screenshot eines Flussdiagramms, das den Prozess und die Bedingungen für das Öffnen von Dateien von vertrauenswürdigen Speicherorten und die Verwaltung aktiver Inhalte basierend auf verschiedenen Richtlinien enthält.

Wie in Schritt 2 gezeigt, umgehen Dateien in vertrauenswürdigen Speicherorten alle anderen Sicherheits- und Richtlinienprüfungen. Daher sollten vertrauenswürdige Speicherorte selten verwendet werden, für eindeutige Situationen und nur für ausgewählte Benutzer. In der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise wird beschrieben, netzwerkbasierte vertrauenswürdige Speicherorte zu deaktivieren. Steuern Sie dann bei Bedarf vertrauenswürdige Speicherorte zentral über die Richtlinie, und erlauben Sie benutzern nicht, selbst vertrauenswürdige Speicherorte festzulegen.

Planungsschritte für vertrauenswürdige Speicherorte

Vertrauenswürdige Speicherorte ermöglichen alle Inhalte in einer Datei, einschließlich Add-Ins, ActiveX-Steuerelemente, Hyperlinks, Links zu Datenquellen und Medien sowie VBA-Makros. Dateien, die von vertrauenswürdigen Speicherorten aus geöffnet werden, überspringen Dateiüberprüfungen, Dateiblockprüfungen und werden nicht in der geschützten Ansicht oder in Application Guard geöffnet. Es gibt verschiedene Vertrauensstufen, die Sie in Ihrer Organisation für vertrauenswürdige Standorte zulassen können:

  • Endbenutzern erlauben, vertrauenswürdige Speicherorte auf ihrem Gerät oder Netzwerk selbst zu erstellen
  • Verwenden von Richtlinien, um zu verhindern, dass Benutzer vertrauenswürdige Speicherorte erstellen
  • Verwenden von Richtlinien zur zentralen Verwaltung vertrauenswürdiger Speicherorte
  • Deaktivieren vertrauenswürdiger Speicherorte

Es ist wichtig, die Szenarien auszuwählen, die für Ihre Organisation am besten geeignet sind, und deren Sicherheitsrisikotoleranz.

Hinweis

Einige vertrauenswürdige Speicherorte werden standardmäßig erstellt, wenn Office installiert wird. Eine Liste dieser vertrauenswürdigen Speicherorte finden Sie unter Vertrauenswürdige Standardspeicherorte für Office-Apps.

Um vertrauenswürdige Speicherorte zu implementieren, müssen Sie Folgendes bestimmen:

  • Die Office-Apps, für die Sie vertrauenswürdige Speicherorte konfigurieren möchten.
  • Die Ordner, die Sie als vertrauenswürdige Speicherorte festlegen möchten
  • Die Freigabeeinstellungen für Ordner und die Sicherheitseinstellungen für Ordner, die Sie auf Ihre vertrauenswürdigen Speicherorte anwenden möchten
  • Die Einschränkungen, die Sie auf vertrauenswürdige Speicherorte anwenden möchten

Bestimmen der Office-Apps, für die Sie vertrauenswürdige Speicherorte konfigurieren möchten

Sie können die Liste der vertrauenswürdigen Speicherorte anzeigen, indem Sie zu Dateioptionen>>Trust Center>Trust Center-Einstellungen... wechseln.>Vertrauenswürdige Speicherorte in den folgenden Office-Apps:

  • Access
  • Excel
  • PowerPoint
  • Visio
  • Word

Richtlinien sind verfügbar, um vertrauenswürdige Speicherorte für jede dieser Office-Apps zu verwalten. Weitere Informationen finden Sie unter Verwenden von Richtlinien zum Verwalten vertrauenswürdiger Speicherorte.

Hinweis

Richtlinien sind auch für Project verfügbar, aber Project hat keine Einstellungen für vertrauenswürdige Speicherorte im Trust Center.

Bestimmen der Ordner, die als vertrauenswürdige Speicherorte festgelegt werden

Im Folgenden finden Sie einige Überlegungen, die Sie berücksichtigen sollten, wenn Sie bestimmen, welche Ordner als vertrauenswürdige Speicherorte verwendet werden sollen:

  • Sofern nicht durch eine Richtlinie blockiert, können Benutzer vertrauenswürdige Speicherorte im Trust Center für ihre Office-App erstellen und ändern. Weitere Informationen finden Sie unter Hinzufügen, Entfernen oder Ändern eines vertrauenswürdigen Speicherorts.

  • Standardmäßig sind nur vertrauenswürdige Speicherorte zulässig, die lokal auf dem Gerät des Benutzers liegen. Netzwerkadressen können auch als vertrauenswürdiger Speicherort festgelegt werden, aber nicht empfohlen.

  • Es wird nicht empfohlen, dass Benutzer Stammordner als vertrauenswürdige Speicherorte angeben. Beispiel: Laufwerk C: oder Ordner Eigene Dokumente. Erstellen Sie stattdessen einen Unterordner innerhalb dieser Ordner, und geben Sie nur diesen Ordner als vertrauenswürdigen Speicherort an.

  • Mindestens eine Anwendung kann denselben vertrauenswürdigen Speicherort verwenden.

  • Sie können die Richtlinie Vertrauenswürdiger Speicherort Nr. 1 verwenden, um vertrauenswürdige Speicherorte für Ihre Benutzer festzulegen.

Bestimmen von Ordnerfreigabe- und Ordnersicherheitseinstellungen für Ordner mit vertrauenswürdigem Speicherort

Alle Ordner, die Sie als vertrauenswürdige Speicherorte angeben, müssen geschützt werden, um zu verhindern, dass böswillige Benutzer Dateien an einem vertrauenswürdigen Speicherort hinzufügen oder ändern.

Wenn ein Ordner freigegeben ist, konfigurieren Sie Freigabeberechtigungen, sodass nur berechtigte Benutzer auf den freigegebenen Ordner zugreifen können.

Beachten Sie unbedingt die Regel der geringsten Rechte, und erteilen Sie einem Benutzer die geeigneten Berechtigungen. Gewähren Sie Benutzern, die dateien an vertrauenswürdigen Speicherorten nicht ändern müssen, Lesen-Berechtigung. Erteilen Sie Benutzern, die Dateien bearbeiten müssen, die Berechtigung Vollzugriff.

Verwenden von Richtlinien zum Verwalten vertrauenswürdiger Speicherorte

Es gibt mehrere Richtlinien, mit denen Sie vertrauenswürdige Speicherorte in Ihrer Organisation verwalten können.

Sie können Cloudrichtlinien, das Microsoft Intune Admin Center oder die Gruppenrichtlinien-Verwaltungskonsole verwenden, um Richtlinieneinstellungen für Benutzer in Ihrer Organisation zu konfigurieren und bereitzustellen. Weitere Informationen finden Sie unter Verfügbare Tools zum Verwalten von Richtlinien.

Hinweis

Für Volumenlizenzversionen von Office 2016, z. B. Office Professional Plus 2016, können Sie das Office-Anpassungstool (OCT) verwenden, um vertrauenswürdige Speicherorte zu konfigurieren. Weitere Informationen finden Sie unter Office-Anpassungstool (OCT) 2016 Help: Office-Sicherheitseinstellungen.

Für jede Office-Anwendung gibt es separate Richtlinien für vertrauenswürdige Speicherorte. Die folgende Tabelle zeigt, wo die einzelnen Richtlinien in der Gruppenrichtlinien-Verwaltungskonsole unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen zu finden sind.

App Richtlinienspeicherort
Access Microsoft Access 2016\Anwendungseinstellungen\Security\Trust Center\Vertrauenswürdige Speicherorte
Excel Microsoft Excel 2016\Excel Options\Security\Trust Center\Trusted Locations
PowerPoint Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center\Trusted Locations
Project Microsoft Project 2016\Project Options\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word Options\Security\Trust Center\Trusted Locations

Konfigurieren Sie die Richtlinie Mischung aus Richtlinien und Benutzerspeicherorten zulassen , um zu bestimmen, ob sowohl Benutzer als auch Administratoren oder nur Administratoren vertrauenswürdige Speicherorte definieren können.

Richtlinie "Vertrauenswürdiger Speicherort #1"

Sie können diese Richtlinie verwenden, um den Pfad für einen vertrauenswürdigen Speicherort für Benutzer in Ihrer Organisation anzugeben. Es gibt 20 Instanzen dieser Richtlinie. Beispiel: Vertrauenswürdiger Standort Nr. 1, Vertrauenswürdiger Speicherort #2, Vertrauenswürdiger Speicherort #3 usw.

Standardmäßig sind diese Richtlinien leer. Um einen vertrauenswürdigen Speicherort hinzuzufügen, aktivieren Sie die Richtlinie, und geben Sie den Pfad zum vertrauenswürdigen Speicherort an. Stellen Sie sicher, dass der von Ihnen angegebene Speicherort gesichert ist, indem Sie Berechtigungen festlegen, damit nur die entsprechenden Benutzer Office-Dateien zu diesem Speicherort hinzufügen können.

Vertrauenswürdige Speicherorte, die Sie mit dieser Richtlinie angeben, werden im Abschnitt Richtlinienspeicherorte unter Dateioptionen>>Trust Center>Trust Center-Einstellungen... angezeigt.>Vertrauenswürdige Speicherorte.

Hinweis

  • Sie können Umgebungsvariablen verwenden, wenn Sie einen vertrauenswürdigen Speicherort angeben.
  • Diese 20 Richtlinien sind auch unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2016\Sicherheitseinstellungen\Trust Center verfügbar. Wenn Sie diese Version der Richtlinie verwenden, gilt die Richtlinie für alle Apps, die vertrauenswürdige Speicherorte unterstützen.

Richtlinie "Vertrauenswürdige Standorte im Netzwerk zulassen"

Diese Richtlinie steuert, ob Vertrauenswürdige Speicherorte im Netzwerk verwendet werden können.

Standardmäßig sind Vertrauenswürdige Speicherorte an Netzwerkspeicherorten deaktiviert. Benutzer können diese Einstellung jedoch ändern, indemsie zu Dateioptionen>>Trust Center>Trust Center-Einstellungen wechseln...>Vertrauenswürdige Speicherorte, und aktivieren Sie das Kontrollkästchen Vertrauenswürdige Speicherorte in meinem Netzwerk zulassen (nicht empfohlen).

Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die Schutzebene, die Sie mit den einzelnen Zuständen erhalten.

Symbol Schutzebene Richtlinienstatus Beschreibung
Screenshot eines grünen Symbols mit einem Häkchen, das angibt, dass der Inhalt vollständig geschützt ist. Geschützt [empfohlen] Deaktiviert Blockiert vertrauenswürdige Speicherorte an Netzwerkspeicherorten, einschließlich aller vom Administrator konfigurierten Speicherorte (z. B. mithilfe der Richtlinie "Vertrauenswürdiger Speicherort #1").

Ignoriert alle Netzwerkspeicherorte, die von Benutzern im Trust Center als vertrauenswürdige Speicherorte festgelegt werden, und verhindert, dass Benutzer weitere Hinzufügen.
Screenshot eines roten Symbols mit einem Nicht geschützt Aktiviert Ermöglicht die Festlegung von Netzwerkstandorten als vertrauenswürdige Speicherorte sowohl durch Benutzer als auch durch Richtlinien.
Screenshot eines orangefarbenen Symbols mit einem Häkchen, das angibt, dass der Inhalt teilweise geschützt ist. Teilweise geschützt Not Configured Standardmäßig werden Benutzer daran gehindert, Netzwerkspeicherorte als vertrauenswürdige Speicherorte hinzuzufügen. Sie können diese Einstellung jedoch aktivieren, indem Sie das Kontrollkästchen Vertrauenswürdige Speicherorte in meinem Netzwerk zulassen (nicht empfohlen) im Trust Center aktivieren.

Es wird empfohlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise auf Deaktiviert festzulegen. Sie sollten diese Richtlinie für die meisten Benutzer deaktivieren und bei Bedarf nur Ausnahmen für bestimmte Benutzer vornehmen.

Sie können Webordner als vertrauenswürdige Speicherorte angeben. Als vertrauenswürdige Speicherorte werden jedoch nur die Webordner erkannt, die Web Distributed Authoring and Versioning (WebDAV) oder FPRPC-Protokolle (Remote Procedure Call) von FrontPage-Servererweiterungen unterstützen.

Richtlinie "Alle vertrauenswürdigen Speicherorte deaktivieren"

Diese Richtlinie kann verwendet werden, um alle vertrauenswürdigen Speicherorte zu deaktivieren.

Standardmäßig sind Vertrauenswürdige Speicherorte verfügbar, und Benutzer können einen beliebigen Standort als vertrauenswürdigen Speicherort festlegen, und ein Gerät kann eine beliebige Kombination aus vom Benutzer erstellten und vom Administrator konfigurierten vertrauenswürdigen Speicherorten aufweisen.

Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die Schutzebene, die Sie mit den einzelnen Zuständen erhalten.

Symbol Schutzebene Richtlinienstatus Beschreibung
Screenshot eines grünen Symbols mit einem Häkchen, das angibt, dass der Inhalt vollständig geschützt ist. Geschützt Aktiviert Alle vertrauenswürdigen Speicherorte werden blockiert.
Screenshot eines roten Symbols mit einem Nicht geschützt Deaktiviert Ein Benutzer oder Gerät kann über eine Kombination aus vertrauenswürdigen Speicherorten verfügen, die vom Benutzer erstellt oder vom Administrator konfiguriert wurden (z. B. nach Richtlinie).
Screenshot eines roten Symbols mit einem Nicht geschützt Not Configured Diese Einstellung ist die Office-Standardeinstellung. Bietet das gleiche Verhalten wie Deaktiviert.

Organisationen mit einer stark restriktiven Sicherheitsumgebung legen diese Richtlinie in der Regel auf Aktiviert fest.

Richtlinie "Mischung aus Richtlinien- und Benutzerspeicherorten zulassen"

Diese Richtlinie steuert, ob vertrauenswürdige Speicherorte von Benutzern und Administratoren definiert werden können (z. B. durch Eine Richtlinie), oder ob vertrauenswürdige Speicherorte nur durch Richtlinie definiert werden können.

Diese Richtlinie finden Sie unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen\Microsoft Office 2016\Sicherheitseinstellungen\Trust Center in der Gruppenrichtlinien-Verwaltungskonsole.

Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die Schutzebene, die Sie mit den einzelnen Zuständen erhalten.

Symbol Schutzebene Richtlinienstatus Beschreibung
Screenshot eines grünen Symbols mit einem Häkchen, das angibt, dass der Inhalt vollständig geschützt ist. Geschützt [empfohlen] Deaktiviert Nur Vertrauenswürdige Speicherorte, die von der Richtlinie definiert werden, sind zulässig.
Screenshot eines roten Symbols mit einem Nicht geschützt Aktiviert Ein Benutzer oder Gerät kann über eine Kombination aus vertrauenswürdigen Speicherorten verfügen, die vom Benutzer erstellt oder vom Administrator konfiguriert wurden (z. B. nach Richtlinie).
Screenshot eines roten Symbols mit einem Nicht geschützt Not Configured Diese Einstellung ist die Office-Standardeinstellung. Bietet das gleiche Verhalten wie Aktiviert.

Es wird empfohlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise auf Deaktiviert festzulegen. Sie sollten diese Richtlinie für die meisten Benutzer deaktivieren und bei Bedarf nur Ausnahmen für bestimmte Benutzer vornehmen.

Vertrauenswürdige Standardspeicherorte für Office-Apps

In einer Office-Installation werden mehrere Ordner als vertrauenswürdige Standardspeicherorte festgelegt. Die standardmäßigen vertrauenswürdigen Speicherorte sind in den Tabellen für die folgenden Anwendungen aufgeführt.

Es gibt keine standardmäßigen vertrauenswürdigen Speicherorte für Project oder für Visio.

Sie können diese Ordner anzeigen, indemSie zu Dateioptionen>>Trust Center>Trust Center Einstellungen... wechseln.>Vertrauenswürdige Speicherorte.

Vertrauenswürdige Standardspeicherorte für Access

In der folgenden Tabelle sind die standardmäßigen vertrauenswürdigen Speicherorte für Access aufgeführt und ob die Unterordner ebenfalls vertrauenswürdig sind.

Vertrauenswürdiger Standardspeicherort Ordnerbeschreibung Vertrauenswürdige Unterordner?
Programme\Microsoft Office\Root\Office16\ACCWIZ Assistentendatenbanken Nein (Nicht zulässig)

Vertrauenswürdige Standardspeicherorte für Excel

In der folgenden Tabelle wird aufgeführt, welche Ordner die standardmäßigen vertrauenswürdigen Speicherorte für Excel sind und ob die Unterordner ebenfalls vertrauenswürdig sind.

Vertrauenswürdige Standardspeicherorte Ordnerbeschreibung Vertrauenswürdige Unterordner?
Programme\Microsoft Office\Root\Templates Anwendungsvorlagen Ja (Zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Templates Benutzervorlagen Nein (Nicht zulässig)
Programme\Microsoft Office\Root\Office16\XLSTART Excel-Startup Ja (Zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Excel\XLSTART Benutzer-Startup Nein (Nicht zulässig)
Programme\Microsoft Office\Root\Office16\STARTUP Office-Startup Ja (Zulässig)
Programme\Microsoft Office\Root\Office16\Library Add-Ins Ja (Zulässig)

Vertrauenswürdige Standardspeicherorte für PowerPoint

In der folgenden Tabelle sind die standardmäßigen vertrauenswürdigen Speicherorte für PowerPoint aufgeführt und ob die Unterordner ebenfalls vertrauenswürdig sind.

Vertrauenswürdige Standardspeicherorte Ordnerbeschreibung Vertrauenswürdige Unterordner?
Programme\Microsoft Office\Root\Templates Anwendungsvorlagen Ja (Zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Templates Benutzervorlagen Ja (Zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Addins Add-Ins Nein (Nicht zulässig)
Programme\Microsoft Office\Root\Document Designs 16 Anwendungsdesigns Ja (Zulässig)

Vertrauenswürdige Standardspeicherorte für Word

In der folgenden Tabelle sind die Standardmäßigen vertrauenswürdigen Speicherorte für Word und die Angabe aufgeführt, ob die Unterordner ebenfalls vertrauenswürdig sind.

Vertrauenswürdige Standardspeicherorte Ordnerbeschreibung Vertrauenswürdige Unterordner?
Programme\Microsoft Office\Root\Templates Anwendungsvorlagen Ja (Zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Templates Benutzervorlagen Nein (Nicht zulässig)
Users\user_name\Appdata\Roaming\Microsoft\Word\Startup Benutzer-Startup Nein (Nicht zulässig)