Freigeben über


Makros aus dem Internet werden in Office standardmäßig blockiert.

VBA-Makros sind eine gängige Möglichkeit für böswillige Akteure, Zugriff auf die Bereitstellung von Schadsoftware und Ransomware zu erhalten. Um die Sicherheit in Office zu verbessern, ändern wir daher das Standardverhalten von Office-Anwendungen, um Makros in Dateien aus dem Internet zu blockieren.

Diese Änderung wirkt sich darauf aus, wie Benutzer mit Dateien aus dem Internet interagieren, z. B. mit E-Mail-Anlagen, die Makros enthalten. Wenn Benutzer nun eine solche Datei öffnen, wird die folgende Meldung angezeigt:

Screenshot eines Banners mit Sicherheitsrisiken, das angibt, dass Microsoft die Ausführung von Makros blockiert hat, weil die Quelle der Datei nicht vertrauenswürdig ist.

Die Schaltfläche Weitere Informationen geht zu einem Artikel für Endbenutzer und Information Worker , der Informationen zum Sicherheitsrisiko von böstätigen Akteuren mit Makros, sichere Methoden zum Verhindern von Phishing und Schadsoftware sowie Anweisungen zum Aktivieren dieser Makros (falls erforderlich) enthält.

In einigen Fällen wird Benutzern auch die Meldung angezeigt, wenn die Datei von einem Speicherort in Ihrem Intranet stammt und nicht als vertrauenswürdig identifiziert wird. Beispielsweise, wenn Benutzer über die IP-Adresse der Freigabe auf Dateien auf einer Netzwerkfreigabe zugreifen. Weitere Informationen finden Sie unter Dateien, die sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website befinden.

Wichtig

Schon vor dieser Änderung, die wir einführen, konnten Organisationen die Richtlinie Ausführen von Makros in Office-Dateien aus dem Internet blockieren verwenden, um zu verhindern, dass Benutzer versehentlich Dateien aus dem Internet öffnen, die Makros enthalten. Es wird empfohlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise zu aktivieren. Wenn Sie die Richtlinie konfigurieren, ist Ihre organization von dieser Standardänderung nicht betroffen.

Weitere Informationen finden Sie unter Verwenden von Richtlinien zum Verwalten der Verarbeitung von Makros durch Office.

Vorbereiten auf diese Änderung

Bereiten Sie sich auf diese Änderung vor, indem Sie mit den Geschäftseinheiten in Ihrem organization arbeiten, die Makros in Office-Dateien verwenden. Diese Dateien werden häufig von Speicherorten wie Intranetnetzwerkfreigaben oder Intranetwebsites aus geöffnet. Sie möchten diese Makros identifizieren und bestimmen, welche Schritte unternommen werden müssen, um diese Makros weiterhin zu verwenden. Arbeiten Sie mit unabhängigen Softwareanbietern (INDEPENDENT Software Vendors, ISVs) zusammen, die Makros in Office-Dateien von diesen Speicherorten bereitstellen. Beispielsweise, um zu sehen, ob sie ihren Code digital signieren können und Sie sie als vertrauenswürdigen Herausgeber behandeln können.

Überprüfen Sie außerdem die folgenden Informationen:

Vorbereitungsaktion Weitere Informationen
Verstehen, welche Version in den einzelnen Updatekanälen diese Änderung aufweist Von dieser Änderung betroffene Office-Versionen
Sehen Sie sich ein Flussdiagramm des Prozesses an, den Office verwendet, um zu bestimmen, ob Makros in einer Datei ausgeführt werden sollen. Wie Office bestimmt, ob Makros in Dateien aus dem Internet ausgeführt werden sollen
Erfahren Sie mehr über Richtlinien, mit denen Sie die Ausführung von VBA-Makros steuern können. Verwenden von Richtlinien zum Verwalten der Behandlung von Makros durch Office

Schritte zum Zulassen der Ausführung von VBA-Makros in vertrauenswürdigen Dateien

Wie Sie VBA-Makros in vertrauenswürdigen Dateien ausführen lassen, hängt davon ab, wo sich diese Dateien befinden oder welche Art der Datei sie haben.

In der folgenden Tabelle sind verschiedene gängige Szenarien und mögliche Ansätze zum Aufheben der Blockierung von VBA-Makros und deren Ausführung aufgeführt. Sie müssen nicht alle möglichen Ansätze für ein bestimmtes Szenario ausführen. Wählen Sie in den Fällen, in denen wir mehrere Ansätze auflisten, die am besten zu Ihrem organization passt.

Szenario Mögliche Ansätze
Einzelne Dateien
• Aktivieren Sie das Kontrollkästchen Blockierung aufheben auf der Registerkarte Allgemein des Dialogfelds Eigenschaften für die Datei.
• Verwenden des Unblock-File-Cmdlets in PowerShell

Weitere Informationen finden Sie unter Entfernen der Markierung des Webs aus einer Datei.
Dateien befinden sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website Heben Sie die Blockierung der Datei mit einem Ansatz auf, der unter "Einzelne Dateien" aufgeführt ist.

Wenn kein Kontrollkästchen " Blockierung aufheben " vorhanden ist und Sie allen Dateien an diesem Netzwerkspeicherort vertrauen möchten:
• Festlegen des Standorts als vertrauenswürdige Website
• Hinzufügen des Standorts zur Lokalen Intranetzone

Weitere Informationen finden Sie unter Dateien, die sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website befinden.
Dateien, die auf OneDrive oder SharePoint gespeichert sind, einschließlich einer Website, die von einem Teams-Kanal verwendet wird • Benutzer können die Datei mithilfe der Option In Desktop-App öffnen direkt öffnen
• Wenn Benutzer die Datei lokal herunterladen, bevor sie sie öffnen, entfernen Sie Mark of the Web aus der lokalen Kopie der Datei (siehe die Ansätze unter "Einzelne Dateien").
• Festlegen des Standorts als vertrauenswürdige Website

Weitere Informationen finden Sie unter Dateien auf OneDrive oder SharePoint.
Vorlagendateien mit Makros für Word, PowerPoint und Excel Wenn die Vorlagendatei auf dem Gerät des Benutzers gespeichert ist:
• Entfernen von "Mark of the Web" aus der Vorlagendatei (siehe Ansätze unter "Einzelne Dateien")
• Speichern der Vorlagendatei an einem vertrauenswürdigen Speicherort

Wenn die Vorlagendatei an einem Netzwerkspeicherort gespeichert ist:
• Verwenden Sie eine digitale Signatur und vertrauen Sie dem Herausgeber
• Vertrauen Sie der Vorlagendatei (siehe die Ansätze unter "Dateien, die sich zentral auf einer Netzwerkfreigabe oder vertrauenswürdigen Website befinden")

Weitere Informationen finden Sie unter Makro-fähige Vorlagendateien für Word, PowerPoint und Excel.
Add-In-Dateien mit Makros für PowerPoint • Entfernen der Markierung des Webs aus der Add-In-Datei
• Verwenden Sie eine digitale Signatur und vertrauen Sie dem Herausgeber
• Speichern der Add-In-Datei an einem vertrauenswürdigen Speicherort

Weitere Informationen finden Sie unter Makro-fähige Add-In-Dateien für PowerPoint und Excel.
Add-In-Dateien mit Makros für Excel • Entfernen der Markierung des Webs aus der Add-In-Datei
• Speichern der Add-In-Datei an einem vertrauenswürdigen Speicherort

Weitere Informationen finden Sie unter Makro-fähige Add-In-Dateien für PowerPoint und Excel.
Makros, die von einem vertrauenswürdigen Herausgeber signiert werden [empfohlen] Stellen Sie das öffentliche Codesignaturzertifikat für den vertrauenswürdigen Herausgeber für Ihre Benutzer bereit, und verhindern Sie, dass Ihre Benutzer selbst vertrauenswürdige Herausgeber hinzufügen.
• Entfernen Sie Mark of the Web aus der Datei, und lassen Sie den Benutzer den Herausgeber des Makros als vertrauenswürdigen Herausgeber hinzufügen.

Weitere Informationen finden Sie unter Makros, die von einem vertrauenswürdigen Herausgeber signiert sind.
Gruppen von Dateien, die in Ordnern auf dem Gerät des Benutzers gespeichert sind Festlegen des Ordners als vertrauenswürdiger Speicherort

Weitere Informationen finden Sie unter Vertrauenswürdige Speicherorte.

Von dieser Änderung betroffene Office-Versionen

Diese Änderung betrifft nur Office auf Geräten unter Windows und betrifft nur die folgenden Anwendungen: Access, Excel, PowerPoint, Project, Publisher, Visio und Word.

Die folgende Tabelle zeigt, wann diese Änderung in jedem Updatekanal für Access, Excel, PowerPoint, Visio und Word verfügbar wurde.

Aktualisierungskanal Version Datum
Aktueller Kanal (Vorschau) Version 2203 Einführung am 12. April 2022
Aktueller Kanal Version 2206 Einführung am 27. Juli 2022
Monatlicher Enterprise-Kanal Version 2208 11. Oktober 2022
Halbjährlicher Enterprise-Kanal (Vorschau) Version 2208 11. Oktober 2022
Halbjährlicher Enterprise-Kanal Version 2208 10. Januar 2023

Die folgende Tabelle zeigt, wann diese Änderung in jedem Updatekanal für Publisher verfügbar wurde.

Aktualisierungskanal Version Datum
Aktueller Kanal Version 2301 Dienstag, 14. Februar 2023
Monatlicher Enterprise-Kanal Version 2212 Dienstag, 14. Februar 2023
Monatlicher Enterprise-Kanal Version 2211 Dienstag, 14. Februar 2023
Halbjährlicher Enterprise-Kanal (Vorschau) Version 2208 Dienstag, 14. Februar 2023
Halbjährlicher Enterprise-Kanal Version 2208 Dienstag, 14. Februar 2023
Halbjährlicher Enterprise-Kanal Version 2202 Dienstag, 14. Februar 2023
Halbjährlicher Enterprise-Kanal Version 2108 Dienstag, 14. Februar 2023

Die folgende Tabelle zeigt, wann diese Änderung in jedem Updatekanal für Project verfügbar wurde.

Aktualisierungskanal Version Datum
Aktueller Kanal Version 2407 Dienstag, 13. August 2024
Monatlicher Enterprise-Kanal Version 2406 Dienstag, 13. August 2024
Monatlicher Enterprise-Kanal Version 2405 Dienstag, 13. August 2024
Halbjährlicher Enterprise-Kanal (Vorschau) Version 2402 Dienstag, 13. August 2024
Halbjährlicher Enterprise-Kanal Version 2402 Dienstag, 13. August 2024
Halbjährlicher Enterprise-Kanal Version 2308 Dienstag, 13. August 2024
Halbjährlicher Enterprise-Kanal Version 2302 Dienstag, 13. August 2024

Die Änderung wirkt sich nicht auf Office auf einem Mac, Office auf Android- oder iOS-Geräten oder Office im Web aus.

Wie Office bestimmt, ob Makros in Dateien aus dem Internet ausgeführt werden sollen

Die folgende Flussdiagrammgrafik zeigt, wie Office bestimmt, ob Makros in einer Datei aus dem Internet ausgeführt werden sollen.

Screenshot eines Flussdiagramms, das den Prozess und die Bedingungen zum Aktivieren oder Blockieren von VBA-Makros in Dateien mit MOTW-Attributen enthält.

In den folgenden Schritten werden die Informationen in der Flussdiagrammgrafik erläutert, mit Ausnahme von Excel-Add-In-Dateien. Weitere Informationen zu diesen Dateien finden Sie unter Makro-fähige Add-In-Dateien für PowerPoint und Excel. Wenn sich eine Datei auf einer Netzwerkfreigabe befindet, die sich nicht in der Lokalen Intranetzone befindet oder keine vertrauenswürdige Website ist, werden Makros in dieser Datei blockiert.

  1. Ein Benutzer öffnet eine Office-Datei mit Makros, die aus dem Internet abgerufen wurden. Beispielsweise eine E-Mail-Anlage. Die Datei verfügt über Mark of the Web (MOTW).

    Hinweis

    • Die Markierung des Webs wird von Windows Dateien von einem nicht vertrauenswürdigen Speicherort hinzugefügt, z. B. dem Internet oder der eingeschränkten Zone. Beispielsweise Browserdownloads oder E-Mail-Anlagen. Weitere Informationen finden Sie unter Markierung des Webs und der Zonen.
    • Die Markierung des Webs gilt nur für Dateien, die auf einem NTFS-Dateisystem gespeichert sind, nicht für Dateien, die auf FAT32-formatierten Geräten gespeichert sind.
  2. Wenn die Datei von einem vertrauenswürdigen Speicherort stammt, wird die Datei mit aktivierten Makros geöffnet. Wenn die Datei nicht von einem vertrauenswürdigen Speicherort stammt, wird die Auswertung fortgesetzt.

  3. Wenn die Makros über eine digitale Signatur verfügen und Ihr Gerät über das entsprechende Zertifikat des vertrauenswürdigen Herausgebers verfügt, wird die Datei mit aktivierten Makros geöffnet. Andernfalls wird die Auswertung fortgesetzt.

  4. Richtlinien werden überprüft, um festzustellen, ob Makros zulässig oder blockiert sind. Wenn die Richtlinien auf Nicht konfiguriert festgelegt sind, wird die Auswertung mit Schritt 6 fortgesetzt.

  5. (a) Wenn Makros durch eine Richtlinie blockiert werden, werden die Makros blockiert.
    (b) Wenn die Makros durch eine Richtlinie aktiviert sind, werden die Makros aktiviert.

  6. Wenn der Benutzer die Datei zuvor geöffnet hat, bevor sich das Standardverhalten geändert hat, und auf der Vertrauensleiste Inhalt aktivieren ausgewählt hat, werden die Makros aktiviert, da die Datei als vertrauenswürdig eingestuft wird.

    Hinweis

  7. In diesem Schritt wird die Änderung des Standardverhaltens von Office wirksam. Mit dieser Änderung werden Makros in Dateien aus dem Internet blockiert, und Benutzern wird das Banner "Sicherheitsrisiko " angezeigt, wenn sie die Datei öffnen.

    Hinweis

    Zuvor hat die App vor dieser Änderung des Standardverhaltens überprüft, ob die VBA-Makrobenachrichtigungseinstellungsrichtlinie aktiviert wurde und wie sie konfiguriert wurde. Wenn die Richtlinie auf Deaktiviert oder Nicht konfiguriert festgelegt ist, überprüft die App die Einstellungen unterDateioptionen>>Trust Center>Trust Center-Einstellungen...>Makroeinstellungen. Der Standardwert ist auf "Alle Makros mit Benachrichtigung deaktivieren" festgelegt, sodass Benutzer Inhalte in der Vertrauensleiste aktivieren können.

Anleitung zum Zulassen der Ausführung von VBA-Makros in vertrauenswürdigen Dateien

Entfernen von "Mark of the Web" aus einer Datei

Um die Blockierung von Makros in einer Datei wie einem aus dem Internet oder einer E-Mail-Anlage aufzuheben, entfernen Sie die Markierung des Webs auf Ihrem lokalen Gerät. Klicken Sie zum Entfernen mit der rechten Maustaste auf die Datei, wählen Sie Eigenschaften aus, und aktivieren Sie dann auf der Registerkarte Allgemein das Kontrollkästchen Blockierung aufheben.

Screenshot des Dialogfelds

Hinweis

  • In einigen Fällen, in der Regel bei Dateien auf einer Netzwerkfreigabe, wird Benutzern das Kontrollkästchen Blockierung aufheben für eine Datei, in der Makros blockiert werden, möglicherweise nicht angezeigt. Informationen zu diesen Fällen finden Sie unter Dateien, die sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website befinden.
  • Auch wenn das Kontrollkästchen Blockierung aufheben für eine Datei auf einer Netzwerkfreigabe verfügbar ist, hat das Aktivieren des Kontrollkästchens keine Auswirkungen, wenn die Freigabe als in der Internetzone angesehen wird. Weitere Informationen finden Sie unter Markierung des Webs und der Zonen.

Sie können auch das Cmdlet Unblock-File in PowerShell verwenden, um den ZoneId-Wert aus der Datei zu entfernen. Wenn Sie den ZoneId-Wert entfernen, können VBA-Makros standardmäßig ausgeführt werden. Die Verwendung des Cmdlets führt die gleiche Funktion wie das Aktivieren des Kontrollkästchens Blockierung aufheben auf der Registerkarte Allgemein des Dialogfelds Eigenschaften für die Datei aus. Weitere Informationen zum ZoneId-Wert finden Sie unter Markieren des Webs und der Zonen.

Dateien befinden sich zentral auf einer Netzwerkfreigabe oder einer vertrauenswürdigen Website

Wenn Ihre Benutzer auf Dateien von einer vertrauenswürdigen Website oder einem internen Dateiserver zugreifen, können Sie einen der folgenden Schritte ausführen, damit Makros von diesen Speicherorten nicht blockiert werden.

  • Festlegen des Standorts als vertrauenswürdige Website

  • Wenn sich der Netzwerkspeicherort im Intranet befindet, fügen Sie den Standort der Lokalen Intranetzone hinzu.

    Hinweis

    • Wenn Sie etwas als vertrauenswürdige Website hinzufügen, erteilen Sie der gesamten Website auch erhöhte Berechtigungen für Szenarien, die nicht mit Office zusammenhängen.
    • Für den Ansatz Lokale Intranetzone empfiehlt es sich, die Dateien an einem Speicherort zu speichern, der bereits als Teil der Lokalen Intranetzone angesehen wird, anstatt dieser Zone neue Speicherorte hinzuzufügen.
    • Im Allgemeinen wird empfohlen, vertrauenswürdige Websites zu verwenden, da sie im Vergleich zur lokalen Intranetzone zusätzliche Sicherheit bieten.

    Wenn Benutzer beispielsweise über ihre IP-Adresse auf eine Netzwerkfreigabe zugreifen, werden Makros in diesen Dateien blockiert, es sei denn, die Dateifreigabe befindet sich in der Zone "Vertrauenswürdige Websites " oder " Lokales Intranet ".

    Tipp

    • Eine Liste der vertrauenswürdigen Websites oder Informationen in der Lokalen Intranetzone finden Sie unter Systemsteuerung>Internetoptionen>Ändern von Sicherheitseinstellungen auf einem Windows-Gerät.
    • Informationen zum Überprüfen, ob eine einzelne Datei von einer vertrauenswürdigen Website oder einem lokalen Intranetspeicherort stammt, finden Sie unter Markieren des Webs und der Zonen.

    Sie können beispielsweise einen Dateiserver oder eine Netzwerkfreigabe als vertrauenswürdigen Standort hinzufügen, indem Sie der Liste der vertrauenswürdigen Websites den FQDN oder die IP-Adresse hinzufügen.

    Screenshot des Dialogfelds

Wenn Sie URLs hinzufügen möchten, die mit http:// oder Netzwerkfreigaben beginnen, deaktivieren Sie das Kontrollkästchen Serverüberprüfung (https:) für alle Websites in dieser Zone erforderlich .

Wichtig

Da Makros in Dateien von diesen Speicherorten nicht blockiert werden, sollten Sie diese Speicherorte sorgfältig verwalten. Achten Sie darauf, dass Sie steuern, wer Dateien an diesen Speicherorten speichern darf.

Sie können Gruppenrichtlinie und die Richtlinie "Site to Zone Assignment List" verwenden, um Speicherorte als vertrauenswürdige Websites hinzuzufügen, oder der Lokalen Intranetzone für Windows-Geräte in Ihrem organization. Diese Richtlinie befindet sich unter Windows-Komponenten\Internet Explorer\Internet Systemsteuerung\Sicherheitsseite in der Gruppenrichtlinie Management Console. Sie ist unter Computerkonfiguration\Richtlinien\Administrative Vorlagen und Benutzerkonfiguration\Richtlinien\Administrative Vorlagen verfügbar.

Dateien auf OneDrive oder SharePoint

  • Wenn ein Benutzer eine Datei auf OneDrive oder SharePoint mithilfe eines Webbrowsers herunterlädt, bestimmt die Konfiguration der Windows-Internetsicherheitszone (Systemsteuerung>Internet options>security), ob der Browser Die Markierung des Webs festlegt. Microsoft Edge legt beispielsweise Die Markierung des Webs für eine Datei fest, wenn sie aus der Internetzone stammt.

  • Wenn ein Benutzer In Desktop-App öffnen in einer Datei auswählt, die von der OneDrive-Website oder von einer SharePoint-Website (einschließlich einer website, die von einem Teams-Kanal verwendet wird), hat die Datei keine Markierung des Webs.

  • Wenn ein Benutzer den OneDrive-Synchronisation Client ausführt und der Synchronisierungsclient eine Datei herunterlädt, hat die Datei keine Webmarkierung.

  • Dateien, die sich in bekannten Windows-Ordnern (Desktop, Dokumente, Bilder, Screenshots und Kamerarolle) befinden und mit OneDrive synchronisiert werden, verfügen nicht über "Mark of the Web".

  • Wenn Sie über eine Gruppe von Benutzern verfügen, z. B. die Finanzabteilung, die Dateien aus OneDrive oder SharePoint verwenden muss, ohne dass Makros blockiert werden, finden Sie hier einige mögliche Optionen:

    • Lassen Sie sie die Datei mithilfe der Option In Desktop-App öffnen öffnen

    • Bitten Sie sie, die Datei an einen vertrauenswürdigen Speicherort herunterzuladen.

    • Legen Sie die Zuweisung der Windows-Internetsicherheitszone für OneDrive- oder SharePoint-Domänen auf Vertrauenswürdige Websites fest. Administratoren können die Richtlinie "Site to Zone Assignment List" verwenden und die Richtlinie so konfigurieren, dass sie (für SharePoint) oder https://{your-domain-name}-my.sharepoint.com (für OneDrive) in der Zone Vertrauenswürdige Websites platziert https://{your-domain-name}.sharepoint.com wird.

      • Diese Richtlinie befindet sich unter Windows-Komponenten\Internet Explorer\Internet Systemsteuerung\Sicherheitsseite in der Gruppenrichtlinie Management Console. Sie ist unter Computerkonfiguration\Richtlinien\Administrative Vorlagen und Benutzerkonfiguration\Richtlinien\Administrative Vorlagen verfügbar.

      • SharePoint-Berechtigungen und OneDrive-Freigabe werden nicht geändert, indem diese Speicherorte zu vertrauenswürdigen Websites hinzugefügt werden. Die Aufrechterhaltung der Zugriffssteuerung ist wichtig. Jeder Benutzer mit Berechtigungen zum Hinzufügen von Dateien zu SharePoint kann Dateien mit aktiven Inhalten hinzufügen, z. B. Makros. Benutzer, die Dateien aus Domänen in der Zone Vertrauenswürdige Sites herunterladen, umgehen die Standardeinstellung, um Makros zu blockieren.

Vorlagendateien mit Makros für Word, PowerPoint und Excel

Makrofähige Vorlagendateien für Word, PowerPoint und Excel, die aus dem Internet heruntergeladen werden, verfügen über "Mark of the Web". Beispiel: Vorlagendateien mit den folgenden Erweiterungen:

  • .dot
  • .dotm
  • .Topf
  • .potm
  • XLT
  • .xltm

Wenn der Benutzer die Makro-fähige Vorlagendatei öffnet, kann der Benutzer die Makros in der Vorlagendatei nicht ausführen. Wenn der Benutzer der Quelle der Vorlagendatei vertraut, kann er Mark of the Web aus der Vorlagendatei entfernen und die Vorlagendatei dann in der Office-App erneut öffnen.

Wenn Sie über eine Gruppe von Benutzern verfügen, die Makrovorlagen verwenden müssen, ohne dass Makros blockiert werden, können Sie eine der folgenden Aktionen ausführen:

  • Verwenden Sie eine digitale Signatur, und vertrauen Sie dem Herausgeber.
  • Wenn Sie keine digitalen Signaturen verwenden, können Sie die Vorlagendatei an einem vertrauenswürdigen Speicherort speichern und benutzer die Vorlagendatei von diesem Speicherort abrufen lassen.

Add-In-Dateien mit Makros für PowerPoint und Excel

Makros aktivierte Add-In-Dateien für PowerPoint und Excel, die aus dem Internet heruntergeladen werden, weisen "Mark of the Web" auf. Beispielsweise Add-In-Dateien mit den folgenden Erweiterungen:

  • .Ppa
  • .ppam
  • .xla
  • .xlam

Wenn der Benutzer versucht, das Makro-fähige Add-In mithilfe von Dateioptionen-Add-Ins>> oder über das Menüband "Entwickler" zu installieren, wird das Add-In in einem deaktivierten Zustand geladen, und der Benutzer wird an der Verwendung des Add-Ins gehindert. Wenn der Benutzer der Quelle der Add-In-Datei vertraut, kann er Mark of the Web aus der Add-In-Datei entfernen und dann PowerPoint oder Excel erneut öffnen, um das Add-In zu verwenden.

Wenn Sie über eine Gruppe von Benutzern verfügen, die Add-In-Dateien mit Makros verwenden müssen, ohne dass Makros blockiert werden, können Sie die folgenden Aktionen ausführen.

Für PowerPoint-Add-In-Dateien:

  • Entfernen Sie Mark of the Web aus der PPA- oder PPAM-Datei.
  • Verwenden Sie eine digitale Signatur, und vertrauen Sie dem Herausgeber.
  • Speichern Sie die Add-In-Datei an einem vertrauenswürdigen Speicherort , an dem Benutzer sie abrufen können.

Für Excel-Add-In-Dateien:

  • Entfernen Sie Mark of the Web aus der XLA- oder XLAM-Datei.
  • Speichern Sie die Add-In-Datei an einem vertrauenswürdigen Speicherort , an dem Benutzer sie abrufen können.

Hinweis

Die Verwendung einer digitalen Signatur und die Vertrauenswürdigkeit des Herausgebers funktioniert nicht für Excel-Add-In-Dateien, die über "Mark of the Web" verfügen. Dieses Verhalten ist für Excel-Add-In-Dateien mit "Mark of the Web" nicht neu. Dies funktioniert seit 2016 aufgrund einer früheren Sicherheitshärtung (im Zusammenhang mit dem Microsoft-Sicherheitsbulletin MS16-088).

Makros, die von einem vertrauenswürdigen Herausgeber signiert werden

Wenn das Makro signiert ist und Sie das Zertifikat überprüft haben und der Quelle vertrauen, können Sie diese Quelle zu einem vertrauenswürdigen Herausgeber machen. Es wird empfohlen, nach Möglichkeit vertrauenswürdige Herausgeber für Ihre Benutzer zu verwalten. Weitere Informationen finden Sie unter Vertrauenswürdige Herausgeber für Office-Dateien.

Wenn Sie nur wenige Benutzer haben, können Sie sie dazu bringen, Mark of the Web aus der Datei zu entfernen und dann die Quelle des Makros als vertrauenswürdigen Herausgeber auf ihren Geräten hinzuzufügen.

Warnung

  • Alle Makros, die gültig mit demselben Zertifikat signiert sind, werden als von einem vertrauenswürdigen Herausgeber erkannt und ausgeführt.
  • Das Hinzufügen eines vertrauenswürdigen Herausgebers kann sich auf Szenarien auswirken, die über office hinausgehen, da ein vertrauenswürdiger Herausgeber eine Windows-weite Einstellung und nicht nur eine Office-spezifische Einstellung ist.

Vertrauenswürdige Speicherorte

Beim Speichern von Dateien aus dem Internet an einem vertrauenswürdigen Speicherort auf dem Gerät eines Benutzers wird die Überprüfung auf "Web markieren" ignoriert und mit aktivierten VBA-Makros geöffnet. Beispielsweise könnte eine Branchenanwendung berichte mit Makros auf wiederkehrender Basis senden. Wenn Dateien mit Makros an einem vertrauenswürdigen Speicherort gespeichert werden, müssen Benutzer nicht zu den Eigenschaften für die Datei wechseln und Blockierung aufheben auswählen, um die Ausführung der Makros zuzulassen.

Da Makros in Dateien, die an einem vertrauenswürdigen Speicherort gespeichert sind, nicht blockiert werden, sollten Sie vertrauenswürdige Speicherorte sorgfältig verwalten und sparsam verwenden. Netzwerkadressen können auch als vertrauenswürdiger Speicherort festgelegt werden, dies wird jedoch nicht empfohlen. Weitere Informationen finden Sie unter Vertrauenswürdige Speicherorte für Office-Dateien.

Zusätzliche Informationen zu Mark of the Web

Markierung des Webs und vertrauenswürdiger Dokumente

Wenn eine Datei auf ein Gerät mit Windows heruntergeladen wird, wird der Datei Mark of the Web hinzugefügt, wobei die Quelle als aus dem Internet identifiziert wird. Wenn ein Benutzer derzeit eine Datei mit "Markierung des Webs" öffnet, wird ein Banner "SICHERHEITSWARNUNG" mit der Schaltfläche "Inhalt aktivieren " angezeigt. Wenn der Benutzer Inhalt aktivieren auswählt, gilt die Datei als vertrauenswürdiges Dokument, und Makros dürfen ausgeführt werden. Die Makros werden auch nach der Änderung des Standardverhaltens zum Blockieren von Makros in Dateien aus dem Internet weiterhin ausgeführt, da die Datei weiterhin als vertrauenswürdiges Dokument gilt.

Nach der Änderung des Standardverhaltens zum Blockieren von Makros in Dateien aus dem Internet sehen Benutzer beim ersten Öffnen einer Datei mit Makros aus dem Internet ein anderes Banner. Dieses Sicherheitsrisikobanner verfügt nicht über die Option Inhalte aktivieren. Benutzer können jedoch zum Dialogfeld Eigenschaften für die Datei wechseln und Blockierung aufheben auswählen. Dadurch wird Die Markierung des Webs aus der Datei entfernt und die Ausführung der Makros zugelassen, solange keine Richtlinie oder Trust Center-Einstellung blockiert wird.

Markierung des Webs und der Zonen

Standardmäßig wird "Mark of the Web" nur dateien aus den Zonen "Internet " oder "Eingeschränkte Websites " hinzugefügt.

Tipp

Um diese Zonen auf einem Windows-Gerät anzuzeigen, wechseln Sie zu Systemsteuerung>Internetoptionen>Sicherheitseinstellungen ändern.

Sie können den ZoneId-Wert für eine Datei anzeigen, indem Sie den folgenden Befehl an einer Eingabeaufforderung ausführen und {name of file} durch Ihren Dateinamen ersetzen.

notepad {name of file}:Zone.Identifier

Wenn Sie diesen Befehl ausführen, wird Editor geöffnet und zeigt die ZoneId im Abschnitt [ZoneTransfer] an.

Hier finden Sie eine Liste der ZoneId-Werte und der Zone, der sie zugeordnet sind.

  • 0 = Mein Computer
  • 1 = Lokales Intranet
  • 2 = Vertrauenswürdige Websites
  • 3 = Internet
  • 4 = Eingeschränkte Websites

Wenn die ZoneId beispielsweise 2 ist, werden VBA-Makros in dieser Datei nicht standardmäßig blockiert. Wenn die ZoneId jedoch 3 ist, werden Makros in dieser Datei standardmäßig blockiert.

Sie können das Cmdlet Unblock-File in PowerShell verwenden, um den ZoneId-Wert aus der Datei zu entfernen. Wenn Sie den ZoneId-Wert entfernen, können VBA-Makros standardmäßig ausgeführt werden. Die Verwendung des Cmdlets führt die gleiche Funktion wie das Aktivieren des Kontrollkästchens Blockierung aufheben auf der Registerkarte Allgemein des Dialogfelds Eigenschaften für die Datei aus.

Verwenden von Richtlinien zum Verwalten der Behandlung von Makros durch Office

Sie können Richtlinien verwenden, um zu verwalten, wie Office Makros behandelt. Es wird empfohlen, die Richtlinie Ausführen von Makros in Office-Dateien aus dem Internet blockieren zu verwenden. Wenn diese Richtlinie jedoch nicht für Ihre organization geeignet ist, ist die andere Option die VBA-Makrobenachrichtigungseinstellungsrichtlinie.

Weitere Informationen zum Bereitstellen dieser Richtlinien finden Sie unter Verfügbare Tools zum Verwalten von Richtlinien.

Wichtig

Richtlinien können nur verwendet werden, wenn Sie Microsoft 365 Apps for Enterprise verwenden. Richtlinien sind für Microsoft 365 Apps for Business nicht verfügbar.

Blockieren der Ausführung von Makros in Office-Dateien aus dem Internet

Diese Richtlinie verhindert, dass Benutzer versehentlich Dateien öffnen, die Makros aus dem Internet enthalten. Wenn eine Datei auf ein Gerät unter Windows heruntergeladen oder von einem Netzwerkfreigabespeicherort aus geöffnet wird, wird der Datei mark of the Web hinzugefügt, die identifiziert, dass sie aus dem Internet stammt.

Es wird empfohlen, diese Richtlinie als Teil der Sicherheitsbaseline für Microsoft 365 Apps for Enterprise zu aktivieren. Sie sollten diese Richtlinie für die meisten Benutzer aktivieren und nur bei Bedarf Ausnahmen für bestimmte Benutzer vornehmen.

Für jede der sieben Anwendungen gibt es eine separate Richtlinie. Die folgende Tabelle zeigt, wo die einzelnen Richtlinien in der Gruppenrichtlinie Management Console unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen zu finden sind:

App Richtlinienspeicherort
Access Microsoft Access 2016\Anwendungseinstellungen\Security\Trust Center
Excel Microsoft Excel 2016\Excel Options\Security\Trust Center
PowerPoint Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center
Project Microsoft Project 2016\Project Options\Security\Trust Center
Publisher Microsoft Publisher 2016\Publisher Options\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word Options\Security\Trust Center

Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die aktuelle Schutzebene, die Sie bei jedem Zustand erhalten, bevor die Änderung des Standardverhaltens implementiert wird.

Symbol Schutzebene Richtlinienstatus Beschreibung
Screenshot eines grünen Symbols mit einem Häkchen, das angibt, dass der Inhalt vollständig geschützt ist. Geschützt [empfohlen] Aktiviert Benutzer werden daran gehindert, Makros in Dateien auszuführen, die aus dem Internet abgerufen wurden.

Teil der von Microsoft empfohlenen Sicherheitsbaseline.
Screenshot eines roten Symbols mit einem Nicht geschützt Deaktiviert Berücksichtigt die einstellungen, die unter Dateioptionen>>Trust Center>Trust Center-Einstellungen konfiguriert sind...>Makroeinstellungen.
Screenshot eines roten Symbols mit einem Nicht geschützt Not Configured Berücksichtigt die einstellungen, die unter Dateioptionen>>Trust Center>Trust Center-Einstellungen konfiguriert sind...>Makroeinstellungen.

Hinweis

  • Wenn Sie diese Richtlinie auf Deaktiviert festlegen, wird benutzern standardmäßig eine Sicherheitswarnung angezeigt, wenn sie eine Datei mit einem Makro öffnen. Diese Warnung informiert Benutzer darüber, dass Makros deaktiviert wurden, ermöglicht ihnen jedoch, die Makros auszuführen, indem Sie auf die Schaltfläche Inhalt aktivieren klicken.
  • Diese Warnung ist die gleiche Warnung, die Benutzern zuvor angezeigt wurde, vor dieser kürzlich vorgenommenen Änderung, die wir implementieren, um Makros zu blockieren.
  • Es wird nicht empfohlen, diese Richtlinie dauerhaft auf Deaktiviert festzulegen. In einigen Fällen kann es jedoch sinnvoll sein, dies vorübergehend zu tun, wenn Sie testen, wie sich das neue Verhalten zum Blockieren von Makros auf Ihre organization auswirkt und wenn Sie eine Lösung entwickeln, um die sichere Verwendung von Makros zu ermöglichen.

Nachdem wir die Änderung des Standardverhaltens implementiert haben, ändert sich die Schutzebene, wenn die Richtlinie auf Nicht konfiguriert festgelegt ist.

Symbol Schutzebene Richtlinienstatus Beschreibung
Screenshot eines grünen Symbols mit einem Häkchen, das angibt, dass der Inhalt vollständig geschützt ist. Geschützt Not Configured Benutzer werden daran gehindert, Makros in Dateien auszuführen, die aus dem Internet abgerufen wurden.

Benutzern wird das Banner "Sicherheitsrisiko" mit der Schaltfläche "Weitere Informationen" angezeigt.

VBA-Makrobenachrichtigungseinstellungen

Wenn Sie die Richtlinie "Ausführung von Makros in Office-Dateien aus dem Internet blockieren" nicht verwenden, können Sie die Richtlinie "VBA-Makrobenachrichtigungseinstellungen" verwenden, um zu verwalten, wie Makros von Office behandelt werden.

Diese Richtlinie verhindert, dass Benutzer dazu verleitet werden, böswillige Makros zu aktivieren. Standardmäßig ist Office so konfiguriert, dass Dateien blockiert werden, die VBA-Makros enthalten, und eine Vertrauensstellungsleiste mit einer Warnung angezeigt wird, dass Makros vorhanden sind und deaktiviert wurden. Benutzer können die Dateien ggf. überprüfen und bearbeiten, können jedoch keine deaktivierten Funktionen verwenden, bis sie auf der Vertrauensleiste Inhalt aktivieren auswählen. Wenn der Benutzer Inhalt aktivieren auswählt, wird die Datei als vertrauenswürdiges Dokument hinzugefügt, und Makros dürfen ausgeführt werden.

Für jede der sieben Anwendungen gibt es eine separate Richtlinie. Die folgende Tabelle zeigt, wo die einzelnen Richtlinien in der Gruppenrichtlinie Management Console unter Benutzerkonfiguration\Richtlinien\Administrative Vorlagen zu finden sind:

App Richtlinienspeicherort
Access Microsoft Access 2016\Anwendungseinstellungen\Security\Trust Center
Excel [1] Microsoft Excel 2016\Excel Options\Security\Trust Center
PowerPoint Microsoft PowerPoint 2016\PowerPoint Options\Security\Trust Center
Project Microsoft Project 2016\Project Options\Security\Trust Center
Publisher Microsoft Publisher 2016\Publisher Options\Security\Trust Center
Visio Microsoft Visio 2016\Visio Options\Security\Trust Center
Word Microsoft Word 2016\Word Options\Security\Trust Center

Hinweis

  • [1] Für Excel heißt die Richtlinie Makrobenachrichtigungseinstellungen.

Welchen Zustand Sie für die Richtlinie wählen, bestimmt den Umfang des Schutzes, den Sie bieten. Die folgende Tabelle zeigt die Schutzebene, die Sie mit den einzelnen Zuständen erhalten.

Symbol Schutzebene Richtlinienstatus Richtlinienwert
Screenshot eines grünen Symbols mit einem Häkchen, das angibt, dass der Inhalt vollständig geschützt ist. Geschützt [empfohlen] Aktiviert Deaktivieren Sie alle außer digital signierten Makros (und wählen Sie "Makros müssen von einem vertrauenswürdigen Herausgeber signiert werden") aus.
Screenshot eines grünen Symbols mit einem Häkchen, das angibt, dass der Inhalt vollständig geschützt ist. Geschützt Aktiviert Alle Makros ohne Benachrichtigung deaktivieren: Die Anwendung deaktiviert alle Makros, unabhängig davon, ob sie signiert oder unsigniert sind.
Screenshot eines orangefarbenen Symbols mit einem Häkchen, das angibt, dass der Inhalt teilweise geschützt ist. Teilweise geschützt Aktiviert Alle mit Benachrichtigung deaktivieren
Screenshot eines orangefarbenen Symbols mit einem Häkchen, das angibt, dass der Inhalt teilweise geschützt ist. Teilweise geschützt Deaktiviert (Gleiches Verhalten wie "Alle mit Benachrichtigung deaktivieren")
Screenshot eines roten Symbols mit einem Nicht geschützt Aktiviert Aktivieren aller Makros (nicht empfohlen)

Wichtig

Das Schützen von Makros ist wichtig. Für Benutzer, die keine Makros benötigen, deaktivieren Sie alle Makros, indem Sie "Alle ohne Benachrichtigung deaktivieren" auswählen.

Unsere Empfehlung für die Sicherheitsbaseline lautet, dass Sie die folgenden Schritte ausführen sollten:

  • Aktivieren Sie die Richtlinie "VBA-Makrobenachrichtigungseinstellungen".
  • Für Benutzer, die Makros benötigen, wählen Sie "Alle außer digital signierten Makros deaktivieren" und dann "Makros müssen von einem vertrauenswürdigen Herausgeber signiert werden" aus. Das Zertifikat muss als vertrauenswürdiger Herausgeber auf den Geräten der Benutzer installiert werden.

Wenn Sie die Richtlinie nicht konfigurieren, können Benutzer Makroschutzeinstellungen unterDateioptionen>>Trust Center>Trust Center-Einstellungen... konfigurieren.>Makroeinstellungen.

In der folgenden Tabelle sind die Optionen aufgeführt, die Benutzer unter Makroeinstellungen treffen können, sowie die Schutzebene, die jede Einstellung bietet.

Symbol Schutzebene Einstellung ausgewählt
Screenshot eines grünen Symbols mit einem Häkchen, das angibt, dass der Inhalt vollständig geschützt ist. Geschützt Alle Makros außer digital signierten Makros deaktivieren
Screenshot eines grünen Symbols mit einem Häkchen, das angibt, dass der Inhalt vollständig geschützt ist. Geschützt Alle Makros ohne Benachrichtigung deaktivieren
Screenshot eines orangefarbenen Symbols mit einem Häkchen, das angibt, dass der Inhalt teilweise geschützt ist. Teilweise geschützt Deaktivieren aller Makros mit Benachrichtigung (Standard)
Screenshot eines roten Symbols mit einem Nicht geschützt Alle Makros aktivieren (nicht empfohlen; potenziell gefährlicher Code kann ausgeführt werden)

Hinweis

In den Richtlinieneinstellungswerten und der Produktoberfläche für Excel wird das Wort "all" durch "VBA" ersetzt. Beispiel: "VBA-Makros ohne Benachrichtigung deaktivieren".

Verfügbare Tools zum Verwalten von Richtlinien

Es stehen Ihnen mehrere Tools zum Konfigurieren und Bereitstellen von Richtlinieneinstellungen für Benutzer in Ihrer organization zur Verfügung.

Cloudrichtlinie

Mithilfe der Cloudrichtlinie können Sie Richtlinieneinstellungen konfigurieren und auf Geräten in Ihrem organization bereitstellen, auch wenn das Gerät nicht in die Domäne eingebunden ist. Cloudrichtlinie ist ein webbasiertes Tool und befindet sich im Microsoft 365 Apps Admin Center.

In Cloudrichtlinie erstellen Sie eine Richtlinienkonfiguration, weisen sie einer Gruppe zu und wählen dann Richtlinien aus, die in die Richtlinienkonfiguration einbezogen werden sollen. Um eine richtlinie auszuwählen, die eingeschlossen werden soll, können Sie nach dem Namen der Richtlinie suchen. Die Cloudrichtlinie zeigt auch an, welche Richtlinien Teil der von Microsoft empfohlenen Sicherheitsbaseline sind. Bei den in cloud policy verfügbaren Richtlinien handelt es sich um die gleichen Benutzerkonfigurationsrichtlinien, die in der Gruppenrichtlinie Management Console verfügbar sind.

Weitere Informationen finden Sie unter Übersicht über den Cloudrichtliniendienst für Microsoft 365.

Microsoft Intune Admin Center

Im Microsoft Intune Admin Center können Sie entweder den Einstellungskatalog (Vorschau) oder administrative Vorlagen verwenden, um Richtlinieneinstellungen für Ihre Benutzer für Geräte zu konfigurieren und bereitzustellen, auf denen Windows 10 oder höher ausgeführt wird.

Wechseln Sie zunächst zu Geräte>Konfigurationsprofile>Profil erstellen. Wählen Sie unter PlattformWindows 10 und höher aus, und wählen Sie dann den Profiltyp aus.

Weitere Informationen finden Sie in den folgenden Artikeln:

Gruppenrichtlinien-Verwaltungskonsole

Wenn Sie Windows Server und Active Directory Domain Services (AD DS) in Ihrem organization bereitgestellt haben, können Sie Richtlinien mithilfe von Gruppenrichtlinie konfigurieren. Um Gruppenrichtlinie zu verwenden, laden Sie die aktuellsten administrativen Vorlagendateien (ADMX/ADML) für Office herunter, die die Richtlinieneinstellungen für Microsoft 365 Apps for Enterprise enthalten. Nachdem Sie die Administrativen Vorlagendateien in AD DS kopiert haben, können Sie die Gruppenrichtlinie Management Console verwenden, um Gruppenrichtlinie Objects (GPOs) zu erstellen, die Richtlinieneinstellungen für Ihre Benutzer und für in die Domäne eingebundene Geräte enthalten.