Microsoft Office Makros per Gruppenrichtlinie (GPO) abstellen zum Schutz vor Ransomware wie Locky und Cryptolocker

Das Stichwort „Ransomware“ ist derzeit in aller Munde und auch an mir geht die Aufgabe nicht vorbei, das Netzwerk meines Arbeitsgebers abzusichern. Aus diesem Grund heute aus aktuellem Anlass eine Anleitung, wie man mittels Gruppenrichtlinien im gesamten Unternehmen wirksam verhindert, dass Ransomware auf den Rechner mittels Makroschädling den PC infiziert.

Makros sind nur ein möglicher Infektionsweg von vielen. Täglich werden neue Wege aufgezeigt.

Aus diesem Grund noch mal der Hinweis, dass nur Backups,
 welche nicht permanent am PC angeschlossen sind, 
vor Ransomware schützen können.

Wie vereinheitlicht man die Office-Makro-Sicherheitseinstellungen seiner Anwender mittels zentraler Anpassung der via Gruppenrichtlinie?

Herunterladen und Bereitstellen der Gruppenrichtlinie
1. Herunterladen der Administrativen Vorlagen für Microsoft Office (In der Regel heutzutage die 64-Bit Version)
2. Nach dem Download führen Sie die heruntergeladenen AdminTemplates_32/64.exe -Dateien aus. Sie werden aufgefordert, ein Verzeichnis zu nennen, wohin Sie die Vorlagendateien entpacken möchten. entpacken Sie die Dateien an einen Ort, an den Sie von Ihrem Domänencontroller aus hinkommen
3. Verbinden Sie sich mit Ihrem Domänencontroller und kopieren Sie die Dateien im Verzeichnis admx in das Verzeichnis
  %systemroot%\PolicyDefinitions\
  Sie brauchen nur die Unterverzeichnisse für de und en, die anderen Sprachen müssen Sie nicht mit kopieren.
Konfigurieren der Gruppenrichtlinie

Erstellen Sie in der Gruppenrichtlinienverwaltung eine neue Gruppenrichtlinie für die Office-Sicherheitseinstellungen. Die zugehörigen Makroeinstellungen finden Sie an der folgenden Stelle:

Benutzerkonfiguration\Administrative Vorlagen\[Office-Programm [Version]]

Hier gehen Sie je nach Version wie folgt vor:

Office 2013
Hier können Sie gegebenenfalls gleich die komplette VB-Skript-Ausführung deaktivieren:Benutzerkonfiguration \ Administrative Vorlagen \ Microsoft Office 2013 \ Sicherheitseinstellungen \ VBA für office-Anwendungen deaktivieren
Diese Richtlinie schalten Sie auf Aktiviert.
Beispiel : Word 2013
Benutzerkonfiguration \ Administrative Vorlagen \Microsoft Word 2013 \ Word-Optionen \ Sicherheit \ Trust-Center \ Einstellungen für VBA-Makrobenachrichtigungen
Hier wählen Sie „Alle Makros ohne Benachrichtigung deaktivieren“.Die Einstellungen für die anderen Office-Programme und Word-Versionen befinden sich an den folgenden Stellen:

Programm	GPO-Pfad	Einstellung
Word 2013	Microsoft Word 2013\Word-Optionen\Sicherheit\Trust-Center	Einstellungen für VBA Makrobenachrichtigungen: Alle Makros ohne Benachrichtigung deaktivieren
Word 2010	Microsoft Word 2010\Word-Optionen-Sicherheit\Sicherheitscenter	Einstellungen für VBA Makrobenachrichtigungen: Alle Makros ohne Benachrichtigung deaktivieren
Word 2007	Microsoft Office Word 2007\Word-Optionen\Sicherheit\Vertrauensstellungscenter	Einstellungen für VBA Makrobenachrichtigungen: Keine Warnungen für alle Makros, aber alle Makros deaktivieren
Excel 2013	Microsoft Excel 2013\Excel-Optionen\Sicherheit\Trust-Center	Einstellungen für VBA Makrobenachrichtigungen: Alle Makros ohne Benachrichtigung deaktivieren
Excel 2010	Microsoft Excel 2010\Excel-Optionen\Sicherheit\Sicherheitscenter	Einstellungen für VBA Makrobenachrichtigungen: Alle Makros ohne Benachrichtigung deaktivieren
Excel 2007	Microsoft Office Excel 2007\Excel-Optionen\Sicherheit\Vertrauensstellungscenter	Einstellungen für VBA Makrobenachrichtigungen: Keine Warnungen für alle Makros, aber alle Makros deaktivieren

Die GPO-Pfade für die Makro-Einstellungen der in der Tabelle genannten Programme lassen sich ebenfalls ableiten auf Outlook, Access, Powerpoint und all die anderen Office-Programme. Die Pfade unterscheiden sich bei den Versionen zumeist in der unterschiedlichen Übersetzung des „Trust-Centers“.

Vergessen Sie anschließend nicht, die Gruppenrichtlinie mit der richtigen Organisationseinheit in Ihrem Netzwerk zu verknüpfen, damit diese aktiv wird.

2. März 2016

Nach Installation von MySql 5.6 auf Ubuntu ist kein Zugriff auf Datenbank von extern möglich

Wenn nach der Installation von MySQL kein Zugriff auf die Datenbank möglich ist, dann liegt das vermutlich an einem Standard-Sicherheitsmechanismus von MySQL 5.6 aufwärts:

in der /etc/mysql/my.cnf ist die Bindung auf localhost eingestellt:
Der Nutzer „root“ geht ausschließlich auf dem localhost. Für Zugriff von außen MUSS ein neuer mysql-Nutzer angelegt werden.

3. April 201323. März 2013

Aktivierungsfehler: Code 0x8007232b / Aktivieren von Windows Vista Enterprise, Vista Business, Windows 7 oder Windows Server 2008

Problem:

Wenn beim Versuch, Windows zu aktivieren, folgender Fehler kommt:

Aktivierungsfehler: Code 0x8007232b
Der DNS-Name ist nicht vorhanden.

Das Problem tritt häufig in Verbindung mit der Verwendung von Volumenlizenzen auf. Wenn nach der Installation noch kein Produktkey hinterlegt wurde, weil beim Setup noch nicht danach gefragt wurde, versucht das System, sich mit einem Schlüsselverwaltungsdienst-Hostcomputer (Key Management Service, KMS) zu verbinden. Dieser ermöglicht abhängig von der Größe des Netzwerkes, viele Computer zu aktivieren und erspart Administratoren das „Platz zu Platz“ gelaufe zur Aktivierung der PCs.

Lösung:

In den allermeisten Fällen wird für die Windowsaktivierung kein separater KMS-Server verwendet. Aus diesem Grund muss mit einem einfachen DOS-Befehl der Produktkey nachträglich hinzugefügt werden.

1. Starten Sie die Eingabeaufforderung mit Administratorrechten

Start –>Alle Programme –>Zubehör

Mit rechter Maustaste auf Eingabeaufforderung und dann „Als Administrator ausführen.“

In dem erscheinenden DOS-Fenster wird der folgende Befehl eingegeben:
slmgr -ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx

Die x’e stehen für den Produktkey, welcher in Windows hinterlegt werden soll.

Anschließend sollte die Produktaktivierung problemlos klappen.

25. März 201323. März 2013

Shutdownbefehl für Windows Server 2008 R2 oder Windows Server 2012

Unter Windows XP, Windows 7 oder Windows Server 2003 war das Neustarten von Windowscomputern mittels Shutdown-Befehl kein Problem

Im Dosfenster wurde einfach eingegeben

shutdown -r -t 30

-r steht für Neustart (Reboot)
-s steht für Herunterfahren (Ausschalten/Shutdown)

-t [sekunden] gibt die Zeit vor nach wie vielen Sekunden der PC heruntergefahren wird. Im obigen Beispiel sind es 30 Sekunden

In Kombination mit dem Taskplaner ließ sich so ein Server einfach zeitgesteuert neustarten.

Unter Servern ab Windows Server 2008 R2 funktioniert dieser Befehl nicht mehr. Da möchte das System ein paar Parameter mehr haben.

Beispielsweise soll der Server in 11 Stunden neu gestartet werden:

shutdown /r /t 39600 /d p:0:0 /c „Aufgrund von Wartungsarbeiten wird dieser Server in der Nacht um 0:00 Uhr neu gestartet“

Die Anzahl an Sekunden muss man sich an der Stelle einfach errechnen und in den Befehl einfügen.

24. März 201323. März 2013

Netzwerkumgebung zeigt keine Computer an/ Windows Server 2008 Einrichtung

Problem:
Im Windows Netzwerk bzw. der Netzwerkumgebung werden keine Computer angezeigt.

Lösung:

Damit das Windows Netzwerk andere Computer, Freigaben etc. anzeigt, müssen folgende Dienste aktiviert sein:

DNS Client
Funktionssuche Ressourcen Veröffentlichung
SSDP Suche
UPNP Gerätehost

Diese Dienste sind von Haus aus in einem frisch installiertem Windows Server 2008 teilweise nicht aktiviert und müssen auf automatisch gestellt werden.

In der Praxis hat dieser Tip mir bereits häufig weitergeholfen.

Wie vereinheitlicht man die Office-Makro-Sicherheitseinstellungen seiner Anwender mittels zentraler Anpassung der via Gruppenrichtlinie?

Herunterladen und Bereitstellen der Gruppenrichtlinie

Konfigurieren der Gruppenrichtlinie