Eine der zentralen Schutzmaßnahmen gegen Emotet ist es, Microsoft Office das Ausführen von Makros zu verbieten. Viele Office-Nutzer benötigen diese Funktion in der täglichen Arbeit nicht; das Abschalten verhindert, dass sie auf einen der miesen Emotet-Tricks hereinfallen und ihr System versehentlich infizieren. Das geht ganz einfach firmen- oder auch abteilungsweit mit Gruppenrichtlinien – so ist zumindest der allgemeine Kenntnisstand zu diesem Thema. Aber seit Office 365 heisst es umdenken: Denn Microsoft hat die Administration mit Gruppenrichtlinien in manchen Office 365 Editionen abgeschaltet!
Man stelle sich folgendes Szenario vor:
Als verantwortungsbewusster Firmen-Administrator rollen Sie Gruppenrichtlinien aus, die das das Ausführen von Makros unterbinden. Sie kontrollieren dies auch auf mehreren Systemen und sehen in den Office-Einstellungen wie erwartet, dass die Makroeinstellungen auf "Alle Makros ohne Benachrichtigung deaktivieren" festgenagelt sind. Die Auswahloptionen sind ausgegraut; der Anwender kann sie nicht ändern. Trotzdem kommt es kurze Zeit später zu einer Emotet-Infektion, bei der ein Anwender eine vorgebliche Antwort-Mail eines Geschäftspartners erhalten und das angehängte Dokument geöffnet hat. Als er auf "Bearbeiten aktivieren" klickte, nahm das Unheil seinen Lauf.
Des Rätsels Lösung:
Ihre Firma ist noch mitten in der Migration nach Office 365 und setzt gemischte Office-Versionen ein. Die Meisten benutzen noch "Office Professional Plus" und solche Installationen haben Sie auch erfolgreich getestet. Einige Anwender sind allerdings bereits auf das kürzlich angeschaffte "Office 365 Business Premium" umgezogen – und das ignoriert die Gruppenrichtlinien. Und zwar nicht etwa mit einer Meldung "Achtung, eventuell ergriffene Schutzmaßnahmen funktionieren unter Umständen nicht mehr", sondern still und leise, ohne Warnung.
Zu den größten Einschränkungen von Office 365 Business gehört, dass sich Word, Excel & Co. nicht über GPOs konfigurieren lassen. Dadurch entfällt die Möglichkeit, Einstellungen für Makros zentral vorzugeben. Als Behelfslösung kann man Group Policy Preferences nutzen, um die entsprechenden Registry-Schlüssel zu setzen.
Die Edition Office 365 Business richtet sich an kleinere Unternehmen und beinhaltet neben den traditionellen Desktop-Anwendungen eine Reihe von Cloud-Diensten. Obwohl Abos bis zu 300 Benutzer umfassen können, sieht Microsoft für solche Umgebungen kein zentrales Management für die Office-Programme über Gruppenrichtlinien vor!
Nachforschungen ergaben, dass Gruppenrichtlinien in folgenden Office-Editionen abgeschaltet sind:
- Office 365 Business
- Office 365 Business Essentials
- Office 365 Business Premium
- Office 365 Enterprise E1
- Office 365 Enterprise F1
- Microsoft 365 Business
Konkret funktionieren Grupenrichtlinien derzeit mit folgenden Office-Editionen:
- Office Professional Plus 2013
- Office Professional Plus 2016
- Office Professional Plus 2019
- Office 365 ProPlus
- Office 365 Enterprise E3
- Office 365 Enterprise E5
