Computerbeveiliging - Hoe je bad guys buiten de deur houdt

macro's: Office GPO werkt niet

09-03-2020, 12:01 door Erik van Straten, 30 reacties
TL;DR: Group Policies blokkeren het uitvoeren van macro's NIET in een flink aantal MS Office versies. Uit https://docs.microsoft.com/en-us/office365/servicedescriptions/office-applications-service-description/office-applications-service-description (90 graden gedraaid en anders gesorteerd door mij, bron: [1]):

Feature Group Policy support
----------------------------------------------
Office 365 Business No
Office 365 Business Essentials No
Office 365 Business Premium No
Office 365 Enterprise E1 No
Office 365 Enterprise F1 No
Microsoft 365 Business No
----------------------------------------------
Office Professional Plus 2013 Yes
Office Professional Plus 2016 Yes
Office Professional Plus 2019 Yes
Office 365 ProPlus Yes
Office 365 Enterprise E3 Yes
Office 365 Enterprise E5 Yes
----------------------------------------------

Systeembeheerders zouden dus -onterecht- kunnen veronderstellen dat hun gebruikers geen kwaadaardige macro's in e-mail bijlagen of downloads kunnen uitvoeren!

Macro's wel/niet gescand door antivirus
Uit de tabel in bovengenoemde pagina kan ik niet opmaken of alle Office versies AMSI (Antimalware Scan Interface) voor virusscanners ondersteunen. In https://www.microsoft.com/security/blog/2018/09/12/office-vba-amsi-parting-the-veil-on-malicious-macros/ (bronnen: [2]) lees ik echter:
In its default configuration, macros are scanned at runtime via AMSI except in the following scenarios:

- Documents opened while macro security settings are set to “Enable All Macros”
- Documents opened from trusted locations
- Documents that are trusted documents
- Documents that contain VBA that is digitally signed by a trusted publisher
Als iemand weet dat dit niet (meer) klopt, hoe je kunt forceren dat alle macro's gescand worden en/of AMSI niet werkt op sommige Office versies, lees ik dat graag.

Gedeeltelijke fix om macro's te blokkeren
In [1] kun je lezen hoe je, met een heel stel registerwijzigingen, toch macro's per Office applicatie (Word, Excel, ...) enigzins kunt blokkeren. Echter, naar verluidt kan de gebruiker zelf deze wijziging (voor 90 minuten?) ongedaan maken.
Het artikel wijst er ook op dat instellingen in het register onder "Software\Policies\Microsoft\Office\..." worden genegeerd (ik vermoed alleen bij de software waar bovenaan deze pagina "No" staat): je zou deze instellingen moeten maken onder "HKCU\Software\Microsoft\Office\...", gevolgd door het Office versienummer en de bedoelde applicatie.

Overigens zag ik zojuist dat het wijzigen van de instellingen in het Trust Center van de betreffende Office applicatie voor de betreffende gebruiker hetzelfde effect heeft als het wijzigen van bedoelde registerinstellingen (de gebruiker kan dit dus ook relatief eenvoudig zelf permament ongedaan maken).

Details: als de value name "VBAWarnings" ontbreekt (key bij mij: HKCU\Software\Microsoft\Office\16.0\Word\Security\), gaat bijv. Word ervan uit dat deze de waarde 2 heeft; als je in (de Engelstalige versie van) Word eenmalig kiest voor "Disable all macro's without notification" en het Trust Center sluit, wordt de value name "VBAWarnings" aangemaakt met waarde 4. Als je in Trust Center daarna kiest voor "Disable all macro's without notification" en weer sluit, heeft die value name de waarde 2 gekregen.

Conclusie
Microsoft maakt het organisaties veel te moeilijk om malware buiten de deur te houden. Ik vind het ontverantwoordelijk dat group policies slechts voor een deel van de Microsoft Office pakketten werken. Ook in thuisversies hoor je kinderen en andere huisgenoten -geforceerd en onveranderbaar- te kunnen beschermen tegen kwaadaardige macro's, met name omdat gebruikers vaak (steeds vaker?) gevraagd worden om kwaadaardige bestanden te downloaden van ogenschijnlijk betrouwbare cloud sites, waaronder *.sharepoint.com, onedrive.com etc. Allemaal sites die zijn voorzien van een https certificaat: security-aware mensen weten dat dit niets zegt, maar de meeste gewone gebruikers is altijd verteld dat een slotje betekent dat iets veilig is.

Bronnen
[1] (Duitstalig) https://www.heise.de/security/artikel/Microsoft-und-Emotet-Makroschutz-in-Office-365-nur-fuer-Konzerne-4664218.html?seite=all. Nb. In https://www.heise.de/security/ heeft Heise dat artikel bovenaan gezet (dat kennelijk al op 2020-02-24 is gepubliceerd, ik heb dat toen gemist). Ook op security.nl kan ik hier zo snel niets over terugvinden, maar wellicht kijk ik eroverheen.

[2] https://www.security.nl/posting/646802/Microsoft%3A+infecties+door+ransomware+zijn+prima+te+voorkomen
-> https://www.microsoft.com/security/blog/2020/03/05/human-operated-ransomware-attacks-a-preventable-disaster/: "Turn on AMSI for Office VBA if you have Office 365".
Reacties (30)
09-03-2020, 13:07 door Anoniem
Ze doen dit om je een duurdere licentie te laten kopen. Als je E3 of E5 hebt dan werkt het wel.
Voor Microsoft staan inkomsten op nummer 1, veiligheid komt dan lager op de ladder.
09-03-2020, 15:07 door wallum
Helemaal eens. Office-macro's zijn laaghangend fruit; er wordt veel misbruik van gemaakt, het is mogelijk ze te blokkeren (althans dat zou het moeten zijn) en lang niet alle organisaties maken er gebruik van.

Ik zou nog een stap verder gaan: ook als een organisatie wel gebruik maakt van macro's, moet het mogelijk zijn om macro's te blokkeren en één of meer specifieke Office-bestanden met macro's te whitelisten. Die whitelisting zou vervolgens ook ontoegankelijk moeten zijn voor de gebruikers. Want ik heb al diverse mails gezien met malware in de vorm van een Office-macro met daarin de instructies hoe een gebruiker de macro kan activeren. Via social engineering krijgen criminelen het vrijwel altijd voor elkaar een gebruiker ergens op te laten klikken.

Natuurlijk is securitybewustzijn onder gebruikers belangrijk en moet je daar als organisatie in investeren, maar zelfs met maximale inspanning haal je nooit 100%. Je kunt het je als organisatie niet permitteren dat je hele bedrijf plat komt te liggen omdat één onhandige, vermoeide gebruiker per ongeluk op het verkeerde bestand klikt. Daarom moeten dit soort kwetsbaarheden door systeembeheer uitgeschakeld kunnen worden.

Des te opmerkelijker dat Microsoft stelt dat ransomware eenvoudig te voorkomen is:
https://www.security.nl/posting/646802/Microsoft%3A+infecties+door+ransomware+zijn+prima+te+voorkomen
Want dit geldt voor macro's, maar gold in het verleden (en nog steeds?) ook voor Office-bestanden met OLE-koppelingen en met DDE-koppelingen, en god weet welke mogelijkheden Office en Windows nog meer hebben om code uit te voeren op een systeem, zonder dat systeembeheer zich dit realiseert. En in mijn ervaring zijn de meeste ICT-partijen zich hier niet van bewust en leveren ze Office en Windows in de default-configuratie af aan de klant.
09-03-2020, 16:04 door karma4
Door wallum: Helemaal eens. Office-macro's zijn laaghangend fruit; er wordt veel misbruik van gemaakt, het is mogelijk ze te blokkeren (althans dat zou het moeten zijn) en lang niet alle organisaties maken er gebruik van. ….
Lokaal on premise beheerd in eigen omgeving is dat geen probleem. Het gaat om de office 365 ofwel cloud opties.

Ik kan begrijpen dat er omdat er geen eigen machine inde cloud meer is alles er ineens anders uitziet.
Wat ik mis hoe anders dat dan is. Een eigen C: en meer van dat is niet meer aan de orde, wat nog meer.
09-03-2020, 17:04 door Erik van Straten
Door karma4: Het gaat om de office 365 ofwel cloud opties.
Welnee. Geen weldenkend mens draait dit soort soort applicaties in een webbrowser, hooguit in een noodgeval. Gebruikelijk is het om ook Office 365 gewoon op de lokale schijf van PC's te installeren, waar ze al snel gigabytes in beslag neemt.

Belangrijke verschilllen tussen Office 365 en bijv. Office 2019: de licentievorm, dat Office 365 je meer stimuleert om jouw bestanden in de cloud op te slaan (alhoewel Office <jaar> ook steeds meer haar best doet daarvoor), en dat Office 365 voortdurend wordt bijgewerkt (ook met functionele wijzigingen). Zie https://support.office.com/nl-nl/article/wat-is-het-verschil-tussen-office-365-en-office-2019-ed447ebf-6060-46f9-9e90-a239bd27eb96.

Het maakt niet uit in welke versie je een kwaadaardige macro start. Vooral MKB en thuisgebruikers doen zelden iets met macro's, daarom is het absurd dat juist zij (of hun beheerders) het uitvoeren van macro's niet kunnen blokkeren.
09-03-2020, 17:22 door karma4
Door Erik van Straten:
Welnee. Geen weldenkend mens draait dit soort soort applicaties in een webbrowser, hooguit in een noodgeval. Gebruikelijk is het om ook Office 365 gewoon op de lokale schijf van PC's te installeren, waar ze al snel gigabytes in beslag neemt. ...
Ik neem toch echt wat anders waar: https://www.backupmyoffice365.nl/weet-u-waar-uw-office-365-data-wordt-opgeslagen/ dan wel https://www.constant.it/de-10-meest-gestelde-vragen-over-office-365/ vele anderen.
Als het probleem / impact elders opgepakt wordt dan zie ik de noodzaak aan het vasthouden van iets ouds niet.
09-03-2020, 17:49 door Erik van Straten
Uit https://support.office.com/nl-nl/article/wat-is-het-verschil-tussen-office-365-en-office-2019-ed447ebf-6060-46f9-9e90-a239bd27eb96:
Heb ik een internetverbinding nodig om Office 365 te gebruiken?

U hoeft niet online te zijn om Office te gebruiken nadat het is geïnstalleerd en geactiveerd op uw apparaten. U hebt echter wel een internetverbinding nodig om Office in eerste instantie te installeren en te activeren, om eventuele updates te installeren en om uw facturen te beheren. Ook is internettoegang vereist voor toegang tot documenten die zijn opgeslagen in OneDrive, tenzij u de OneDrive-bureaubladapp installeert. Nadat uw Office-toepassingen (zoals Word, PowerPoint en Excel) echter zijn geïnstalleerd, kunt u deze offline gebruiken.

Maak regelmatig verbinding met internet om uw versie van Office up-to-date te houden en te profiteren van automatische upgrades. Als u niet ten minste eens in de 39 dagen verbinding maakt met internet, worden uw toepassingen uitgevoerd in de modus met verminderde functionaliteit en krijgt u mogelijk de fout product zonder licentie te zien. U kunt uw Office-toepassingen opnieuw activeren door verbinding te maken met internet en u aan te melden bij Office 365.
09-03-2020, 20:00 door Anoniem
Door Erik van Straten:
Door karma4: Het gaat om de office 365 ofwel cloud opties.
Welnee. Geen weldenkend mens draait dit soort soort applicaties in een webbrowser, hooguit in een noodgeval. Gebruikelijk is het om ook Office 365 gewoon op de lokale schijf van PC's te installeren, waar ze al snel gigabytes in beslag neemt.

Belangrijke verschilllen tussen Office 365 en bijv. Office 2019: de licentievorm, dat Office 365 je meer stimuleert om jouw bestanden in de cloud op te slaan (alhoewel Office <jaar> ook steeds meer haar best doet daarvoor), en dat Office 365 voortdurend wordt bijgewerkt (ook met functionele wijzigingen). Zie https://support.office.com/nl-nl/article/wat-is-het-verschil-tussen-office-365-en-office-2019-ed447ebf-6060-46f9-9e90-a239bd27eb96.

Het maakt niet uit in welke versie je een kwaadaardige macro start. Vooral MKB en thuisgebruikers doen zelden iets met macro's, daarom is het absurd dat juist zij (of hun beheerders) het uitvoeren van macro's niet kunnen blokkeren.

MKB en thuisgebruikers hebben zelden een AD, dus ook geen GPO's. Die moeten dat soort zaken gewoon lokaal regelen.
09-03-2020, 21:16 door Anoniem
Door Anoniem:
Door Erik van Straten:
Door karma4: Het gaat om de office 365 ofwel cloud opties.
Welnee. Geen weldenkend mens draait dit soort soort applicaties in een webbrowser, hooguit in een noodgeval. Gebruikelijk is het om ook Office 365 gewoon op de lokale schijf van PC's te installeren, waar ze al snel gigabytes in beslag neemt.

Belangrijke verschilllen tussen Office 365 en bijv. Office 2019: de licentievorm, dat Office 365 je meer stimuleert om jouw bestanden in de cloud op te slaan (alhoewel Office <jaar> ook steeds meer haar best doet daarvoor), en dat Office 365 voortdurend wordt bijgewerkt (ook met functionele wijzigingen). Zie https://support.office.com/nl-nl/article/wat-is-het-verschil-tussen-office-365-en-office-2019-ed447ebf-6060-46f9-9e90-a239bd27eb96.

Het maakt niet uit in welke versie je een kwaadaardige macro start. Vooral MKB en thuisgebruikers doen zelden iets met macro's, daarom is het absurd dat juist zij (of hun beheerders) het uitvoeren van macro's niet kunnen blokkeren.

MKB en thuisgebruikers hebben zelden een AD, dus ook geen GPO's. Die moeten dat soort zaken gewoon lokaal regelen.

en waar zitten de meeste viri en malwares en easy victims? precies bij kleine MKBers en thuisgebruikers. Dat is ook de plek waar die vele macros vaak niet eens nodig zijn omdat die niet vele bronnen met formulieren etc. etc. etc. gekoppeld hebben. Dus het zou verstandig zijn, default die macros UIT en dan kan die enkele PC van die MKBer echt wel een keertje op 'vooruit dan maar' klikken als die daadwerkelik die macros nodig heeft. Grote organisaties die een AD draaien en GPOs doen, die kunnen hun broek ook wel ophouden. Het is dus VOOR IEDEREEN BETER als default die macros UIT staan [Ik weet niet wat de huidige situatie bij een default install is, maar ten tijde van win XP met office 2000 enzo, moest ik expliciet macros uitzetten].
10-03-2020, 08:38 door Bitje-scheef - Bijgewerkt: 10-03-2020, 08:40
Je kunt macro's signen en whitelisten, die mogelijkheid bestaat. Is het makkelijk ? Het proces zou zeker makkelijker kunnen. Office en security is een beetje een klotje wol, dit komt omdat office vooral lekker veel moet kunnen.

Spelen met de security opties ? Wat een eenvoudige optie zou moeten zijn, kan veel rare uitkomsten aan de andere kant veroorzaken. Zaken worden onverklaarbaar dichtgezet of juist gewoon uitvoerbaar gelaten. Natuurlijk kun je veel terugvinden in de readme's of technical docs, maar niet alles.

Zelfs een zeer geavanceerde gebruiker, benut slechts 15-20% van de mogelijkheden. Soms is security ook gewoon inperken ipv veilig faciliteren.
10-03-2020, 08:39 door The FOSS
Door karma4:
Door Erik van Straten:
Welnee. Geen weldenkend mens draait dit soort soort applicaties in een webbrowser, hooguit in een noodgeval. Gebruikelijk is het om ook Office 365 gewoon op de lokale schijf van PC's te installeren, waar ze al snel gigabytes in beslag neemt. ...
Ik neem toch echt wat anders waar: https://www.backupmyoffice365.nl/weet-u-waar-uw-office-365-data-wordt-opgeslagen/ dan wel https://www.constant.it/de-10-meest-gestelde-vragen-over-office-365/ vele anderen.
Als het probleem / impact elders opgepakt wordt dan zie ik de noodzaak aan het vasthouden van iets ouds niet.

Helaas karma4, dit zijn alleen maar verkooppraatjes van aanbieders. Het zegt niets, maar dan ook helemaal niets over daadwerkelijk gebruik.
10-03-2020, 09:53 door Anoniem
Door Anoniem: MKB en thuisgebruikers hebben zelden een AD, dus ook geen GPO's. Die moeten dat soort zaken gewoon lokaal regelen.

Ongeldig argument. GPO kan ook worden toegepast zonder AD.
10-03-2020, 10:04 door Anoniem
Door Erik van Straten: TL;DR:
Systeembeheerders zouden dus -onterecht- kunnen veronderstellen dat hun gebruikers geen kwaadaardige macro's in e-mail bijlagen of downloads kunnen uitvoeren!

Een goede systeembeheerd(st)er TEST zijn/haar spullen voordat hij/zij/het eea in productie neemt.
Wordt er niet getest dan kan dat inderdaad zomaar gebeuren.

En veronderstellingen zijn de bron van alle FUCK-UPS
10-03-2020, 10:07 door Erik van Straten
Door Anoniem: MKB en thuisgebruikers hebben zelden een AD, dus ook geen GPO's. Die moeten dat soort zaken gewoon lokaal regelen.
Wat je met die laatste zin bedoelt weet ik niet. Maar in https://www.microsoft.com/en-us/download/details.aspx?id=49030 kun je de laatste administrative policy templates voor Office downloaden, en die kun je prima beheren met de "Local Group Policy Editor" (te starten met gpedit.msc).

Wel is het zo dat die "Local Group Policy Editor" ontbreekt op home-versies van Windows (of dat in de laatste Windows versies nog zo is, weet ik niet). Maar zelfs in dat geval kun je altijd nog met de hand registerwijzigingen doorvoeren (als lid van de Administrators groep, voor de laatste versies van Word onder "HKCU\Software\Policies\Microsoft\office\16.0\word\security" van de betreffende gebruiker(s) - mits de geïnstalleerde versie van Office deze instellingen raadpleegt en honoreert - wat dus maar bij een beperkt aantal Office versies het geval is).

Op de laptop waarop ik dit tik staat "Microsoft Office Home and Business 2016". In elk geval Word hierin lijkt alle ingestelde policies compleet te negeren (Outlook.exe bevat wel een een flink aantal keren de string "Software\Policies\Microsoft\Office\" - in de meeste gevallen gevolgd door 15.0\ en diverse subkeys, dus ondersteunt wellicht wel een aantal policies).

Voor mij persoonlijk is dat niet zo'n probleem, ik wantrouw bijlagen en downloads altijd "als de corona". Maar zoals je in het MS Word screenshot in https://www.bleepingcomputer.com/news/security/malware-spread-as-nude-extortion-pics-of-friends-girlfriend/ (direct link: https://www.bleepstatic.com/images/news/u/1109292/2020/Sextortion%20malicious%20attachment.png) kunt zien, worden mensen met social engineering overgehaald om kwaadaardige macro's uit te voeren.
10-03-2020, 10:34 door Erik van Straten
Door Anoniem: en waar zitten de meeste viri en malwares en easy victims? precies bij kleine MKBers en thuisgebruikers.
Eens.

Door Anoniem: [Ik weet niet wat de huidige situatie bij een default install is, maar ten tijde van win XP met office 2000 enzo, moest ik expliciet macros uitzetten].
Zoals ik in mijn "TS" bijdrage schreef, is de default waarde van VBAWarnings tegenwoordig "2". Als een document macro's bevat, en je het voor de eerste keer opent, zie je -normaal gesproken- de gele balk zoals getoond in het plaatje van BleepingComputer waar ik in mijn bijdrage hierboven naar verwijs. Als de gebruiker op "Enable Content" klikt wordt zullen macro's worden uitgevoerd (en wordt het document daarna vertrouwd op dit punt; bij een volgende keer openen verschijnt de waarschuwing dan niet meer).

Die VBAWarnings waarde voorkomt dus niet persé dat macro's worden uitgevoerd, maar heeft slechts effect op het tonen van de balk en wat de gebruiker vervolgens kan doen.

Nb. Als een document in een "Trusted Location" opent, zullen -als ik me niet vergis- macro's altijd worden uitgevoerd (alhoewel er ook een policy bestaat om dat te blokkeren, maar die werkt bij de "goedkopere" Office versies natuurlijk ook niet).

Overigens is in dat plaatje de eerdere stap "Enable Editing" al gemaakt: de gele balk met die waarschuwing verschijnt als een bestand voorzien is van MotW (Mark of the Web). Die "MotW" informatie bevindt zich in een NTFS stream [1] die aangeeft dat het bestand afkomstig is vanaf een bepaalde "zone", waaronder Internet.

Details: voor een bestand genaamd "test.docx" (ongeacht het de bestandsnaam en extensie) kun je die stream zien door in de command prompt naar de betreffende map te gaan en te starten:
notepad test.docx:Zone.Identifier
Als notepad meldt dat het "document" niet bestaat, is er geen MotW aanwezig (als je in verkenner rechts op het bestand klikt en voor eigenschappen kiest, zal dan onderaan "deblokkeren" ontbreken). Als het bestand van een andere computer afkomstig is, zie je tekst die begint met:
[ZoneTransfer]
ZoneId=3
Als een bestand geen MotW heeft, kun je (om te testen bijv.) zelf bovenstaande tekst toevoegen met notepad, waarna Windows zal denken dat het bestand van Internet afkomstig is.

[1] Meer info: http://www.ntfs.com/ntfs-multiple.htm
10-03-2020, 10:43 door Erik van Straten - Bijgewerkt: 10-03-2020, 11:13
Door Bitje-scheef: Je kunt macro's signen en whitelisten, die mogelijkheid bestaat.
Ja dat kan. Het verwarrende daaraan is de term "trust" die daaraan gekoppeld wordt, net zoals dat een https certificaat niets zegt over de betrouwbaarheid en veiligheid van een website.

ActiveX plugins zijn compleet gefaald omdat Microsoft meende dat alleen betrouwbare mensen code signing certificaten zouden gebruiken (en aanvankelijk ook vergat dat kwetbsaarheden in legitieme ActiveX plugins door kwaadwillenden kunnen worden misbruikt, en die kwaadwillenden jou ook oude kwetsbare versies -van ondertussen gefixte- ActiveX/OCX plugins kunnen laten downloaden, uitvoeren en misbruiken in MSIE).

Het probleem bij signed macro's is dat kwaadwillenden vaak eenvoudig aan code signing certificaten kunnen komen, of van legitieme partijen de private key weten te stelen en daarna namens die partij macro's digitaal kunnen ondertekenen. Het beheer van welke ondertekenaars je wel of niet vertrouwt is een heel gedoe.

Actieve code afkomstig van Internet, die (zoals Office macro's) niet in een sandbox wordt uitgevoerd en alles kan en mag op jouw PC, is vragen om ellende.
10-03-2020, 10:55 door Erik van Straten
Door Anoniem: Een goede systeembeheerd(st)er TEST zijn/haar spullen voordat hij/zij/het eea in productie neemt. Wordt er niet getest dan kan dat inderdaad zomaar gebeuren.

En veronderstellingen zijn de bron van alle FUCK-UPS
Eens. Maar als er verschillende versies van Office in jouw organisatie in omloop zijn, zul je ze wel allemaal moeten testen. Ook als één of meer personen op een nieuwere versie overgaan. En bij de Click-To-Run versies kan dat, in theorie, op elk moment van de dag gebeuren; je bent dan overgeleverd aan de grillen van Microsoft.

Echter, uit https://www.heise.de/security/artikel/Microsoft-und-Emotet-Makroschutz-in-Office-365-nur-fuer-Konzerne-4664218.html?seite=all
heise Security erntete jedenfalls bei einer kurzen, informellen Umfrage unter Admins und Windows-Experten vor allem eine Mischung aus Erstauen und Entsetzen.
Vrij vertaald:
heise Security oogste echter bij een korte, informele rondvraag onder beheerders en Windows-experts vooral een mengeling van verbazing en ontzetting.
Ik kan mij niet voorstellen dat de situatie in Nederland veel rooskleuriger is, vandaar dat ik deze draad begonnen ben.

In het kader van deze bijdrage heb ik zelf de policies voor Office gedownload, en kwam er zo achter dat die niet werken voor de Office installatie op mijn PC - ook tegen mijn verwachtingen in. Ik heb immers Office 2016 dacht ik.
10-03-2020, 11:02 door karma4
Door The FOSS:
Helaas karma4, dit zijn alleen maar verkooppraatjes van aanbieders. Het zegt niets, maar dan ook helemaal niets over daadwerkelijk gebruik.
Wat jij maar verkooppraatjes noemt wordt prima onderbouwd door financiële cijfers.
Wat ik zo zie gebeuren met waar de C-personen ofwel beslissers zo uitvoeren. Niet voor niets zijn er zoveel bedrijfjes die er met de extra lokale ondersteuning voor MKB een goede boterham aan over kunnen houden.
10-03-2020, 11:12 door karma4 - Bijgewerkt: 10-03-2020, 11:43
Door Erik van Straten: ….
Eens. Maar als er verschillende versies van Office in jouw organisatie in omloop zijn, zul je ze wel allemaal moeten testen. Ook als één of meer personen op een nieuwere versie overgaan. En bij de Click-To-Run versies kan dat, in theorie, op elk moment van de dag gebeuren; je bent dan overgeleverd aan de grillen van Microsoft. ...
Office en andere "applicaties" worden om die reden opnieuw in een package gezet zodat de gebruiker geen ongeteste versies kan gebruiken. Click to run is tegen gangbare richtlijnen in. Het grijze gebied zijn de portable applicaties waar niemand de verantwoording voor wilt nemen maar die vrolijk toegelaten worden.

Misschien interessant voor je, veranderingen:
https://techcommunity.microsoft.com/t5/itops-talk-blog/what-s-the-difference-between-group-policy-and-azure-policy/ba-p/1016312 Het verschil in gedrag met gpo's zoals bij heise genoemd is bekend en terug te vinden.

https://docs.microsoft.com/en-us/office365/servicedescriptions/office-365-platform-service-description/office-365-platform-service-description Een heel nieuwe wereld.
10-03-2020, 12:13 door Anoniem
Door Erik van Straten:
Door Anoniem: Een goede systeembeheerd(st)er TEST zijn/haar spullen voordat hij/zij/het eea in productie neemt. Wordt er niet getest dan kan dat inderdaad zomaar gebeuren.

En veronderstellingen zijn de bron van alle FUCK-UPS
Eens. Maar als er verschillende versies van Office in jouw organisatie in omloop zijn, zul je ze wel allemaal moeten testen. Ook als één of meer personen op een nieuwere versie overgaan. En bij de Click-To-Run versies kan dat, in theorie, op elk moment van de dag gebeuren; je bent dan overgeleverd aan de grillen van Microsoft.

Beetje dicht getimmerde omgeving staat het door de gebruiker zelf installeren niet toe, daar wordt met vApps/packages etc gewerkt ( ook niet ideaal maar wel stukken eenduidiger voor iedereen ). Zoals karma4 ook al aangeeft.

Heb je wel een vrije omgeving dan zijn die GPO's sowieso nutteloos: gebruikers zijn immers admin op hun systeem.
Enige wat je dan kunt doen: gebruikers een how to sturen hoe ze macro's kunnen uitzetten ;-)
10-03-2020, 12:18 door Anoniem
Door Anoniem:
MKB en thuisgebruikers hebben zelden een AD, dus ook geen GPO's. Die moeten dat soort zaken gewoon lokaal regelen.

Je zou natuurlijk verwachten dat je bij een hype product als Office 365 wat zogenaamd vanalles in de cloud support
een mogelijkheid hebt om dat soort dingen in de cloud te regelen (dwz centrale settings maken voor al je gebruikers die
het pakket download en toepast, net zoals het software updates automatisch download en toepast).

Maar dat is natuurlijk iets wat men voor het volgende product bewaard heeft zodat er weer opnieuw geld gevraagd kan
worden! (hoewel je Office 365 al per maand betaalt dus geld krijgen ze toch wel)
10-03-2020, 12:20 door Anoniem
Door karma4:
Door Erik van Straten: ….
Eens. Maar als er verschillende versies van Office in jouw organisatie in omloop zijn, zul je ze wel allemaal moeten testen. Ook als één of meer personen op een nieuwere versie overgaan. En bij de Click-To-Run versies kan dat, in theorie, op elk moment van de dag gebeuren; je bent dan overgeleverd aan de grillen van Microsoft. ...
Office en andere "applicaties" worden om die reden opnieuw in een package gezet zodat de gebruiker geen ongeteste versies kan gebruiken. Click to run is tegen gangbare richtlijnen in.
Ja tegen richtlijnen van fossielen! Maar de wereld (in ieder geval de wereld buiten waar jij werkt) die gebruikt dat
gewoon hoor.

Het grijze gebied zijn de portable applicaties waar niemand de verantwoording voor wilt nemen maar die vrolijk toegelaten worden.
Ja zoals virus scanners.
10-03-2020, 12:34 door Erik van Straten - Bijgewerkt: 10-03-2020, 13:27
Door Erik van Straten: Op de laptop waarop ik dit tik staat "Microsoft Office Home and Business 2016". In elk geval Word hierin lijkt alle ingestelde policies compleet te negeren [...]
Door Erik van Straten: In het kader van deze bijdrage heb ik zelf de policies voor Office gedownload, en kwam er zo achter dat die niet werken voor de Office installatie op mijn PC - ook tegen mijn verwachtingen in. Ik heb immers Office 2016 dacht ik.
CORRECTIE: Group Policies (GPO's) werken wel in "Microsoft Office Home and Business 2016".

Ik was aan het testen met een macro die -onbedoeld- niet in mijn testdocument terecht was gekomen (maar in normal.dot). Mijn excuses voor de verwarring die ik mogelijk in genoemde bijdragen heb veroorzaakt.

Met "Block macros from running in Office files from the Internet" = Enabled krijg ik, bij het openen van een .doc of .docm file (met een macro erin) en met MotW in Word een rode balk te zien: "BLOCKED CONTENT Macros in this document have been disabled by your enterprise administrator for security reasons".

Met "VBA Macro Notification Settings" = Enabled en ingesteld op "Disable all without notification" krijg ik, bij het openen van een .docm file (met een macro erin) en zonder MotW in Word geen waarschuwingen te zien, totdat ik een macro uit probeer te voeren; dan zie ik een messsagebox met tekst die begint met "Macros in this project are disabled".

Beide instellingen (gemaakt met gpedit.msc - uitgevoerd als admin) leiden tot het volgende in het register:
[HKEY_CURRENT_USER\Software\Policies\Microsoft\office\16.0\word\security]
"blockcontentexecutionfrominternet"=dword:00000001
"vbawarnings"=dword:00000004

Aanvulling 13:27: met een .docm of .doc bestand met MotW en met een macro erin, lijkt de gebruiker toch content van internet te kunnen enablen (waarna het document kennelijk "trusted" wordt), en daarna die macro toch uit te kunnen voeren (bij specifieke eigen instellingen in het Word Trust Center). Ik ga verder puzzelen om te kijken hoe je ook dat kunt voorkomen. Bij nieuws daarover meld ik me in een bijdrage hieronder.

Nb. wat in mijn bovenste bijdrage staat over Office versies die geen policies ondersteunen, is wel correct; die informatie is immers van Microsoft zelf afkomstig.
10-03-2020, 12:55 door Erik van Straten
Door Anoniem: Heb je wel een vrije omgeving dan zijn die GPO's sowieso nutteloos: gebruikers zijn immers admin op hun systeem.
Als lokale admin-privileges nodig zijn (wat veel vaker zo is dan menig BOFH toegeeft, vooral op laptops die de deur uitgaan) is mijn advies is om altijd twee accounts te maken voor de gebruiker, bijv. "naam_admin" en "naam". Waarbij het profiel voor die laatste "prettig" wordt ingericht voor dagelijks gebruik. En die eerste veel minder prettig, met lege start-balk (of alleen admin tools), afwijkende achtergrondkleur en de UAC slider op 4 etc.

Het is bij sommigen niet eenvoudig om uit te leggen waarom je zo min mogelijk van zo'n admin account gebruik moeten maken, maar juist die mensen kiezen meestal voor gebruiksgemak. En als ze dat wel vinden in hun "ordinary user" account, zul je zien dat ze daar normaal gesproken gebruik van maken.

Van de paar slimmerds die weten hoe ze policies ongedaan kunnen maken, mag en moet je verwachten dat ze redelijkerwijs weten wat ze doen. En als blijkt dat dit echt niet zo is, kun je die privileges altijd nog intrekken.
10-03-2020, 13:02 door karma4
Door Erik van Straten: Nb. wat in mijn bovenste bijdrage staat over Office versies die geen policies ondersteunen, is wel correct; die informatie is immers van Microsoft zelf afkomstig.
yup dat klopt.
10-03-2020, 14:14 door Anoniem
Door Erik van Straten:
Door Anoniem: Heb je wel een vrije omgeving dan zijn die GPO's sowieso nutteloos: gebruikers zijn immers admin op hun systeem.
Als lokale admin-privileges nodig zijn (wat veel vaker zo is dan menig BOFH toegeeft, vooral op laptops die de deur uitgaan) is mijn advies is om altijd twee accounts te maken voor de gebruiker, bijv. "naam_admin" en "naam". Waarbij het profiel voor die laatste "prettig" wordt ingericht voor dagelijks gebruik. En die eerste veel minder prettig, met lege start-balk (of alleen admin tools), afwijkende achtergrondkleur en de UAC slider op 4 etc.

Het is bij sommigen niet eenvoudig om uit te leggen waarom je zo min mogelijk van zo'n admin account gebruik moeten maken, maar juist die mensen kiezen meestal voor gebruiksgemak. En als ze dat wel vinden in hun "ordinary user" account, zul je zien dat ze daar normaal gesproken gebruik van maken.

Van de paar slimmerds die weten hoe ze policies ongedaan kunnen maken, mag en moet je verwachten dat ze redelijkerwijs weten wat ze doen. En als blijkt dat dit echt niet zo is, kun je die privileges altijd nog intrekken.

Tweede account of niet: ze zijn dan admin, ze kunnen elke GPO al dan niet met dat tweede account ongedaan maken.

Juist op laptops: gebruikers GEEN administrator maken als de noodzaak daar niet voor is en die is er bijna nooit.
10-03-2020, 14:56 door Erik van Straten
Door Anoniem:
Door Erik van Straten: Van de paar slimmerds die weten hoe ze policies ongedaan kunnen maken, mag en moet je verwachten dat ze redelijkerwijs weten wat ze doen. En als blijkt dat dit echt niet zo is, kun je die privileges altijd nog intrekken.
Tweede account of niet: ze zijn dan admin, ze kunnen elke GPO al dan niet met dat tweede account ongedaan maken.
Dat ontken ik toch niet?

Als je messen bot maakt om te voorkomen dat gebruikers zich snijden, ergeren ze zich eerst dood en vervolgens gaan ze de messen zelf slijpen. Als je maar goed genoeg zoekt is er op bijna elk systeem wel een privilege escalation mogelijk (zie http://emerg.syslog.com/~jwilson/pics-i-like/tn/kurios119.jpg.html).

Juist nu veel mensen thuis moeten werken (vanwege Corona), is het handig als je ze niet via de telefoon jouw admin wachtwoord hoeft te geven om VPN-software of whatever te kunnen installeren, Java te updaten etc.

Security is m.i. niet dichttimmeren op een BOFH manier, maar wederzijds vertrouwen opbouwen. Dat je daarbij de gebruiker zoveel mogelijk tegen zichzelf beschermt, zonder dat dit al te erg in de weg zit, moet dan uit te leggen zijn en op begrip van die gebruiker kunnen rekenen.
10-03-2020, 15:07 door Bitje-scheef
Tweede account of niet: ze zijn dan admin, ze kunnen elke GPO al dan niet met dat tweede account ongedaan maken.

Juist op laptops: gebruikers GEEN administrator maken als de noodzaak daar niet voor is en die is er bijna nooit.

Meer dan je denkt. Soms flipt een applicatie als je geen lokale admin rechten hebt. Autodesksoftware bijvoorbeeld.

Zelfs Office blijkt regelmatig problemen te hebben met de Appdata na het installeren van Office Updates. Een echte oplossing is er niet. Komt ook spontaan op, zeker in combinatie met oudere documenten openen. Cache directories raken corrupt.
10-03-2020, 15:38 door karma4
Door Bitje-scheef: ...
Meer dan je denkt. Soms flipt een applicatie als je geen lokale admin rechten hebt. Autodesksoftware bijvoorbeeld. ...
Schone taak voor de echte specialist om dat beet te pakken en op te lossen.
Vaak genoeg gezien dat het broddelwerk bij de verkoop is dat met wat bijstellingen in instellingen wel goed te krijgen is.
De temporary folder is altijd een naar iets. Het was vroeger een gangbaar probleem omdat het multiuser gedag slecht begrepen werd. Het gaat tegenwoordig al beter. Als je met een lastige licentie sleutel dongel of zoiets te maken hebt wordt het lastiger en bij de leverancier blijven zeuren. Ik heb er software op afgekeurd zien worden.
11-03-2020, 10:00 door Erik van Straten
Naast dat het jammer is dat veel MS Office versies group policies niet ondersteunen, vind ik het nog jammerder dat, als een MS Office versie wel group policies ondersteunt, de mogelijkheid bestaat dat ze niet werken op het moment dat je ze het hardst nodig hebt.

Op mijn computer werkt notabene "Block macros from running in Office files from the Internet" geheel niet, juist als een document afkomstig is van internet (en deze in Protected View opent en de gebruiker op "Enable Editing" klikt). Zie https://www.security.nl/posting/647579/macro%27s%3A+Office+GPO+werkt+niet+%232 (deel 2).
11-03-2020, 12:25 door Bitje-scheef
Door karma4:
Door Bitje-scheef: ...
Meer dan je denkt. Soms flipt een applicatie als je geen lokale admin rechten hebt. Autodesksoftware bijvoorbeeld. ...
Schone taak voor de echte specialist om dat beet te pakken en op te lossen.

Ja het wordt al jaren beloofd bij Autodesk bij iedere versie weer de teleurstelling.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.