Dank voor de reacties! Overigens is het
nog erger dan ik dacht, zie verderop.
In elk geval is wat in
https://www.microsoft.com/security/blog/2016/03/22/new-feature-in-office-2016-can-block-macros-and-help-prevent-infection/ staat, volstrekt niet waar voor Office 2016 op mijn PC en een file afkomstig van Internet.
Als ik die file open, verschijnt dezelfde gele balk als getoond in
https://cloudblogs.microsoft.com/uploads/prod/2018/01/311.png. Als ik vervolgens op 'Enable Editing' klik, verschijnt echter
niet de rode balk zoals getoond in
https://cloudblogs.microsoft.com/uploads/prod/2018/01/48.png, maar beschouwt MS Word het vanaf dat moment als een
Trusted document en werkt geen enkele policy meer (de
user settings worden vanaf dat moment gebruikt).
In de policy (.adml file) kun je hierover lezen:
Block macros from running in Office files from the Internet
[...]
If you enable this policy setting, macros are blocked from running, even if “Enable all macros” is selected in the Macro Settings section of the Trust Center. Also, instead of having the choice to “Enable Content,” users will receive a notification that macros are blocked from running. If the Office file is saved to a trusted location or was previously trusted by the user, macros will be allowed to run.
[...]
Diezelfde tekst is overigens ook te vinden voor de laatste Office 365 versies:
1) Open
https://config.office.com/deploymentsettings2) kies onder "Office suites" een versie naar keuze
3) Klik helemaal onderaan op Application Preferences
4) Klik net daaronder (bovenaan de lijst) op Word
5) Klik op Word Options
6) Klik op Security
7) Klik op Trust Center
8) Klik op "Block macros from running in Office files from the Internet"
Ik vrees dan ook dat het gedrag wat ik met Office 2016 zie, voor alle Office versies geldt die policies ondersteunen. Dit lijkt te worden bevestigd door
https://support.office.com/en-us/article/trusted-documents-cf872bd8-47ec-4c02-baa5-1fdba1a11b53, onderaan:
Note: If a file opens in Protected View that has no active content, and you enable editing, the file is trusted and no longer opens in Protected View. However, if the file contains active content, a Message Bar appears for the disabled active content, until you enable the content. Active content is not enabled automatically when you exit Protected View.
Echter: dat laatste hangt dan alleen nog van de gebruikersinstellingen af en kun je niet meer met policies afdwingen. Daardoor kan de gebruiker, met de standaard gebruikersinstellingen, met social engineering worden overgehaald om op "Enable Content" te klikken. Iets wat ik juist met policies hoopte te kunnen voorkomen, en waarvan Microsoft (en bijv.
https://www.ncsc.gov.uk/guidance/macro-security-for-microsoft-office)
onterecht suggereren dat dit zo is.
Maar, zoals ik zei,
het is nog erger. Als ik (als admin)
tevens de policy "Do not open files from the Internet zone in Protected View" aanzet, en (als ordinary user) Word weer start met het document van Internet, verschijnt
WEL de rode balk (in plaats van de gele, immers dit is geen protected view meer) - met exact dezelfde tekst als getoond in
https://cloudblogs.microsoft.com/uploads/prod/2018/01/48.png, dus:
BLOCKED CONTENT Macros in this document have been disabled by your enterprise administrator for security reasons.
Dat klinkt goed, daar komt een gebruiker heus niet meer langs!
Helaas: als ik vervolgens Alt-F8 indruk (om de dialoogbox met aanwezige macro's te openen), verandert die rode balk in:
SECURITY WARNING Macros have been disabled. [Enable Content]
Zie
https://imgur.com/a/pL4MEtb voor die laatste twee situaties.
Zodra ik de macro-dialoogbox heb gesloten, op Enable Content klik, verdwijnt de rode balk. Als ik daarna op Alt-F8 druk kan ik (als ordinary user) gewoon macro's in het document uitvoeren...
Wat heb je in vredesnaam aan
security policies die niet werken zoals beschreven, en als je ze toch aan de praat krijgt
door protected view uit te schakelen, eenvoudig door gebruikers omzeild kunnen worden?
Of is er toch iets vreemds aan de hand op mijn PC en zien anderen dit onverwachte gedrag niet?