Manchmal stößt man auf eine Überschrift, bei der die einzelnen Wörter Sinn ergeben, die Gesamtbedeutung aber nicht sofort klar ist. Dieser Artikel könnte einer dieser Fälle sein. Sofern Sie nicht mit dem Office Cloud Policy Service oder dem Microsoft-Sicherheitsökosystem vertraut sind, sind die hier enthaltenen Konzepte möglicherweise neu für Sie. Lassen Sie uns tiefer eintauchen.
Grundlegendes zu Microsoft-Sicherheitsbaselines
Vor Jahren wurde Microsoft dafür kritisiert, dass es zu viele Einstellungen mit unzureichender Anleitung für Kunden habe. Dieses Problem geht auf die Zeit der Windows Resource Kits zurück – große Mengen gedruckter Dokumentation für BackOffice-Anwendungen. Im Laufe der Zeit verbesserte Microsoft die Qualität seiner Dokumentation, während Organisationen wie die National Security Agency und das National Institute of Standards and Technology begannen, ihre eigenen Konfigurationsempfehlungen zu erstellen, wie etwa die STIGs (Security Technical Implementation Guides) des US-Verteidigungsministeriums.
Microsoft reagierte darauf mit der Erstellung von Gruppenrichtlinienvorlagen, die die Anwendung konsistenter Einstellungen über Unternehmensdomänen hinweg vereinfachten. Diese waren jedoch für die meisten Unternehmensumgebungen zu restriktiv. Daher entwickelte Microsoft eigene Basiseinstellungen, die auf eine breitere Nutzung zugeschnitten waren. Hier ist der aktuelle Satz der Microsoft-Basiseinstellungen für Windows.
Die Herausforderung mit Baselines
Die größte Herausforderung liegt nicht bei den Baselines selbst, sondern bei ihrer Anwendbarkeit. Nicht jedes Gerät ist einer Domäne oder einem lokalen Active Directory zugeordnet. Gruppenrichtlinienobjekte sind für persönliche Geräte oder solche, die einer Entra ID-Domäne zugeordnet sind, nicht wirksam. Um dieses Problem zu lösen, hat Microsoft den Office Cloud Policy Service (OCPS) eingeführt.
OCPS ermöglicht es Office 365-Administratoren, Richtlinien auf jedes Gerät zu übertragen, auf dem Office ausgeführt wird und das eine Verbindung zu ihrem Mandanten herstellt. Zwar kann es keine Einstellungen wie Bildschirmsperrzeit oder Kennwortanforderungen steuern (für die Sie Intune oder eine andere Geräteverwaltungslösung benötigen), stellt jedoch eine konsistente Richtlinienanwendung in allen Office-Apps sicher.
Implementierung von Baselines mit OCPS
Gute Nachrichten: Sie können empfohlene grundlegende Sicherheitsrichtlinien für Office-Anwendungen mithilfe von OCPS anwenden, das kostenlos mit Ihren E3-Lizenzen verfügbar ist. Die schlechte Nachricht: Diese Einstellungen sind nicht gruppiert, was die Anwendung etwas umständlich macht. Das Einrichten einer grundlegenden Richtlinie verbessert die Sicherheit von Office-Apps jedoch erheblich.
Erstellen einer neuen Mandantenrichtlinie
OCPS unterstützt mehrere Richtlinien, priorisiert und auf bestimmte Gruppen beschränkt. So richten Sie eine mandantenweite Richtlinie ein:
- Einloggen in config.office.com Verwenden Sie ein Konto mit globalen Administratorrechten oder Office-App-Administratorrechten.
- Navigieren Sie in der linken Navigationsleiste zu Anpassung > Richtlinienverwaltung.
- Klicken Sie auf „Erstellen“, um eine neue Richtlinie zu initiieren, geben Sie einen Namen und eine Beschreibung ein und klicken Sie dann auf „Weiter“.
- Stellen Sie sicher, dass auf der Bereichsseite „Diese Richtlinienkonfiguration gilt für alle Benutzer“ ausgewählt ist, und klicken Sie dann auf „Weiter“.
Filtern Sie auf der Seite „Einstellungen konfigurieren“ Ihre Auswahl, indem Sie auf den Pivot „Sicherheitsbaseline“ klicken. Dadurch werden über 135 Richtlinien in der Sicherheitsbaseline für Office-Clients angezeigt, von denen die meisten als „Nicht konfiguriert“ angezeigt werden.
Richtlinienkonfigurationszustände
Jede OCPS-Richtlinieneinstellung kann:
- Nicht konfiguriert
- Aktiviert
- Deaktiviert
Zu den Baseline-Einstellungen gehört die Option „Von Microsoft empfohlene Baseline“, die die von Microsoft empfohlenen Konfigurationen anwendet. Alternativ können Sie die Einstellungen manuell konfigurieren.
Empfohlene Sicherheitseinstellungen
Bei über 135 Einstellungen kann die Auswahl der richtigen Einstellungen eine Herausforderung sein. Konzentrieren Sie sich auf diese Schlüsselbereiche:
- Beschränken Sie Dateitypen und -quellen. Beginnen Sie mit „Ausführen von Makros in Office-Dateien aus dem Internet blockieren“.
- Wenden Sie Einstellungen einheitlich auf alle Anwendungen an. Richtlinien gelten häufig für bestimmte Apps.
- Testen Sie die Einstellungen vor der vollständigen Bereitstellung, um die Auswirkungen auf den Benutzer vorherzusehen.
Da OCPS kostenlos ist, lohnt es sich, Zeit in die Konfiguration dieser Einstellungen zu investieren, um die Sicherheit zu erhöhen.
