Bedste sikkerhedspraksis for makroer i Excel

  • Excel-makroer er meget kraftfulde, men de kan også være et almindeligt indgangspunkt for malware, hvis de ikke håndteres med de korrekte sikkerhedsindstillinger.
  • Kombinationen af ​​digitale certifikater, betroede dokumenter og placeringer samt makropolitikker reducerer risikoen dramatisk uden at ofre automatisering.
  • Excel og Microsoft 365 tilbyder avancerede muligheder (internetmakroblokering, signerede makroer, objektmodelkontrol), der tillader anvendelse af princippet om mindste rettigheder.
  • Den bedste beskyttelse kommer ved at kombinere teknisk konfiguration, god brugspraksis og en kritisk gennemgang af enhver fil, der kommer fra eksterne eller ukendte kilder.
Joaquin Romero

13 minutter

Sådan opretter du makroer i Excel

Excel-makroer er en af ​​de opfindelser, der, når de bruges korrekt, sparer dig timevis af arbejde, men når de administreres dårligt, kan de blive en reel sikkerhedshovedpine. De automatiserer gentagne opgaver med VBA- eller XML-kodeMen netop på grund af den kraft er de en klassisk måde at snige vira, trojanere eller ransomware gennem tilsyneladende harmløse dokumenter.

Derfor, hvis du arbejder i en virksomhed eller håndterer følsomme oplysninger, er det ikke nok at krydse fingre og håbe på, at ingen klikker, hvor de ikke burde. Excel og Microsoft 365 inkorporerer flere lag af beskyttelseDigitale certifikater, indstillinger for Trust Center, blokering af makroer fra internettet, betroede dokumenter og placeringer samt avancerede adgangsmuligheder til objektmodeller. Brugt med omtanke giver disse en rimelig balance mellem produktivitet og sikkerhed.

Hvad er en makro, og hvorfor udgør den en sikkerhedsrisiko?

En makro i Excel er grundlæggende set, en sekvens af optagede eller programmerede kommandoer at udføre en opgave automatisk. Det implementeres normalt i Visual Basic for Applications (VBA), selvom ældre Excel 4.0-makroer baseret på XLM også findes.

Problemet stammer fra det faktum, at Den kode kan gøre næsten hvad som helst på din computer.Åbning og lagring af filer, sletning af data, ændring af indstillinger, forbindelse til internettet, download af andre eksekverbare filer, start af eksterne programmer osv. Med andre ord kan de samme funktioner, der giver dig mulighed for at automatisere en forretningsproces, bruges af en angriber til at udføre ondsindet kode.

Cyberkriminelle indså hurtigt, at Makroerne var nemme at skrive og integrere i Word- eller Excel-dokumenter.Derfra begyndte massive phishing-kampagner at cirkulere med Office-vedhæftede filer, der, når makroer var aktiveret, downloadede malware, stjal legitimationsoplysninger eller åbnede døren for ransomware-infektioner på hele netværk.

Af denne grund begyndte Microsoft for år tilbage at gradvist styrke sikkerheden omkring makroerFørst ved at forhindre dem i at køre automatisk, derefter ved at vise advarsler, og for nylig ved direkte at blokere makroer i dokumenter, der er downloadet fra internettet i moderne versioner af Microsoft 365.

Excel med Python
relateret artikel:
Excel med Python: Integrering af scripts og automatisering af analyser

Digitale certifikater og makrosignering i Office

En af de vigtigste forsvarslinjer er muligheden for signere et makroprojekt eller en fil digitaltOffice bruger Microsoft Authenticode-teknologi, så det certifikat, der bruges til signering, identificerer forfatteren og tillader verifikation af, at indholdet ikke er blevet ændret, siden det blev signeret.

De konceptuelle virkemåder er enkle: Makroeditoren genererer en digital signatur med sit certifikatDen er integreret i VBA-projektet, og når brugeren åbner filen, verificerer Office certifikatets gyldighed og kodens integritet. Hvis alt er i orden, og certifikatet tilhører en betroet udgiver, kan makroen køres uden konstant manuel indgriben.

For at bruge denne beskyttelse skal du først anskaffe og installere et gyldigt digitalt certifikat på det team, hvor makroerne udvikles. Derfra kan forfatteren underskrive sine projekter og distribuere dem inden for organisationen med en langt større grad af kontrol.

Hvordan får jeg et digitalt certifikat til at signere makroer?

Du har flere muligheder for at få et passende certifikat til at signere kode i Office, afhængigt af formalitetsniveauet og det miljø, hvor du vil bruge makroerne. Den mest robuste måde er at bruge et kommercielt certificeringsorgan (CA)., som vil udstede et certifikat til dig, der er anerkendt af Microsofts økosystem.

I virksomhedsmiljøer er det almindeligt, at IT-afdelingen selv eller den interne sikkerhedsadministrator Funger som udstedende myndighed ved hjælp af en intern offentlig nøgleinfrastruktur (PKI). I så fald distribueres og tillidsvækkes certifikatet på domæneniveau, hvilket forenkler administrationen for hundredvis eller tusindvis af brugere.

Hvis du vil se, hvilke autoriteter der accepteres i Microsofts økosystem, kan du Se listen over medlemmer af Microsofts rodcertifikatprogramDenne liste angiver, hvilke nøglemyndigheder der er integreret i Windows' tillidslager og derfor som standard betragtes som betroede på de fleste computere.

Opret dit eget certifikat med Selfcert.exe

For mere beskedne scenarier – for eksempel lokale forsøg, personlig udvikling eller små arbejdsgrupper— Microsoft tilbyder et værktøj kaldet Selfcert.exe, der giver dig mulighed for at generere selvsignerede certifikater.

Et certifikat oprettet med Selfcert.exe Den giver ikke den samme garanti som en garanti udstedt af en offentlig CA.Fordi der ikke er nogen uafhængig tredjepart, der verificerer din identitet. Det er dog meget praktisk i kontrollerede scenarier, hvor du selv styrer, hvad der anses for troværdigt.

Den typiske proces ville være: Du genererer dit certifikat med Selfcert.exe, installerer det i dit personlige lager, Du signerer dine makroprojekter med det certifikat Derefter importerer og markerer du certifikatet som en betroet udgiver på målcomputerne. Derfra kan makroer, der er signeret med det, udføres, hvis sikkerhedspolitikken tillader det.

Makrosikkerhed i Excel: Indstillinger for Trust Center

Sådan opretter du makroer i Excel

Finjusteringen af, hvordan makroer opfører sig i Excel, styres fra TillidscenterI mange forretningsmiljøer er disse indstillinger låst af gruppepolitikker (GPO'er) og kan kun ændres af administratoren; i andre kan brugeren justere dem i henhold til det risikoniveau, de er villige til at tage.

Den generelle sti er ens på tværs af Microsoft 365-applikationer: Fil > Indstillinger > Sikkerhedscenter > Indstillinger for sikkerhedscenter Og i det vindue finder du sektionen Makroindstillinger. Derfra kan du vælge mellem forskellige politikker med meget forskellige konsekvenser.

Deaktiver alle makroer uden meddelelse

Denne mulighed er den mest restriktive: Det blokerer fuldstændigt udførelsen af ​​makroer og den viser ikke engang advarselsmeddelelser. I Excel vises den som "Deaktiver VBA-makroer uden meddelelse" og gælder kun for VBA-makroer (ikke andre typer aktivt indhold).

I denne tilstand åbnes enhver fil med makroer, som om det var en normal projektmappe. men koden vil under ingen omstændigheder udføresMedmindre filen er placeret på en betroet placering, eller en specifik politik tillader det. Denne konfiguration bruges almindeligvis i organisationer, der er ekstremt følsomme over for risici, eller på låste arbejdsstationer.

Deaktiver alle makroer med notifikation

Dette er standardindstillingen i mange Excel-installationer, fordi den tilbyder en balance mellem sikkerhed og brugervenlighed. Makroer er deaktiveret, når filen åbnesBrugeren ser dog en advarselslinje, der angiver, at dokumentet indeholder makroer, og som giver mulighed for at aktivere dem manuelt.

Det er den mest anbefalede mulighed for de fleste individuelle brugere, da Det tvinger dig til at træffe en bevidst beslutning for hver fil, der indeholder makroer.Det giver dog plads til menneskelige fejl: hvis nogen aktiverer makroer i et skadeligt dokument, vil systemet ikke forhindre det på egen hånd.

Deaktiver alle makroer undtagen digitalt signerede

Denne politik hæver sikkerhedsniveauet betydeligt. Usignerede makroer blokeres og genererer en advarsel.mens makroer signeret med et certifikat fra en udgiver, der er markeret som betroet, udføres automatisk.

I Excel vises indstillingen som "Deaktiver VBA-makroer undtagen digitalt signerede" og gælder kun for VBA-kode. Den er ideel til miljøer, hvor Al officiel automatisering distribueres underskrevet. fra et udviklingsteam eller fra IT-afdelingen, og målet er radikalt at forhindre udførelse af kode fra ukendte kilder.

Hvis du modtager en fil med makroer, der er signeret af en person, der endnu ikke er på din liste over betroede udgivere, vil Excel foreslå Aktiver den makro, og hvis du ønsker det, kan du stole på den editor fremover.På denne måde opbygger du gradvist en perimeter af godkendte forfattere.

Aktivér alle makroer (anbefales ikke)

Denne mulighed gør præcis, hvad den siger: Det tillader alle VBA-makroer at køre uden at bede om bekræftelse.I Excel er det normalt angivet som "Aktiver VBA-makroer (anbefales ikke, potentielt farlig kode kan blive udført)."

Fra et sikkerhedssynspunkt er det en rigtig si, da Ethvert dokument, der indeholder makroer, uanset dets oprindelse, vil kunne udføre kode ved åbning.Det giver kun mening i strengt kontrollerede laboratorier, isolerede maskiner eller specifikke testscenarier. For et arbejdsteam eller en enkeltperson er det klogt at undgå denne mulighed.

Excel 4.0 (XLM) makroer og deres konfiguration

Før VBA blev standarden, tillod Excel allerede opgaveautomatisering ved hjælp af makroer baseret på XLM-sproget (Excel 4.0)Disse makroer findes stadig, men betragtes som højrisiko, da de er blevet udnyttet af mange nyere malware-familier.

Derfor indeholder Excel en separat celle: "Aktivér Excel 4.0-makroer, når VBA-makroer er aktiveret"Hvis du ikke vælger det, deaktiveres XLM-makroer uden varsel, selvom VBA-makroer følger den politik, du har konfigureret.

Du bør kun markere dette felt, hvis du har en meget solid grund, og du kender oprindelsen og indholdet af disse nedarvede makroer godt.I de fleste moderne miljøer er det tilrådeligt at lade dem være deaktiverede for at lukke en angrebsflade, der ofte bruges af cyberkriminelle.

Tillidsadgang til VBA-projektobjektmodellen

Et andet relevant afkrydsningsfelt i Trust Center er "Tillad adgang til VBA-projektobjektmodellen". Denne indstilling styrer Hvis et eksternt program kan automatisere Office og manipulere VBA-miljøet, herunder dynamisk redigering eller generering af kode.

Den er som standard deaktiveret, hvilket er en god sikkerhedsforanstaltning: Det forhindrer uautoriseret software i at generere eller ændre makroer på egen hånd. og det hindrer visse typer kode, der selvreplikerer mellem dokumenter. Aktivering af det giver kun mening i meget specifikke avancerede automatiseringsscenarier, hvor du fuldt ud har tillid til den klient, der udfører den pågældende adgang.

I praksis er den mest fornuftige fremgangsmåde for langt de fleste brugere og virksomheder Hold denne boks umarkeret til enhver tid.Dette reducerer muligheden for, at andre applikationer misbruger objektmodellen til at introducere skjult kode i dine projekter.

Dokumenter og placeringer, du har tillid til

Ud over generelle politikker giver Excel dig mulighed for at markere bestemt indhold som troværdigt for Undgå gentagne advarsler, når du altid arbejder med de samme filerDet er her, at "betroede dokumenter" og "betroede steder" kommer i spil.

Et pålideligt dokument er simpelthen en fil, som du eksplicit har givet tilladelse til at udføre dens aktive indholdHvis du for eksempel åbner en Excel-projektmappe med makroer og ser sikkerhedsadvarslen, kan du vælge "Aktiver indhold" og i den dialogboks, der vises, bekræfte, at du har tillid til dokumentet. Fra da af vil makroer køre uden yderligere advarsler i den specifikke fil.

Hvis du på noget tidspunkt vil tilbagekalde den tillid, er der ikke en liste pr. fil; i stedet skal du Slet alle betroede dokumenter fra Trust CenterDet er en noget drastisk foranstaltning, men effektiv, hvis du har mistanke om, at du har vist for meget tillid.

Pålidelige placeringer giver dig derimod mulighed for at definere specifikke systemmapper, hvor enhver fil vil blive betragtet som troværdigDette er meget nyttigt, når du downloader eller modtager makroer fra internettet, som du har gennemgået og vil bruge gentagne gange uden at se advarsler hver gang.

En praktisk fremgangsmåde er f.eks. at oprette en mappe kaldet "TILLIDSVÆRE FILER" og fra Excels indstillinger gå ind i Udvikler > Makrosikkerhed > Placeringer, der er tillid til > Tilføj ny placeringVælg den mappe, og marker den som sikker. Fra da af åbnes alle projektmapper med makroer, som du placerer i den sti, uden at vise beskyttelsesmeddelelser.

Blokering af makroer fra internettet i Microsoft 365

Med tiden er makrobaserede malwarekampagner blevet så aggressive, at Microsoft besluttede at tage et yderligere skridt. I nuværende versioner af Microsoft 365, Makroer i dokumenter, der er downloadet fra internettet, blokeres som standard automatisk.især i Office 365 version 2206 og nyere.

Denne foranstaltning påvirker programmer som Access, Excel, PowerPoint, Visio og Word, forudsat at filen har markeringen "fra internettet", som Windows tilføjer til downloadede filer. Målet er at kvæle en meget almindelig angrebsvektor i phishing-e-mails i opløbet. og ondsindede links.

Selvfølgelig er det stadig muligt Aktiver disse makroer manuelt, hvis du mener, at dokumentet er troværdigt.Normalt kan du, når den er downloadet, flytte den til en betroet placering eller ændre dens egenskaber for at fjerne kildemarkeringen. Det er dog tilrådeligt at tænke sig om en ekstra gang, før du gør det, især hvis du er usikker på afsenderen eller den kontekst, hvori du modtog filen.

Makroer i virksomhedsmiljøer: låsning, underskrift og praktisk "sandkasse"

Mange organisationer har i årevis valgt at bloker makroer fuldstændigt ved hjælp af gruppepolitikker (GPO)Dette efterlader alle indstillinger i den mest restriktive tilstand. Denne strategi eliminerer risikoen med det samme, men begrænser også kraftigt den automatisering, der kan forbedre interne processer.

Når specifikke behov opstår – "vi har brug for dette ark med knapper, der udfører bestemte opgaver", "vi ønsker makroer til periodiske rapporter" – bør løsningen ikke blot være at lempe sikkerheden i hele parken. En mere moden tilgang involverer kombinere forskellige Office-værktøjer og organisationens egne værktøjer:

Sådan opretter du makroer i Excel
relateret artikel:
Sådan importerer og eksporterer du data i forskellige formater i Excel
  • Definer en klar politik om, at kun følgende vil blive udført makroer signeret med et internt certifikat eller fra en godkendt udbyder.
  • Aktivér indstillingen i Trust Center for at Deaktiver alle makroer undtagen dem, der er digitalt signeret.og distribuere udgiverens certifikat som en "betroet udgiver".
  • Centraliser skabeloner og projektmapper med makroer i betroede placeringer på servere eller i SharePointIT-styret.
  • Begræns, ved hjælp af GPO, muligheden for at ændre disse indstillinger på brugerniveau ved at anvende princippet om mindste rettigheder.

Excel tilbyder ikke en streng "sandkasse" som en virtuel maskine, men Denne model af signerede makroer + betroede placeringer + blokering af ukendt kode I praksis fungerer det som en kontrolleret udførelsesperimeter. Makroer udfører kun det, som deres forfatter har programmeret, og den forfatter er identificeret og godkendt af organisationen.

Derudover er det vigtigt ikke udelukkende at stole på "træning for at undgå at køre malware". Træning hjælper, men Sikkerhed bør så vidt muligt være et strukturelt designelement og ikke blot en konstant påmindelseHvis systemet er konfigureret til at blokere som standard og kun tillade klart definerede undtagelser, er der meget mindre plads til fejl ved menneskelige fejl.

Yderligere bedste fremgangsmåder til sikkert arbejde med makroer

Ud over den tekniske opsætning er der en række vaner, du bør tilegne dig, hvis du ofte arbejder med makroer. De fleste er sund fornuft, men De gør hele forskellen, når det kommer til at reducere risiko:

  • Aktivér ikke makroer på filer fra ukendte eller mistænkelige afsendere., selvom de kan fremstå som almindelige arbejdsdokumenter (fakturaer, rapporter, ordrer osv.).
  • Vær særligt opmærksom på Komprimerede filer (ZIP, RAR) med Office-dokumenter, der kræver, at makroer er aktiveret for at se indhold eller låse op for funktioner.
  • Gennemgå omhyggeligt enhver makro, der er downloadet fra internettet, før den køres i produktionsmiljøer; hvis det er muligt, Analysér det i et isoleret miljø eller en virtuel maskine.
  • altid beholde Kontor og opdateret Windows, da mange beskyttelsesforanstaltninger introduceres i versionsopdateringer.
  • Koordiner med IT-teamet eller sikkerhedsudbyderen for at Integrer makropolitikken med virksomhedens antivirus eller EDR, så opførslen af ​​processer, der startes fra makroer, kan analyseres.

Hvis du kombinerer disse retningslinjer med en streng Trust Center-konfiguration, sandsynligheden for at opleve en alvorlig hændelse reduceres betydeligtselv i organisationer, hvor brugen af ​​makroer er intensiv.

Sikker brug af makroer i Excel betyder ikke at opgive dem, men snarere at forstå, hvad de kan, hvem der skriver dem, og hvor de udføres fra. Når digitale certifikater, indstillinger for Trust Center, blokering af internetmakroer og bedste praksis er afstemt, opnås et miljø, hvor automatisering tilføjer værdi uden at lade døren stå åben for malware eller blindt stole på, at brugeren altid klikker korrekt på knappen "aktiver indhold". Del disse oplysninger, så flere brugere kan lære at oprette makroer i Excel.