Microsoft hat heute einen ersten Entwurf der empfohlenen Basiseinstellungen für die Sicherheitskonfiguration von Office Professional Plus 2016 und Office 365 ProPlus 2016 als Office-2016-baseline-DRAFT.zip bereitgestellt. Anstatt die neuen Einstellungen einfach der Office 2013-Baseline hinzuzufügen, die inden neuen Office 2016 Gruppenrichtlinien hinzugekommen sind, hat man einmal gründlich aufgeräumt.
So wurden etwa 100 Einstellungen entfernt, die den aktuellen Sicherheitsbedrohungen nicht mehr gerecht werden und einige neue Einstellungen hinzugefügt. Dadurch wurde die Grundstruktur schlanker und ist einfacher zu konfigurieren, implementieren und zu validieren. Hierbei geht es um die Macro Sicherheit für Excel, PowerPoint, Visio und Word und das Blockieren der Flash-Aktivierung. In der ADMX wurde eine Einstellung hinzugefügt, die verhindert, dass das Adobe Flash ActiveX-Steuerelement von Office-Anwendungen geladen wird.
Weitere Einstellungen / Änderungen unter Benutzerkonfiguration/ Administrative Templates sind:
- Microsoft Outlook 2016\Account Settings\Exchange, Authentication with Exchange Server: we are keeping this setting enabled, but changing its configuration from “Kerberos/NTLM Password Authentication” to “Kerberos Password Authentication.” We do not anticipate operational issues from strengthening this setting. Please test this change in your environments and let us know what you observe.
- Microsoft Office 2016\Manage Restricted Permissions, Always require users to connect to verify permission: we are removing this setting from the baseline, but there is a security and usability tradeoff, and our finding is that the security benefit is too small for the usability degradation. The setting ensures that if someone’s access to a rights-managed document or email is revoked after they have received it, they will be blocked from opening it the next time they try. The downside is that this blocks all offline access. In our experience, this kind of revocation is far less common than the need to open rights-managed items when in airplane mode.
- We have dropped the “Disable all trusted locations” Trust Center settings, but disabled two additional “Allow Trusted Locations on the network” settings that had been overlooked in past baselines for Project and Visio.
Es ist wie schon geschrieben ein Entwurf, der getestet werden kann. Microsoft würde sich hier Feedback wünschen. Wer sich damit auskennt, findet hier den Download: Office-2016-baseline-DRAFT (430 KB). Alles weitere und ausführlichere Informationen findet ihr hier: blogs.technet.microsoft.com
