none
Office / Word 2016 - ignoriert "Anwendungs-Add-Ins müssen von einem vertrauenswürdigen Herausgeber signiert sein"

    Frage

  • Hallo, 

    ich hoffe das mir hier Jemand helfen kann, da ich bei meiner Suche bisher nicht weiter komme.
    Das beschriebene Problem bezieht sich auf alle Office Anwendungen (außer Outlook), ich beziehe mich hier jedoch nur auf Word.

    Umgebung:

    - MS Windows 10 LTSC 1603 (komplett gepatcht)
    - MS Office 2016 Pro Plus (komplett gepatcht)
    - Active Directory Domain inkl. Konfiguration per GPO
    - Lokale Nutzerprofile mit UE-V für Settings-Sync

    Per GPO ist für die Office Anwendungen (Word, Excel, PowerPoint,...) jeweils "Anwendungs-Add-Ins müssen von einem vertrauenswürdigen herausgeber signiert sein" aktiviert.
    Zusätzlich sind die Policies "Alle Anwendungs-Add-Ins deaktivieren" und "Benachrichtigung für Vertrauensleiste für nicht signierte Anwendungs-Add-Ins deaktivieren und blockieren" jeweils deaktiviert.

    Diese Einstellungen werden augenscheinlich auf dem Client angewendet, da auf der Seite "Add-In" unter "Einstellungen für das Trust Center" der entsprechende Haken bei "Anwendungs-Add-Ins müssen von einem vertrauenswürdigen Herausgeber signiert sein" aktiv ist.
    Alle Checkboxen sind für die Bearbeitung durch den Anwender gesperrt (ausgegraut).

    Ferner werden per Policy Zertifikate für "vertrauenswürdige Herausgeber", Zwischen- und Stammzertifizierungsstellen verteilt. Dies sind sowohl die Zertifikate der Domänen-CA, als auch Zertifikate von Drittanbietern.

    In der vorliegenden Umgebung sollen Add-Ins verwendet werden. Einige sind mit einem CodeSigning Zertifikat der Domänen-CA signiert, andere kommen direkt von Microsoft.

    Problem: 

    Für die User-HelpDesk Dokumentation sollte ein Screenshot erstellt werden, der die Warnmeldung bei "von nicht vertrauenswürdigen Herausgebern signierten" Add-ins zeigt.
    Hierfür wurden vor der Nutzeranmeldung alle Zertifikate (Maschinen- und Benutzerspeicher) aus den vertrauenswürdige Herausgebern gelöscht. 
    Anschließend wurde ein neuer Nutzer an dem Client angemeldet (keine UE-V Settings auf Share vorhanden).

    Soll:
    Ich hätte nun erwartet, dass beim Starten von Word keine Add-Ins geladen werden und die "gelbe Vertrauensleiste" darüber informiert. Da zu diesem Zeitpunkt kein "vertrauenswürdiger Herausgeber" definiert.

    IST:
    - Alle von Microsoft signierten Add-Ins sind inaktiv und können nicht aktiviert werden.
    - Alle selbst signierten (Domänen-CA) werden weiterhin geladen.

    Weitere Tests mit dem selben Ergebnis:

    - GPO deaktiviert und direkt in Office konfiguriert. Keine vertrauenswürdigen Herausgeber vorhanden. -> Die selbst signierten Add-Ins werden aktiviert. MS Add-Ins bleiben inaktiv.
    - Alle restlichen Domänen-Zertifikate aus den Maschinen- und Benutzerspeichern entfernt (vertr. Stamm- und vertr. Zwischenzertifzierungsstellen, etc.) -> Die selbst signierten Add-Ins werden aktiviert. MS Add-Ins bleiben inaktiv.
    - Client aus Domäne entfernt. Alle Domänen-Zertifikate aus den Speichern gelöscht. Word manuell konfiguriert. -> Die selbst signierten Add-Ins werden aktiviert. MS Add-Ins bleiben inaktiv.

    Ich stehe jetzt ein wenig im Regen, da es sich hierbei um ein Bestandteil des Sicherheitskonzeptes handelt und ich das Verhalten nicht nachvollziehen kann.

    Nach meinem Verständnis handelt es sich erst und nur dann um einen vertrauenswürdigen Herausgeber, wenn ich das entsprechende Code-Signing Zertifikat in den Maschinen- bzw. Benutzerspeicher der "vertrauenswürdigen Herausgeber" importiere.

    Es ergibt doch keinen Sinn bzw. ist sogar ein Sicherheitsrisiko, wenn man grundsätzlich allen Signaturen der eigenen Domäne vertraut. Zumal diese nicht mehr als vertrauenswürdige Stamm-CA definiert war.
    Auch ist dieses Verhalten nur unter Office 2016 zu sehen. Ein analog konfiguriertes Word 2010 (auf Windows 7 Pro) verhält sich wie gewünscht -> Alle Add-Ins sind inaktiv und können nicht aktiviert werden.

    Kann mir bitte jemand weiter helfen?
    Habe ich irgendeine Änderung in der Verwaltung von "vertrauenswürdigen Herausgebern" nicht mitbekommen?
    Werden die Signaturen vielleicht irgendwo zwischengespeichert und ein Löschen der Zertifikate leert den Zwischenspeicher nicht?
    Oder handelt es sich gar um einen Bug?

    (Ich hätte gerne noch einen Screenshot mit den geladenen Add-Ins, der Word Add-In Konfiguration und der leeren Liste vertrauenswürdiger Herausgeber hinzugefügt. Leider gestattet mir MS dies nicht.)


    Vielen Dank im Voraus.

    Grüße,
    Peter



    • Bearbeitet P. Ehring Montag, 29. Januar 2018 11:21 Formatierung
    Freitag, 26. Januar 2018 18:12

Alle Antworten

  • Ich denke mal, dass deine eigene Domäne immer vertrauenswürdig ist.
    Das wäre ja sonst ein Verwaltungsakt ohne gleichen, wenn man sich selber überall im Intranet erst noch als vertrauenswürdig ausweisen müsste.
    Freitag, 26. Januar 2018 18:36