Letzens habe ich mir vorgenommen alle von mir geschriebenen Makros digital zu signieren, sodass die User beim Öffnen der Dateien keine Abfragen bekommen ob sie den Code aktivieren möchten oder nicht.
Um einen Makro digital zu signieren und das Zertifikat der Domäne zur Verfügung zu stellen bedarf es mehrerer Schritte:
- Zertifikatdienste auf einem Server installieren
- Zertifikat zur Codesignatur ausstellen
- Makros digital signieren und die Office-Files ablegen
Nun muss nur mehr das Zertifikat den Usern bereit gestellt werden. Wenn man das mit einem GPO macht, muss darauf geachtet werden, dass man die Einstellungen für Computer vornimmt.
Das Zertifikat muss als erstes unter die Vertrauenswürdigen Stammzertifizierungsstellen
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien öffentlicher Schlüssel > Vertrauenswürdige Stammzertifizierungsstellen
Bis hierher wird das Zertifikat in den lokalen Zertifikat-Speicher “Vertrauenswürdigen Stammzertifizierungsstellen” geschoben. Das Zertifikat muss aber noch in den Speicher für “Vertrauenswürdige Herausgeber”, sonst erscheinen weiterhin Abfragen. Um das Zertifikat da rein zubekommen muss im vorher konfigurierten GPO eine neue “Richtlinie zur Softwareeinschränkung” erstellt werden.
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien öffentlicher Schlüssel > Richtlinien für Softwareeinschränkung
Danach muss unter “Zusätzliche Regeln” eine neue Zertifikatsregel mit den entsprechenden Zertifikat erstellt werden.
Wichtig dabei ist, dass die Sicherheitsstufe “Nicht eingeschränkt” lautet.
Nun wird das Zertifikat an alle Computer unter dem GPO verteilt. Alle digital signierten Makros werden ohne Abfrage ausgeführt.