Letzens habe ich mir vorgenommen alle von mir geschriebenen Makros digital zu signieren, sodass die User beim Öffnen der Dateien keine Abfragen bekommen ob sie den Code aktivieren möchten oder nicht.

Um einen Makro digital zu signieren und das Zertifikat der Domäne zur Verfügung zu stellen bedarf es mehrerer Schritte:

  1. Zertifikatdienste auf einem Server installieren
  2. Zertifikat zur Codesignatur ausstellen
  3. Makros digital signieren und die Office-Files ablegen

Nun muss nur mehr das Zertifikat den Usern bereit gestellt werden. Wenn man das mit einem GPO macht, muss darauf geachtet werden, dass man die Einstellungen für Computer vornimmt.

Das Zertifikat muss als erstes unter die Vertrauenswürdigen Stammzertifizierungsstellen

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien öffentlicher Schlüssel > Vertrauenswürdige Stammzertifizierungsstellen

image

Bis hierher wird das Zertifikat in den lokalen Zertifikat-Speicher “Vertrauenswürdigen Stammzertifizierungsstellen” geschoben. Das Zertifikat muss aber noch in den Speicher für “Vertrauenswürdige Herausgeber”, sonst erscheinen weiterhin Abfragen. Um das Zertifikat da rein zubekommen muss im vorher konfigurierten GPO eine neue “Richtlinie zur Softwareeinschränkung” erstellt werden.

Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien öffentlicher Schlüssel > Richtlinien für Softwareeinschränkung

Danach muss unter “Zusätzliche Regeln” eine neue Zertifikatsregel mit den entsprechenden Zertifikat erstellt werden.

image

Wichtig dabei ist, dass die Sicherheitsstufe “Nicht eingeschränkt” lautet.

image

Nun wird das Zertifikat an alle Computer unter dem GPO verteilt. Alle digital signierten Makros werden ohne Abfrage ausgeführt.

This post has been migrated from our earlier blog based on BlogEngine.NET.