Dokumente mit signierten Makros

ralus67
Goto Top
Hallo Comunity

Ich habe folgende Herausforderung an Office

Ich möchte nur aus einem bestimmten Ordner Vorlagen und Dokumente mit Makros ausführen können, welche eine ditigale Signatur enthalten.

Die CA ist im Trusted Root enthalten. Das Zertifikat zur Makro Signierung wird unter Eigene/Zertifikate (Aktueller Benutzer) installiert.

Nun haben wir das Problem, dass beim Ausführen einer Vorlage oder eines Dokumentes mit einem gültig signierten Makros, das Dokument immer eine Warnmeldung anzeigt. Der Anwender muss diese Warnmeldung bestätigen und explizit das Makro bei jeder Ausführung aktivieren. Dann funktioniert das Makro auch.

Ich möchte jedoch, dass bei signierten Makros keine Warnmeldung erscheint und das Makro autoamatisch ausgeführt wird.

In einer GPO habe ich versucht Einstellungen vorzunehmen, aber diese haben nicht den erwünschten Effekt erbracht. Enweder wir immer alles ausgeführt, auch Makros ohne Signatur, oder wenn ich die Restriktion aktiviere, dann erhalte ich die lästige Warnmeldung.

Hat jemand eine Idee, wie ich das lösen kann?
gpo_setting
sicherheitswarnung

Content-Key: 3209186993

Url: https://administrator.de/contentid/3209186993

Ausgedruckt am: 15.08.2022 um 17:08 Uhr

Mitglied: 7Gizmo7
7Gizmo7 29.06.2022 um 16:48:32 Uhr
Goto Top
Hi,

Hast du die Makros mit einem Codezertifikat signiert ? Verteilst du das Code Zertifikat als Trusted Publisher per Gpo ?

Mit freundlichen Grüßen
Mitglied: Ralus67
Ralus67 29.06.2022 um 16:55:54 Uhr
Goto Top
Ja, das ist so.
Mitglied: mbehrens
mbehrens 29.06.2022 um 17:54:21 Uhr
Goto Top
Soll die Einstellung "Block certificates from trusted publishers that are installed in the current user certificate store" nicht genau dieses bewirken?

Es gehört doch dann in den "local machine certificate store".
Mitglied: Ralus67
Ralus67 30.06.2022 um 07:50:35 Uhr
Goto Top
Ich habe beides versucht. Die Einstellung aktiviert und wieder deaktiviert. Hat keine Änderung ergeben.
Mitglied: emeriks
emeriks 30.06.2022 um 08:26:51 Uhr
Goto Top
Hi,
der Public Key des Zertifikats, mit welchem die Dokumente signiert wurden, muss meines Wissens unter "Vertrauenswürdige Herausgeber" ("Trusted Publisher", wie @7Gizmo7 schon schrieb) abgelegt werden, damit das funktioniert.

Zitat von @mbehrens:
Soll die Einstellung "Block certificates from trusted publishers that are installed in the current user certificate store" nicht genau dieses bewirken?
Es gehört doch dann in den "local machine certificate store".
Ja, aber auch da unter "Vertrauenswürdige Herausgeber".

E.
Mitglied: Ralus67
Ralus67 01.07.2022 um 06:53:36 Uhr
Goto Top
Hallo emeriks

Die Zertifikate sind dort auch enthalten. Mein Problem sind die Warnmeldung sowie, dass die Markos nicht automatisch ausgeführt werden.
Mitglied: Ralus67
Ralus67 01.07.2022 um 06:57:49 Uhr
Goto Top
Wobei im Vertrauenswürdigen Herausgeber nicht das Zertifikat sondern die CA einzutragen ist.
Diese sind bei mir wie folgt.

CA ist im "Vertrauenswürgigen Herausgeben" (Trusted Publisher) und das eigentliche Zertifikat befindet sich im "Eigene Zertifikate" (Personal)
Mitglied: emeriks
emeriks 01.07.2022 um 08:43:55 Uhr
Goto Top
Zitat von @Ralus67:
Wobei im Vertrauenswürdigen Herausgeber nicht das Zertifikat sondern die CA einzutragen ist.
Diese sind bei mir wie folgt.
Nein.
CA muss in "Vertrauenswürdige Stammzertifizierungsstellen" oder "Zwischenzertifizierungsstellen"
Und das Code-Zertifikat in "Herausgeber".

"Herausgeber" bezieht sich nicht auf die Herausgabe des Zertifikats sondern auf die Herausgabe signierter Inhalte.

CA ist im "Vertrauenswürgigen Herausgeben" (Trusted Publisher)
Und das ist falsch.

und das eigentliche Zertifikat befindet sich im "Eigene Zertifikate" (Personal)
Das muss nur bei demjenigen so sein, der damit signieren will. Bei dem muss es samt Private Key im "eigene" vorhanden sein.
Bei allen anderen, welche nur der Signatur vertrauen müssen, muss das Codezertifikat ohne Private Key im "Herausgeber" sein.