Veligheidsban op Macro's

Goedemiddag medeleden,

Wij werken in ons bedrijf heel veel met Excel en Access en maken ook veel gebruik van macro's in onze bestanden. Dit houdt in dat de meeste werkstations deze macro's toestaan en dus niet meer op de Microsoft standaardinstellingen (kunnen) staan.
Nu wil systeembeheer doorvoeren dat op termijn alle werkstations op de microsoft standaardinstellingen vast worden gezet.
Kortom: Exit alles met macro's.
Achtergrond is dat systeembeheer bang is dat er zomaar van buiten met een mailtje een bestand met akelige code naar binnen kan/mag glippen.

Wat ik me afvraag is het volgende:

1e Is dat een veelgebruikt veiligheidsmiddel? (alles met macro's blokkeren?)
2e Zijn daar goede alternatieven voor? (bijv. macro's certificeren?)

Wie weet hier wat nuttigs over te vertellen?

Alvast dank!

1. Ben ik dat vaker tegengekomen? Ja. Werden gebruikers daar vrolijk(er) van? Absoluut niet! Zijn dit soort 'oplossingen' bevordelijk voor de gezondheid van systeembeheerders? Ook niet .
Systeembeheer is er om de gebruikers te ondersteunen, gebruikers zijn er niet om het leven van systeembeheerders makkelijker te maken. Macro's zijn voor (een deel van) de gebruikers vaak van groot belang om hun werk goed te kunnen uitvoeren. Systeembeheerders die vinden dat hún belangen groter zijn dan de mensen waarvoor ze werken (of vermoedelijk eerder: de managers laag erboven) doen hun werk in mijn ogen dus verkeerd. Zeker in programma's als Access hangt de werkbaarheid en de veiligheid (van de data) af van macro's (in Access spreek je eigenlijk niet van macro's) en functies binnen de database. Daar moet je dus als systeembeheerder afblijven.
Ik ben geen systeembeheerder, maar er zijn vast oplossingen te verzinnen (scannen van binnenkomende mails bijvoorbeeld, zorgen dat gebruikers in een eigen beveiligde omgeving werken) waardoor mensen gewoon fatsoenlijk hun werk kunnen doen. Bij de gemeente waar ik gewerkt heb, was dat in ieder geval geen enkel probleem!

Er is me gisteren wel duidelijk geworden dat systeembeheer niet slechts met de gedachte speelt, maar hier bloedserieus in is.
Op termijn niks meer op ons bedrijf met andere code dan wat door de standaardinstellingen van Microsoft werkstations wordt geaccepteerd.
Kortom, alles wat momenteel loopt in Office of in ontwikkeling is een code/macro's bevat (vooral Excel, maar ook Access) gaat straks in de ban.

Wie kan me een inkijkje geven in hoeverre andere organisaties zo'n beleid voeren en wat de ervaringen er mee zijn?

Hobbelt onze organisatie hiermee achter een grote trend aan of loopt zij ver voor?

Ik heb momenteel namelijk geen onafhankelijk idee over de noodzaak en proportionaliteit van zo'n maatregel.

Vast dank!

Snel iets gelezen en heb er geen verstand van. Maar kunnen macro's niet worden voorzien van een handtekening/certificaat opdat die uitsluitend uitgevoerd kunnen worden?

The following setting should be configured on the client for handling MS Office document macros (consider MIME/HTML encoding):

JS/VBS: prevent automatic execution on double click.Measures against an
disable macros in client (via group policy)
configure trusted locations for macros in AD
use signed macros

Top 10 Ransomware measures.

Certificering is (volgens onze systeembeheerder) een voornamelijk theoretische mogelijkheid.
Het zou volgens zijn verhaal zo zijn dat iedere macro bij Microsoft zou moeten worden aangeboden ter certificering.
Die komt daar dan op de stapel "te certificeren" en komt aan de beurt als zij daar aan toe zijn.
Dit proces zou minimaal 3 weken duren per certificaat.

Of Microsoft hiervoor kosten rekent is niet besproken, ik vermoed van wel.

Digitally sign your macro project.


What is signed macro?

Ik heb dat stuk ook net gelezen, maar dan in de NL-versie:

Ik haal hier eigenlijk het volgende uit:
1e Ik (of onze systeembeheerder) kan zelf de codes ondertekenen/certificeren
2e De systeembeheerder kan alle werkstations vervolgens zo vergrendelen dat geen andere dan door Microsoft gecertificeerde of door ons (of hij)zelf gecertificeerde macro's worden geaccepteerd.
3e We zijn dus helemaal niet afhankelijk van de goedkeuring/certificering van Microsoft
4e We hebben de poort zo effectief dichtgezet tegen alle met mail etc. binnensluipende code tenzij door ons zelf of Microsoft beoordeeld en goed bevonden.

Heb ik zo de juiste conclusies getrokken?

Ben jij eigenaar van dat bedrijf? Heb jij überhaupt wel zeggenschap over dat soort zaken?

Leg de door jouw gevonden gegevens voor. Wat kun je dan nog meer doen? Is er een IT-loket voor dit soort zaken?

Ik ben helaas geen eigenaar van het bedrijf of beslisser in deze zaak.

Wel is het zo dat een heleboel bouwsels van mij de kliko in kunnen als er een totale ban op Macro's komt.

Ik ben zeker van plan om dit stuk ook aan de systeembeheerders voor te leggen.
Maar omdat zij natuurlijk een grote kennisvoorsprong op mij hebben zoek ik wel vooraf zekerheid dat wat ik zeg goed onderbouwd is.
Voor je het weet wordt je héle verhaal afgeserveerd omdat er één aspect in zit dat (nog) niet goed onderbouwd is.

....vandaar mijn vragen en zoeken naar bevestiging