Digitale Signaturen

Aus admin wiki
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Generelles zu digitalen Zertifikaten und Signaturen

Digitale Zertifikate stellen eine Möglichkeit dar, den Hersteller einer Software zu verifizieren. Wenn ein Hersteller als 'vertrauenswürdige Quelle' eingestuft wurde, können die von diesem Hersteller signierten Makros auch bei der hohen Makro-Sicherheitsstufe ausgeführt werden.

Ihr Unternehmen hat dadurch zwei Vorteile: Ihre Anwender müssen nicht mehr bei jedem Start der Anwendung bestätigen, dass die Makros ausgeführt werden dürfen (wie bei der bisher empfohlenen Makro-Sicherheitsstufe 'Mittel') und die Makro-Sicherheitsstufe kann auf 'Hoch' gesetzt werden, wodurch das Ausführen von 'fremden' und daher potenziell gefährlichen Makros unterbunden wird.

Die digitalen Zertifikate sind immer nur einen bestimmten Zeitraum gültig. Nach Ablauf der Gültigkeit können signierte Produkte trotzdem weiter verwendet werden, weil ein sogenannter 'Timestamp' dafür sorgt, dass der Anwendung mitgeteilt wird, dass das Zertifikat zum Zeitpunkt der Signierung gültig war.

Um eine digital signierte Software zu nutzen, wird keine Internetverbindung benötigt (siehe Do signed assemblies/dlls require net connection for validation at startup).

Office 365 seit 2024: Mark of the web

Eine zusätzliche Sicherheitsebene wird bei Windows 11 seit 2024 bei Dateien, die aus dem Internet, Downloads oder E-Mail-Anhängen etc. stammen, eingesetzt. In den Dateieigenschaften wird diese Herkunft als Sicherheitsattribut angegeben.

Diese Eigenschaft übertrumpft alle weiteren Sicherheitseinstellungen in den Office-Anwendungen. Das heißt, selbst wenn die Sicherheitseinstellung "Alle Amkros ohne nachfragen ausführen ist", wird die Ausführung verweigert.

Diese Eigenschaft lässt sich jedoch auf Dateiebene lösen, indem sie auf "Unblock" gesetzt wird.

Weitere Informationen hierzu finden Sie unter Entfernen von "Mark of the Web" aus einer Datei

Unsere digitalen Signaturen

Seit März 2010 signieren wir unsere Produkte mit einem von uns erstandenen Zertifikat. Wenn Sie also nach März 2010 ein neues Produkt von uns erhalten, wird es von uns signiert sein. Der Aufwand hierfür ist in Ihrem Angebot enthalten. Bei Nachbesserungen oder Updates von älteren Produkten signieren wir diese kostenfrei.

Folgende Liste führt die von uns verwendeten Zertifikate auf:

Ausgestellt auf  Zertifizierungsstelle Gültig bis
Gerhard Adamovich DigiCert  2022-11
Gerhard Adamovich DigiCert  2020-10
Gerhard Adamovich DigiCert  2018-10
Gerhard Adamovich DigiCert  2016-09
BRAINWORXX GmbH DigiCert  2015-09
Patrick Wania Thawte Code Signing CA  2014-03
wirDesign GmbH Thawte Code Signing CA  2012-03

Zertifikate verwalten: Vertrauenswürdige Quellen

Wenn Ihre Anwender digital signierte Vorlagen und Add-Ins verwenden, erhalten sie folgende Möglichkeiten:

  • Makro-Sicherheit 'Niedrig': Keine Änderung, wird von uns nicht empfohlen.
  • Makro-Sicherheit 'Mittel': In dem Dialog, in dem das Ausführen der Makros bestätigt wird, erscheint eine zusätzliche Option, 'Makros aus dieser Quelle immer vertrauen' bzw. 'Gesamtem Inhalt des Herausgebers vertrauen':


Office 12 de masked.png


  • Makro-Sicherheit 'Hoch': Beim ersten Ausführen wird der Anwender gebeten, das Ausführen der Makros aus dieser Quelle zu bestätigen.

Als Administrator haben Sie zusätzlich die Möglichkeit, das Zertifikat als 'vertrauenswürdige Quelle' einzustufen.

Für Administratoren: Unsere Produkte mit eigenen digitalen Signaturen versehen

Wenn Sie möchten, können Sie ein von Ihnen erworbenes Zertifikat verwenden, um die von uns bereitgestellten Makros zu signieren. Hierfür müssen Sie keine Passwörter von uns haben oder die Projekte öffnen - Sie müssen prinzipiell nur die Dateien öffnen, mit der Signatur versehen und neu speichern.

Wichtige Voraussetzungen

Zertifikat zur Codesignierung

Bei der Beantragung des Zertifikates müssen Sie unbedingt sicher stellen, dass das Zertifikat explizit zur Signierung von Code ausgestellt wird, sonst werden Sie es nicht zur Signierung von Makros verwenden können. Die von Ihnen gewählte Zertifizierungsstelle kann Ihnen hierzu mehr Informationen bieten.

Timestamp

Der Timestamp sorgt dafür, dass die von Ihnen verwendeten Zertifikate auch nach Ablauf ihrer Gültigkeit weiter verwendet werden können. Sie können dann zwar keine Projekte signieren, aber die schon signierten Projekte können weiter verwendet werden. Wenn Sie den Timestamp nicht verwenden, verfällt die Signatur und die Projekte können in der Makro-Sicherheitsstufe 'Hoch' nicht mehr ausgeführt werden.

Der Timestamp wird über einen Registry-Eintrag auf dem Rechner aufgerufen, auf dem Sie die Signierung vornehmen. Bei Ihren Anwendern ist dieser Eintrag nicht nötig. Der Registry-Eintrag enthält einen Pfad auf die Internetseite, die den Timestamp verifiziert. Die korrekten Einträge erfahren Sie von Ihrer Zertifizierungsstelle.

Beispiel für die Zertifizierungsstelle 'Thawte':

[HKEY_CURRENT_USER\Software\Microsoft\VBA\Security]
"TimeStampURL"="http://timestamp.verisign.com/scripts/timstamp.dll"
"TimeStampRetryCount"=dword:00000003
"TimeStampRetryDelay"=dword:00000003

Ihr Zertifizierungs-Arbeitsplatz

Richten Sie sich einen Arbeitsplatz ein, auf dem Sie die digitalen Signaturen vergeben möchten. Der Arbeitsplatz muss eine Internet-Verbindung haben, damit das Zwertifikat bestätigt und der Timestamp vergeben werden kann.

Die Office-Version sollte der niedrigsten Version entsprechen, die in Ihrem Unternehmen verwendet wird. Wenn in Ihrem Unternehmen überwiegend Office 2019 eingesetzt wird, manche Arbeitsplätze aber noch mit älteren Versionen arbeiten, sollten Sie die älteste verwendete Version auf dem Zertifizierungs-Arbeitsplatz verwenden. So vermeiden Sie, dass Fehlermeldungen wegen Inkompatibilität auftreten. Die neueren Office-Versionen sind in der Regel über mehrere Gereationen abwärts kompatibel.

Folgen Sie den Anweisungen des Zertifikat-Bereitstellers, um das Zertifikat auf dem Zertifizierungs-Arbeitsplatz zu installieren.

Welche Vorlagen und Add-Ins sollen signiert werden?

Die Programmodule unserer Assistenten befinden sich in der Regel im Verzeichnis \Module\AddIns in Ihrem Programmverzeichnis.

Signieren Sie alle Dateien mit folgenden Endungen:

Word

- *.dotm

PowerPoint

- *.PPTM, gespeichert als *.PPAM (siehe genauere Anweisungen für PowerPoint)

Anweisungen zur digitalen Signierung von Projekten

Nachdem Sie das Zertifikat erhalten und importiert haben, gehen Sie wie folgt vor: