Microsoft hat im Update vom Januar 2022 zwei Sicherheitsverbesserungen als Defense-in-Depth-Maßnahmen (Maßnahmen für die tief greifende Abwehr) für Excel veröffentlicht. Diese Sicherheitsverbesserungen deaktivieren den dynamischen Datenaustausch (Dynamic Data Exchange, DDE) und die automatische Aktivierung von OLE-Objekten (Object Linking and Embedding, OLE) in allen unterstützten Versionen von Excel.
Dynamischer Datenaustausch (Dynamic Data Exchange, DDE)
Im Januar 2018 wurden allen unterstützten Versionen von Excel Steuerelemente zum Deaktivieren der DDE-Serversuche und des DDE-Serverstarts hinzugefügt.
Im August 2019 wurde für Office 365-Versionen 1902 und höher der DDE-Serverstart deaktiviert, und die Gruppenrichtlinienunterstützung wurde sowohl für die DDE-Serversuche als auch für den DDE-Serverstart hinzugefügt.
In Office 2021 ist der DDE-Serverstart deaktiviert, und die Gruppenrichtlinienunterstützung ist für beide DDE-Einstellungen vorhanden.
Das Update vom Januar 2022 deaktiviert den DDE-Serverstart in allen unterstützten Versionen von Excel und bietet die Gruppenrichtlinienunterstützung für diese Einstellung in Office 2016 und Office 2019. Benutzer, welche diese Einstellungen zuvor konfiguriert haben, sind von diesem Update nicht betroffen.
Altes Verhalten wird wiederhergestellt
Benutzer und Administratoren, die den DDE-Serverstart aktivieren möchten, können zwischen den folgenden Optionen wählen:
-
Für Office 2019, Office LTSC 2021 und Office 365 können Benutzer die DDE-Einstellungen im Abschnitt Externer Inhalt in den Trust Center-Einstellungen steuern.
-
Benutzer und Administratoren können den entsprechenden Registrierungswert für den DDE-Serverstart in allen Office-Versionen festlegen.
-
Für Office 2016, Office 2019, Office LTSC 2021 und Office 365 können Administratoren die Gruppenrichtlinie verwenden, um den DDE-Serverstart erneut zu aktivieren.
Warnung: Warnung: Dadurch wird verhindert, dass Benutzer den DDE-Serverstart auf ihren Computern deaktivieren können.
Weitere Informationen zu den Defense-in-Depth-Verbesserungen in DDE und zum erneuten Aktivieren des DDE-Serverstarts über die Registrierung oder Gruppenrichtlinie finden Sie unter ADV170021 – Leitfaden für Sicherheitsupdates – Microsoft – Microsoft Office Defense-in-Depth-Update.
Automatische Aktivierung von OLE-Objekten (Object Linking and Embedding, OLE)
Das Update vom Januar 2022 deaktiviert die automatische Aktivierung von OLE-Objekten für alle unterstützten Versionen von Excel. Benutzer, die OLE-Objekte aktivieren möchten, müssen sie nach dem Öffnen der Datei manuell aktivieren.
Altes Verhalten wird wiederhergestellt
Benutzer, welche die automatische Aktivierung von OLE-Objekten wiederherstellen möchten, können dies tun:
-
Öffnen Sie den Registrierungs-Editor.
Achtung: Durch eine falsche Bearbeitung der Registrierung kann das System schwer beschädigt werden. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie wichtige Daten auf dem Computer sichern.
-
Fügen Sie den folgenden Registrierungswert als DWORD hinzu:
-
Office 2013: Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Excel\Security\BlockOleAutoActivate
-
Office 2016, 2019, 2021, 365: Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Excel\Security\BlockOleAutoActivate
-
-
Legen Sie den Wert auf 0 fest.
-
Starten Sie Excel erneut.
Um den OLE-Block für die automatische Aktivierung erneut zu aktivieren, legen Sie den Registrierungswert auf 1 fest.
