Door Anoniem: Die post waar je naar verwijst [1] is verwarrend, want het klopt niet wat daar staat.
Waarom staat daar dan geen correctie onder?
This change only affects Office on devices running Windows and only affects the following applications: Access, Excel, PowerPoint, Visio, and Word. The change will begin rolling out in Version 2203, starting with Current Channel (Preview) in early April 2022. Later, the change will be available in the other update channels, such as Current Channel, Monthly Enterprise Channel, and Semi-Annual Enterprise Channel.
At a future date to be determined, we also plan to make this change to Office LTSC, Office 2021, Office 2019, Office 2016, and Office 2013.
Los van dat je het dus maar moet afwachten wanneer je aan de beurt bent (waar je heus geen bericht van krijgt): als je er dieper in zit, is dat helemaal niet helder.
Er zijn namelijk meerdere soorten Office 20xx, van bijv. Office 2019 heb je o.a. “Home and Business” maar ook Professional en “Volume licensed” versies. De binaries in “Home and Business” zijn hoogstwaarschijnlijk identiek aan de binaries in de duurdere versies, en ondersteunen in principe gewoon group policies voor Office. Echter, in de “goedkopere”, niet volume licensed versies, wordt die group policy support de nek omgedraaid (had je maar een duurdere versie moeten kopen). Probleem: bijna niemand weet dat en Microsoft doet er bewust geheimzinnig over.
Pas als je Office ADMX files wil downloaden en kijkt naar de ondersteunde Office versies (onder “System Requirements”) valt de tweedeling op, zie https://www.microsoft.com/en-us/download/details.aspx?id=49030.
Alsof het MKB geen policies nodig zou hebben (als beveiligingsmaatregel). En inderdaad zal waarschijnlijk een groot deel van dat type gebruikers daar nooit iets mee doen. Juist daarom begrijp ik niet waarom de uitvoering geblokkeerd wordt (ik weet dat het kan werken, want kort na de reboot na sommige updates werken policies in Office 2019 Home & Business wel heel even).
Nu zou je kunnen denken: wat heeft de Microsoft actie van dit jaar met policies te maken? In https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/bc-p/3566717 staat ook:
If you ever enabled or disabled the Block macros from running in Office files from the Internet policy, your organization will not be affected by this change.
Het heeft er dus alle schijn van dat Microsoft die specifieke policy [4] in haar updates op “enabled” zet (tenzij deze expliciet disabled is). Probleem: die policy wordt niet uitgevoerd in de “goedkopere” Office versies. En niet iedereen bij Microsoft weet dat (het is ook niet logisch als je Windows 10 professional gebruikt: dat ondersteunt wel policies; de Home versie niet. Maar bij “Office Home and Business” denk ik ook aan professioneel gebruik, en verwacht ik dat policies werken).
Achtergrond: jaren geleden heb ik “Office 2016 Home and Business” gekocht. Aanvankelijk werkten group policies daarin gewoon. Later had ik voor een klus Visio nodig, en heb toen Visio 2019 gekocht. Dat werkte niet samen met Office 2016, waardoor ik heb moeten upgraden naar Office 2019 Home and Business. Vervolgens ontdekte ik, tijdens tests, toevallig dat policies niet meer werkten, en heb daarover met Microsoft gemaild. Antwoord (na meerdere mails en lang wachten): dat policies in Office 2016 aanvankelijk werkten, was niet de bedoeling (een “bug”). Later is dit met een update uitgezet.
Microsoft zaagt dus stilletjes de poten onder mijn stoel vandaan. Wellicht dat dit mijn argwaan jegens Microsoft verduidelijkt.
Kortom, het zou mij verrassen en verbazen als deze wijziging effect gaat hebben op de minder kostende (“goedkopere” is niet het juiste woord) versies van Office. En dat een deel van de Microsoft medewerkers (waaronder in [1]) niet weet dat (en geen reden heeft om aan te nemen dat) Microsoft de uitvoering van policies in minder kostende Office versies saboteert. Affijn, we gaan het zien – maar zelfs als alles meezit op dit punt, verwacht ik niet dat we van macro-malware verlost zijn, gezien de onbetrouwbaarheid of een MotW gezet wordt of niet.
Een kort overzicht (met veel links) van het gedoe met MotW en uitvoeren van macro’s schreef ik eerder deze maand in https://tweakers.net/nieuws/198960/microsoft-gaat-vba-macros-in-office-toch-blokkeren-na-gebruikerskritiek.html?showReaction=17712298#r_17712298.
Bron: Security.nl