L2 CIS Office - File Block

Excel: Block DBASE Files

πŸ“… 2025-10-30
β€’
⏱️ 3 minuten lezen
β€’
🟒 Should-Have

πŸ’Ό Management Samenvatting

Block dBASE files (.dbf) - extreme legacy database format (1980s) zonder moderne business use, alleen gebruikt door malware voor obfuscation en exploit delivery.

Aanbeveling
IMPLEMENT
Risico zonder
Low
Risk Score
3/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
βœ“ Microsoft Excel

dBASE is 1980s database format: nul modern business gebruiken (replaced door SQL databases 30+ years ago), Malware obfuscation (unusual format is low AV detectie), Parser vulnerabilities (legacy code is unpatched exploits). Zonder block: dBASE files kan zijn opened (potential exploits), No legitimate gebruiken case (100% suspicious).

Implementatie

File Block Settings: Block .dbf (dBASE files) complete (open/save), nul business impact (no legitimate dBASE usage).

Vereisten

  1. Office 2016+
  2. Intune of GPO

Implementatie

Intune Settings Catalog: Excel\Security\Vertrouwenscentrum\File Block Settings β†’ dBASE III / IV files: Block (open en save).

Compliance en Auditing

CIS Office Benchmark: Block legacy formats.

Monitoring

Gebruik PowerShell-script dbase-files-blocked.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Gebruik PowerShell-script dbase-files-blocked.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Blokkeert dBase III/IV bestanden in Excel voor Open/Save operaties .DESCRIPTION Dit script implementeert CIS control O365-EX-000020 voor het blokkeren van dBase III/IV bestanden in Microsoft Excel. Dit voorkomt het openen en opslaan van potentieel onveilige dBase bestanden die malware kunnen bevatten. .REQUIREMENTS - PowerShell 5.1 of hoger - Lokale administrator rechten voor registry wijzigingen - Microsoft Excel geΓ―nstalleerd .PARAMETER Monitoring Controleert de huidige compliance status .PARAMETER Remediation Past de aanbevolen configuratie toe .PARAMETER Revert Herstelt de originele configuratie .PARAMETER WhatIf Toont wat er zou gebeuren zonder wijzigingen door te voeren .EXAMPLE .\dbase-files-blocked.ps1 -Monitoring Controleert of dBase III/IV bestanden zijn geblokkeerd .EXAMPLE .\dbase-files-blocked.ps1 -Remediation Blokkeert dBase III/IV bestanden voor Open/Save operaties .NOTES Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security\FileBlock\ExcelFiles Waarde: DB3Files = 1 (Open/Save blocked, use open policy) CIS Control: O365-EX-000020 DISA STIG: Microsoft Office 365 ProPlus v3r3 #> #Requires -Version 5.1 param( [switch]$Monitoring, [switch]$Remediation, [switch]$Revert, [switch]$WhatIf ) # Globale variabelen $RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security\FileBlock\ExcelFiles" $ValueName = "DB3Files" $ExpectedValue = 1 $ControlID = "O365-EX-000020" function Test-Compliance { try { if (-not (Test-Path $RegistryPath)) { return $false } $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) } catch { return $false } } function Invoke-Monitoring { Write-Host "Monitoring ${ControlID}: dBase III/IV bestanden blokkeren voor Open/Save operaties" -ForegroundColor Green try { if (-not (Test-Path $RegistryPath)) { Write-Host "βœ— Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red return $false } $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) { Write-Host "βœ“ Control compliant: ${ValueName} = $ExpectedValue (dBase III/IV bestanden geblokkeerd)" -ForegroundColor Green return $true } else { $actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" } Write-Host "βœ— Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue - dBase III/IV bestanden moeten geblokkeerd zijn)" -ForegroundColor Red return $false } } catch { Write-Host "βœ— Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } function Invoke-Remediation { Write-Host "Remediating ${ControlID}: dBase III/IV bestanden blokkeren voor Open/Save operaties" -ForegroundColor Yellow try { if ($WhatIf) { Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan return $true } if (-not (Test-Path $RegistryPath)) { Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow New-Item -Path $RegistryPath -Force | Out-Null } Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force Write-Host "βœ“ Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue (dBase III/IV bestanden geblokkeerd)" -ForegroundColor Green Start-Sleep -Seconds 1 return Invoke-Monitoring } catch { Write-Host "βœ— Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } function Invoke-Revert { Write-Host "Reverting ${ControlID}: dBase III/IV bestanden blokkering herstellen" -ForegroundColor Yellow try { if ($WhatIf) { Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan return $true } if (Test-Path $RegistryPath) { Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue Write-Host "βœ“ Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green } return $true } catch { Write-Host "βœ— Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } # Hoofd uitvoering try { if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result) { 0 } else { 1 }) } elseif ($Remediation) { $result = Invoke-Remediation exit $(if ($result) { 0 } else { 1 }) } elseif ($Revert) { $result = Invoke-Revert exit $(if ($result) { 0 } else { 1 }) } else { Write-Host "Gebruik: .\dbase-files-blocked.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow Write-Host " -Monitoring: Controleer huidige compliance status" -ForegroundColor White Write-Host " -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White Write-Host " -Revert: Herstel originele configuratie" -ForegroundColor White Write-Host " -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White Write-Host "" Write-Host "Handmatige configuratie:" -ForegroundColor Cyan Write-Host "Group Policy: User Configuration > Administrative Templates > Microsoft Excel 2016" -ForegroundColor White Write-Host "> Excel Options > Security > Trust Center > File Block Settings" -ForegroundColor White Write-Host "> dBase III/IV files: Enabled: Open/Save blocked, use open policy" -ForegroundColor White } } catch { Write-Host "βœ— Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Low: dBASE (1980s) malware obfuscation. nul business use.

Management Samenvatting

Blokkeer dBASE files (.dbf) - 40+ jaar oud. nul business impact. Implementatie: 30 min.