L1 BIO 12.06.01 CIS Office Benchmark - Unsigned Add-ins

Excel: Schakel Uit Unsigned Add-ins

📅 2025-10-30

•

⏱️ 5 minuten lezen

•

🔴 Must-Have

💼 Management Samenvatting

Schakel uit unsigned Excel add-ins Blokkeert ALLE niet-gesigneerde .xll en .xlam add-ins ongeacht bron om malware execution te voorkomen - nul tolerance voor unsigned executable code.

Aanbeveling

IMPLEMENT

Risico zonder

High

Risk Score

8/10

Implementatie

8u (tech: 4u)

Van toepassing op:

✓ Microsoft Excel

Unsigned add-ins is nul trust: No publisher verification (zou kunnen zijn anyone), No integrity Controleer (file zou kunnen zijn tampered), No accountability (no certificaat to revoke). Attack scenarios: Email attachment: malicious .xll add-in (native code), USB stick: trojanized add-in, Downloaded: fake 'Excel enhancer' add-in. Zonder disable: gebruiker kan click 'schakel in' op unsigned add-in (single mistake is compromise), No warning severity (looks like normal prompt), Social engineering easy ('click Schakel in to gebruiken Deze functie').

Implementatie

Schakel uit unsigned add-ins: Registry: DisableTrustBarNotificationForUnsignedApplicationAddIns is 1, Effect: Unsigned add-ins → blocked completely (no 'schakel in' button), Signed add-ins → prompt voor trust (first time), vertrouwde publisher add-ins → load automatic. nul exceptions: Corporate add-ins moet be signed (invest in code signing certificaat).

Vereisten

Office 2016+
Intune configuration profile of GPO
Code signing infrastructure (for corporate add-ins)
Add-in inventory (sign of retire unsigned add-ins)

Implementatie

Intune Settings Catalog: Excel\Security\Vertrouwenscentrum → Schakel uit Trust Bar Notification voor unsigned application add-ins: ingeschakeld. Inventory corporate add-ins → sign met code signing certificaat → distribute via beheerde deployment (not user download).

Monitoring

Gebruik PowerShell-script disable-unsigned-addins.ps1 (functie Invoke-Monitoring) – Controleren.

Monitor unsigned add-in Blokkeer events (Office telemetry), nul tolerance enforcement (any unsigned is beveiligingsincident investigation).

Compliance en Auditing

Unsigned add-in blocking voldoet aan: CIS Office Benchmark (Blokkeer unsigned code), BIO 12.06 (Software installation restrictions), ISO 27001 A.14.2.1 (veilige development), NIST SP 800-53 CM-11 (User-installed software - block).

Remediatie

Gebruik PowerShell-script disable-unsigned-addins.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

CIS M365: Control Office Benchmark - Unsigned Add-ins (L1) - Schakel uit unsigned add-ins
BIO: 12.06.01 - Blokkeer unsigned code

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell

<#
.SYNOPSIS
    Schakelt Trust Bar meldingen voor niet-ondertekende add-ins uit en blokkeert deze in Excel

.DESCRIPTION
    Dit script implementeert CIS control O365-EX-000003 voor het uitschakelen van Trust Bar meldingen 
    voor niet-ondertekende applicatie add-ins en het blokkeren ervan in Microsoft Excel.
    
    Dit voorkomt dat gebruikers onveilige add-ins kunnen uitvoeren zonder expliciete waarschuwingen.

.REQUIREMENTS
    - PowerShell 5.1 of hoger
    - Lokale administrator rechten voor registry wijzigingen
    - Microsoft Excel geïnstalleerd

.PARAMETER Monitoring
    Controleert de huidige compliance status

.PARAMETER Remediation  
    Past de aanbevolen configuratie toe

.PARAMETER Revert
    Herstelt de originele configuratie

.PARAMETER WhatIf
    Toont wat er zou gebeuren zonder wijzigingen door te voeren

.EXAMPLE
    .\disable-unsigned-addins.ps1 -Monitoring
    Controleert of Trust Bar meldingen zijn uitgeschakeld

.EXAMPLE
    .\disable-unsigned-addins.ps1 -Remediation
    Schakelt Trust Bar meldingen uit voor niet-ondertekende add-ins

.NOTES
    Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security
    Waarde: DisableTrustBarNotificationForUnsignedAddins = 1
    
    CIS Control: O365-EX-000003
    DISA STIG: Microsoft Office 365 ProPlus v3r3
#>

#Requires -Version 5.1

param(
    [switch]$Monitoring,
    [switch]$Remediation,
    [switch]$Revert,
    [switch]$WhatIf
)

# Globale variabelen
$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security"
$ValueName = "DisableTrustBarNotificationForUnsignedAddins"
$ExpectedValue = 1
$ControlID = "O365-EX-000003"

function Test-Compliance {
    try {
        if (-not (Test-Path $RegistryPath)) {
            return $false
        }

        $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
        return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue)
    }
    catch {
        return $false
    }
}

function Invoke-Monitoring {
    Write-Host "Monitoring ${ControlID}: Trust Bar meldingen voor niet-ondertekende add-ins uitschakelen" -ForegroundColor Green

    try {
        if (-not (Test-Path $RegistryPath)) {
            Write-Host "✗ Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red
            return $false
        }

        $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue

        if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) {
            Write-Host "✓ Control compliant: ${ValueName} = $ExpectedValue" -ForegroundColor Green
            return $true
        }
        else {
            $actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" }
            Write-Host "✗ Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red
            return $false
        }
    }
    catch {
        Write-Host "✗ Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
        return $false
    }
}

function Invoke-Remediation {
    Write-Host "Remediating ${ControlID}: Trust Bar meldingen voor niet-ondertekende add-ins uitschakelen" -ForegroundColor Yellow

    try {
        if ($WhatIf) {
            Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan
            return $true
        }

        if (-not (Test-Path $RegistryPath)) {
            Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow
            New-Item -Path $RegistryPath -Force | Out-Null
        }

        Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force
        Write-Host "✓ Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green

        Start-Sleep -Seconds 1
        return Invoke-Monitoring
    }
    catch {
        Write-Host "✗ Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
        return $false
    }
}

function Invoke-Revert {
    Write-Host "Reverting ${ControlID}: Trust Bar meldingen voor niet-ondertekende add-ins herstellen" -ForegroundColor Yellow

    try {
        if ($WhatIf) {
            Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan
            return $true
        }

        if (Test-Path $RegistryPath) {
            Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
            Write-Host "✓ Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green
        }

        return $true
    }
    catch {
        Write-Host "✗ Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red
        return $false
    }
}

# Hoofd uitvoering
try {
    if ($Monitoring) {
        $result = Invoke-Monitoring
        exit $(if ($result) { 0 } else { 1 })
    }
    elseif ($Remediation) {
        $result = Invoke-Remediation
        exit $(if ($result) { 0 } else { 1 })
    }
    elseif ($Revert) {
        $result = Invoke-Revert
        exit $(if ($result) { 0 } else { 1 })
    }
    else {
        Write-Host "Gebruik: .\disable-unsigned-addins.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
        Write-Host "  -Monitoring: Controleer huidige compliance status" -ForegroundColor White
        Write-Host "  -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White
        Write-Host "  -Revert: Herstel originele configuratie" -ForegroundColor White
        Write-Host "  -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White
        Write-Host ""
        Write-Host "Handmatige configuratie:" -ForegroundColor Cyan
        Write-Host "Group Policy: User Configuration > Administrative Templates > Microsoft Excel 2016" -ForegroundColor White
        Write-Host "> Excel Options > Security > Trust Center" -ForegroundColor White
        Write-Host "> Disable Trust Bar Notification for unsigned application add ins and block them: Enabled" -ForegroundColor White
    }
}
catch {
    Write-Host "✗ Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red
    exit 1
}

Risico zonder implementatie

High: HOOG: Unsigned add-ins is unverified executable code. Malware can masquerade as 'helpful Excel tool'.

Management Samenvatting

Schakel uit unsigned Excel add-ins. Blokkeer alle unsigned .xll/.xlam files. Sign corporate add-ins. nul tolerance beleid. Implementatie: 4-8 uur.

Implementatietijd: 8 uur
FTE required: 0.05 FTE

Excel: Schakel Uit Unsigned Add-ins

💼 Management Samenvatting

Implementatie

Vereisten

Implementatie

Monitoring

Compliance en Auditing

Remediatie

Compliance & Frameworks

Automation

Risico zonder implementatie

Management Samenvatting

Share artikel