💼 Management Samenvatting
Excel 4.x workbooks moeten worden geblokkeerd omdat deze XLM macros (Excel 4 macro sheets) ondersteunen die actief worden misbruikt als alternatief voor VBA macros na macro blocking werd common.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
✓ Excel
XLM MACROS is MODERN aanvalsvector: Excel 4 macros (XLM) is legacy macro system vóór VBA. WAAROM GEVAARLIJK: NOT affected door VBA macro blocking (separate system), Code execution capability, Users don't recognize XLM as dangerous. RESURGENCE 2020-2021: Na VBA macro blocking common werd, attackers switched to XLM macros, Zloader, IcedID, Dridex campaigns gebruiken XLM. MICROSOFT RESPONSE: XLM macros Standaard disabled in newer Excel, maar file blocking is stronger mitigation.
PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection:
Required Modules:
Connection:
RegistryRequired Modules:
Implementatie
Blokkeer Excel 4.x: File blocking policy. EFFECT: kan niet open .xl4 files (contains XLM macros).
Vereisten
Excel
Implementatie
Gebruik PowerShell-script excel4-workbooks-blocked.ps1 (functie Invoke-Remediation) – Blokkeer Excel 4.x.
Monitoring
Gebruik PowerShell-script excel4-workbooks-blocked.ps1 (functie Invoke-Monitoring) – Verifieer blocked.
Compliance en Auditing
- DISA STIG O365-EX-000029
- BIO 12.02
Remediatie
Gebruik PowerShell-script excel4-workbooks-blocked.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- BIO: 12.02.01 - Bescherming tegen malware - XLM macros
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Blokkeert Excel 4 workbooks voor Open/Save operaties
.DESCRIPTION
Dit script implementeert CIS control O365-EX-000029 voor het blokkeren van Excel 4
workbooks in Microsoft Excel. Deze legacy bestandsformaten kunnen beveiligingsrisico's
vormen en moeten worden geblokkeerd.
.REQUIREMENTS
- PowerShell 5.1 of hoger
- Lokale administrator rechten voor registry wijzigingen
- Microsoft Excel geïnstalleerd
.PARAMETER Monitoring
Controleert de huidige compliance status
.PARAMETER Remediation
Past de aanbevolen configuratie toe
.PARAMETER Revert
Herstelt de originele configuratie
.PARAMETER WhatIf
Toont wat er zou gebeuren zonder wijzigingen door te voeren
.EXAMPLE
.\excel4-workbooks-blocked.ps1 -Monitoring
Controleert of Excel 4 workbooks zijn geblokkeerd
.EXAMPLE
.\excel4-workbooks-blocked.ps1 -Remediation
Blokkeert Excel 4 workbooks
.NOTES
Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security\FileBlock\ExcelFiles
Waarde: Excel4Workbooks = 1
CIS Control: O365-EX-000029
DISA STIG: Microsoft Office 365 ProPlus v3r3
#>
#Requires -Version 5.1
param(
[switch]$Monitoring,
[switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf
)
# Globale variabelen
$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security\FileBlock\ExcelFiles"
$ValueName = "Excel4Workbooks"
$ExpectedValue = 1
$ControlID = "O365-EX-000029"
function Test-Compliance {
try {
if (-not (Test-Path $RegistryPath)) {
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue)
}
catch {
return $false
}
}
function Invoke-Monitoring {
Write-Host "Monitoring ${ControlID}: Excel 4 workbooks blokkeren" -ForegroundColor Green
try {
if (-not (Test-Path $RegistryPath)) {
Write-Host "✗ Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) {
Write-Host "✓ Control compliant: ${ValueName} = $ExpectedValue (Excel 4 workbooks geblokkeerd)" -ForegroundColor Green
return $true
}
else {
$actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" }
Write-Host "✗ Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red
return $false
}
}
catch {
Write-Host "✗ Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Remediation {
Write-Host "Remediating ${ControlID}: Excel 4 workbooks blokkeren" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan
return $true
}
if (-not (Test-Path $RegistryPath)) {
Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow
New-Item -Path $RegistryPath -Force | Out-Null
}
Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force
Write-Host "✓ Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green
Start-Sleep -Seconds 1
return Invoke-Monitoring
}
catch {
Write-Host "✗ Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Revert {
Write-Host "Reverting ${ControlID}: Excel 4 workbooks blokkering herstellen" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan
return $true
}
if (Test-Path $RegistryPath) {
Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
Write-Host "✓ Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green
}
return $true
}
catch {
Write-Host "✗ Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
# Hoofd uitvoering
try {
if ($Monitoring) {
$result = Invoke-Monitoring
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Remediation) {
$result = Invoke-Remediation
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Revert) {
$result = Invoke-Revert
exit $(if ($result) { 0 } else { 1 })
}
else {
Write-Host "Gebruik: .\excel4-workbooks-blocked.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
Write-Host " -Monitoring: Controleer huidige compliance status" -ForegroundColor White
Write-Host " -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White
Write-Host " -Revert: Herstel originele configuratie" -ForegroundColor White
Write-Host " -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White
Write-Host ""
Write-Host "Handmatige configuratie:" -ForegroundColor Cyan
Write-Host "Group Policy: User Configuration > Administrative Templates > Microsoft Excel 2016" -ForegroundColor White
Write-Host "> Excel Options > Security > Trust Center > File Block Settings" -ForegroundColor White
Write-Host "> Excel 4 workbooks: Enabled: Open/Save blocked, use open policy" -ForegroundColor White
}
}
catch {
Write-Host "✗ Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
High: Hoog risico: XLM macros is modern malware vector (bypasses VBA blocking). Zloader, IcedID gebruiken dit.
Management Samenvatting
Blokkeer Excel 4.x (XLM macros). Modern aanvalsvector. DISA STIG. Implementatie: 30-60 min.
- Implementatietijd: 1 uur
- FTE required: 0.01 FTE