L1 BIO 12.02.01 CIS Office Benchmark - Beveiligde weergave

Excel Beveiligde Weergave Voor Internet Zone Files

📅 2025-10-30

•

⏱️ 6 minuten lezen

•

🔴 Must-Have

💼 Management Samenvatting

Beveiligde weergave opent Excel-bestanden uit internet zone (downloads, email attachments via webmail) in read-only sandbox mode om macro execution en exploits te blokkeren totdat gebruiker expliciet 'Schakel in Editing' klikt, waardoor time-of-check-time-of-use attacks voorkomen worden.

Aanbeveling

Verifieer ingeschakeld

Risico zonder

High

Risk Score

8/10

Implementatie

1u (tech: 0.5u)

Van toepassing op:

✓ Microsoft Excel

Internet zone files zijn hoog risico: Email attachments (phishing), Browser downloads (drive-by downloads), Cloud opslag links (OneDrive shared links van external). Beveiligde weergave provides: Sandboxed environment (no macro execution, no ActiveX, no external data connections), Read-only mode (file kan niet modify system), Explicit gebruikerstoestemming vereist ('Schakel in Editing' button voor volledige access). Zonder Beveiligde weergave: Macros execute automatische upon file open, Exploits trigger tijdens rendering, No user warning.

Implementatie

Beveiligde weergave triggers voor: Files van Internet zone (browser downloads met Zone.Identifier NTFS stream), Outlook bijlagen (if webmail), Unsafe locations (Temp folders). Effect: File opens read-only, Yellow banner: 'Beveiligde weergave: Deze file originated van de Internet...', User moet click 'Schakel in Editing' voor volledige access.

Vereisten

Office 2016+
Beveiligde weergave ingeschakeld (default)

Implementatie

Beveiligde weergave is Standaard ingeschakeld. Verifieer via Intune Settings Catalog: Excel\Vertrouwenscentrum → Beveiligde weergave Settings → Internet zone: ingeschakeld.

Monitoring

Gebruik PowerShell-script internet-zone-protected-view-enabled.ps1 (functie Invoke-Monitoring) – Controleren.

Monitor 'Schakel in Editing' clicks (Office telemetry) voor security awareness metrics.

Compliance en Auditing

Beveiligde weergave voldoet aan: CIS Office Benchmark (Beveiligde weergave mandatory), BIO 12.02 (Bescherming tegen malware), ISO 27001 A.14.1.2 (Securing application services - sandboxing).

Remediatie

Gebruik PowerShell-script internet-zone-protected-view-enabled.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

CIS M365: Control Office Benchmark - Beveiligde weergave (L1) - Internet zone Beveiligde weergave
BIO: 12.02.01 - Bescherming tegen malware

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell

<#
.SYNOPSIS
    Dwingt bestanden uit de internet zone te openen in Protected View

.DESCRIPTION
    Dit script implementeert CIS control O365-EX-000009 voor het openen van bestanden uit 
    de internet zone in Protected View in Microsoft Excel. Dit beschermt tegen potentieel 
    schadelijke bestanden van niet-vertrouwde internet bronnen.

.REQUIREMENTS
    - PowerShell 5.1 of hoger
    - Lokale administrator rechten voor registry wijzigingen
    - Microsoft Excel geïnstalleerd

.PARAMETER Monitoring
    Controleert de huidige compliance status

.PARAMETER Remediation  
    Past de aanbevolen configuratie toe

.PARAMETER Revert
    Herstelt de originele configuratie

.PARAMETER WhatIf
    Toont wat er zou gebeuren zonder wijzigingen door te voeren

.EXAMPLE
    .\internet-zone-protected-view-enabled.ps1 -Monitoring
    Controleert of internet zone bestanden in Protected View worden geopend

.EXAMPLE
    .\internet-zone-protected-view-enabled.ps1 -Remediation
    Dwingt Protected View voor internet zone bestanden

.NOTES
    Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security\ProtectedView
    Waarde: DisableInternetFilesInPV = 0
    
    CIS Control: O365-EX-000009
    DISA STIG: Microsoft Office 365 ProPlus v3r3
#>

#Requires -Version 5.1

param(
    [switch]$Monitoring,
    [switch]$Remediation,
    [switch]$Revert,
    [switch]$WhatIf
)

# Globale variabelen
$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security\ProtectedView"
$ValueName = "DisableInternetFilesInPV"
$ExpectedValue = 0
$ControlID = "O365-EX-000009"

function Test-Compliance {
    try {
        if (-not (Test-Path $RegistryPath)) {
            return $false
        }

        $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
        return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue)
    }
    catch {
        return $false
    }
}

function Invoke-Monitoring {
    Write-Host "Monitoring ${ControlID}: Internet zone bestanden in Protected View openen" -ForegroundColor Green

    try {
        if (-not (Test-Path $RegistryPath)) {
            Write-Host "✗ Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red
            return $false
        }

        $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue

        if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) {
            Write-Host "✓ Control compliant: ${ValueName} = $ExpectedValue (Internet zone bestanden openen in Protected View)" -ForegroundColor Green
            return $true
        }
        else {
            $actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" }
            Write-Host "✗ Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red
            return $false
        }
    }
    catch {
        Write-Host "✗ Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
        return $false
    }
}

function Invoke-Remediation {
    Write-Host "Remediating ${ControlID}: Internet zone bestanden in Protected View openen" -ForegroundColor Yellow

    try {
        if ($WhatIf) {
            Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan
            return $true
        }

        if (-not (Test-Path $RegistryPath)) {
            Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow
            New-Item -Path $RegistryPath -Force | Out-Null
        }

        Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force
        Write-Host "✓ Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green

        Start-Sleep -Seconds 1
        return Invoke-Monitoring
    }
    catch {
        Write-Host "✗ Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
        return $false
    }
}

function Invoke-Revert {
    Write-Host "Reverting ${ControlID}: Internet zone Protected View instelling herstellen" -ForegroundColor Yellow

    try {
        if ($WhatIf) {
            Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan
            return $true
        }

        if (Test-Path $RegistryPath) {
            Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
            Write-Host "✓ Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green
        }

        return $true
    }
    catch {
        Write-Host "✗ Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red
        return $false
    }
}

# Hoofd uitvoering
try {
    if ($Monitoring) {
        $result = Invoke-Monitoring
        exit $(if ($result) { 0 } else { 1 })
    }
    elseif ($Remediation) {
        $result = Invoke-Remediation
        exit $(if ($result) { 0 } else { 1 })
    }
    elseif ($Revert) {
        $result = Invoke-Revert
        exit $(if ($result) { 0 } else { 1 })
    }
    else {
        Write-Host "Gebruik: .\internet-zone-protected-view-enabled.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
        Write-Host "  -Monitoring: Controleer huidige compliance status" -ForegroundColor White
        Write-Host "  -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White
        Write-Host "  -Revert: Herstel originele configuratie" -ForegroundColor White
        Write-Host "  -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White
        Write-Host ""
        Write-Host "Handmatige configuratie:" -ForegroundColor Cyan
        Write-Host "Group Policy: User Configuration > Administrative Templates > Microsoft Excel 2016" -ForegroundColor White
        Write-Host "> Excel Options > Security > Trust Center > Protected View" -ForegroundColor White
        Write-Host "> Do not open files from the internet zone in Protected View: Disabled" -ForegroundColor White
    }
}
catch {
    Write-Host "✗ Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red
    exit 1
}

Risico zonder implementatie

High: Hoog risico: Internet downloads execute macros/exploits automatische zonder Beveiligde weergave sandbox.

Management Samenvatting

Excel Beveiligde weergave: sandboxed mode voor internet files. blokkeert automatische macro execution. Standaard ingeschakeld. Verify: 30 min.

Implementatietijd: 1 uur
FTE required: 0.01 FTE

Excel Beveiligde Weergave Voor Internet Zone Files

💼 Management Samenvatting

Implementatie

Vereisten

Implementatie

Monitoring

Compliance en Auditing

Remediatie

Compliance & Frameworks

Automation

Risico zonder implementatie

Management Samenvatting

Share artikel