BIO 12.02.01

Excel Unsafe Files In Beveiligde Weergave

πŸ“… 2025-10-30
β€’
⏱️ 5 minuten lezen
β€’
πŸ”΄ Must-Have

πŸ’Ό Management Samenvatting

Excel bestanden van unsafe locations (internet, Temp folder, downloads) moeten automatische worden geopend in Beveiligde weergave voor exploit prevention.

Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
7/10
Implementatie
1u (tech: 0.5u)
Van toepassing op:
βœ“ Excel

UNSAFE LOCATIONS is hoog risico: Internet downloads, Temp folders, Email attachments β†’ High malware probability. Beveiligde weergave: Sandboxed rendering, Macros disabled, Exploits contained. FILES VAN UNSAFE LOCATIONS automatische β†’ Beveiligde weergave is defense in depth.

PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection: Registry
Required Modules:

Implementatie

Schakel in Beveiligde weergave voor unsafe locations: Registry policy. EFFECT: Downloads, temp files β†’ automatische Beveiligde weergave.

Vereisten

Excel

Implementatie

Gebruik PowerShell-script unsafe-files-protected-view.ps1 (functie Invoke-Remediation) – Schakel in Beveiligde weergave unsafe locations.

Monitoring

Gebruik PowerShell-script unsafe-files-protected-view.ps1 (functie Invoke-Monitoring) – Verifieer ingeschakeld.

Compliance en Auditing

  1. DISA STIG
  2. BIO 12.02

Remediatie

Gebruik PowerShell-script unsafe-files-protected-view.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Dwingt onveilige locaties te openen in Protected View .DESCRIPTION Dit script implementeert CIS control O365-EX-000032 voor het openen van bestanden uit onveilige locaties in Protected View in Microsoft Excel. Dit beschermt tegen potentieel schadelijke bestanden van niet-vertrouwde locaties. .REQUIREMENTS - PowerShell 5.1 of hoger - Lokale administrator rechten voor registry wijzigingen - Microsoft Excel geΓ―nstalleerd .PARAMETER Monitoring Controleert de huidige compliance status .PARAMETER Remediation Past de aanbevolen configuratie toe .PARAMETER Revert Herstelt de originele configuratie .PARAMETER WhatIf Toont wat er zou gebeuren zonder wijzigingen door te voeren .EXAMPLE .\unsafe-files-protected-view.ps1 -Monitoring Controleert of onveilige locaties in Protected View worden geopend .EXAMPLE .\unsafe-files-protected-view.ps1 -Remediation Dwingt Protected View voor onveilige locaties .NOTES Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security\ProtectedView Waarde: EnableUnsafeLocationsInPV = 1 CIS Control: O365-EX-000032 #> #Requires -Version 5.1 param( [switch]$Monitoring, [switch]$Remediation, [switch]$Revert, [switch]$WhatIf ) # Globale variabelen $RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\Excel\Security\ProtectedView" $ValueName = "EnableUnsafeLocationsInPV" $ExpectedValue = 1 $ControlID = "O365-EX-000032" function Test-Compliance { try { if (-not (Test-Path $RegistryPath)) { return $false } $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) } catch { return $false } } function Invoke-Monitoring { Write-Host "Monitoring ${ControlID}: Onveilige locaties in Protected View openen" -ForegroundColor Green try { if (-not (Test-Path $RegistryPath)) { Write-Host "βœ— Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red return $false } $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) { Write-Host "βœ“ Control compliant: ${ValueName} = $ExpectedValue" -ForegroundColor Green return $true } else { $actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" } Write-Host "βœ— Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red return $false } } catch { Write-Host "βœ— Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } function Invoke-Remediation { Write-Host "Remediating ${ControlID}: Onveilige locaties in Protected View openen" -ForegroundColor Yellow try { if ($WhatIf) { Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan return $true } if (-not (Test-Path $RegistryPath)) { Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow New-Item -Path $RegistryPath -Force | Out-Null } Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force Write-Host "βœ“ Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green Start-Sleep -Seconds 1 return Invoke-Monitoring } catch { Write-Host "βœ— Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } function Invoke-Revert { Write-Host "Reverting ${ControlID}: Onveilige locaties Protected View instelling herstellen" -ForegroundColor Yellow try { if ($WhatIf) { Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan return $true } if (Test-Path $RegistryPath) { Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue Write-Host "βœ“ Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green } return $true } catch { Write-Host "βœ— Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } # Hoofd uitvoering try { if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result) { 0 } else { 1 }) } elseif ($Remediation) { $result = Invoke-Remediation exit $(if ($result) { 0 } else { 1 }) } elseif ($Revert) { $result = Invoke-Revert exit $(if ($result) { 0 } else { 1 }) } else { Write-Host "Gebruik: .\unsafe-files-protected-view.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow Write-Host " -Monitoring: Controleer huidige compliance status" -ForegroundColor White Write-Host " -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White Write-Host " -Revert: Herstel originele configuratie" -ForegroundColor White Write-Host " -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White } } catch { Write-Host "βœ— Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red exit 1 }

Risico zonder implementatie

Risico zonder implementatie
High: Hoog exploit risico via downloads/temp files.

Management Samenvatting

Beveiligde weergave voor unsafe locations. Exploit sandboxing. Implementatie: 30-60 min.