💼 Management Samenvatting
Het uitschakelen van de beveiligde tijdelijke map voor Outlook-bijlagen voorkomt dat gevoelige gegevens onbedoeld achterblijven op het bestandssysteem en toegankelijk blijven voor onbevoegden.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 2u)
Van toepassing op:
✓ Microsoft Office 365 ProPlus
✓ Microsoft Outlook 2016
✓ Microsoft Outlook 2019
✓ Microsoft Outlook 2021
✓ Microsoft 365 Apps
✓ Microsoft Outlook 2016
✓ Microsoft Outlook 2019
✓ Microsoft Outlook 2021
✓ Microsoft 365 Apps
Wanneer gebruikers bijlagen openen vanuit Outlook, worden deze standaard gekopieerd naar een tijdelijke map op de lokale schijf. Deze bestanden kunnen daar blijven staan, zelfs na het sluiten van de applicatie of het verwijderen van het originele e-mailbericht. Dit creëert een risico op gegevenslekken, vooral bij gedeelde computers of bij ongeautoriseerde toegang tot het systeem. Aanvallers kunnen deze tijdelijke bestanden uitbuiten om toegang te krijgen tot vertrouwelijke informatie. Het uitschakelen van deze functie vermindert de aanvalsoppervlak en voorkomt dat gevoelige gegevens onnodig op het bestandssysteem achterblijven.
PowerShell Modules Vereist
Primary API: Registry / Group Policy
Connection:
Required Modules: Windows PowerShell 5.1 of hoger
Connection:
Lokale registry toegang of Group Policy ManagementRequired Modules: Windows PowerShell 5.1 of hoger
Implementatie
Deze beveiligingsmaatregel configureert de registry-instelling 'attachmentsecuretempfolderdisabled' op waarde 1 in het Outlook Security-pad. Hierdoor wordt voorkomen dat Outlook gebruik maakt van een beveiligde tijdelijke map voor het openen van bijlagen, wat betekent dat bijlagen direct worden geopend zonder eerst te worden gekopieerd naar een persistente tijdelijke locatie. De instelling wordt afgedwongen via het registry-pad HKCU:\Software\Policies\Microsoft\Office\16.0\OUTLOOK\Security en is van toepassing op Office 2016 en nieuwer (inclusief Microsoft 365 Apps).
Vereisten
Voor het implementeren van deze beveiligingsmaatregel zijn de volgende vereisten van toepassing:
Microsoft Office 2016 of nieuwer (inclusief Microsoft 365 Apps voor Enterprise)
Administrator-rechten voor het wijzigen van registry-instellingen of Group Policy configuratie
Windows PowerShell 5.1 of hoger voor geautomatiseerde implementatie
Toegang tot het HKCU of HKLM registry hive (afhankelijk van user- of machine-level implementatie)
Bij gebruik van Group Policy: toegang tot Group Policy Management Console (GPMC)
Optioneel: configuratiebeheer tool zoals Microsoft Intune of SCCM voor grootschalige uitrol
Implementatie
De implementatie van deze security control kan op verschillende manieren worden uitgevoerd, afhankelijk van de omgevingsgrootte en beheerbehoefte:
**Methode 1: PowerShell Script (Geautomatiseerd)**
Gebruik PowerShell-script attachment-secure-temp-folder-disabled.ps1 (functie Invoke-Remediation) – Dit PowerShell script controleert en configureert automatisch de registry-instelling voor het uitschakelen van de beveiligde tijdelijke map voor Outlook-bijlagen. Het script ondersteunt monitoring, remediatie en revert-functies..
Gebruik het script als volgt voor verschillende scenario's:
**monitoring**: .\attachment-secure-temp-folder-disabled.ps1 -monitoring (controleert of de instelling correct is geconfigureerd)
**Remediatie**: .\attachment-secure-temp-folder-disabled.ps1 -Remediation (past de instelling toe)
**WhatIf**: .\attachment-secure-temp-folder-disabled.ps1 -Remediation -WhatIf (simuleert de wijziging zonder daadwerkelijk uit te voeren)
**Revert**: .\attachment-secure-temp-folder-disabled.ps1 -Revert (verwijdert de instelling en herstelt standaardgedrag)
**Methode 2: Group Policy (Enterprise-omgevingen)**
Open Group Policy Management Console (gpmc.msc)
Navigeer naar: Computer Configuration > Policies > Administrative Templates > Microsoft Outlook 2016 > Security
Zoek de instelling 'Configureer veilige temporary folder voor attachments'
Stel de policy in op 'ingeschakeld' met waarde 1
Koppel de GPO aan de juiste Organizational Units (OU's)
Voer 'gpupdate /force' uit op testmachines om de policy direct toe te passen
**Methode 3: Handmatige Registry wijziging (Testdoeleinden)**
Open Registry Editor (regedit.exe) als administrator
Navigeer naar: HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\OUTLOOK\Security
Maak indien nodig het Security-key aan (rechtsklik > New > Key)
Maak een nieuwe DWORD (32-bit) waarde aan met de naam 'attachmentsecuretempfolderdisabled'
Stel de waarde in op 1
Herstart Microsoft Outlook om de wijziging te activeren
**Methode 4: Microsoft Intune (Cloud-beheerde devices)**
Log in op Microsoft Intune Admin Center (endpoint.microsoft.com)
Navigeer naar Devices > Configuration profiles > Maak aan profile
Selecteer Platform: Windows 10 en later, Profile type: Settings catalog
Zoek naar 'Outlook 2016' en 'Security' instellingen
Voeg 'Schakel uit veilige temp folder' toe en configureer met waarde 1
Wijs het profiel toe aan de juiste device- of user-groepen
monitor de deployment status in het Intune dashboard
monitoring en Controle
Continue monitoring van deze beveiligingsinstelling is essentieel om compliance te waarborgen:
Gebruik PowerShell-script attachment-secure-temp-folder-disabled.ps1 (functie Invoke-Monitoring) – Het monitoring-script controleert of de registry-instelling correct is geconfigureerd en rapporteert de compliance-status..
**monitoring strategieën:**
**PowerShell script**: Voer het monitoring-script periodiek uit via scheduled tasks of configuratiebeheer tools
**Group Policy Reporting**: Gebruik Group Policy Results (gpresult /h report.html) om policy applicatie te verifiëren
**Intune Compliance**: Configureer Intune compliance policies om de registry-waarde te controleren
**SCCM Compliance Baselines**: Creëer configuratiebaselines voor grootschalige compliance monitoring
**Event loggen monitoring**: monitoren Windows Event logt voor policy application events
**Periodic audits**: Voer kwartaalcontroles uit op een steekproef van endpoints
**Verificatie stappen:**
Controleer dat de registry-waarde bestaat op HKCU:\Software\Policies\Microsoft\Office\16.0\OUTLOOK\Security
Verifieer dat de waarde 'attachmentsecuretempfolderdisabled' is ingesteld op 1 (DWORD)
Test met een testgebruiker door een bijlage te openen en te verifiëren dat er geen kopie in %TEMP% achterblijft
Controleer dat de instelling niet wordt overschreven door conflicterende Group Policies
Documenteer uitzonderingen en zorg voor een proces voor exception management
Remediatie
Wanneer tijdens monitoring wordt vastgesteld dat de instelling niet correct is geconfigureerd, moet remediatie worden uitgevoerd:
Gebruik PowerShell-script attachment-secure-temp-folder-disabled.ps1 (functie Invoke-Remediation) – Het remediatie-script past automatisch de benodigde registry-instelling toe en verifieert vervolgens de correcte configuratie..
**Remediatie proces:**
Identificeer non-compliant systemen via monitoring dashboards of compliance reports
Verifieer dat remediatie niet interfereert met bedrijfskritische processen (plan indien nodig tijdens onderhoudsvensters)
Voer het remediatie-script uit met administrator-rechten
Gebruik de -WhatIf parameter om de impact te simuleren voordat daadwerkelijke wijzigingen worden doorgevoerd
Na succesvolle remediatie: voer opnieuw monitoring uit om compliance te bevestigen
Documenteer alle remediatie-acties in het change management systeem
Bij grootschalige remediatie: gebruik phased rollout om risico's te minimaliseren
**Troubleshooting:**
Als de registry-wijziging niet persistent is: controleer op conflicterende Group Policies (gpresult /h)
Bij toegangsproblemen: verifieer dat het script met voldoende rechten wordt uitgevoerd
Als Outlook de instelling negeert: controleer de Office versie (16.0 of hoger vereist)
Bij gebruikersklachten over bijlage-toegang: communiceer de wijziging en train gebruikers
Controleer Windows Event logt voor foutmeldingen gerelateerd aan registry-toegang
Compliance en Auditing
Deze beveiligingsmaatregel ondersteunt compliance met meerdere security frameworks en regelgeving:
**DISA STIG Compliance:**
Control ID: O365-OU-000008
STIG versie: Microsoft Office 365 ProPlus v3r3
Severity: Category II (Medium)
Compliance vereiste: De beveiligde tijdelijke map voor bijlagen moet zijn uitgeschakeld
**audit bewijs:**
Registry export van HKCU:\Software\Policies\Microsoft\Office\16.0\OUTLOOK\Security
Screenshots van Group Policy configuratie (indien van toepassing)
Compliance reports uit monitoring tools (Intune, SCCM, of PowerShell scripts)
Change management tickets voor implementatie en remediatie
Periodieke audit logt (maandelijks of kwartaallijks)
Bewaartermijn: minimaal 3 jaar conform AVG en NIS2 vereisten
**Rapportage:**
Genereer maandelijkse compliance reports met percentage compliant devices
Dashboard met realtime compliance status voor security teams
Exception reports voor systemen die om bedrijfsredenen niet kunnen worden geconfigureerd
Trend analysis om te identificeren of compliance verbetert of verslechtert
Executive summary reports voor management en audit committees
Compliance & Frameworks
- CIS M365: Control 18.9.55.2 (L1) - Zorg ervoor dat 'Schakel uit veilige temp folder voor attachments' is set to 'ingeschakeld' (Outlook 2016 en later)
- BIO: U.15.1.1, B.5.1, B.5.4 - Beveiligingsmaatregelen voor gegevensdragers en opslag - voorkomen van ongeautoriseerde toegang tot tijdelijke bestanden en resterende data
- ISO 27001:2022: A.8.3.1, A.8.3.2, A.8.3.3, A.11.2.8 - Verwijdering van media en informatie - voorkomen dat gevoelige informatie onbedoeld toegankelijk blijft op opslagmedia of in tijdelijke bestanden
- NIS2: Artikel - Technische en organisatorische maatregelen om beveiligingsrisico's van netwerk- en informatiesystemen te Beheern, waaronder maatregelen om gegevenslekken te voorkomen
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
# Control: O365-OU-000008 - attachment secure temp folder disabled
#Requires -Version 5.1
# DISA STIG Microsoft Office 365 ProPlus v3r3
param(
[string]$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\OUTLOOK\Security",
[switch]$Monitoring,
[switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf
)
function Invoke-Monitoring {
Write-Host "Monitoring O365-OU-000008: attachment secure temp folder disabled" -ForegroundColor Green
try {
$valueName = "attachmentsecuretempfolderdisabled"
$expectedValue = 1
if (-not (Test-Path $RegistryPath)) {
Write-Host " Registry path does not exist: $RegistryPath" -ForegroundColor Red
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $valueName -ErrorAction SilentlyContinue
if ($currentValue -and $currentValue.$valueName -eq $expectedValue) {
Write-Host " Compliant: Attachment secure temp folder is disabled" -ForegroundColor Green
return $true
}
else {
Write-Host " Non-Compliant: Attachment secure temp folder not disabled" -ForegroundColor Red
return $false
}
}
catch {
Write-Host " Error during monitoring: $_" -ForegroundColor Red
return $false
}
}
function Invoke-Remediation {
Write-Host "Remediating O365-OU-000008: attachment secure temp folder disabled" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host " [WhatIf] Would set registry value" -ForegroundColor Cyan
return $true
}
$valueName = "attachmentsecuretempfolderdisabled"
$expectedValue = 1
if (-not (Test-Path $RegistryPath)) {
New-Item -Path $RegistryPath -Force | Out-Null
Write-Host " Created registry path: $RegistryPath" -ForegroundColor Green
}
Set-ItemProperty -Path $RegistryPath -Name $valueName -Value $expectedValue -Type DWord -Force
Write-Host " Set $valueName to $expectedValue" -ForegroundColor Green
Start-Sleep -Seconds 1
return Invoke-Monitoring
}
catch {
Write-Host " Error during remediation: $_" -ForegroundColor Red
return $false
}
}
function Invoke-Revert {
Write-Host "Reverting O365-OU-000008: attachment secure temp folder disabled" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host " [WhatIf] Would remove registry value" -ForegroundColor Cyan
return $true
}
$valueName = "attachmentsecuretempfolderdisabled"
if (Test-Path $RegistryPath) {
Remove-ItemProperty -Path $RegistryPath -Name $valueName -ErrorAction SilentlyContinue
Write-Host " Removed registry value: $valueName" -ForegroundColor Green
}
return $true
}
catch {
Write-Host " Error during revert: $_" -ForegroundColor Red
return $false
}
}
# Main execution
try {
if ($Monitoring) {
$result = Invoke-Monitoring
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Remediation) {
$result = Invoke-Remediation
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Revert) {
$result = Invoke-Revert
exit $(if ($result) { 0 } else { 1 })
}
else {
Write-Host "Usage: [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
}
}
catch {
Write-Host "Script execution error: $_" -ForegroundColor Red
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Zonder deze maatregel blijven bijlagen die via Outlook worden geopend achter in tijdelijke mappen op de lokale schijf. Dit creëert een significant risico op gegevenslekken, vooral bij gedeelde computers, onvoldoende disk versleuteling, of bij ongeautoriseerde fysieke toegang. Aanvallers kunnen forensische tools gebruiken om deze tijdelijke bestanden te herstellen, zelfs na verwijdering van de originele e-mail. in het geval van een datalek kunnen deze achtergebleven bestanden leiden tot non-compliance met AVG, NIS2 en andere privacyregulering, resulterend in boetes en reputatieschade.
Management Samenvatting
Schakel de beveiligde tijdelijke map voor Outlook-bijlagen uit om te voorkomen dat gevoelige bestanden onbedoeld op het bestandssysteem achterblijven en toegankelijk worden voor onbevoegden. Dit is een eenvoudig te implementeren registry-instelling die het risico op gegevenslekken significant vermindert en compliance ondersteunt met DISA STIG, ISO 27001, BIO en NIS2.
- Implementatietijd: 3 uur
- FTE required: 0.05 FTE