L1 BIO 12.06.01 CIS Office - Add-ins

PowerPoint Add-ins: Vereist Een Vertrouwde Uitgever Voor Add-ins

📅 2025-10-30

•

⏱️ 4 minuten lezen

•

🔴 Must-Have

💼 Management Samenvatting

PowerPoint Add-ins vertrouwde Publisher requirement Blokkeert unsigned add-ins om malware execution via presentation add-ons te voorkomen.

Aanbeveling

IMPLEMENT

Risico zonder

High

Risk Score

7/10

Implementatie

4u (tech: 2u)

Van toepassing op:

✓ Microsoft PowerPoint

PowerPoint add-ins (.ppa, .ppam) is executable code met volledige system access. Zonder vertrouwde publisher: malware masquerading as 'presentation enhancer', Diefstal van inloggegevens, data exfiltration.

Implementatie

Require signed add-ins van vertrouwde publishers. Unsigned/niet-vertrouwde → blocked. Corporate add-ins: sign met code signing certificate.

Vereisten

Office 2016+
Code signing infrastructure
vertrouwde Publishers GPO/Intune

Implementatie

Intune Settings Catalog: PowerPoint\Security\Vertrouwenscentrum → Require die application add-ins are signed door vertrouwde Publisher: ingeschakeld.

Compliance en Auditing

CIS Office Benchmark, BIO 12.06 (Software execution controls).

Monitoring

Gebruik PowerShell-script addins-trusted-publisher-required.ps1 (functie Invoke-Monitoring) – Controleren.

Remediatie

Gebruik PowerShell-script addins-trusted-publisher-required.ps1 (functie Invoke-Remediation) – Herstellen.

Compliance & Frameworks

CIS M365: Control Office - Add-ins (L1) -
BIO: 12.06.01 -

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell

<#
.SYNOPSIS
    Dwingt vertrouwde uitgever handtekening voor add-ins in PowerPoint

.DESCRIPTION
    Dit script implementeert CIS control O365-PT-000008 voor het afdwingen dat applicatie 
    add-ins digitaal ondertekend moeten zijn door een vertrouwde uitgever in Microsoft PowerPoint. 
    Dit voorkomt uitvoering van onveilige add-ins zonder expliciete verificatie.

.REQUIREMENTS
    - PowerShell 5.1 of hoger
    - Lokale administrator rechten voor registry wijzigingen
    - Microsoft PowerPoint geïnstalleerd

.PARAMETER Monitoring
    Controleert de huidige compliance status

.PARAMETER Remediation  
    Past de aanbevolen configuratie toe

.PARAMETER Revert
    Herstelt de originele configuratie

.PARAMETER WhatIf
    Toont wat er zou gebeuren zonder wijzigingen door te voeren

.EXAMPLE
    .\addins-trusted-publisher-required.ps1 -Monitoring
    Controleert of add-in handtekening is vereist

.EXAMPLE
    .\addins-trusted-publisher-required.ps1 -Remediation
    Dwingt add-in handtekening door vertrouwde uitgever

.NOTES
    Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\POWERPOINT\Security
    Waarde: addinstrustedpublisherrequired = 1
    
    CIS Control: O365-PT-000008
    DISA STIG: Microsoft Office 365 ProPlus v3r3
#>

#Requires -Version 5.1

param(
    [switch]$Monitoring,
    [switch]$Remediation,
    [switch]$Revert,
    [switch]$WhatIf
)

# Globale variabelen
$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\POWERPOINT\Security"
$ValueName = "addinstrustedpublisherrequired"
$ExpectedValue = 1
$ControlID = "O365-PT-000008"

function Test-Compliance {
    try {
        if (-not (Test-Path $RegistryPath)) {
            return $false
        }

        $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
        return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue)
    }
    catch {
        return $false
    }
}

function Invoke-Monitoring {
    Write-Host "Monitoring ${ControlID}: Vertrouwde uitgever handtekening voor add-ins afdwingen" -ForegroundColor Green

    try {
        if (-not (Test-Path $RegistryPath)) {
            Write-Host "✗ Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red
            return $false
        }

        $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue

        if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) {
            Write-Host "✓ Control compliant: ${ValueName} = $ExpectedValue" -ForegroundColor Green
            return $true
        }
        else {
            $actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" }
            Write-Host "✗ Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red
            return $false
        }
    }
    catch {
        Write-Host "✗ Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
        return $false
    }
}

function Invoke-Remediation {
    Write-Host "Remediating ${ControlID}: Vertrouwde uitgever handtekening voor add-ins afdwingen" -ForegroundColor Yellow

    try {
        if ($WhatIf) {
            Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan
            return $true
        }

        if (-not (Test-Path $RegistryPath)) {
            Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow
            New-Item -Path $RegistryPath -Force | Out-Null
        }

        Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force
        Write-Host "✓ Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green

        Start-Sleep -Seconds 1
        return Invoke-Monitoring
    }
    catch {
        Write-Host "✗ Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
        return $false
    }
}

function Invoke-Revert {
    Write-Host "Reverting ${ControlID}: Add-in handtekening instelling herstellen" -ForegroundColor Yellow

    try {
        if ($WhatIf) {
            Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan
            return $true
        }

        if (Test-Path $RegistryPath) {
            Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
            Write-Host "✓ Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green
        }

        return $true
    }
    catch {
        Write-Host "✗ Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red
        return $false
    }
}

# Hoofd uitvoering
try {
    if ($Monitoring) {
        $result = Invoke-Monitoring
        exit $(if ($result) { 0 } else { 1 })
    }
    elseif ($Remediation) {
        $result = Invoke-Remediation
        exit $(if ($result) { 0 } else { 1 })
    }
    elseif ($Revert) {
        $result = Invoke-Revert
        exit $(if ($result) { 0 } else { 1 })
    }
    else {
        Write-Host "Gebruik: .\addins-trusted-publisher-required.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
        Write-Host "  -Monitoring: Controleer huidige compliance status" -ForegroundColor White
        Write-Host "  -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White
        Write-Host "  -Revert: Herstel originele configuratie" -ForegroundColor White
        Write-Host "  -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White
    }
}
catch {
    Write-Host "✗ Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red
    exit 1
}

Risico zonder implementatie

High: Hoog: Unsigned PowerPoint add-ins is malware execution, system compromise.

Management Samenvatting

Vereist een vertrouwde uitgever voor add-ins voor PowerPoint add-ins. Implementatie: 2-4 uur.

Implementatietijd: 4 uur
FTE required: 0.02 FTE

PowerPoint Add-ins: Vereist Een Vertrouwde Uitgever Voor Add-ins

💼 Management Samenvatting

Implementatie

Vereisten

Implementatie

Compliance en Auditing

Monitoring

Remediatie

Compliance & Frameworks

Automation

Risico zonder implementatie

Management Samenvatting

Share artikel