💼 Management Samenvatting
Het uitschakelen van niet-ondertekende add-ins in Microsoft PowerPoint blokkeert alle executable code zonder digitale handtekening, wat stricter is dan alleen 'trusted publisher vereisen'. Deze maatregel voorkomt dat malicious add-ins vermomd als PowerPoint-uitbreidingen kunnen worden geïnstalleerd en uitgevoerd.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Microsoft PowerPoint
PowerPoint add-ins breiden functionaliteit uit via COM add-ins en automation-scripts met volledige code-execution capabilities. Niet-ondertekende add-ins bieden zero verificatie van publisher identity of code integrity. Malware-risico's omvatten fake 'PowerPoint enhancement' add-ins die trojans zijn. De policy-strengths zijn: 'Require trusted publisher' blokkeert unsigned of toont prompts (users kunnen overriden), terwijl 'Disable unsigned' ALLE unsigned add-ins blokkeert zonder user override (strictest protection).
PowerShell Modules Vereist
Primary API: Intune / GPO
Connection:
Required Modules:
Connection:
Registry-basedRequired Modules:
Implementatie
Deze maatregel configureert 'Disable all unsigned application add-ins' op Enabled voor PowerPoint. Unsigned add-ins worden volledig geblokkeerd, signed + trusted add-ins worden auto-allowed, signed niet-trusted add-ins tonen user prompt. Code signing is vereist voor corporate add-ins. Implementatie via Intune Settings Catalog of Group Policy. Dit kost 1-3 uur en voldoet aan CIS Office Benchmark Level 2 en BIO 12.06.01.
Vereisten
- PowerPoint 2016+
- Code signing infrastructure
- Intune of GPO
Implementatie
Intune Settings Catalog: PowerPoint\Security\Trust Center → Disable all unsigned application add-ins: Enabled.
Compliance
CIS Office Benchmark L2, BIO 12.06.
Monitoring
Gebruik PowerShell-script disable-unsigned-addins.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script disable-unsigned-addins.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control Office - Unsigned add-ins (L2) -
- BIO: 12.06.01 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Schakelt Trust Bar meldingen voor niet-ondertekende add-ins uit en blokkeert deze in PowerPoint
.DESCRIPTION
Dit script implementeert CIS control O365-PT-000008 voor het uitschakelen van Trust Bar
meldingen voor niet-ondertekende applicatie add-ins en het blokkeren ervan in Microsoft PowerPoint.
Dit voorkomt dat gebruikers onveilige add-ins kunnen uitvoeren zonder expliciete waarschuwingen.
.REQUIREMENTS
- PowerShell 5.1 of hoger
- Lokale administrator rechten voor registry wijzigingen
- Microsoft PowerPoint geïnstalleerd
.PARAMETER Monitoring
Controleert de huidige compliance status
.PARAMETER Remediation
Past de aanbevolen configuratie toe
.PARAMETER Revert
Herstelt de originele configuratie
.PARAMETER WhatIf
Toont wat er zou gebeuren zonder wijzigingen door te voeren
.EXAMPLE
.\disable-unsigned-addins.ps1 -Monitoring
Controleert of Trust Bar meldingen zijn uitgeschakeld
.EXAMPLE
.\disable-unsigned-addins.ps1 -Remediation
Schakelt Trust Bar meldingen uit voor niet-ondertekende add-ins
.NOTES
Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\PowerPoint\Security\TrustCenter
Waarde: DisableTrustBarNotificationForUnsignedAddins = 1
CIS Control: O365-PT-000008
DISA STIG: Microsoft Office 365 ProPlus v3r3
#>
#Requires -Version 5.1
param(
[switch]$Monitoring,
[switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf
)
# Globale variabelen
$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\PowerPoint\Security\TrustCenter"
$ValueName = "DisableTrustBarNotificationForUnsignedAddins"
$ExpectedValue = 1
$ControlID = "O365-PT-000008"
function Test-Compliance {
try {
if (-not (Test-Path $RegistryPath)) {
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue)
}
catch {
return $false
}
}
function Invoke-Monitoring {
Write-Host "Monitoring ${ControlID}: Trust Bar meldingen voor niet-ondertekende add-ins uitschakelen" -ForegroundColor Green
try {
if (-not (Test-Path $RegistryPath)) {
Write-Host "✗ Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) {
Write-Host "✓ Control compliant: ${ValueName} = $ExpectedValue" -ForegroundColor Green
return $true
}
else {
$actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" }
Write-Host "✗ Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red
return $false
}
}
catch {
Write-Host "✗ Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Remediation {
Write-Host "Remediating ${ControlID}: Trust Bar meldingen voor niet-ondertekende add-ins uitschakelen" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan
return $true
}
if (-not (Test-Path $RegistryPath)) {
Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow
New-Item -Path $RegistryPath -Force | Out-Null
}
Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force
Write-Host "✓ Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green
Start-Sleep -Seconds 1
return Invoke-Monitoring
}
catch {
Write-Host "✗ Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Revert {
Write-Host "Reverting ${ControlID}: Trust Bar meldingen herstellen" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan
return $true
}
if (Test-Path $RegistryPath) {
Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
Write-Host "✓ Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green
}
return $true
}
catch {
Write-Host "✗ Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
# Hoofd uitvoering
try {
if ($Monitoring) {
$result = Invoke-Monitoring
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Remediation) {
$result = Invoke-Remediation
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Revert) {
$result = Invoke-Revert
exit $(if ($result) { 0 } else { 1 })
}
else {
Write-Host "Gebruik: .\disable-unsigned-addins.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
Write-Host " -Monitoring: Controleer huidige compliance status" -ForegroundColor White
Write-Host " -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White
Write-Host " -Revert: Herstel originele configuratie" -ForegroundColor White
Write-Host " -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White
Write-Host ""
Write-Host "Handmatige configuratie:" -ForegroundColor Cyan
Write-Host "Group Policy: User Configuration > Administrative Templates > Microsoft PowerPoint 2016" -ForegroundColor White
Write-Host "> PowerPoint Options > Security > Trust Center" -ForegroundColor White
Write-Host "> Disable Trust Bar Notification for unsigned application add-ins and block them: Enabled" -ForegroundColor White
}
}
catch {
Write-Host "✗ Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Medium: Unsigned PowerPoint add-ins = malware risk.
Management Samenvatting
Disable PowerPoint unsigned add-ins (strict). No user override. Code signing required. Implementatie: 1-3 uur.
- Implementatietijd: 3 uur
- FTE required: 0.01 FTE