💼 Management Samenvatting
Protected View inschakelen voor PowerPoint-bestanden op onveilige locaties plaatst presentaties uit Temp-folders en onbekende network shares automatisch in een read-only sandbox, wat macro-execution blokkeert totdat gebruikers bewust kiezen om editing te enableren. Deze automatische bescherming voorkomt malware-infecties van high-risk bestandslocaties.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Microsoft PowerPoint
Onveilige bestandslocaties zoals Temp folders (bijvoorbeeld %TEMP%, browser download folders), onbekende of untrusted network shares (zoals \\unknown-server\share van niet-corporate file servers), en Internet zone folders zijn high-risk locaties waar malware vaak wordt gedownload. De attack scenario is: malware wordt gedownload naar een Temp folder door een drive-by download of malicious email attachment, gebruiker opent het .pptm PowerPoint-bestand vanuit de Temp location, zonder Protected View worden macros automatisch uitgevoerd (afhankelijk van macro security settings), en malware-infectie treedt op. Protected View fungeert als sandbox waarbij bestanden uit unsafe locations automatisch in read-only mode worden geopend met editing uitgeschakeld, macros volledig geblokkeerd zijn en niet kunnen executeren, external content zoals embedded images of videos wordt geblokkeerd, en gebruikers expliciet moeten clicken op 'Enable Editing' om de sandbox te verlaten en normale functionality te krijgen. Dit bewuste user decision-punt voorkomt automatic macro execution en dwingt users om na te denken voordat they trust het bestand. De defense werkt automatisch zonder user configuration - PowerPoint detecteert unsafe locations en past Protected View automatically toe.
PowerShell Modules Vereist
Primary API: Intune / GPO
Connection:
Required Modules:
Connection:
Registry-basedRequired Modules:
Implementatie
Deze maatregel configureert de policy 'Do not open files in unsafe locations in Protected View' op Disabled, wat contra-intuïtief klinkt maar betekent: DO NOT disable Protected View voor unsafe locations, oftewel Protected View wordt WEL toegepast op unsafe locations. De implementatie gebeurt via Intune Settings Catalog onder PowerPoint Security Trust Center Protected View settings of via Group Policy. Het effect is dat PowerPoint-files vanuit Temp folders en downloads automatisch in Protected View sandbox worden geopend waarbij macros geblokkeerd blijven totdat gebruiker expliciet 'Enable Editing' kiest. Deze implementation kost 1-2 uur, heeft geen negative user impact (alleen extra click voor unsafe files), en biedt automatic protection tegen macro malware. Dit is een must-have control voor CIS Office Benchmark Level 1 en BIO 12.02.
Vereisten
- PowerPoint 2016+
- Intune of GPO
Implementatie
Intune Settings Catalog: PowerPoint\Security\Trust Center\Protected View → Do not open files in unsafe locations in Protected View: Disabled (Protected View ENABLED for unsafe locations).
Compliance
CIS Office Benchmark L1, BIO 12.02, Microsoft Security Baseline.
Monitoring
Gebruik PowerShell-script unsafe-locations-protected-view-enabled.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script unsafe-locations-protected-view-enabled.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control Office - Protected View (L1) -
- BIO: 12.02.01 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Dwingt onveilige locatiebestanden te openen in Protected View in PowerPoint
.DESCRIPTION
Dit script implementeert CIS control O365-PT-000011 voor het openen van bestanden uit
onveilige locaties in Protected View in Microsoft PowerPoint. Dit beschermt tegen potentieel
schadelijke bestanden van niet-vertrouwde locaties.
.REQUIREMENTS
- PowerShell 5.1 of hoger
- Lokale administrator rechten voor registry wijzigingen
- Microsoft PowerPoint geïnstalleerd
.PARAMETER Monitoring
Controleert de huidige compliance status
.PARAMETER Remediation
Past de aanbevolen configuratie toe
.PARAMETER Revert
Herstelt de originele configuratie
.PARAMETER WhatIf
Toont wat er zou gebeuren zonder wijzigingen door te voeren
.EXAMPLE
.\unsafe-locations-protected-view-enabled.ps1 -Monitoring
Controleert of onveilige locaties in Protected View worden geopend
.EXAMPLE
.\unsafe-locations-protected-view-enabled.ps1 -Remediation
Dwingt Protected View voor onveilige locaties
.NOTES
Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\PowerPoint\Security\ProtectedView
Waarde: DisableUnsafeLocationsInPV = 0
CIS Control: O365-PT-000011
DISA STIG: Microsoft Office 365 ProPlus v3r3
#>
#Requires -Version 5.1
param(
[switch]$Monitoring,
[switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf
)
# Globale variabelen
$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\PowerPoint\Security\ProtectedView"
$ValueName = "DisableUnsafeLocationsInPV"
$ExpectedValue = 0
$ControlID = "O365-PT-000011"
function Test-Compliance {
try {
if (-not (Test-Path $RegistryPath)) {
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue)
}
catch {
return $false
}
}
function Invoke-Monitoring {
Write-Host "Monitoring ${ControlID}: Onveilige locaties in Protected View openen" -ForegroundColor Green
try {
if (-not (Test-Path $RegistryPath)) {
Write-Host "✗ Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) {
Write-Host "✓ Control compliant: ${ValueName} = $ExpectedValue (Onveilige locaties openen in Protected View)" -ForegroundColor Green
return $true
}
else {
$actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" }
Write-Host "✗ Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red
return $false
}
}
catch {
Write-Host "✗ Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Remediation {
Write-Host "Remediating ${ControlID}: Onveilige locaties in Protected View openen" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan
return $true
}
if (-not (Test-Path $RegistryPath)) {
Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow
New-Item -Path $RegistryPath -Force | Out-Null
}
Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force
Write-Host "✓ Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green
Start-Sleep -Seconds 1
return Invoke-Monitoring
}
catch {
Write-Host "✗ Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Revert {
Write-Host "Reverting ${ControlID}: Onveilige locaties Protected View instelling herstellen" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan
return $true
}
if (Test-Path $RegistryPath) {
Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
Write-Host "✓ Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green
}
return $true
}
catch {
Write-Host "✗ Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
# Hoofd uitvoering
try {
if ($Monitoring) {
$result = Invoke-Monitoring
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Remediation) {
$result = Invoke-Remediation
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Revert) {
$result = Invoke-Revert
exit $(if ($result) { 0 } else { 1 })
}
else {
Write-Host "Gebruik: .\unsafe-locations-protected-view-enabled.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
Write-Host " -Monitoring: Controleer huidige compliance status" -ForegroundColor White
Write-Host " -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White
Write-Host " -Revert: Herstel originele configuratie" -ForegroundColor White
Write-Host " -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White
Write-Host ""
Write-Host "Handmatige configuratie:" -ForegroundColor Cyan
Write-Host "Group Policy: User Configuration > Administrative Templates > Microsoft PowerPoint 2016" -ForegroundColor White
Write-Host "> PowerPoint Options > Security > Trust Center > Protected View" -ForegroundColor White
Write-Host "> Do not open files in unsafe locations in Protected View: Disabled" -ForegroundColor White
}
}
catch {
Write-Host "✗ Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
High: Hoog: Unsafe location files = macro malware (Temp/downloads).
Management Samenvatting
Protected View: Unsafe locations (Temp, downloads). Sandbox = macro blocking. User conscious exit. Implementatie: 1-2 uur.
- Implementatietijd: 2 uur
- FTE required: 0.01 FTE