πΌ Management Samenvatting
Require trusted publisher for Visio add-ins - verifies add-in code signing certificate (prevents unsigned/untrusted add-ins).
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 1u)
Van toepassing op:
β Microsoft Visio
Add-in trust = code signing: Visio add-ins: Extend functionality (COM add-ins, stencils), Unsigned: No verification (malware risk), Signed + trusted: Certificate in Trusted Publishers store (auto-allow), Signed (not trusted): User prompt (install certificate?), Unsigned: BLOCKED. Defense: Only pre-approved (trusted) add-ins auto-load. Enterprise: Code-sign corporate add-ins β push certificate to Trusted Publishers (GPO/Intune).
PowerShell Modules Vereist
Primary API: Intune / GPO
Connection:
Required Modules:
Connection:
Registry-basedRequired Modules:
Implementatie
Require trusted publisher: Policy: Require that application add-ins are signed by Trusted Publisher: Enabled, Effect: Unsigned: BLOCKED, Signed (trusted): Auto-allow, Signed (not trusted): User prompt (install to Trusted Publishers?).
Vereisten
- Visio 2016+
- Code signing infrastructure
- Trusted Publishers: Certificate deployment (GPO/Intune)
- Intune of GPO
Implementatie
Gebruik PowerShell-script addins-trusted-publisher-required.ps1 (functie Invoke-Implementation) β Implementeren.
Intune Settings Catalog: Visio\Security\Trust Center β Require that application add-ins are signed by Trusted Publisher: Enabled. Certificate deployment: Intune.
Compliance
CIS Office Benchmark L1, BIO 12.06.
Monitoring
Gebruik PowerShell-script addins-trusted-publisher-required.ps1 (functie Invoke-Monitoring) β Controleren.
Remediatie
Gebruik PowerShell-script addins-trusted-publisher-required.ps1 (functie Invoke-Remediation) β Herstellen.
Compliance & Frameworks
- CIS M365: Control Office - Trusted publisher (L1) -
- BIO: 12.06.01 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Visio: Add-ins Vereist een vertrouwde uitgever voor add-ins
.DESCRIPTION
Implementeert, monitort en herstelt: Visio: Add-ins Vereist een vertrouwde uitgever voor add-ins
.NOTES
Filename: addins-trusted-publisher-required.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Workload: office
Category: visio
#>
#Requires -Version 5.1
[CmdletBinding()]
param()
$ErrorActionPreference = 'Stop'
function Invoke-Implementation {
<#
.SYNOPSIS
Implementeert de configuratie
#>
[CmdletBinding()]
param()
Write-Host "[INFO] Invoke-Implementation - Visio: Add-ins Vereist een vertrouwde uitgever voor add-ins" -ForegroundColor Cyan
Invoke-Remediation
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de huidige configuratie status
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Visio: Add-ins Vereist een vertrouwde uitgever voor add-ins - Monitoring" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer monitoring logica voor Visio: Add-ins Vereist een vertrouwde uitgever voor add-ins
Write-Host "[INFO] Monitoring check voor Visio: Add-ins Vereist een vertrouwde uitgever voor add-ins" -ForegroundColor Yellow
Write-Host "[OK] Monitoring check completed" -ForegroundColor Green
}
catch {
Write-Error "Monitoring failed: $_"
throw
}
}
function Invoke-Remediation {
<#
.SYNOPSIS
Herstelt de configuratie naar de gewenste staat
#>
[CmdletBinding()]
param()
try {
Write-Host "
========================================" -ForegroundColor Cyan
Write-Host "Visio: Add-ins Vereist een vertrouwde uitgever voor add-ins - Remediation" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
# TODO: Implementeer remediation logica voor Visio: Add-ins Vereist een vertrouwde uitgever voor add-ins
Write-Host "[INFO] Remediation voor Visio: Add-ins Vereist een vertrouwde uitgever voor add-ins" -ForegroundColor Yellow
Write-Host "[OK] Remediation completed" -ForegroundColor Green
}
catch {
Write-Error "Remediation failed: $_"
throw
}
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Medium: Unsigned Visio add-ins = malware risk.
Management Samenvatting
Require Visio add-ins: Trusted publisher (code signing). Unsigned blocked. Implementatie: 1-3 uur.
- Implementatietijd: 3 uur
- FTE required: 0.01 FTE