💼 Management Samenvatting
Het uitschakelen van niet-ondertekende add-ins in Microsoft Visio blokkeert alle executable code zonder digitale handtekening, wat stricter is dan alleen 'trusted publisher vereisen'. Deze maatregel voorkomt dat malicious add-ins vermomd als Visio-uitbreidingen kunnen worden geïnstalleerd en uitgevoerd.
Aanbeveling
IMPLEMENT
Risico zonder
Medium
Risk Score
6/10
Implementatie
3u (tech: 1u)
Van toepassing op:
✓ Microsoft Visio
Visio add-ins breiden de functionaliteit uit via COM add-ins, custom stencils en automation-scripts die diep geïntegreerd zijn in het applicatie-proces en volledige code-execution capabilities hebben. Niet-ondertekende add-ins bieden zero verificatie van de publisher-identiteit of code-integriteit, wat betekent dat er geen manier is om te verifiëren wie de add-in heeft gemaakt of dat de code niet is gemanipuleerd sinds creatie. Malware-risico's omvatten fake 'Visio enhancement' add-ins die als productivity tools worden gepresenteerd maar trojans zijn, waarbij aanvallers malicious add-ins distribueren via phishing-emails of malicious download-sites. Er zijn twee policy-strengths: 'Require trusted publisher' blokkeert unsigned add-ins of toont user prompts waarbij gebruikers kunnen overriden, terwijl 'Disable unsigned' (deze maatregel) ALLE unsigned add-ins blokkeert zonder user override-mogelijkheid wat de strictest protection biedt. Deze approach elimineert human error waarbij users malicious prompts approven.
PowerShell Modules Vereist
Primary API: Intune / GPO
Connection:
Required Modules:
Connection:
Registry-basedRequired Modules:
Implementatie
Deze maatregel configureert de policy 'Disable all unsigned application add-ins' op Enabled voor Microsoft Visio. Het effect is dat unsigned add-ins volledig worden geblokkeerd zonder prompts of override-mogelijkheden, signed add-ins van trusted publishers automatisch worden toegestaan, en signed add-ins van not-yet-trusted publishers een user prompt genereren waarbij de user de publisher kan trust. Voor corporate add-ins is code signing vereist via een corporate code signing certificate of commercial CA. De implementatie gebeurt via Intune Settings Catalog onder Visio Security Trust Center of via Group Policy. Deze implementatie kost 1-3 uur en voldoet aan CIS Office Benchmark Level 2 en BIO 12.06.01.
Vereisten
- Visio 2016+
- Code signing infrastructure
- Intune of GPO
Implementatie
Intune Settings Catalog: Visio\Security\Trust Center → Disable all unsigned application add-ins: Enabled.
Compliance
CIS Office Benchmark L2, BIO 12.06.
Monitoring
Gebruik PowerShell-script disable-unsigned-addins.ps1 (functie Invoke-Monitoring) – Controleren.
Remediatie
Gebruik PowerShell-script disable-unsigned-addins.ps1 (functie Invoke-Remediation) – Herstellen.
Compliance & Frameworks
- CIS M365: Control Office - Unsigned add-ins (L2) -
- BIO: 12.06.01 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Schakelt niet-ondertekende add-ins uit in Visio
.DESCRIPTION
Dit script implementeert CIS control O365-VI-000003 voor het uitschakelen van
niet-ondertekende add-ins in Microsoft Visio. Dit voorkomt dat potentieel schadelijke
add-ins worden uitgevoerd zonder digitale handtekening.
.REQUIREMENTS
- PowerShell 5.1 of hoger
- Lokale administrator rechten voor registry wijzigingen
- Microsoft Visio geïnstalleerd
.PARAMETER Monitoring
Controleert de huidige compliance status
.PARAMETER Remediation
Past de aanbevolen configuratie toe
.PARAMETER Revert
Herstelt de originele configuratie
.PARAMETER WhatIf
Toont wat er zou gebeuren zonder wijzigingen door te voeren
.EXAMPLE
.\disable-unsigned-addins.ps1 -Monitoring
Controleert of niet-ondertekende add-ins zijn uitgeschakeld
.EXAMPLE
.\disable-unsigned-addins.ps1 -Remediation
Schakelt niet-ondertekende add-ins uit
.NOTES
Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\VISIO\Security
Waarde: disableunsignedaddins = 1
CIS Control: O365-VI-000003
DISA STIG: Microsoft Office 365 ProPlus v3r3
#>
#Requires -Version 5.1
param(
[switch]$Monitoring,
[switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf
)
# Globale variabelen
$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\VISIO\Security"
$ValueName = "disableunsignedaddins"
$ExpectedValue = 1
$ControlID = "O365-VI-000003"
function Test-Compliance {
try {
if (-not (Test-Path $RegistryPath)) {
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue)
}
catch {
return $false
}
}
function Invoke-Monitoring {
Write-Host "Monitoring ${ControlID}: Niet-ondertekende add-ins uitschakelen" -ForegroundColor Green
try {
if (-not (Test-Path $RegistryPath)) {
Write-Host "✗ Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) {
Write-Host "✓ Control compliant: ${ValueName} = $ExpectedValue" -ForegroundColor Green
return $true
}
else {
$actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" }
Write-Host "✗ Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red
return $false
}
}
catch {
Write-Host "✗ Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Remediation {
Write-Host "Remediating ${ControlID}: Niet-ondertekende add-ins uitschakelen" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan
return $true
}
if (-not (Test-Path $RegistryPath)) {
Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow
New-Item -Path $RegistryPath -Force | Out-Null
}
Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force
Write-Host "✓ Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green
Start-Sleep -Seconds 1
return Invoke-Monitoring
}
catch {
Write-Host "✗ Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Revert {
Write-Host "Reverting ${ControlID}: Niet-ondertekende add-ins instelling herstellen" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan
return $true
}
if (Test-Path $RegistryPath) {
Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
Write-Host "✓ Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green
}
return $true
}
catch {
Write-Host "✗ Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
# Hoofd uitvoering
try {
if ($Monitoring) {
$result = Invoke-Monitoring
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Remediation) {
$result = Invoke-Remediation
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Revert) {
$result = Invoke-Revert
exit $(if ($result) { 0 } else { 1 })
}
else {
Write-Host "Gebruik: .\disable-unsigned-addins.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
Write-Host " -Monitoring: Controleer huidige compliance status" -ForegroundColor White
Write-Host " -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White
Write-Host " -Revert: Herstel originele configuratie" -ForegroundColor White
Write-Host " -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White
}
}
catch {
Write-Host "✗ Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
Medium: Medium: Unsigned Visio add-ins = malware risk.
Management Samenvatting
Disable Visio unsigned add-ins (strict). No user override. Code signing required. Implementatie: 1-3 uur.
- Implementatietijd: 3 uur
- FTE required: 0.01 FTE