πΌ Management Samenvatting
Word Add-ins vertrouwde Publisher requirement Blokkeert unsigned of niet-vertrouwde add-ins (.wll, .dotm templates met code) om malware execution te voorkomen terwijl legitimate signed add-ins toegestaan blijven.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
6u (tech: 2u)
Van toepassing op:
β Microsoft Word
Word add-ins is executable code: .WLL add-ins (native DLLs - C/C++), .DOTM templates (VBA macros), Add-ins load automatische (startup), Persistence over sessies. Malware scenarios: Phishing email β malicious Word template attachment, Trojanized add-in (fake 'grammar checker'), Diefstal van inloggegevens via add-in keystroke logging. Zonder vertrouwde Publisher: enige signed add-in loads (stolen cert), Unsigned add-ins prompt user (social engineering), No certificaat validatie (expired certs accepted).
Implementatie
vertrouwde Publisher requirement: Add-ins MOET signed zijn (code signing certificaat), certificaat in vertrouwde Publishers store (explicit admin/user trust), Unsigned β blocked (no schakel in), niet-vertrouwde publishers β blocked. Implementation: Corporate add-ins pre-signed, vertrouwde Publishers distributed via GPO/Intune, User training: nooit trust unknown publishers.
Vereisten
- Office 2016+
- Code signing certificaatn (corporate add-ins)
- vertrouwde Publishers GPO/Intune
- Add-in inventory
Implementatie
Intune Settings Catalog: Word\Security\Vertrouwenscentrum β Require die application add-ins are signed door vertrouwde Publisher: ingeschakeld. Distribute vertrouwde publisher certs via GPO: Computer Config β Windows Settings β Beveiligingsinstellingen β Public Key beleidsregels β vertrouwde Publishers.
Monitoring
Gebruik PowerShell-script addins-trusted-publisher-required.ps1 (functie Invoke-Monitoring) β Controleren.
Monitor blocked add-in attempts, audit vertrouwde Publishers list quarterly.
Compliance en Auditing
Add-in security: CIS Office Benchmark (Add-in trust), BIO 12.06 (Software execution controls), ISO 27001 A.14.2.1.
Remediatie
Gebruik PowerShell-script addins-trusted-publisher-required.ps1 (functie Invoke-Remediation) β Herstellen.
Compliance & Frameworks
- CIS M365: Control Office Benchmark - Add-ins (L1) -
- BIO: 12.06.01 -
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Dwingt vertrouwde uitgever handtekening voor add-ins in Word
.DESCRIPTION
Dit script implementeert CIS control O365-WD-000001 voor het afdwingen dat applicatie
add-ins digitaal ondertekend moeten zijn door een vertrouwde uitgever in Microsoft Word.
Dit voorkomt uitvoering van onveilige add-ins zonder expliciete verificatie.
.REQUIREMENTS
- PowerShell 5.1 of hoger
- Lokale administrator rechten voor registry wijzigingen
- Microsoft Word geΓ―nstalleerd
.PARAMETER Monitoring
Controleert de huidige compliance status
.PARAMETER Remediation
Past de aanbevolen configuratie toe
.PARAMETER Revert
Herstelt de originele configuratie
.PARAMETER WhatIf
Toont wat er zou gebeuren zonder wijzigingen door te voeren
.EXAMPLE
.\addins-trusted-publisher-required.ps1 -Monitoring
Controleert of add-in handtekening is vereist
.EXAMPLE
.\addins-trusted-publisher-required.ps1 -Remediation
Dwingt add-in handtekening door vertrouwde uitgever
.NOTES
Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\Word\Security
Waarde: RequireAddinSig = 1
CIS Control: O365-WD-000001
DISA STIG: Microsoft Office 365 ProPlus v3r3
#>
#Requires -Version 5.1
param(
[switch]$Monitoring,
[switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf
)
# Globale variabelen
$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\Word\Security"
$ValueName = "RequireAddinSig"
$ExpectedValue = 1
$ControlID = "O365-WD-000001"
function Test-Compliance {
try {
if (-not (Test-Path $RegistryPath)) {
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue)
}
catch {
return $false
}
}
function Invoke-Monitoring {
Write-Host "Monitoring ${ControlID}: Vertrouwde uitgever handtekening voor add-ins afdwingen" -ForegroundColor Green
try {
if (-not (Test-Path $RegistryPath)) {
Write-Host "β Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) {
Write-Host "β Control compliant: ${ValueName} = $ExpectedValue" -ForegroundColor Green
return $true
}
else {
$actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" }
Write-Host "β Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red
return $false
}
}
catch {
Write-Host "β Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Remediation {
Write-Host "Remediating ${ControlID}: Vertrouwde uitgever handtekening voor add-ins afdwingen" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan
return $true
}
if (-not (Test-Path $RegistryPath)) {
Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow
New-Item -Path $RegistryPath -Force | Out-Null
}
Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force
Write-Host "β Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green
Start-Sleep -Seconds 1
return Invoke-Monitoring
}
catch {
Write-Host "β Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
function Invoke-Revert {
Write-Host "Reverting ${ControlID}: Add-in handtekening instelling herstellen" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan
return $true
}
if (Test-Path $RegistryPath) {
Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue
Write-Host "β Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green
}
return $true
}
catch {
Write-Host "β Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red
return $false
}
}
# Hoofd uitvoering
try {
if ($Monitoring) {
$result = Invoke-Monitoring
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Remediation) {
$result = Invoke-Remediation
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Revert) {
$result = Invoke-Revert
exit $(if ($result) { 0 } else { 1 })
}
else {
Write-Host "Gebruik: .\addins-trusted-publisher-required.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
Write-Host " -Monitoring: Controleer huidige compliance status" -ForegroundColor White
Write-Host " -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White
Write-Host " -Revert: Herstel originele configuratie" -ForegroundColor White
Write-Host " -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White
Write-Host ""
Write-Host "Handmatige configuratie:" -ForegroundColor Cyan
Write-Host "Group Policy: User Configuration > Administrative Templates > Microsoft Word 2016" -ForegroundColor White
Write-Host "> Word Options > Security > Trust Center" -ForegroundColor White
Write-Host "> Require that application add-ins are signed by Trusted Publisher: Enabled" -ForegroundColor White
}
}
catch {
Write-Host "β Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
High: HOOG: Unsigned Word add-ins is malware persistence, keystroke logging, Diefstal van inloggegevens.
Management Samenvatting
Vereist een vertrouwde uitgever voor add-ins voor Word add-ins. Blokkeer unsigned. Sign corporate add-ins. Implementatie: 2-6 uur.
- Implementatietijd: 6 uur
- FTE required: 0.03 FTE