💼 Management Samenvatting
Macrobeveiligingsinstellingen moeten worden toegepast op alle Outlook-items (e-mails, formulieren, bijlagen) om te voorkomen dat VBA-macromalware via e-mail kan worden uitgevoerd.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
2u (tech: 1u)
Van toepassing op:
✓ Outlook
✓ Microsoft 365 Apps
✓ Microsoft 365 Apps
Microsoft Outlook ondersteunt VBA-macro's op verschillende manieren, wat een aanzienlijk beveiligingsrisico vormt als deze functionaliteit niet consistent wordt beheerd. Outlook kan macro's uitvoeren via aangepaste e-mailformulieren die embedded VBA-code bevatten, via bijlagen in Office-documenten die macro's bevatten, en via Outlook-add-ins. Zonder adequate macrobeveiliging kunnen gebruikers kwaadaardige macrocode uitvoeren door verschillende vectoren, waaronder e-mailformulieren die automatisch openen bij het ontvangen van een bericht, ingesloten Office-documenten die macro's bevatten, en social engineering-aanvallen waarbij gebruikers worden misleid om macro's in te schakelen met berichten zoals "Schakel macro's in om deze e-mail te bekijken". Een typisch aanvalsscenario verloopt als volgt: een aanvaller verstuurt een phishing-e-mail met een aangepast Outlook-formulier, dit formulier bevat VBA-macrocode die automatisch wordt uitgevoerd wanneer de e-mail wordt geopend, en deze macrocode implementeert vervolgens malware op het systeem van het slachtoffer. De applymacrosecurityall-beleidsregel zorgt ervoor dat macrobeveiligingsinstellingen gelden voor alle Outlook-items zonder uitzonderingen, voorkomt dat macrobeveiliging wordt omzeild via speciale itemtypen, en garandeert consistente handhaving over e-mails, formulieren en bijlagen.
PowerShell Modules Vereist
Primary API: Intune / Group Policy
Connection:
Required Modules:
Connection:
RegistryRequired Modules:
Implementatie
Deze beveiligingsmaatregel activeert de applymacrosecurityall-instelling via het Windows-register. De specifieke registerwaarde bevindt zich in HKCU:\Software\Policies\Microsoft\Office\16.0\OUTLOOK\Security\applymacrosecurityall en moet worden ingesteld op 1. Deze configuratie is verplicht volgens DISA STIG O365-OU-000028 voor organisaties die moeten voldoen aan militaire beveiligingsstandaarden. Het effect van deze instelling is dat macrobeveiligingsbeleidsregels gelden voor alle Outlook-items zonder uitzonderingen, en dat er consistente macroblokkering of waarschuwingen worden toegepast over alle itemtypen, ongeacht of het gaat om standaard e-mailberichten, aangepaste formulieren of bijlagen.
Vereisten
Voor de succesvolle implementatie van de applymacrosecurityall-beveiligingsmaatregel zijn verschillende technische en organisatorische vereisten essentieel. Allereerst moet de organisatie beschikken over Microsoft 365 Apps met Outlook versie 16.0 of hoger. Deze versievereiste is belangrijk omdat oudere versies van Outlook mogelijk niet volledig ondersteuning bieden voor de applymacrosecurityall-registerinstelling, wat kan leiden tot inconsistente handhaving van macrobeveiligingsbeleidsregels. Organisaties moeten daarom eerst een inventarisatie uitvoeren van alle geïnstalleerde Outlook-versies binnen hun omgeving en ervoor zorgen dat alle apparaten zijn bijgewerkt naar een ondersteunde versie voordat de maatregel wordt geïmplementeerd.
Een kritieke begeleidende beleidsregel die gelijktijdig moet worden geconfigureerd, is de Outlook Macro-beveiligingsniveau-instelling. Deze separate controle bepaalt het algemene macrobeveiligingsniveau voor Outlook, zoals of macro's volledig worden geblokkeerd, alleen worden gewaarschuwd, of alleen worden toegestaan voor vertrouwde bronnen. De applymacrosecurityall-instelling werkt in combinatie met deze macrobeveiligingsniveau-instelling, waarbij applymacrosecurityall ervoor zorgt dat het gekozen beveiligingsniveau consistent wordt toegepast op alle Outlook-itemtypen. Zonder de juiste configuratie van beide instellingen kan de beveiliging worden omzeild of inconsistente gedragingen optreden. Beheerders moeten daarom beide instellingen gelijktijdig configureren en testen om te verzekeren dat ze correct samenwerken.
Vanuit organisatorisch perspectief is gebruikersbewustwording een essentiële vereiste. Gebruikers moeten worden geïnformeerd over het feit dat e-mails met ingeschakelde macro's mogelijk worden geblokkeerd of dat er waarschuwingen verschijnen wanneer zij proberen e-mails of bijlagen te openen die macro's bevatten. Deze communicatie moet duidelijk uitleggen waarom deze beveiligingsmaatregel is geïmplementeerd, wat de impact is op hun dagelijkse werkzaamheden, en wat zij moeten doen als zij legitieme e-mails ontvangen die macro's bevatten. Bovendien moet de servicedesk worden getraind in het herkennen van problemen die verband houden met macrobeveiliging, zodat zij gebruikers adequaat kunnen ondersteunen wanneer zij vragen hebben of problemen ondervinden. Een goed gecommuniceerde en ondersteunde implementatie vermindert gebruikersfrustratie en verhoogt de acceptatie van de beveiligingsmaatregel.
Technisch gezien vereist de implementatie toegang tot het Windows-register of de mogelijkheid om Group Policy of Microsoft Intune te gebruiken voor centrale configuratie. Voor organisaties die Group Policy gebruiken, moet de Group Policy Management Console beschikbaar zijn en moeten beheerders over de juiste rechten beschikken om beleidsregels te maken en te distribueren. Voor organisaties die Microsoft Intune gebruiken, moeten de juiste Intune-licenties aanwezig zijn en moeten apparaten correct zijn geregistreerd in Intune. Daarnaast is het belangrijk dat er een testomgeving beschikbaar is om de configuratie te valideren voordat deze wordt uitgerold naar productie, zodat eventuele compatibiliteitsproblemen of onverwachte gedragingen kunnen worden geïdentificeerd en opgelost voordat alle gebruikers worden beïnvloed.
Implementatie
De implementatie van de applymacrosecurityall-beveiligingsmaatregel begint met een grondige voorbereiding en planning. Voordat de configuratie wordt toegepast, is het essentieel om een volledige inventarisatie te maken van alle Outlook-installaties binnen de organisatie, inclusief de versienummers en de huidige macrobeveiligingsconfiguraties. Dit helpt om potentiële compatibiliteitsproblemen te identificeren en om te bepalen welke apparaten mogelijk moeten worden bijgewerkt voordat de wijziging wordt doorgevoerd. Daarnaast moet worden gecontroleerd of er bestaande aangepaste Outlook-formulieren of add-ins in gebruik zijn die mogelijk afhankelijk zijn van macrofunctionaliteit, zodat de impact op businessprocessen kan worden beoordeeld.
Voor organisaties die Microsoft Intune gebruiken voor apparaatbeheer, verloopt de implementatie via de Intune-beheerportal. Binnen Intune wordt een nieuwe apparaatconfiguratiebeleidsregel aangemaakt specifiek voor Microsoft 365 Apps, waarbij de instelling "Outlook Security" wordt geconfigureerd. Binnen deze instelling wordt de optie "Toepassen macrobeveiliging op alle items" ingesteld op "Ingeschakeld". Het is belangrijk om tijdens de implementatie gebruik te maken van een gefaseerde rolloutstrategie, waarbij eerst een kleine groep testgebruikers wordt geselecteerd om te valideren dat de configuratie correct werkt en geen onverwachte problemen veroorzaakt met bestaande applicaties of workflows. Na succesvolle validatie kan het beleid geleidelijk worden uitgerold naar grotere groepen gebruikers.
Voor organisaties die Group Policy gebruiken, wordt de configuratie toegepast via een Group Policy Object (GPO). Binnen de Group Policy Management Editor wordt naar het pad "User Configuration > Policies > Administrative Templates > Microsoft Outlook 2016 > Security > Security Form Settings" genavigeerd, waar de instelling "Apply macro security settings to all items" kan worden geconfigureerd en ingesteld op "Enabled". Deze GPO moet worden gekoppeld aan de juiste organisatie-eenheden (OU's) waar de gebruikers zich bevinden, en de Group Policy-replicatie moet worden geverifieerd om te zorgen dat alle domeincontrollers de bijgewerkte beleidsregel hebben ontvangen voordat gebruikers worden beïnvloed.
Gebruik PowerShell-script apply-macro-security-all.ps1 (functie Invoke-Remediation) – Schakel in applymacrosecurityall.
Na de implementatie is het cruciaal om te monitoren of de configuratie correct wordt toegepast op alle doelapparaten. Dit kan worden gedaan door regelmatig de registerwaarde te controleren op een steekproef van apparaten, of door gebruik te maken van geautomatiseerde monitoring scripts die de configuratiestatus valideren. Tijdens de implementatie is het belangrijk om nauw samen te werken met de helpdesk en eindgebruikers om snel te kunnen reageren op eventuele vragen of problemen. Gebruikers die legitieme e-mails ontvangen met macro's moeten worden geïnformeerd over alternatieve methoden om deze e-mails te verwerken, of er moet een uitzonderingsproces worden opgezet voor specifieke zakelijke use cases waarbij macro's essentieel zijn.
Monitoring
Effectieve monitoring van de applymacrosecurityall-beveiligingsmaatregel is essentieel om te verzekeren dat de configuratie correct functioneert en om tijdig te kunnen reageren op eventuele problemen of incidenten. De monitoring moet zich richten op verschillende aspecten van de implementatie, waaronder de configuratiestatus op apparaten, eventuele foutmeldingen of waarschuwingen, en de algemene effectiviteit van de maatregel in het voorkomen van macro-gerelateerde beveiligingsincidenten.
Voor organisaties die Microsoft Intune gebruiken, kunnen beheerders de compliancestatus van het apparaatconfiguratiebeleid monitoren via het Intune-beheercentrum. Hier wordt per apparaat weergegeven of het beleid succesvol is toegepast en of er eventuele fouten zijn opgetreden tijdens de beleidsdistributie. Daarnaast kunnen beheerders rapporten genereren die aangeven hoeveel apparaten de configuratie correct hebben ontvangen en hoeveel apparaten mogelijk problemen ondervinden. Deze informatie is cruciaal voor het identificeren van apparaten die mogelijk handmatige interventie vereisen of die niet correct zijn geregistreerd in Intune.
Voor organisaties die Group Policy gebruiken, kan de configuratiestatus worden gemonitord via Group Policy-resultaten (GPResult) of door gebruik te maken van geautomatiseerde scripts die de registerwaarde controleren op doelapparaten. Deze scripts kunnen regelmatig worden uitgevoerd om te verifiëren dat de applymacrosecurityall-registerwaarde correct is ingesteld op 1 voor alle gebruikers. Eventuele afwijkingen moeten worden onderzocht om te bepalen of het gaat om een configuratiefout, een conflict met andere beleidsregels, of een poging tot omzeiling van de beveiligingsmaatregel.
Gebruik PowerShell-script apply-macro-security-all.ps1 (functie Invoke-Monitoring) – Verifieer applymacrosecurityall is 1.
Naast technische monitoring is het belangrijk om ook gebruikersfeedback en incidentrapportages te monitoren. Regelmatige controles van helpdesktickets kunnen helpen bij het identificeren van problemen die gebruikers ondervinden met e-mails of bijlagen die macro's bevatten. Deze informatie kan worden gebruikt om de gebruikerscommunicatie te verbeteren of om aan te passingen aan de configuratie te overwegen als er legitieme zakelijke use cases zijn die niet goed worden ondersteund. Bovendien moeten beveiligingsincidenten waarbij macro's betrokken zijn, worden geanalyseerd om te bepalen of de applymacrosecurityall-maatregel effectief heeft gewerkt of dat er aanvullende beveiligingslagen nodig zijn.
Compliance en Auditing
De applymacrosecurityall-beveiligingsmaatregel is rechtstreeks gekoppeld aan meerdere compliance-eisen en beveiligingsstandaarden die van toepassing zijn op Nederlandse overheidsorganisaties. De DISA STIG O365-OU-000028 vereist expliciet dat macrobeveiligingsinstellingen worden toegepast op alle Outlook-items, wat deze maatregel tot een verplichte controle maakt voor organisaties die moeten voldoen aan militaire beveiligingsstandaarden. Deze STIG-controle is geclassificeerd als MANDATORY, wat betekent dat organisaties die onder deze standaard vallen, deze configuratie moeten implementeren zonder uitzonderingen. De implementatie van deze maatregel moet worden gedocumenteerd in het beveiligingsplan en moet beschikbaar zijn voor auditors die de naleving van DISA STIG-vereisten controleren.
De Baseline Informatiebeveiliging Overheid (BIO) hoofdstuk 12.02 schrijft voor dat organisaties adequate bescherming moeten bieden tegen malware en kwaadaardige code. Macro's in e-mailberichten vormen een primaire vector voor malware-distributie, en door macrobeveiliging consistent toe te passen op alle Outlook-items, toont de organisatie aan dat zij deze BIO-vereiste concreet naleeft. De implementatie moet worden vastgelegd in het informatiebeveiligingsbeleid, en regelmatige audits moeten aantonen dat de configuratie actief is en effectief werkt. Voor auditors is het belangrijk om te kunnen verifiëren dat er geen uitzonderingen zijn gemaakt die de beveiliging kunnen ondermijnen, en dat alle apparaten binnen de organisatie de configuratie correct hebben ontvangen.
ISO 27001:2022 controle A.8.7 (bescherming tegen malware) vereist dat organisaties adequate maatregelen implementeren om systemen te beschermen tegen kwaadaardige code. De applymacrosecurityall-maatregel draagt direct bij aan deze controle door te voorkomen dat macro's in e-mailberichten kunnen worden uitgevoerd zonder de juiste beveiligingscontroles. Voor ISO 27001-certificering moet de organisatie kunnen aantonen dat deze maatregel is geïmplementeerd, dat deze wordt gemonitord, en dat er procedures zijn voor het reageren op incidenten waarbij macro's betrokken zijn. De documentatie moet duidelijk beschrijven hoe de maatregel bijdraagt aan de algehele beveiligingspostuur van de organisatie en hoe deze is geïntegreerd in het informatiebeveiligingsmanagementsysteem (ISMS).
Voor auditdoeleinden is het belangrijk om uitgebreide documentatie bij te houden van de implementatie, configuratie en monitoring van de applymacrosecurityall-maatregel. Deze documentatie moet screenshots bevatten van de configuratie in Intune of Group Policy, exports van de registerwaarden op steekproefapparaten, en rapporten die aantonen dat de configuratie actief is op alle relevante apparaten. Daarnaast moeten eventuele uitzonderingen of speciale gevallen worden gedocumenteerd met een duidelijke rationale en goedkeuring van de beveiligingsafdeling. Auditlogs moeten worden bewaard voor de vereiste bewaartermijn, en regelmatige compliance-rapportages moeten worden gegenereerd om te verifiëren dat de maatregel consistent wordt toegepast en dat er geen afwijkingen zijn die de beveiliging kunnen ondermijnen.
Remediatie
Wanneer monitoring aangeeft dat de applymacrosecurityall-configuratie niet correct is geconfigureerd of niet actief is op bepaalde apparaten, is het belangrijk om snel te kunnen reageren met passende remediatiemaatregelen. De remediatie begint met een grondige analyse van de oorzaak van het probleem, waarbij wordt gekeken naar verschillende mogelijke oorzaken zoals beleidsdistributiefouten, apparaatconfiguratieproblemen, of conflicterende instellingen die de configuratie kunnen overschrijven.
Als de configuratie niet correct is toegepast via Intune, kan dit verschillende oorzaken hebben. Allereerst moet worden gecontroleerd of het apparaat correct is geregistreerd in Intune en of er voldoende netwerkconnectiviteit is voor beleidsdistributie. Vervolgens kan een geforceerde beleidssynchronisatie worden geïnitieerd vanuit Intune, of kan de gebruiker worden gevraagd om handmatig een synchronisatie uit te voeren vanuit de apparaatinstellingen. Als het beleid wel is ontvangen maar niet correct wordt toegepast, kan dit duiden op een conflict met andere beleidsregels of registerinstellingen die de applymacrosecurityall-waarde overschrijven. In dergelijke gevallen moet worden onderzocht welke andere configuraties mogelijk interfereren en moeten deze worden aangepast of verwijderd.
Voor organisaties die Group Policy gebruiken, kan de remediatie bestaan uit het opnieuw toepassen van de GPO, het controleren van de Group Policy-replicatie tussen domeincontrollers, of het handmatig instellen van de registerwaarde op apparaten waar de GPO niet correct is toegepast. Als er conflicterende GPO's zijn die de instelling overschrijven, moeten deze worden geïdentificeerd en aangepast. In sommige gevallen kan het nodig zijn om de Microsoft 365 Apps opnieuw te installeren of bij te werken naar een nieuwere versie die volledige ondersteuning biedt voor de applymacrosecurityall-functie.
Gebruik PowerShell-script apply-macro-security-all.ps1 (functie Invoke-Remediation) – Herstellen.
Geautomatiseerde remediatiescripts kunnen worden gebruikt om veelvoorkomende problemen automatisch op te lossen, wat de efficiëntie verhoogt en de tijd tot resolutie verkort. Deze scripts kunnen regelmatig worden uitgevoerd om te controleren of de configuratie correct is en om automatisch corrigerende acties uit te voeren wanneer afwijkingen worden gedetecteerd. Na remediatie moet altijd worden geverifieerd dat de configuratie correct is toegepast en dat er geen negatieve impact is op de functionaliteit van Outlook of andere applicaties. Documentatie van alle remediatieacties moet worden bijgehouden voor auditdoeleinden en om patronen te identificeren die kunnen wijzen op systematische problemen die een structurele oplossing vereisen.
Compliance & Frameworks
- BIO: 12.02.01 - Bescherming tegen malware - Macro beveiliging
- ISO 27001:2022: A.8.7 - Bescherming tegen malware
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
# Control: O365-OU-000028 - apply macro security all
#Requires -Version 5.1
# DISA STIG Microsoft Office 365 ProPlus v3r3
param(
[string]$RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\OUTLOOK\Security",
[switch]$Monitoring,
[switch]$Remediation,
[switch]$Revert,
[switch]$WhatIf
)
function Invoke-Monitoring {
Write-Host "Monitoring O365-OU-000028: apply macro security all" -ForegroundColor Green
try {
$valueName = "applymacrosecurityall"
$expectedValue = 1
if (-not (Test-Path $RegistryPath)) {
Write-Host " Registry path does not exist: $RegistryPath" -ForegroundColor Red
return $false
}
$currentValue = Get-ItemProperty -Path $RegistryPath -Name $valueName -ErrorAction SilentlyContinue
if ($currentValue -and $currentValue.$valueName -eq $expectedValue) {
Write-Host " Compliant: Macro security applied to all" -ForegroundColor Green
return $true
}
else {
Write-Host " Non-Compliant: Macro security not applied to all" -ForegroundColor Red
return $false
}
}
catch {
Write-Host " Error during monitoring: $_" -ForegroundColor Red
return $false
}
}
function Invoke-Remediation {
Write-Host "Remediating O365-OU-000028: apply macro security all" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host " [WhatIf] Would set registry value" -ForegroundColor Cyan
return $true
}
$valueName = "applymacrosecurityall"
$expectedValue = 1
if (-not (Test-Path $RegistryPath)) {
New-Item -Path $RegistryPath -Force | Out-Null
Write-Host " Created registry path: $RegistryPath" -ForegroundColor Green
}
Set-ItemProperty -Path $RegistryPath -Name $valueName -Value $expectedValue -Type DWord -Force
Write-Host " Set $valueName to $expectedValue" -ForegroundColor Green
Start-Sleep -Seconds 1
return Invoke-Monitoring
}
catch {
Write-Host " Error during remediation: $_" -ForegroundColor Red
return $false
}
}
function Invoke-Revert {
Write-Host "Reverting O365-OU-000028: apply macro security all" -ForegroundColor Yellow
try {
if ($WhatIf) {
Write-Host " [WhatIf] Would remove registry value" -ForegroundColor Cyan
return $true
}
$valueName = "applymacrosecurityall"
if (Test-Path $RegistryPath) {
Remove-ItemProperty -Path $RegistryPath -Name $valueName -ErrorAction SilentlyContinue
Write-Host " Removed registry value: $valueName" -ForegroundColor Green
}
return $true
}
catch {
Write-Host " Error during revert: $_" -ForegroundColor Red
return $false
}
}
# Main execution
try {
if ($Monitoring) {
$result = Invoke-Monitoring
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Remediation) {
$result = Invoke-Remediation
exit $(if ($result) { 0 } else { 1 })
}
elseif ($Revert) {
$result = Invoke-Revert
exit $(if ($result) { 0 } else { 1 })
}
else {
Write-Host "Usage: [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow
}
}
catch {
Write-Host "Script execution error: $_" -ForegroundColor Red
exit 1
}
Risico zonder implementatie
Risico zonder implementatie
High: Hoog malware risico: Zonder consistent Macro beveiliging enforcement kunnen aanvallers Macro beveiliging bypassen via special Outlook item types (aangepaste forms).
Management Samenvatting
Schakel in 'Apply Macro beveiliging to all' in Outlook (applymacrosecurityall=1). Consistent macro bescherming over alle item types. DISA STIG O365-OU-000028 vereist. Voldoet aan BIO 12.02. Implementatie: 1-2 uur.
- Implementatietijd: 2 uur
- FTE required: 0.02 FTE