BIO 12.02.01 ISO A.12.2.1

Word: Set Default Save Format To .docx

📅 2025-10-30
⏱️ 3 minuten lezen
🟢 Should-Have

💼 Management Samenvatting

Het afdwingen van .docx als standaard bestandsformaat in Microsoft Word zorgt ervoor dat iedere nieuwe nota, beleidsbijlage of rapportage automatisch gebruikmaakt van het moderne Office Open XML-formaat, waarin macro's, ingesloten objecten en metadata gecontroleerd worden opgeslagen. In tegenstelling tot het verouderde binaire .doc-formaat bevat .docx geen ongedocumenteerde headers, geen historische compatibiliteitslagen voor Word 97 en biedt het een duidelijke scheiding tussen tekstuele inhoud en actieve componenten. Voor organisaties binnen de Nederlandse publieke sector betekent dit dat gevoelige documenten standaard worden beschermd door digitale handtekeningen, Information Protection-labels en antivirus-scans die specifiek op .docx zijn afgestemd. Bovendien stroomlijnt het beheer: helpdesks hoeven minder uitzonderingen te behandelen, archiefdiensten krijgen bestanden die moeiteloos in e-depotprocessen passen en ketenpartners ontvangen documenten die direct te openen zijn op moderne platforms. Door deze instelling vast te leggen in Intune of groepsbeleid wordt de keuze van individuele gebruikers weggenomen en wordt beveiliging een organisatorisch automatisme in plaats van een vrijwillig gedragsexperiment. De combinatie van technische verharding en zichtbaarheid maakt deze maatregel tot een vaste bouwsteen van de Nederlandse Baseline voor Veilige Cloud.

Aanbeveling
Implementeer deze instelling organisatiebreed zodat alle nieuwe documenten standaard in het veilige .docx-formaat worden opgeslagen.
Risico zonder
Low
Risk Score
3/10
Implementatie
3u (tech: 1u)
Van toepassing op:
Microsoft Word

Het oude .doc-formaat is ontworpen voor stand-alone pc's uit de jaren negentig en laat vrijwel alle inhoud toe, waaronder ActiveX-besturingselementen, ingesloten OLE-objecten en onbeveiligde macro's. Aanvallers misbruiken die vrijheid door schadelijke payloads te verstoppen in documenten die zich voordoen als memo's, vergunningsaanvragen of contractwijzigingen. Zodra een ontvanger het bestand opent, kan het binaire parseringsproces buffer overflows of heap corruptie triggeren, wat leidt tot remote code execution zonder extra waarschuwing. De afgelopen vijf jaar hebben CERT-NL en Microsoft meerdere keren gewaarschuwd voor ransomware-groepen die specifiek op overheidsorganisaties mikken met .doc-lures, omdat ze er zeker van zijn dat er ergens een afdeling is waar de standaard nog niet is aangepast. Daar komt bij dat .doc-bestanden slecht integreerbaar zijn met moderne digitale ondertekeningsketens en vaak metadata verliezen tijdens conversie, waardoor bewijsvoering in bezwaar- en beroepsprocedures verzwakt. Door .docx als standaard te verplichten, worden al deze risico's aan de voordeur geweerd: gebruikers hoeven niets extra's te doen, want het veilige formaat is al vooraf gekozen. Daarmee sluit de maatregel naadloos aan op de principes van Secure by Design en de Baseline Informatiebeveiliging Overheid, waarin staat dat technische controls automatisch moeten worden toegepast en niet afhankelijk mogen zijn van individuele discipline. In auditrajecten kan bovendien eenvoudig worden aangetoond dat het beleid actief is, omdat de instellingen centraal worden gelogd en uitgerold. Ook richting ketenpartners binnen de Europese Unie en de NIS2-toezichthouders is dit een sterk signaal: de organisatie kiest aantoonbaar voor het meest veilige en meest ondersteunde formaat. Tot slot biedt .docx betere toegankelijkheid voor burgers met ondersteunende technologie en maakt de archiefwaardige XML-structuur het eenvoudiger om dossiers decennialang te bewaren zonder conversierisico's. De investering in beleid en communicatie is daarmee beperkt, terwijl de reductie van technische schuld en incidentrisico aanzienlijk is.

PowerShell Modules Vereist
Primary API: Intune / GPO
Connection: Registry-based
Required Modules:

Implementatie

Het afdwingen van .docx als standaardformaat bestaat uit drie samenhangende acties. Eerst wordt in Intune of het groepsbeleid het beleid "Save files in this format" geconfigureerd zodat "Word Document (.docx)" permanent als voorkeursoptie verschijnt. Hierbij hoort het documenteren van de exacte instelling, de scope en de fallback voor uitzonderingen die tijdelijk met .doc moeten blijven werken. Vervolgens wordt een validatiepad ingericht waarin een klein aantal proefgebruikers het beleid ontvangt en rapporteert over de impact op macro's, sjablonen en koppelingen met documentmanagementsystemen. Door deze feedback te verzamelen voordat de organisatiebrede uitrol start, worden kinderziektes voorkomen en blijven gebruikers gemotiveerd. De laatste stap richt zich op adoptie: gebruikers ontvangen een korte uitleg waarom het formaat verandert, welke voordelen dit biedt voor informatiebeveiliging en hoe zij incidenteel nog een ander formaat kunnen kiezen wanneer wet- of regelgeving dat vereist. Tijdens de implementatie wordt de registry-instelling HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\\Word\Options\DefaultFormat automatisch gezet op Docx. Intune configureert dit via de Settings Catalog, terwijl traditionele omgevingen gebruikmaken van een ADMX-template of een PowerShell-script dat via Configuration Manager wordt gedistribueerd. Het script controleert vooraf of Word actief is, zodat er geen corruptie optreedt, en logt elke wijziging voor auditdoeleinden. Parallel hieraan wordt in Microsoft Defender for Office 365 een rapport opgesteld waarmee security-analisten kunnen aantonen dat inkomende bijlagen vaker in .docx binnenkomen, wat laat zien dat leveranciers het beleid overnemen. Ook wordt in SharePoint en OneDrive gecontroleerd of nieuwe bestanden standaard de juiste extensie dragen, zodat retentie- en labelbeleid correct werkt. Gedurende het project blijft de projectleider communiceren via het intranet, waarin voorbeelden staan van incidenten die door legacy-formaten zijn veroorzaakt en waarin de planning helder wordt toegelicht. Na livegang wordt gedurende twee weken gemonitord of de instelling stabiel blijft en wordt ondersteuning geboden aan teams die oude sjablonen willen actualiseren. Door deze drie stappen als één traject te behandelen ontstaat een robuuste maatregel die zowel technisch als organisatorisch geborgd is.

Vereisten

  1. Microsoft Word 2016 of hoger, bij voorkeur Microsoft 365 Apps voor ondernemingen op het Monthly Enterprise-kanaal, zodat het Office Open XML-parser consistent beveiligingspatches ontvangt. Controleer vooraf of alle apparaten dezelfde architectuur (32- of 64-bits) gebruiken, inventariseer welke add-ins afhankelijk zijn van legacy-structuren en leg in het releaseplan vast welke buildnummers zijn toegestaan. Neem ook Virtual Desktop Infrastructure, thuiswerkplekken en offline laptops mee in de testmatrix, omdat afwijkende profielen en roaming policies ertoe kunnen leiden dat het beleid niet consequent wordt toegepast. Alleen wanneer deze technische randvoorwaarden op orde zijn, is het afdwingen van .docx stabiel en reproduceerbaar. Leg tenslotte vast hoe deze configuratie wordt gevalideerd tijdens imagebeheer, hoe Citrix- of RDS-images worden bijgewerkt en hoe incidenten worden geëscaleerd wanneer een gebruiker bewust de registry manipuleert.
  2. Een centraal beheersysteem zoals Microsoft Intune, Configuration Manager of Active Directory Group Policy is noodzakelijk om de instelling duurzaam te handhaven. Het platform moet gebruikersinstellingen geforceerd kunnen configureren, conflicterende beleidsregels detecteren, wijzigingen loggen en rapportages opleveren voor auditors. In Intune betekent dit gebruik van de Settings Catalog of een Custom OMA-URI, aangevuld met een Proactive Remediation die controleert of de registry-sleutel actief blijft. In traditionele domeinen wordt een beheersjabloon of PowerShell-startscript gekoppeld aan de betreffende OU, inclusief WMI-filters voor architectuurcontrole. Zonder deze centrale orkestratie vervalt men op handmatige instructies die nooit voldoende zijn voor kritieke beveiligingsmaatregelen. Beschrijf in het beheerplan wie verantwoordelijk is voor het publiceren van nieuwe profielen, hoe wijzigingen worden getest binnen de changekalender en hoe role-based access control voorkomt dat onbevoegden het beleid aanpassen. Neem ook op welke dashboards of SIEM-queries worden gebruikt om naleving aan te tonen richting auditors.
  3. Een migratie- en communicatieplan zorgt ervoor dat bestaande .doc-bestanden gecontroleerd worden omgezet en dat eindgebruikers begrijpen waarom de wijziging plaatsvindt. Het plan omvat een inventarisatie van sjablonen, workflows met andere overheden, koppelingen met zaaksystemen en juridische bewaareisen. Communicatie bevat concrete voorbeelden van incidenten met legacy-bestanden, FAQ's over uitzonderingssituaties en instructies voor het handmatig kiezen van een ander formaat wanneer wetgeving dat vereist. Bovendien wordt de servicedesk voorzien van scripts en standaardantwoorden, zodat gebruikers overal dezelfde boodschap horen. Zonder plan ontstaat weerstand en blijven teams de oude extensie gebruiken, waardoor het veiligheidsvoordeel direct verdampt. Plan daarnaast workshops met key users waarin zij leren hoe zij bestaande sjablonen veilig converteren en maak een tijdlijn voor het afbouwen van uitzonderingen. Definieer concrete acceptatiecriteria, zoals nul nieuwe .doc-bestanden na 30 dagen, zodat de voortgang meetbaar is.
  4. Duidelijke governance rond uitzonderingen en archivering is de vierde voorwaarde. Beschrijf welke rollen een tijdelijke afwijking mogen goedkeuren, leg vast binnen welke termijn een conversie alsnog moet plaatsvinden en definieer hoe de archiefafdeling toetst of aangeleverde dossiers de juiste extensie bevatten. Neem ook op hoe digitale handtekeningen, metadata en informatieclassificaties worden gecontroleerd nadat bestanden automatisch naar .docx zijn omgezet. Door deze afspraken te formaliseren in beleid en proceshandboeken voorkom je dat projecten eigen regels verzinnen en houd je zicht op compliance richting BIO, AVG en NIS2. Koppel de governance aan bestaande data-classificatieprocessen zodat dossiers met een hoog vertrouwelijkheidsniveau automatisch worden gecontroleerd, en zorg dat de bedrijfsjurist bevestigt dat digitale handtekeningen geldig blijven na conversie.
  5. Een kwaliteitsborgingsmechanisme zorgt ervoor dat de maatregel niet verwatert na de initiële uitrol. Denk aan interne audits, ENSIA-controles of periodieke controles door de functionaris gegevensbescherming waarin steekproeven worden genomen op projectdossiers, archiefleveringen en externe uitwisselingen. Door deze borging te formaliseren in het ISMS blijft het beleid toekomstvast en worden nieuwe applicaties automatisch meegenomen.

Implementatie

Begin met een impactanalyse waarin sjablonen, macro's en documentmanagementkoppelingen in kaart worden gebracht. Beschrijf welke afdelingen nog afhankelijk zijn van .dot- of .dotm-bestanden, welke leveranciers nog .doc-bestanden aanleveren en welke juridische processen digitale handtekeningen toevoegen. Deze inventarisatie vormt de basis voor een kort migratieplan waarin conversietools, planning en communicatie worden vastgelegd. Betrek zowel de functioneel beheerders van SharePoint en zaaksystemen als de informatiebeveiligingsadviseur, zodat technische en organisatorische eisen op elkaar afgestemd zijn. Configureer vervolgens het beleid. In Intune open je de Settings Catalog, kies je voor Microsoft Word en selecteer je de instelling "Save files in this format". Zet de waarde op "Word Document (.docx)" en koppel het profiel aan een Azure AD-groep met pilotgebruikers. Voeg een Proactive Remediation toe of gebruik het script code/office/word/default-file-format-docx.ps1 om bij iedere aanmelding te controleren of de registry-sleutel HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\16.0\Word\Options\DefaultFormat op Docx staat. Laat het script loggen naar Microsoft Sentinel of Log Analytics zodat auditsporen beschikbaar blijven. Organisaties die GPO gebruiken importeren de Office ADMX-bestanden, navigeren naar User Configuration → Administrative Templates → Microsoft Word 2016 → Word Options → Save en zetten daar dezelfde waarde. Maak gebruik van WMI-filters om 32- en 64-bits apparaten gescheiden aan te sturen wanneer nodig. Na configuratie volgt een validatieperiode van minimaal twee weken waarin functionaliteit, prestaties en gebruikerservaring worden beoordeeld. Laat key users controleren of koppelingen met dossiersystemen, sjablonen met macro's en samenwerkingsportalen correct blijven functioneren. Documenteer eventuele uitzonderingen en leg vast hoe lang zij duren, wie verantwoordelijk is en welke mitigerende maatregelen gelden. Pas het beleid pas toe op de volledige organisatie nadat alle issues zijn opgelost en de communicatiecampagne is afgerond. Plan de uitrol gefaseerd: eerst centrale diensten, daarna uitvoeringsorganisaties en tenslotte externe ketenpartners die op managed devices werken. Eindig met een change record in het ITSM-systeem inclusief verwijzing naar de beleidsdocumenten en een link naar de monitoringdashboards zodat auditors direct kunnen zien dat de maatregel aantoonbaar is geborgd. Voorzie supportteams van een korte handleiding waarin staat hoe gebruikers incidenteel een ander formaat kunnen kiezen, hoe conversies via Word of Power Automate verlopen en welke communicatieboodschap ze moeten meegeven. Door training, rollen en technische uitrol te combineren, ontstaat een herhaalbaar proces dat past binnen de change- en releasekalender van de organisatie. Combineer de technische uitrol met duidelijke mijlpalen in het veranderproces: aankondiging, pilot, brede uitrol en nazorg. Leg voor elke fase vast welke documenten moeten worden geactualiseerd, welke besluitvorming nodig is en hoe lessons learned worden vastgelegd in het kennismanagementsysteem. Richt voor uitzonderingen een eenvoudig aanvraagformulier in waarin motivatie, looptijd en compenserende maatregelen verplicht zijn. Hierdoor blijft overzicht bestaan en kan het beleid bij audits aantoonbaar worden beheerd. Leg parallel een documentatiepakket aan waarin screenshots van de beleidsinstellingen, exports uit Intune/GPO en het goedkeuringsbesluit van het change board worden opgeslagen. Deze bundel fungeert als auditpakket en voorkomt dat bij toekomstige ENSIA- of ISO-audits opnieuw bewijsmateriaal moet worden verzameld. Sluit de fase af met een go/no-go-besluit dat mede wordt ondertekend door informatiebeveiliging en informatiebeheer zodat er gedeeld eigenaarschap ontstaat.

Compliance

Het afdwingen van .docx als standaardformaat ondersteunt meerdere compliancekaders tegelijk en levert tastbaar bewijs dat de organisatie haar documentlevenscyclus onder controle heeft. Binnen de BIO valt deze maatregel onder 12.02.01 en 12.04.01, waarin staat dat organisaties technische maatregelen moeten nemen om schadelijke code te voorkomen en om wijzigingen aan informatie te beheersen. Door het onveilige .doc-formaat uit te sluiten toon je aan dat je actief legacy-technologie uitfaseert en dat je applicaties configureert volgens het principe van veilige standaardinstellingen. ISO 27001:2022 benadrukt in paragraaf A.8.30 en A.8.32 dat organisaties verouderde technologie moeten mitigeren; een verplicht .docx-formaat is hiervoor een concreet voorbeeld. Voor NIS2-artikel 21, waarin "state of the art" maatregelen voor essentiële en belangrijke entiteiten worden vereist, geldt dat het weigeren van bekende kwetsbare bestandsformaten een minimale verwachting is. Het beleid helpt tevens bij AVG-artikel 32, omdat het risico op schadelijke macro's en onbedoelde metadata-lekken significant afneemt. Vanuit archiefperspectief sluit .docx aan op de Archiefwet en de NEN-ISO 16175-richtlijnen rond duurzame opslag, doordat Open XML zich laat valideren en converteren zonder gegevensverlies. Ook internationale referentiekaders zoals de DISA STIG voor Office en het CIS Microsoft 365 Benchmark schrijven voor dat moderne bestandsformaten verplicht moeten worden gesteld. Door hetzelfde beleid te hanteren ontstaat harmonisatie met defensie- en veiligheidsorganisaties waarmee veel overheidsinstellingen informatie delen. De maatregel maakt bovendien onderdeel uit van de Nederlandse Baseline voor Veilige Cloud, zodat projectleiders eenvoudig kunnen aantonen dat hun projectdossiers conform de landelijke standaard worden beheerd. Door deze koppeling naar meerdere normen uit te werken in het beveiligingsplan en in het Data Protection Impact Assessment bewijs je richting auditors dat de maatregel niet alleen technisch aanwezig is, maar ook juridisch is geborgd en periodiek wordt geëvalueerd. Het afdwingen van .docx fungeert daarmee als een controle die zowel preventief als detectief is: preventief doordat het onveilige gedrag onmogelijk maakt, detectief doordat afwijkingen direct zichtbaar worden in de monitoringrapportages. Deze keten van beleid, configuratie en bewijs maakt het eenvoudiger om toekomstige herbeoordelingen of certificeringstrajecten door te komen, omdat één control meerdere eisen afdekt. Bovendien sluit de maatregel aan op ENSIA-rapportages en de jaarlijkse verantwoording richting de Algemene Rekenkamer, omdat duidelijk gedocumenteerd is hoe verouderde technologie wordt uitgefaseerd. Door ook de CIO Office en de Chief Data Officer mee te laten tekenen onder het beleid, toon je aan dat informatiebeveiliging en informatiehuishouding integraal samenwerken. Tevens onderstreept het beleid de principes uit de Wet open overheid en de Archiefwet doordat documenten in een duurzaam, machineleesbaar formaat beschikbaar blijven voor inzage- en Wob/Woo-verzoeken. Voeg het besluit toe aan het informatiebeheerplan en laat de Chief Information Security Officer bevestigen dat het onderdeel is van het jaarlijkse controleprogramma. Voeg in het controleregister toe dat deze maatregel tevens bijdraagt aan CIS Control 3 (Data Protection) en aan BIO 09 (Toegangsbeheer), omdat de kans op ongewenste macro-uitvoering drastisch wordt verlaagd. Beschrijf bovendien in het jaarplan hoe het beleid wordt herbeoordeeld tijdens de control self assessment-cyclus, zodat duidelijk is wie verantwoordelijk is voor de periodieke evaluatie en hoe bevindingen worden opgevolgd.

Monitoring

Gebruik PowerShell-script default-file-format-docx.ps1 (functie Invoke-Monitoring) – Automatische controle van de standaardinstelling.

Gebruik meerdere datapunten om te bewaken dat .docx daadwerkelijk wordt afgedwongen. Begin bij het bronnenysteem: Intune levert per configuratieprofiel een compliance-overzicht waarin je ziet hoeveel apparaten de instelling hebben ontvangen. Automatiseer een dagelijkse export naar Log Analytics en bouw daar een werkboek dat afwijkingen groepeert op apparaat, afdeling en besturingssysteem. Voor omgevingen met GPO verzamel je de Resultant Set of Policy-rapporten en schrijf je geplande taken die de registry-waarde uitlezen en uploaden naar een centrale repository of een PowerShell-dashboard. Vul deze technische signalen aan met applicatietelemetrie: Microsoft 365 Apps loggen in het Office Telemetry Dashboard welke bestandsformaten worden opgeslagen. Door deze logboeken te koppelen aan Microsoft Sentinel of Splunk kun je queries bouwen die een alert versturen zodra er onverwacht veel .doc-bestanden ontstaan in een bepaalde sitecollectie of e-mailpostbus. Werk daarnaast met steekproeven in SharePoint en OneDrive: configureer een Data Loss Prevention-regel die documenten met de extensie .doc detecteert en een beleids-tip toont waarin staat dat alleen .docx is toegestaan. SOC-analisten beoordelen de meldingen en sturen gerichte begeleiding naar de oorzaak, bijvoorbeeld een oud sjabloon of een externe leverancier. Breid monitoring uit met e-mailscans in Exchange Online Protection door een transportregel op te zetten die bijlagen met het binaire formaat tagt en deze gebeurtenissen naar een auditmailbox doorstuurt. Voor ketenpartners die bestanden via Secure File Transfer leveren registreer je in het contract dat .doc niet meer wordt geaccepteerd en log je alle uitzonderingen in het leveranciersregister. Tot slot definieer je KPI's zoals "percentage nieuwe bestanden in .docx" en "aantal openstaande uitzonderingen" en bespreek je die maandelijks in het security governance-overleg. Wanneer al deze bronnen dezelfde trend laten zien – weinig uitzonderingen, weinig .doc-bestanden, hoge configuratiegraad – kun je aantoonbaar verklaren dat de maatregel effectief is. Breid het werkboek uit met automatische notificaties naar het adoptionteam zodat begeleiding meteen op gang komt zodra afwijkingen verschijnen. Leg daarnaast vast dat iedere businessunit elk kwartaal een steekproefrapport oplevert waarin minimaal twintig recente documenten worden beoordeeld op formaat en metadata. Verrijk het dashboard met Power BI zodat bestuurders een samenvattende indicator zien, en hang automatische drempelwaarden op die een melding sturen naar Teams wanneer een afdeling boven een vooraf afgesproken percentage .doc-bestanden uitkomt. Plan halfjaarlijks een onafhankelijke controle door internal audit om de meetmethode te toetsen. Leg tenslotte vast dat het dashboard als bron dient voor het kwartaalrapport aan de CIO en dat afwijkingen pas worden gesloten wanneer het betreffende team kan aantonen dat alle sjablonen en werkstromen zijn bijgewerkt. Richt naast het dashboard een maandelijkse deep-dive in waarbij security operations en informatiebeheer samen enkele concrete dossiers doornemen om te beoordelen of metadata, classificaties en retentie-tags correct zijn toegepast. Documenteer de uitkomsten in het ISMS zodat terug te vinden is welke verbeteracties zijn gestart. Neem ook een steekproef op mobiele apparaten en thuiswerkplekken door Microsoft Defender for Endpoint-inventaris te koppelen aan Intune, zodat zichtbaar is of gebruikers buiten het kantoornetwerk dezelfde configuratie behouden. Gebruik tenslotte een periodieke mystery guest-audit waarin een auditor een document opstelt op een gedeelde werkplek om te zien of het formaat automatisch naar .docx wordt geknipt, zodat ook de gebruikerservaring wordt gevalideerd.

Remediatie

Gebruik PowerShell-script default-file-format-docx.ps1 (functie Invoke-Remediation) – Herstellen van afwijkende instellingen en documenten.

Wanneer monitoring aangeeft dat een apparaat of gebruiker nog steeds .doc-bestanden produceert of dat de standaardinstelling ontbreekt, volg je een vast remediatiepad. Controleer eerst via het script code/office/word/default-file-format-docx.ps1 of de registry-sleutel daadwerkelijk ontbreekt en herstel deze direct. Documenteer het incident in het ITSM-systeem inclusief apparaat-ID, gebruiker, oorzaak en genomen acties. Vraag de gebruiker om recente documenten te identificeren en converteer deze naar .docx via de ingebouwde conversietools of een bulkconversie in SharePoint. Indien de afwijking is veroorzaakt door een verouderd sjabloon, wijs dan een eigenaar aan die het sjabloon bijwerkt en publiceert via het centrale templatebeheer. Blijkt een externe leverancier de boosdoener, informeer dan de contractmanager zodat de leverancier formeel wordt aangesproken en een deadline krijgt voor aanpassing. Houd uitzonderingen strikt tijdelijk: leg vast wanneer de afwijking vervalt, welke compenserende maatregelen gelden (bijvoorbeeld extra malwareanalyse) en wie verantwoordelijk is voor de opvolging. Sluit het remediatieproces af met een controlemeting in Intune of GPO om te bevestigen dat de instelling nu wel actief is en voeg het incident toe aan de maandelijkse trendanalyse, zodat terugkerende oorzaken structureel kunnen worden opgelost. Maak het proces efficiënter door geautomatiseerde self-healing toe te passen: zodra het script detecteert dat de registry-sleutel ontbreekt, wordt deze opnieuw geschreven en ontvangt de gebruiker een melding met uitleg. Voeg remediatiecases toe aan een kennisbank waarin oorzaak, oplossing en preventieve acties zijn beschreven, zodat herhaling wordt voorkomen. Organiseer ieder kwartaal een review waarin security, informatiebeheer en servicedesk samen de trends bekijken en besluiten welke structurele verbeteringen nodig zijn, bijvoorbeeld het uitfaseren van een legacy-applicatie die hardnekkig .doc blijft genereren. Voeg een root-cause-analyse toe aan elke afwijking, inclusief de vraag of aanvullende training, tooling of leveranciersafspraken nodig zijn. Gebruik de inzichten om het beleid te verfijnen, bijvoorbeeld door standaard documentgeneratoren in low-code apps te actualiseren of door leveranciers te verplichten een modern sjabloon aan te leveren. Registreer iedere actie in een centrale backlog zodat trends zichtbaar blijven en wijs een eigenaar toe die verantwoordelijk is voor het daadwerkelijk doorvoeren van structurele verbeteringen. Voor grotere afwijkingen organiseer je een war room waarin security, informatiebeheer, leveranciersmanagement en juridische zaken gezamenlijk besluiten welke maatregelen nodig zijn. Denk aan het blokkeren van een risicoveroorzakende add-in, het opstellen van aanvullende contractclausules of het versneld opleiden van gebruikers. Na afronding volgt een korte evaluatie waarin wordt bekeken of de gekozen aanpak effectief was en welke indicatoren aangepast moeten worden om herhaling te voorkomen. Wanneer het probleem voortkomt uit ontbrekende training, plan dan direct een microlearning en meet het effect door kennisvragen toe te voegen aan het e-learningplatform. Als techniek de oorzaak is, prioriteer de oplossing in de architectuurboard zodat structurele wijzigingen in systemen of integraties worden meegenomen in de roadmaps. Als afsluiting wordt elke remediatiecase gepresenteerd in het security governance-overleg zodat bestuurders inzicht houden en waar nodig aanvullende middelen kunnen vrijmaken om structurele verbeteringen te versnellen. Documenteer eveneens welke tooling of automatisering nodig is om vergelijkbare fouten proactief te detecteren, bijvoorbeeld door in Power Automate een flow te bouwen die documenten met een .doc-extensie automatisch markeert voor conversie.

Compliance & Frameworks

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

PowerShell
<# .SYNOPSIS Stelt standaard bestandsformaat in op DOCX in Word .DESCRIPTION Dit script implementeert CIS control O365-WD-000016 voor het instellen van het standaard bestandsformaat op DOCX in Microsoft Word. Dit zorgt ervoor dat nieuwe documenten worden opgeslagen in het moderne DOCX formaat dat betere beveiliging biedt. .REQUIREMENTS - PowerShell 5.1 of hoger - Lokale administrator rechten voor registry wijzigingen - Microsoft Word geïnstalleerd .PARAMETER Monitoring Controleert de huidige compliance status .PARAMETER Remediation Past de aanbevolen configuratie toe .PARAMETER Revert Herstelt de originele configuratie .PARAMETER WhatIf Toont wat er zou gebeuren zonder wijzigingen door te voeren .EXAMPLE .\default-file-format-docx.ps1 -Monitoring Controleert of standaard bestandsformaat DOCX is .EXAMPLE .\default-file-format-docx.ps1 -Remediation Stelt standaard bestandsformaat in op DOCX .NOTES Registry pad: HKCU:\Software\Policies\Microsoft\Office\16.0\WORD\Security Waarde: defaultfileformatdocx = 1 CIS Control: O365-WD-000016 DISA STIG: Microsoft Office 365 ProPlus v3r3 #> #Requires -Version 5.1 param( [switch]$Monitoring, [switch]$Remediation, [switch]$Revert, [switch]$WhatIf ) # Globale variabelen $RegistryPath = "HKCU:\Software\Policies\Microsoft\Office\16.0\WORD\Security" $ValueName = "defaultfileformatdocx" $ExpectedValue = 1 $ControlID = "O365-WD-000016" function Test-Compliance { try { if (-not (Test-Path $RegistryPath)) { return $false } $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue return ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) } catch { return $false } } function Invoke-Monitoring { Write-Host "Monitoring ${ControlID}: Standaard bestandsformaat instellen op DOCX" -ForegroundColor Green try { if (-not (Test-Path $RegistryPath)) { Write-Host "✗ Registry pad bestaat niet: $RegistryPath" -ForegroundColor Red return $false } $currentValue = Get-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue if ($currentValue -and $currentValue.$ValueName -eq $ExpectedValue) { Write-Host "✓ Control compliant: ${ValueName} = $ExpectedValue" -ForegroundColor Green return $true } else { $actualValue = if ($currentValue) { $currentValue.$ValueName } else { "Not Set" } Write-Host "✗ Control non-compliant: ${ValueName} = $actualValue (Expected: $ExpectedValue)" -ForegroundColor Red return $false } } catch { Write-Host "✗ Fout bij controleren registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } function Invoke-Remediation { Write-Host "Remediating ${ControlID}: Standaard bestandsformaat instellen op DOCX" -ForegroundColor Yellow try { if ($WhatIf) { Write-Host "WhatIf: Zou registry waarde instellen: ${ValueName} = $ExpectedValue" -ForegroundColor Cyan return $true } if (-not (Test-Path $RegistryPath)) { Write-Host "Registry pad aanmaken: $RegistryPath" -ForegroundColor Yellow New-Item -Path $RegistryPath -Force | Out-Null } Set-ItemProperty -Path $RegistryPath -Name $ValueName -Value $ExpectedValue -Type DWord -Force Write-Host "✓ Registry waarde succesvol ingesteld: ${ValueName} = $ExpectedValue" -ForegroundColor Green Start-Sleep -Seconds 1 return Invoke-Monitoring } catch { Write-Host "✗ Fout bij configureren registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } function Invoke-Revert { Write-Host "Reverting ${ControlID}: Standaard bestandsformaat herstellen" -ForegroundColor Yellow try { if ($WhatIf) { Write-Host "WhatIf: Zou registry waarde verwijderen: ${ValueName}" -ForegroundColor Cyan return $true } if (Test-Path $RegistryPath) { Remove-ItemProperty -Path $RegistryPath -Name $ValueName -ErrorAction SilentlyContinue Write-Host "✓ Registry waarde verwijderd: ${ValueName}" -ForegroundColor Green } return $true } catch { Write-Host "✗ Fout bij herstellen registry instelling: $($_.Exception.Message)" -ForegroundColor Red return $false } } # Hoofd uitvoering try { if ($Monitoring) { $result = Invoke-Monitoring exit $(if ($result) { 0 } else { 1 }) } elseif ($Remediation) { $result = Invoke-Remediation exit $(if ($result) { 0 } else { 1 }) } elseif ($Revert) { $result = Invoke-Revert exit $(if ($result) { 0 } else { 1 }) } else { Write-Host "Gebruik: .\default-file-format-docx.ps1 [-Monitoring] [-Remediation] [-Revert] [-WhatIf]" -ForegroundColor Yellow Write-Host " -Monitoring: Controleer huidige compliance status" -ForegroundColor White Write-Host " -Remediation: Pas aanbevolen configuratie toe" -ForegroundColor White Write-Host " -Revert: Herstel originele configuratie" -ForegroundColor White Write-Host " -WhatIf: Toon wat er zou gebeuren" -ForegroundColor White } } catch { Write-Host "✗ Onverwachte fout: $($_.Exception.Message)" -ForegroundColor Red exit 1 }

Risico zonder implementatie

Risico zonder implementatie
Low: Wanneer gebruikers legacy .doc als standaard houden, blijven macro-gebaseerde aanvallen mogelijk, raken archiefprocessen verstoord en neemt de kans op AVG- en NIS2-incidenten aanzienlijk toe.

Management Samenvatting

Stel in Intune of GPO het standaard opslagformaat van Word in op .docx, valideer de uitrol met monitoring en ondersteun teams bij het omzetten van resterende sjablonen.