Duitse overheid publiceert beveiligingsinstellingen voor Microsoft Office 2024
De Duitse overheid heeft beveiligingsinstellingen voor Microsoft Office 2024 gepubliceerd, die zowel eindgebruikers als organisaties extra bescherming zouden moeten bieden. Volgens het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, is kantoorsoftware zoals Microsoft Office een geliefd doelwit voor aanvallers.
Door het aanpassen van de standaardinstellingen is het echter mogelijk om het aanvalsoppervlak te verkleinen, aldus het BSI. De Duitse overheidsdienst merkt op dat de gedane aanbevelingen specifiek voor middelgrote tot grote organisaties zijn ontwikkeld, die hun eindpoints via Group Policies in een Active Directory-omgeving beheren. Ervaren gebruikers kunnen de betreffende Group Policies ook lokaal toepassen.
De adviezen zijn onderverdeeld in Microsoft Office, Excel, PowerPoint, Word, Outlook, Access en Visio. Het gaat dan bijvoorbeeld om het inschakelen van automatische updates, het uitschakelen van VBA voor Office-applicaties, het aanpassen van telemetrie-opties, het niet automatisch hyperlinken van screenshots, het blokkeren van Web-Add-ins en instellingen met betrekking tot digitale handtekeningen. Alleen voor Microsoft Office gaat het al om 128 opties.
Het BSI merkt op dat de aanbevelingen alleen betrekkingen hebben op het verkleinen van het aanvalsoppervlak en niet alle zaken via Group Policies zijn te regelen. Zo kunnen via telemetrie bijvoorbeeld gevoelige gegevens naar Microsoft worden verzonden.
Vrijwel alle Microsoft producten zijn niet 'secure-by-default' en in de US stellen ze daar ten minste vragen over.
https://www.security.nl/posting/904358/US+senator%3A+%27Werkwijze+van+Microsoft+brengt+Amerikaanse+nationale+veiligheid+in+gevaar%27
En in Europa brengen ze maar een 'how-to' handleiding uit want ze weten heel goed dat ze zo op de knieën gaan als ze commentaar hebben.
Het probleem is dat deze mensen zich steeds maar weer laten misbruiken en niets doen. Ik kan het Microsoft niet meer kwalijk nemen, deze ambtenaren smeken om misbruikt te worden.
Xavier
Ik weet niet of ik dan op hen durf te vertrouwen als het om veiligheid gaat....
Sowieso de lijst goed nalopen, er zitten er een aantal bij die het de eindgebruikers onnodig lastig maken. "Turn off all user customizations" bijvoorbeeld. Ik zie de power users al op de barricade springen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?