Beveiligingsinstellingen in Office 365 voor analyses

Microsoft heeft aangekondigd dat het uitvoeren van macro's in Office 365 standaard geblokkeerd zal worden in van het internet gedownloade bestanden, vanaf juni 2022. Dit betekent dat je een macro in een analyse niet kunt uitvoeren in Office 365, als je de analyse hebt gedownload via InSite.

Let op:

Update 12 mei 2022: Microsoft heeft de maatregel die in dit artikel beschreven wordt, ingetrokken. Voor meer informatie, zie dit artikel van Microsoft. We laten dit artikel staan tot er meer duidelijkheid is over dit onderwerp.

Algemene informatie

Wat is de impact van deze wijziging

Microsoft geeft aan dat bij bestanden die van het internet gedownload zijn, het uitvoeren van een macro in zo’n bestand standaard geblokkeerd wordt. De definitieve versie van de Office update is nog niet uitgebracht. Daarnaast bestaan er veel verschillende Office security-instellingen die je als gebruiker of organisatie zelf kan bepalen. AFAS kan daarom niet met zekerheid zeggen wat de wijziging in de praktijk zal betekenen voor elke AFAS-klant.

Naar verwachting heeft deze wijziging van Microsoft impact als je een analyse downloadt via InSite en daar een macro in wilt uitvoeren.

Hoe kan ik zien of een analyse een macro bevat?

Deze Office wijziging heeft naar verwachting géén impact in de volgende situaties:

• De analyse bevat geen macro.
• Je opent de analyse, maar deze bevat een macro die je niet uitvoert.
• Je bewerkt een macro, maar je voert deze niet uit.
• Je opent een analyse door op de notificatie van het Profit Communication Center te klikken.
• Je downloadt de analyse met uit te voeren macro via Profit (via Algemeen / Uitvoer / Mijn bestanden).
• Je hebt instellingen vastgelegd om het uitvoeren van macro's in analyses toe te staan.

Om welke Office-versie gaat het:

• Zie dit artikel van Microsoft voor meer informatie en de versies (uitleverschema) waarvoor deze wijziging geldt. Als je deze Office-versie gebruikt, dan heeft dit gevolgen voor het bewerken en raadplegen van analyses.

Het gaat alleen om Windows-versies van Office, niet om andere besturingssystemen zoals Mac, Office Web of Office voor Android of iOS.

Op welke manieren kun je veilig blijven werken?

De onderstaande methodes zijn mogelijke oplossingen. AFAS kan hier geen advies in geven aangezien dit iets is dat onder je eigen systeembeheer valt. De IT-beheerder in je eigen organisatie moet dan ook bepalen wat de beste methode is.

• Methode 1: Analyse openen via PCC-notificatie of Profit

  Open de analyse via de notificatie van het Profit Communication Center of via Mijn bestanden in Profit.

• Methode 2: Deblokkeer per keer handmatig het gedownloade bestand

  Als je de analyse hebt gedownload via InSite, wordt het bestand standaard geblokkeerd. Je kunt het bestand deblokkeren, dit moet je bij elke download doen.

• Methode 3: Voeg de InSite toe als vertrouwde sites van Windows

  Dit voorkomt dat Windows het bestand als onveilige download markeert waardoor Office het uitvoeren van macro's blokkeert.

• Methode 4: Open de analyse vanaf een veilige locatie (zie hieronder)

  Deze methode werkt voor Profit-analyses en je eigen analyses. Deze methode is aan te bevelen als je de analyse Verzuimgegevens Vernet (Profit) gebruikt voor het aanleveren van verzuimdata aan Vernet. AFAS adviseert namelijk om bij Vernet altijd gebruik te maken van de Profit-analyse, niet van een kopie.

• Methode 5: Koppel een certificaat aan de macro's in de analyse (zie hieronder).

  Hierdoor kun je je eigen analyses blijven gebruiken. Je koppelt in elke analyse een certificaat, hiermee geef je aan dat de macro's uitgevoerd mogen worden.

  Deze methode werkt niet voor Profit-analyses, deze bevatten immers nooit jouw eigen certificaat. Als je een Profit-analyse wilt beveiligen met een certificaat, dan maak je eerst een kopie van de analyse.

• Methode 6: Gebruik een Microsoft-policy

  Let op:

  Los van de hier beschreven wijzigingen in het beveiligingsbeleid van Office 365 kan Office 365 Defender Endpoint Attack Surface Reduction in de organisatie ingeschakeld zijn. Hierdoor kan de volgende melding optreden: Bestand kan niet worden geopend omdat de bestandsindeling of de bestandsextensie niet geldig is. Voor meer informatie, zie deze veelgestelde vraag.

Methode 1: Analyse openen via PCC-notificatie of Profit

Wanneer je de analyse via InSite downloadt markeert je computer door als onveilig. Je voorkomt dit via een van de volgende werkwijzen:

• Als het Profit Communication Center geïnstalleerd en gekoppeld is, krijg je een popup zodra de analyse gereed is. Door hier op te klikken wordt de analyse direct geopend in Excel.
• Als je via Profit een analyse opent, download je het analyse-bestand via Algemeen / Uitvoer / Mijn bestanden.

Methode 2: Deblokkeer per keer handmatig het gedownloade bestand

Als het uitvoeren van macro's in de analyse geblokkeerd wordt, zie je de onderstaande rode balk:

Als je klikt op de rode balk van de melding opent het volgende artikel. Microsoft legt daarin de situatie uit en let uit hoe je per keer het bestand kan deblokkeren (‘Unblock’), zodat je de macro's toch kunt uitvoeren.

Methode 3: Voeg de InSite toe als vertrouwde sites van Windows

1. Druk op de Windows-toets en zoek op ‘internet’.
2. Open ‘Internet options’.
3. Ga naar tabblad ‘Security’ ('Beveiliging').
4. klik op ‘Trusted Sites’ ('Vertrouwde sites') en dan op ‘Sites’.
5. Voeg het adres van InSite toe, eventueel ook die van Test-site (en eventuele Accept-site).

   Bijvoorbeeld: https://12345.afasinsite.nl en https://12345.insitetest.afas.online.

   

De systeembeheerder kan dit eventueel voor alle gebruikers instellen met een group policy.

Methode 4: Veilige locatie instellen

Je legt een veilige bestandslocatie vast in Excel. Bij een analyse die vanuit deze locatie geopend wordt, kunnen de macro's worden uitgevoerd.

Let op:

Als je een analyse opent vanuit Profit, wordt deze standaard in de map Downloads op je pc opgeslagen. Elke keer als je een analyse opent, moet je deze van de map Downloads verplaatsen naar de veilige map en vervolgens open je de analyse. Als je dit te lastig vindt, kun je beter gebruik maken van certificaten.

Bij Profit-analyses kun je geen certificaat koppelen, dan moet je de analyse altijd verplaatsen naar de veilige map.

Stappen om een veilige locatie in te stellen

Methode 5: Certificaat aan analyse koppelen

Je kunt certificaten gebruiken in de volgende situaties:

• Voor alle analyses die je in het verleden zelf hebt aangemaakt/aangepast.
• Voor nieuwe analyses die gebaseerd zijn op een Profit-analyse of een gegevensverzameling.

Als je een certificaat hebt gekoppeld in een analyse en je kopieert deze analyse, dan zal de nieuwe analyse ook het certificaat bevatten. In die situatie hoef je dus geen certificaat te koppelen.

Let op:

Bij het genereren van cockpits via AFAS Online wordt jouw certificaat niet gebruikt. AFAS handelt de beveiliging op een andere manier af zodat je macro's blijven werken.

AFAS geeft zelf geen certificaten uit voor klanten. AFAS heeft immers geen inzicht in de macro's die door klanten gemaakt en gebruikt worden, daarom moet je je eigen certificaat gebruiken.

Je hebt verschillende manieren om certificaten in te zetten. De IT-beheerder in je eigen organisatie moet bepalen wat de beste optie is. Het gebruik van een centraal beheerd certificaat kost je in het begin meer moeite en tijd, maar voor je gebruikers is dit de makkelijkste aanpak. Dit zijn de mogelijkheden:

• Je organisatie schaft een commercieel certificaat aan.

  Het gebruik van commerciële certificaten wordt niet toegelicht in het Help Center.

• Je organisatie heeft een interne Certificate Authority (CA) die certificaten uitgeeft. Daarmee kun je certificaten uitgeven voor de hele organisatie. Dit brengt geen extra kosten met zich mee, in tegenstelling tot een publiek/commercieel certificaat.

  Stappen om certificaten uit te geven via Active Directory Certificate Authority

  Macro’s in Microsoft Office-bestanden bevatten VBA-programmeercode. Om deze programmeercode te kunnen ondertekenen heb je een code signing certificate nodig. In dit voorbeeld wordt geïllustreerd hoe je zo’n certificaat kunt uitgeven met je eigen Certificate Authority. Dit voorbeeld is slechts één manier van hoe je dit kunt inrichten. Je kunt dit zelf aanpassen en afstemmen op je het beleid in je organisatie. Bepaal zelf aan wie je een code signing certificaat toevertrouwt, want programmeercode vind je niet alleen in macro’s. Je kunt bijvoorbeeld ook zelf gemaakte software ondertekenen met een code signing certificate.

  In deze uitleg gaan we ervan uit dat er een Cerfiticate Authority aanwezig is. Deze uitleg bevat de volgende onderdelen (het inrichten van een Certificate Authority wordt hier niet beschreven):

  • Certificaat uitrollen
  • Eindgebruiker vraagt certificaat aan
  • Tijdstempel toepassen bij ondertekenen (aanbevolen)

    Let op:

    Het werken met certificaten is je eigen verantwoordelijkheid. AFAS verleent hierop geen support en draagt geen verantwoording voor de inrichting bij klanten.

  Certificaat uitrollen:

  1. Start Certsrv.msc.
  2. Ga naar Certificate Templates / Manage.

     

  3. Selecteer Code Signing template en kies Duplicate Template.

     

  4. Ga naar het tabblad: General.
  5. Vul een naam in voor de template.

     

  6. Ga naar het tabblad: Subject Name.
  7. Vink E-mail name en User principal name aan.

     

  8. Ga naar het tabblad: Request Handling.
  9. Selecteer Signature bij het veld Purpose

     

  10. Ga naar het tabblad: Extensions.
  11. Zorg ervoor dat alleen Code Signing is geselecteerd bij Application Policies.

      

  12. Ga naar het tabblad: Security.
  13. Richt in wie een certificaat mag aanvragen voor deze template.

      Een startpunt zou kunnen zijn om hier de gebruikersgroepen op te nemen die in Profit de rechten hebben op analyses te beheren/bewerken. Gebruik Autoenroll als je certificaten automatisch wil uitgeven. In dit voorbeeld kiezen we voor Enroll, zodat we later kunnen illustreren hoe een eindgebruiker zelf een certificaat kan aanvragen.

      

  14. Sla de template op.
  15. Kies bij de Certificate Authority de optie Certificate template to issue om de nieuwe template uit te geven.

      

  Eindgebruiker vraagt certificaat aan:

  Wanneer je in de certificate template hebt gekozen voor Enroll i.p.v. Autoenroll, dan moeten eindgebruikers zelf een certificaat aanvragen. Dit gaat als volgt.

  1. Start Certmgr.msc.
  2. Klik met de rechtermuisknop op de map Personal en klik op Request New Certificate.

     

  3. Kies Active Directory Enrollment Policy en klik op next.

     

  4. Kies de template die is aangemaakt voor het ondertekenen van Macro’s en klik op Enroll

     

  Tijdstempel toepassen bij ondertekenen (aanbevolen)

  Dit onderdeel is optioneel. Je kunt ervoor kiezen om bij het ondertekenen een tijdstempel op te nemen. Door een tijdstempel op te nemen is te controleren of het certificaat geldig was op het moment dat de handtekening werd gezet. Daardoor blijft de handtekening ook geldig als het certificaat al is verlopen en kun je de macro’s daarna nog steeds uitvoeren. Neem je geen tijdstempel op, dan valt dus niet te controleren wanneer de handtekening is gezet en kunnen de macro’s niet meer worden uitgevoerd op het moment dat het certificaat is verlopen. Het is daarom aan te bevelen om een tijdstempel te zetten.

  Maak de onderstaande registersleutel aan met bijbehorende parameters. In dit voorbeeld maken we gebruik van de timestamp authenticode server van DigiCert, maar dat kan een andere server naar keuze zijn.

  

• Je gebruikt een self-signed certificaat en je koppelt dit in het Excel-bestand.

  Stappen om een self-signed certificaat aan te maken en te beheren

  Deze methode is alleen geschikt voor kleine organisaties of voor testwerkzaamheden.

  Let op:

  In de volgende stappen zie je hoe je een 'self-signed certificate' maakt en koppelt in Excel. Het certificaat staat op je PC. Je kunt de analyse dan niet uitvoeren op een andere PC, tenzij je het certificaat exporteert en importeert op de andere PC.

  Het werken met certificaten is je eigen verantwoordelijkheid. AFAS verleent hierop geen support en draagt geen verantwoording voor de inrichting bij klanten.

  Stap 1: Self-signed certificaat aanmaken:

  Je maakt het certificaat aan en je plaatst dit in de map Vertrouwde basiscertificeringsinstanties / Certificaten (Trusted Root Certification Authorities / Certificates).

  1. Start de tool SELFCERT.EXE.

     In dit artikel wordt aangegeven in welke map je de tool kunt vinden.

     Als je de tool niet mag starten of als je de tool niet kunt vinden, neem dan contact op met de systeembeheerder in je eigen organisatie.

  2. Vul een naam in en klik op OK.

     

  3. Druk op de Windows-toets op je toetsenbord en voer certmgr.msc uit.
  4. Kopieer het certificaat van de map Persoonlijk (Personal) naar Vertrouwde basiscertificeringsinstanties / Certificaten (Trusted Root Certification Authorities / Certificates).

     Als je het bestand versleept, moet je tijdens het slepen CTRL ingedrukt houden. Hierdoor kopieer je het bestand.

     

  5. Er volgt een melding. Lees de melding zorgvuldig door en bevestig deze om het certificaat te verplaatsen.

  Stap 2: Certificaat koppelen in Excel:

  1. Open Profit.
  2. Ga naar: Algemeen / Uitvoer / Beheer / Analyse.
  3. Open een analyse in Excel.
  4. Ga naar Beeld / Macro's en open een macro.
  5. Ga naar Extra / Digitale handtekening en koppel de handtekening.

     

  6. Ga naar: PROFIT ANALYSE / Opslaan in Profit

  Zie ook:

  • Analyse bewerken en opslaan

  Stap 3: Excel instellen voor gebruik certificaten:

  Je stelt in dat het uitvoeren van macro's op basis van een geldig certificaat is toegestaan. Dit geldt uiteraard voor alle macro's in Excel, niet alleen voor AFAS-analyses.

  1. In Excel ga je naar Bestand / Opties, tabblad Vertrouwenscentrum.
  2. Klik op: Instellingen voor het Vertrouwenscentrum.
  3. Ga naar het tabblad: Macro-instellingen.
  4. Selecteer VBA-macro's uitschakelen met uitzondering van macro's die digitaal zijn ondertekend.

     

  Je bent nu klaar met het inrichten van het gebruik van certificaten. Gebruik de onderstaande stappen voor het beheren van certificaten.

  Certificaat beheren, exporteren en importeren:

  1. Start de opdrachtpromt (CMD) en voer certmgr.msc uit.
  2. Je vindt je eigen certificaten hier. Als je met de rechtermuisknop op een certificaat klikt, kun je dit exporteren.

     

  3. Als je een certificaat op een ander pc wilt importeren, open je certmgr.msc op die pc.
  4. Open de map Persoonlijk / Certificaten.
  5. Ga naar: Actie / Alle taken / Importeren.

Methode 6: Microsoft-policy

Gebruik een Microsoft-policy om te vookomen dat macro's ongewenst worden geblokkeerd. AFAS biedt hierop geen ondersteuning en de inrichting wordt niet in de help beschreven. De inrichting van deze policy is een taak voor de systeembeheerder in je eigen organisatie. Zie dit artikel van microsoft voor meer informatie.