macro digitaal ondertekenen

Status
Niet open voor verdere reacties.

brandernl

Gebruiker
Lid geworden
19 okt 2004
Berichten
445
Ik werk in een ziekenhuis en met alle onrust over ransomware is men nu van plan om macro's te verbieden, tenzij voorzien van een digitale handtekening.
Heeft een van jullie daar ervaring mee?

Office biedt de mogelijkheid om met selfcert.exe (C:\Program files\Microsoft Office\Office 14\selfcert) een digitaal certificaat te maken, vervolgens kan ik dat certificaat een mijn Excel-(of Word)bestand met macro's knopen, maar....
Dat certificaat staat op mijn (virtuele) (ook dat nog) werkplek. Wat gebeurt er als ik dit bestand naar een collega verstuur? Geldt dat certificaat dan nog steeds, zodat de macro's gewoon uitgevoerd kunnen worden?

Ik heb een avond gegoogeld, maar kom niet verder dan wat ik hierboven beschrijf, niet hoe e.e.a. praktisch toe te passen in een bedrijfsnetwerk (waar ook bijvoorbeeld Office tools / hulpprogramma's zijn uitgeschakeld)

Mijn hoop is op jullie gevestigd, waarvoor bij voorbaat dank
 
Het beste is om een certificaat te hebben dat door de organisatie via AD (oid) centraal in vertrouwde root of keychain verwerkt voor alle gebruikers.

In principe hoef je dat niet te regelen op gebruikersniveau. Wat er in het algemeen gebeurt, is dat er een nieuw root certificaat wordt gemaakt en die als vertrouwd wordt aangemerkt op het domein/PC's /virtuele omgeving. Vervolgens kun je onder die vertrouwde root meerdere subitems aanmaken, zoals bijvoorbeeld een "macro sleutel certificaat". Alles getekend met de sub-sleutel kan dan automatisch vertrouwd worden, omdat de root daarvan vertrouwd wordt.

Je gebruikt subcertificaten omdat de root-sleutel niemand mag hebben. Sleutels van lagere certificaten kun je eventueel delen. Als daar later wat mis mee gaat kan de root alle subcertifacten ongeldig verklaren en kun je ineens dus zo'n groep ongeldig verklaren.

Iedereen individuele sleutels geven is vaak ongewenst en ook niet effectief omdat je dan steeds je certificaat ook moet overzetten en dat leverd vervolgens alleen schijnveiligheid op.
 
Ha Wampier, daar kan ik verder mee. Ik neem aan dat je met Ad Active Directory bedoelt.
Ik ga morgen in conclaaf met Infrabeheer. Ik laat nog weten hoe het verder gaat
 
Het belangrijkste is dat dit alles ook gepaard gaat met een beleidsplan. Wie krijgt sleutels, hoe wordt de private key van de root veilig beheerd, wie mag sub-authorities / certificates aanmaken. Hoe worden sleutels van deze beheerd. Hoe loopt een proces om een macro gesigneerd te krijgen. Hoe en wanneer worden certificaten weer teruggetrokken? Wie mag die beslissing maken?

PKI is een van die beheersdingen waar je weken bezig bent alles te regelen op papier en twee uur om het te implementeren ;) . Maar het moet wel goed gebeuren want als je niet voorzichtig bent wordt het instellen van een PKI een groter gat in je beveiliging dan het probleem dat je probeert op te lossen. Niet moeilijk, maar je moet het wel juist implementeren. Op het werk wordt onze authority ook gebruikt voor S/MIME ondertekening van interne e-mails, beveiligen van interne websites, etc.
 
Dag Wampier, Ik heb wat mensen bij elkaar gezocht; volgende week gaan we kijken hoe we e.e.a kunnen realiseren
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan