Sikkerhedsindstillinger for ActiveX-objekter og OLE-objekter i Office 2003 og i 2007 Office-programpakken

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 2252664 - Få vist de produkter, som denne artikel refererer til.
Vigtigt! I denne artikel beskrives det, hvordan du kan reducere sikkerhedsindstillingerne, eller hvordan du kan deaktivere sikkerhedsfunktioner på en computer. Du kan foretage disse ændringer for at løse et bestemt problem. Før du foretager sådanne ændringer, bør du overveje de risici, der er forbundet med at implementere denne løsning i dit eget miljø. Hvis du implementerer denne løsning, skal du træffe ekstra passende forholdsregler for at beskytte computeren.
Udvid alle | Skjul alle

På denne side

INTRODUKTION

Denne artikel indeholder foreløbige oplysninger og bliver ændret i kommende versioner.

Med denne sikkerhedsopdatering bliver det muligt for brugere at bestemme, om og hvordan ActiveX-objekter og OLE-objekter indlæses med en liste over Microsoft Office-afslutningsbit. Du kan finde flere oplysninger om funktionsmåden for Windows Internet Explorer-afslutningsbit, som denne funktion er baseret på, herunder hvordan du indstiller AlternateCLSID'er, der gør det muligt at indlæse opdaterede ActiveX-objekter, under Sådan forhindres et ActiveX-objekt i at køre i Internet Explorer.

I følgende artikel beskrives de sikkerhedsrisici i ATL (Active Template Library), der kan tillade fjernkørsel af programkode.
973882 Microsoft Security Advisory: Sikkerhedsrisici i Microsoft ATL (Active Template Library) kan tillade fjernkørsel af programkode . Artiklen er evt. på engelsk.

Alle funktionerne i artiklen kan bruges som en hjælp til at reducere disse ATL-sikkerhedsrisici. Derudover beskrives specifikke måder at afhjælpe ATL-sikkerhedsproblemer på i denne sikkerhedsopdatering.

Denne sikkerhedsopdatering gælder Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher og Microsoft Visio.

Office COM-afslutningsbit

Du kan også bruge den Office COM-afslutningsbit, der blev introduceret i sikkerhedsopdateringen i MS10-036, til at forhindre specifikke COM-objekter i at køre i Office-programmer. Disse specifikke COM-objekter omfatter ActiveX- og OLE-objekter. Gennem registreringsdatabasen kan du uafhængigt af hinanden styre, hvilke ActiveX- og OLE-objekter der ikke skal køre, når du bruger Office.

Vigtige bemærkninger
  • Hvis Office COM-afslutningsbitten er angivet i registreringsdatabasen for et OLE-objekt, indlæses objektet ikke, og det kan ikke indlæses under nogen omstændigheder.
  • I Office 2007 får brugerne vist følgende fejlmeddelelse:

    Henvisninger til eksterne sammenkædede OLE-filer er blokeret. 
  • I Office 2003 får brugerne vist følgende fejlmeddelelse:
    Forsøg på at oprette et klasseobjekt mislykkedes. Adgang nægtet.


Du kan finde ud af, hvilket CLSID der ikke kan indlæses, ved hjælp afProcess Monitor fra TechNet. Se efter indstillingen for Internet Explorer-afslutningsbit i logfilen i Process Monitor.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Bemærk! Det anbefales ikke, at du fjerner den afslutningsbit, der er angivet for et COM-objekt. Det kan skabe sikkerhedsrisici. Afslutningsbitten angives normalt af velovervejede grunde, så derfor skal du være yderst tilbageholdende med at annullere den handling, der tvangsafslutter et ActiveX-objekt.

Du kan tilføje et AlternateCLSID (også kendt som en "Phoenix-bit"), hvis du skal knytte CLSID'et for et nyt ActiveX-objekt (og dette ActiveX-objekt blev ændret for at reducere sikkerhedstruslen), til CLSID'et for det ActiveX-objekt, som Office COM-afslutningsbitten blev anvendt på. AlternateCLSID'et understøttes kun i Office, hvis der bruges COM-objekter af typen ActiveX-objekt. 

Bemærk! Listen over Office-afslutningsbit tilsidesætter listen over Internet Explorer-afslutningsbit. Office COM-afslutningsbitten og Internet Explorer ActiveX-afslutningsbitten kan f.eks. være angivet for det samme ActiveX-objekt. Men AlternateCLSID er kun angivet på listen for Internet Explorer. I dette scenarie er der en konflikt mellem de to indstillinger. I det tilfælde har indstillingerne for Office COM-afslutningsbitten fortrinsret, og objektet indlæses ikke.

Indstilling af Office COM-afslutningsbitten

Vigtigt! I det følgende finder du en fremgangsmåde til redigering af registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Du skal derfor være meget omhyggelig med at følge den angivne fremgangsmåde. Som en ekstra sikkerhed skal du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Du kan finde flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
322756 Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows
Du skal angive indstillingen for Office COM-afslutningsbitten på følgende placering i registreringsdatabasen:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
I dette tilfælde er CLSID klasseidentifikatoren for COM-objektet. Du aktiverer Office COM-afslutningsbitten ved at tilføje undernøglen i registreringsdatabasen sammen med CLSID'et for det ActiveX- eller OLE-objekt, der ikke skal indlæses. Du skal også angive kompatibilitetsflagets REG_DWORD-værdi til 0x00000400.  

Hvis du f.eks. vil angive Office COM-afslutningsbitten for et objekt med CLSID'et {77061A9C-2F18-4f38-B294-F6BCC8443D24}, skal du finde følgende undernøgle og tilføje REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} til undernøglen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
I dette tilfælde skal du bruge følgende sti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Når du føjer en undernøgle, som indeholder værdien 0x00000400, til {CLSID}-nøglen, bliver Office COM-afslutningsbitten angivet. 64-bit- og 32-bit-objekter og deres afslutningsbit er placeret andre steder i registreringsdatabasen.

Du kan finde flere oplysninger om afslutningsbit på følgende Microsoft-webside. Siden er evt. på engelsk:

Ofte stillede spørgsmål om afslutningsbitten: Del 1 af 3

Sådan tilsidesætter du listen over Internet Explorer-afslutningsbit for OLE-objekter

Du kan bruge indstillingen til tilsidesættelse af listen over Internet Explorer-afslutningsbit til at angive, hvilke OLE-objekter på listen over Internet Explorer-afslutningsbit der må indlæses i Office. Brug kun indstillingen til tilsidesættelse af listen over Internet Explorer-afslutningsbit, hvis du ved, at det er sikkert at indlæse OLE-objektet i Office. Vær opmærksom på, at når indstillingen til tilsidesættelse af listen over Internet Explorer-afslutningsbit kontrolleres i Office, kontrolleres det også, om Office COM-afslutningsbitten er aktiveret. Hvis Office COM-afslutningsbitten er aktiveret, indlæses OLE-objektet ikke.  

Hvis du vil aktivere indstillingen til tilsidesættelse af afslutningsbitten for Internet Explorer, skal du kategorisere OLE-objektet korrekt. Føj en undernøgle med navnet Implemented Categories til CLSID'et for COM-objektet i registreringsdatabasen, hvis den ikke allerede findes. Tilføj derefter en undernøgle, der indeholder kategori-id'et (CATID) for OLE-objekter, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, til nøglen Implemented Categories.

Internet Explorer kan f.eks. være konfigureret til at afslutte et OLE-objekt, men du vil stadig bruge dette objekt i Office. I det tilfælde skal du først finde CLSID'et for det pågældende OLE-objekt på følgende placering i registreringsdatabasen:
HKEY_CLASSES_ROOT\CLSID
CLSID'et for Microsoft Graph-diagrammet er f.eks. {00020803-0000-0000-C000-000000000046}. Derefter skal du bestemme, om nøglen Implemented Categories allerede findes, ellers skal du oprette nøglen, hvis den ikke findes. I dette eksempel er stien som følger:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Føj til sidst en ny undernøgle for CATID'et for OLE-objektet til nøglen Implemented Categories. Følgende er standardstien til dette eksempel:
Bemærk! Kategori-id'et (CATID) for OLE-objekter er {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, og klammeparenteserne ( { } ) skal inkluderes.

Sådan deaktiveres afhjælpning af ATL-sikkerhedsproblemer

Når ATL-sikkerhedsproblemerne er aktiverede, fungerer de objekter, der bruger OleLoadFromStreamsuch, ikke længere, og objektoplysningerne går tabt. VB6/Windows Common påvirkes f.eks. af dette problem.

Advarsel! Denne løsning gør muligvis computeren eller netværket mere sårbart over for angreb fra ondsindede brugere eller skadelig software som virus. Vi anbefaler ikke denne løsning, men vi giver disse oplysninger, så du selv kan vælge at implementere løsningen, som du vil. Brug af denne løsning sker på eget ansvar.

Det anbefales ikke, at du deaktiverer afhjælpning af ATL-sikkerhedsproblemer, medmindre det er absolut nødvendigt, fordi afhjælpningen af ATL-sikkerhedsproblemer berører et stort område. Hvis du deaktiverer afhjælpning af ATL-sikkerhedsproblemer, kan du skabe sikkerhedsrisici. Hvis du deaktiverer ATL-sikkerhedsproblemerne, anbefales det, at du ikke åbner de Microsoft Office-filer, som du modtager fra kilder, du ikke har tillid til, eller som du uventet modtager fra kilder, du har tillid til.

Hvis du vil deaktivere afhjælpning af ATL-sikkerhedsproblemer, skal du angive NoOLELoadFromStreamChecks REG_DWORD til værdien 00000001 i følgende undernøgle i registreringsdatabasen:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Bemærk! Hvis denne undernøgle i registreringsdatabasen ikke findes, skal du oprette den som en REG_DWORD-type.

Deaktiver scriplet-objekter for Office-programmer

Når denne sikkerhedsopdatering er installeret, kan du deaktivere scriptlets for Office-programmer, og Internet Explorer-funktionsmåden ændres ikke.

Du deaktiverer scriptlets for Office-applikationer ved at angive kompatibilitetsflagets REG_DWORD-værdi til 00000400 i følgende undernøgle i registreringsdatabasen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Følgende liste indeholder andre kontrolelementer, som kunne være relevant at sætte på afvisningslisten for Office:
Skjul tabellenUdvid tabellen
KontrolelementCLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Web Browser Control {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
Bemærk! Dette er en artikel til hurtig udgivelse, som er oprettet direkte i Microsofts supportafdeling. Oplysningerne i artiklen præsenteres som de og behandler aktuelle problemer. Fordi artiklen er blevet udgivet hurtigt, kan der forekomme slåfejl, og artiklen kan blive redigeret uden varsel. Se andre forbehold under Vilkår for anvendelse.

Egenskaber

Artikel-id: 2252664 - Seneste redigering: 29. november 2013 - Redigering: 3.0
Oplysningerne i denne artikel gælder:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Nøgleord: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com