Turvasätted ActiveX-juhtelemendid ja ole-objektide Office 2003 ja Office 2007 tarkvarakomplekti

Artiklite tõlked Artiklite tõlked
Artikli ID: 2252664 - Vaadake tooteid, millega see artikkel seostub.
Oluline See artikkel sisaldab teavet, mis näitab teile, kuidas turvalisuse sätteid vähendada või kuidas turvaelementide arvuti välja lülitada. Tehke need muutused konkreetse probleemi. Enne nende muudatuste soovitame hinnata selle abinõu teie teatud keskkonnas kasutamisega seotud riske. Kui otsustate selle siiski rakendada võtma kõik vajalikud meetmed arvuti kaitsmiseks.
Laienda kõik | Ahenda kõik

Sellel veebilehel

SISSEJUHATUS

See artikkel sisaldab väljalaske-eelne dokumentatsioon ja võidakse tulevastes väljalasetes muuta.

Selle turvavärskenduse võimaldab kasutajatel kontrollida kui ja kuidas ActiveX-juhtelemendid ja ole-objektide laadida Microsoft Office-desaktiveerimissätte nimekirja. Lisateavet Windows Internet Exploreri desaktiveerimissätte käitumine see funktsioon põhineb ja see hõlmab kuidas seada AlternateCLSIDs, mis võimaldavad värskendatud ActiveX juhtelemendid laadida, vaadake Kuidas peatada ActiveX-juhtelemendi käitamist Internet Exploreris.

Nõuandev artikkel käsitleb nõrgad kohad linnas on aktiivsed Mall Raamatukogu (ATL) mis võib lubada koodi kaugkäivitamist.
973882 Microsoft Security Advisory: Haavatavused ja Microsofti aktiivsed Mall Raamatukogu (ATL) võib lubada koodi kaugkäivitamist

Nõuandev artikkel funktsioonide kasutamist vähendamiseks ATL haavatavused. Lisaks arutatakse konkreetseid ATL kergendamise selle turvavärskenduse.

See värskendus kehtib Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher ja Microsoft Visio.

Office COM desaktiveerimissätte

Samuti saate võeti kasutusele turvavärskenduse MS10-036 takistamaks konkreetsete COM-objektide töötab Office'i rakenduste Office COM desaktiveerimissätte. Need konkreetsed COM objektid sisaldavad ActiveX-i juhtelemendid ja ole-objektide. Nüüd, selle registri kaudu saab sõltumatult kontrollida milliseid ActiveX ja OLE objekte blokeeritakse töötab Office kasutamisel.

Olulised märkused
  • Kui Office COM tappa Bit on registris ole-objekti, objekti ei laadita ja objekti ei saa laadida viivitamata.
  • Office 2007, saavad kasutajad järgmise tõrketeate:

    Viited välistele lingitud ole-failidele on blokeeritud.
  • Office 2003 kasutajatele kuvatakse järgmine tõrketeade:
    Katse klassi objekti ei saanud luua. Juurdepääs on keelatud.


Mis CLSID ei suuda laadida määramiseks kasutada ning Process Monitor technet. Otsi Internet Explorer-desaktiveerimissätte sisselaskmist Process Monitor logifaili.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Märkus Me ei soovita, kui eemaldate vastava COM-objekti seada desaktiveerimissätte. Kui te seda teete, võite tekitada turvahaavatavusi. Desaktiveerimissätte seadmist tavaliselt põhjus, mis võib olla kriitiline ja sellest tulenevalt äärmiselt hoolikalt peab olema desaktiveerimise tagasivõtmisel ActiveX-juhtelementi.

Saate lisada AlternateCLSID (tuntud ka kui "Phoenix natuke") Kui teil on seotud uue ActiveX-juhtelemendi CLSID (ja selle ActiveX-juhtelemendi muudeti ohu vähendamiseks), et Office COM desaktiveerimissätte kohaldati ActiveX-juhtelemendi CLSID. Office toetab ka AlternateCLSID ainult ActiveX control COM objektide kasutamisel.

MärkusOffice-desaktiveerimissätte nimekirja ülimuslik desaktiveerimissätte nimekiri Internet Explorer. Näiteks võib sama ActiveX-juhtelemendi jaoks seada Office COM desaktiveerimissätte ja Internet Explorer ActiveX-juhtelemendi desaktiveerimissätte. Aga nimekirjas on AlternateCLSID seada ainult Internet Exploreri jaoks. Selle stsenaariumi puhul on konflikti vahel kaks. Kõnealustel juhtudel Office COM-desaktiveerimissätte sätted ja juhtelementi pole laaditud.

Office COM desaktiveerimissätte seadmine

OlulineSee osa, meetod või ülesanne sisaldab toiminguid, mis õpetavad registrit muutma. Registri ekslik muutmine võib samas põhjustada tõsiseid probleeme. Seega veenduge, et te järgite neid samme hoolikalt. Täiendavaks kaitseks varundage register enne selle muutmist. Seejärel saate registri taastamine probleemi ilmnemisel. Varundamine ja taastamine registris kohta lisateabe saamiseks klõpsake Microsofti teabebaasi artikli kuvamiseks järgmist artiklinumbrit:
322756Varundamine ja taastamine Windows registry
Koht, millega Office COM desaktiveerimissätte registris on järgmine:
HKEY_LOCAL_MACHINE/Software/Microsoft/ameti/Common/COM ühilduvuse / {CLSID}
Sel juhul CLSID on COM-objekti klassiidentifikaator. Office COM desaktiveerimissätte lubamiseks peate lisama registri alamvõtme koos CLSID ActiveX-juhtelement või ole-objekti, mida soovite blokeerida laadimist. Ka, sul määrata ühilduvuse lipu REG_DWORD väärtus 0x00000400.

Näiteks Office COM objektiga {77061A9C-2F18-4f38-B294-F6BCC8443D24} CLSID desaktiveerimissätte seadmiseks otsige üles järgmine alamvõti ja lisage REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} alamvõtme:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Sel juhul tee on järgmine:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Alamvõti, mis sisaldab {CLSID} võtmele 0x00000400 väärtuse lisamisel Office COM desaktiveerimissätte seadmist. 64-Bitine ja 32-bitise objektid ja nende tappa bitti asuvad eri registri asukohad.

Lisateabe saamiseks külastage järgmist Microsofti veebilehe kuvamiseks desaktiveerimissätte KKK:

Desaktiveerimissätte KKK: 3 osa 1

Kuidas alistada Internet Explorer-desaktiveerimissätte nimekirja ole-objektid

Alistada IE-desaktiveerimissätte nimekirja valik võimaldab täpsemalt millised ole-objekte Internet Explorer-desaktiveerimissätte nimekirja lubatud laaditakse Office'i nimekirja. Kasutada alistada IE-desaktiveerimissätte nimekirja ainult siis, kui sa tead, et ole-objekt on ohutu laadida Office. Pea meeles, et kui amet kontrollib alistada IE-desaktiveerimissätte nimekirja kehtestamine, samuti kontrollib Office kas Office COM desaktiveerimissätte on lubatud. Office COM desaktiveerimissätte lubamisel OLE objekti ei laadita.

Alistada IE-desaktiveerimissätte loendist suvandi lubamiseks peab õigesti kategoriseerida ole-objekti. Registris, kui alamvõtit juba olemas, lisada alamvõti, mida nimetatakse COM-objekti CLSID kategooriad rakendada. Seejärel lisada alamvõti, mis sisaldab catId-selle kategooria ID (d) jaoks ole-objekte, {F3E0281E-C257-444E-87E7-F3DC29B62BBD} rakendatud kategooriad võti.

Näiteks Internet Explorer võib moodustada tappa ole-objekti, kuid soovite siiski kasutada objekti asukoht. Sel juhul tuleb esmalt otsida CLSID selle ole-objekti register järgmisse asukohta:
HKEY_CLASSES_ROOT\CLSID
Microsoft Graphi diagrammi CLSID on {00020803-0000-0000-C000-000000000046}. Siis saate määratleda, kas võti kategooriad rakendada juba olemas või tuleb luua võti, kui see olemas. Selles näites on tee järgmiselt:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Lõpuks Lisa uus alamvõti CATID-d OLE objektile rakendatud kategooriad võti. Järgmises näites tee:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Märkus CATID-selle kategooria ID (d) ole-objektide puhul on {F3E0281E-C257-444E-87E7-F3DC29B62BBD} looksulud ({}) tuleb lisada.

Kuidas keelata ATL kergendamise

ATL kergendamise lubatud OleLoadFromStreamsuch kasutavad juhtelemendid ei saa seda tööd ja kontroll teavet läheb kaduma. Näiteks mõjutab VB6/Windows ühise kontrolli selles küsimuses.

Hoiatus See lahendus võib muuta arvuti või võrgu haavatavamaks pahatahtlike rünnakute või pahatahtliku tarkvara, näiteks viiruseid. Me ei soovita seda lahendust vaid see info, et te saaksite seda lahendust kasutada oma enda äranägemisel. Kasutate seda abinõud omal vastutusel.

Me ei soovita, keelata ATL kergendamise, kui see on hädavajalik, sest need ATL kergendamise hõlmata laia ulatusega. ATL kergendamise keelamisel võite tekitada turvahaavatavusi. ATL kergendamise keelamisel soovitame võtate vastu ebausaldusväärse allikatest Microsoft Office'i faili ei saa avada või et te saate ootamatult usaldusväärsetest allikatest.

ATL nõrgad kohad viitavad kergendamise keelamiseks seadke NoOLELoadFromStreamChecks REG_DWORD väärtus 00000001 järgmine registri alamvõti:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Märkus Kui selle registri alamvõtmes pole olemas, peate looma selle registri alamvõtme REG_DWORD tüübina.

Keela scriplet kontrollib Office'i rakenduste jaoks

Pärast selle turvavärskenduse installimist saate keelata skriptletid Office'i rakendused ja Internet Exploreri käitumine on muutunud.

Office'i rakenduste skriptletid keelamiseks seadke ühilduvuse lipu REG_DWORD väärtus 00000400 järgmine registri alamvõti:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Järgnev on nimekirja muid juhtelemente, mida te võiksite kaaluda ameti peale pannes eitada nimekiri:
Ahenda see tabelLaienda see tabel
KontrolliCLISD
Microsoft HTA dokumendi 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Web Browswer kontroll {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}

Atribuudid

Artikli ID: 2252664 - Viimati läbi vaadatud: 27. november 2013 - Redaktsioon: 1.0
Kehtib järgmise lõigu kohta:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Märksõnad: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 kbmt KB2252664 KbMtet
Masintõlgitud
NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections/et.
Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 2252664

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com