ActiveX-komponenttien ja OLE-objektien suojausasetukset Office 2003:ssa ja 2007 Office -tuotepaketissa

Artikkelin tunnus: 2252664 - Näytä tuotteet, joita tämä artikkeli koskee.
Tärkeää Tässä artikkelissa on tietoja, joiden avulla voit pienentää suojausasetuksia tai poistaa tietokoneen suojausominaisuudet käytöstä. Näiden muutosten avulla voit kiertää tietyn ongelman. Ennen kuin teet nämä muutokset, sinun kannattaa arvioida riskit, joita tämän kiertotavan käyttäminen ympäristössäsi aiheuttaa. Jos käytät tätä kiertotapaa, suojaa tietokonetta suorittamalla sen mukaiset lisätoimet.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

ESITTELY

Tämä artikkeli sisältää ennakkojulkaisuohjeita, ja tiedot voivat muuttua tulevissa versioissa. 

Tämä tietoturvapäivitys antaa käyttäjien määrittää, ladataanko ActiveX-komponentit ja OLE-objektit Microsoft Officen Kill-bittiluettelon kanssa ja miten ne ladataan. Lisätietoja Windows Internet Explorerin Kill-bittien toiminnasta, johon tämä ominaisuus perustuu, mukaan lukien päivitettyjen ActiveX-komponenttien lataamisen mahdollistavien AlternateCLSID:iden asettamisesta, on artikkelissa ActiveX-komponentin Internet Explorerissa lataamisen estäminen
(http://go.microsoft.com/fwlink/?LinkId=183124)
.

Seuraava neuvoartikkeli käsittelee Active Template Libraryn (ATL) heikkouksia, jotka saattavat mahdollistaa koodin etäsuorittamisen.
973882
(http://support.microsoft.com/kb/973882/ )
Microsoft Security Advisory -suojausneuvo: Microsoftin Active Template Libraryn (ATL) heikkoudet saattavat mahdollistaa koodin etäsuorittamisen

Kaikkia neuvoartikkelin kohteita voidaan käyttää näiden ATL-heikkouksien vaikutuksen pienentämiseen. Lisäksi tässä tietoturvapäivityksessä käsitellään tiettyjä ATL-heikkouksien vaikutuksen pienentämisiä.

Tämä tietoturvapäivitys koskee Microsoft Wordia, Microsoft Exceliä, Microsoft PowerPointia, Microsoft Publisheria ja Microsoft Visiota.

Officen COMin Kill-bitti

Voit myös käyttää Officen COMin Kill-bittiä, jonka tietoturvapäivitys MS10-036 lisäsi tiettyjen COM-objektien Office-sovellusten sisällä suorittamisen estämiseksi. Näitä COM-objekteja ovat esimerkiksi ActiveX-komponentit ja OLE-objektit. Nyt voit rekisterin kautta määrittää yksitellen, minkä ActiveX- ja OLE-objektien suorittaminen estetään Officea käytettäessä.

Tärkeitä huomautuksia
  • Jos Officen COMin Kill-bitti asetetaan rekisterissä OLE-objektille, objektia ei ladata, eikä objektia voi ladata missään tilanteessa.
  • Näyttöön tulee seuraava virhesanoma Office 2007:ssä:

    Viittaukset ulkoisiin linkitettyihin OLE-tiedostoihin on estetty. 
  • Näyttöön tulee seuraava virhesanoma Office 2003:ssä:
    Luokkaobjektin luomisyritys epäonnistui. Käyttö estetty.


Voit selvittää, minkä CLSID:n lataaminen epäonnistuu, käytä TechNetin Process Monitoria
(http://technet.microsoft.com/fi-fi/sysinternals/bb896645.aspx)
. Etsi Process Monitorin lokitiedostosta Internet Explorerin Kill-bittiasetusta.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Huomautus Microsoft ei suosittele COM-objektille asetetun Kill-bitin poistamista. Jos poistat sen, saatat luoda tietoturvaheikkouksia. Kill-bitti asetetaan yleensä syystä, joka voi olla erittäin tärkeä, joten ActiveX-komponentin Kill-bitin asettamisen poistamisessa tulee olla erittäin varovainen.

Voit lisätä AlternateCLSID:n (kutsutaan myös Phoenix-bitiksi), kun sinun on luotava liitos uuden ActiveX-komponentin (tätä ActiveX-komponenttia muokattiin tietoturvauhan pienentämistä varten) CLSID:n ja sen ActiveX-komponentin (jolle Officen COMin Kill-bittiä käytettiin) CLSID:n välille. Office tulee AlternateCLSID-kohteita vain, kun käytetään ActiveX-komponentin COM-objekteja. 

Huomautus Officen Kill-bittiluettelo on ensisijainen Internet Explorerin Kill-bittiluetteloon nähden. Esimerkiksi Officen COMin Kill-bitti ja Internet Explorerin ActiveX:n Kill-bitti voi olla asetettu samalle ActiveX-komponentille. AlternateCLSID on kuitenkin asetettu vain Internet Explorerin luettelossa. Tässä tilanteessa kyseisten kahden asetuksen välillä on ristiriita. Tällöin Officen COMin Kill-bittiasetukset ovat ensisijaiset, eikä komponenttia ladata.

Officen COMin Kill-bitin asettaminen

Tärkeää Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Vakavia ongelmia saattaa kuitenkin ilmetä, jos rekisteriä muokataan virheellisesti. Varmista siis, että noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Tällöin voit palauttaa sen, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322756
(http://support.microsoft.com/kb/322756/ )
Rekisterin varmuuskopioiminen ja palauttaminen Windowsissa
Officen COMin Kill-bitin asettamisen sijainti rekisterissä on seuraava:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
Tässä tapauksessa CLSID on COM-objektin luokkatunnus. Jotta voit ottaa käyttöön Officen COMin Kill-bitin, sinun on lisättävä rekisterin aliavain yhdessä sen ActiveX-komponentin tai OLE-objektin CLSID:n kanssa, jonka lataamisen haluat estää. Lisäksi sinun on asetettava Compatibility Flag -kohteen REG_DWORD-arvoksi 0x00000400.

Jos esimerkiksi haluat asettaa Officen COMin Kill-bitin objektille, jonka CLSID on {77061A9C-2F18-4f38-B294-F6BCC8443D24}, etsi seuraava aliavain ja lisää REG_SZ-arvo {77061A9C-2F18-4f38-B294-F6BCC8443D24} aliavaimeen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Tässä tapauksessa polku on seuraava:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Kun lisäät arvon 0x00000400 sisältävän aliavaimen {CLSID}-avaimeen, Officen COMin Kill-bitti asetetaan. 64- ja 32-bittiset objektit sekä niiden Kill-bitit sijaitsevat eri rekisterisijainneissa. 

Lisätietoja on seuraavalla Microsoftin verkkosivulla olevissa Kill-bitin usein kysytyissä kysymyksissä:

Kill-bitin usein kysytyt kysymykset: osa 1/3
(http://blogs.technet.com/srd/archive/2008/02/06/the-kill_2d00_bit-faq_3a00_-part-1-of-3.aspx)

Internet Explorerin Kill-bittiluettelon ohittaminen OLE-objekteille

Internet Explorerin Kill-bittiluettelon ohittamisen asetuksen avulla voit määrittää, minkä Internet Explorerin Kill-bittiluettelon OLE-objektien lataus sallitaan Officen sisällä. Käytä Internet Explorerin Kill-bittiluettelon ohittamista vain, jos tiedät, että OLE-objekti on turvallinen ladata Officessa. Huomaa, että kun Office tarkistaa Internet Explorerin Kill-bittiluettelon ohittamisen asetuksen, se myös tarkistaa, onko Officen COMin Kill-bitti käytössä. Jos Officen COMin Kill-bitti on käytössä, OLE-objektia ei ladata.

Jos haluat ottaa käyttöön Internet Explorerin Kill-bittiluettelon ohittamisen asetuksen, sinun täytyy luokitella OLE-objekti oikein. Jos aliavainta ei jo ole jo rekisterissä, lisää Implemented Categories -aliavain COM-objektin CLSID:hen. Lisää sitten Implemented Categories -avaimeen luokkatunnuksen (CATID) OLE-objekteille sisältävä aliavain {F3E0281E-C257-444E-87E7-F3DC29B62BBD}.

Internet Explorer voi esimerkiksi olla määritetty asettamaan Kill-bitti OLE-objektille, mutta haluat kuitenkin käyttää kyseistä objektia Officessa. Tässä tapauksessa sinun on ensin etsittävä kyseisen OLE-objektin CLSID seuraavasta rekisterin sijainnista:
HKEY_CLASSES_ROOT\CLSID
Esimerkiksi Microsoft Graph -kaavion CLSID on {00020803-0000-0000-C000-000000000046}. Tämän jälkeen sinun on selvitettävä, onko avain Implemented Categories jo olemassa, ja luotava kyseinen avain, jos sitä ei ole. Tässä esimerkissä polku on seuraava:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Lisää lopuksi uusi aliavain CATID-OLE-objektille Implemented Categories -avaimeen. Tässä esimerkissä käytettävä polku on seuraava:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Huomautus OLE-objektien luokkatunnus (CATID) on {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, ja aaltosulkeet { } on sisällytettävä.

ATL-heikkouksien vaikutusten pienentämisen poistaminen käytöstä

Kun ATL-heikkouksien vaikutusten pienentäminen on käytössä, OleLoadFromStreamsuch-kohdetta käyttävien komponenttien toiminta estetään, ja komponenttitiedot menetetään. Tämä ongelma koskee esimerkiksi VB6/Windows-yhteiskomponentteja.

Varoitus Tämän ongelman kiertotavan käyttäminen saattaa tehdä tietokoneestasi tai verkostasi entistä haavoittuvamman pahantahtoisten käyttäjien tai haitallisiksi suunniteltujen ohjelmien, kuten virusten, hyökkäyksille. Microsoft ei suosittele tätä kiertotapaa, mutta näiden tietojen avulla voit kiertää ongelman harkintasi mukaan. Käytä tätä kiertotapaa omalla vastuulla.

Microsoft ei suosittele ATL-heikkouksien vaikutusten pienentämisen poistamista käytöstä, ellei se ole ehdottoman tarpeellista, koska ATL-heikkouksien vaikutusten pienentämisellä on vaikutusta laajalti. Jos poistat ATL-heikkouksien vaikutusten pienentämisen käytöstä, saatat luoda tietoturvaheikkouksia. Jos kuitenkin poistat ATL-heikkouksien vaikutusten pienentämisen käytöstä, Microsoft suosittelee, ettet avaa muista kuin luotettavista lähteistä saamiasi tai luotettavista lähteistä odottamattomasti saamiasi Microsoft Office -tiedostoja.

Jos haluat poistaa käytöstä ATL-heikkouksien vaikutusten pienentämiset, aseta REG_DWORD-kohteen NoOLELoadFromStreamChecks arvoksi 00000001 seuraavassa rekisterin aliavaimessa:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Huomautus  Jos tätä rekisterin aliavainta ei ole olemassa, sinun on luotava se niin, että sen tyyppi on REG_DWORD.

Office-sovellusten komentosarjakatkelmakomponenttien poistaminen käytöstä

Kun tämä tietoturvapäivitys on asennettu, voit poistaa käytöstä Office-sovellusten komentosarjakatkelmat käytöstä niin, ettei Internet Explorerin toiminta muutu.

Voit poistaa käytöstä Office-sovellusten komentosarjakatkelmat asettamalla Compatibility Flag -kohteen REG_DWORD-arvoksi 00000400 seuraavassa rekisterin aliavaimessa:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Seuraavassa on luettelo muista komponenteista, jotka saattaa kannattaa sijoittaa Officen estoluetteloon:
Kutista tämä taulukkoLaajenna tämä taulukko
KomponenttiCLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Web Browser Control {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
Palaa alkuun | Anna palautetta
Huomautus Tämä on niin sanottu nopeasti julkaistava (?fast publish?) artikkeli, joka on laadittu suoraan Microsoftin tukiorganisaatiossa. Tässä olevat tiedot toimitetaan sellaisenaan vastauksena esiin tulleisiin ongelmiin. Koska aineisto on tuotu saataville nopeasti, se saattaa sisältää painovirheitä ja tietoja saatetaan muokata milloin tahansa ilman erillistä ilmoitusta. Lue muut huomioon otettavat seikat käyttöehdoista
(http://go.microsoft.com/fwlink/?LinkId=151500)
.
Palaa alkuun | Anna palautetta

Ominaisuudet

Artikkelin tunnus: 2252664 - Viimeisin tarkistus: 24. elokuuta 2010 - Versio: 2.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Hakusanat: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664
Palaa alkuun | Anna palautetta

Anna palautetta

 
Palaa alkuunPalaa alkuun