Az Office 2003 és a 2007-es Office rendszer ActiveX-vezérlőinek és OLE-objektumainak biztonsági beállításai

A cikk fordítása A cikk fordítása
Cikk azonosítója: 2252664 - A cikkben érintett termékek listájának megtekintése.
Fontos: A cikkben szereplő információk segítségével számítógépén alacsonyabb szintű biztonsági beállításokat adhat meg, illetve kikapcsolhat biztonsági szolgáltatásokat. Ezeket a módosításokat egy adott probléma megoldása érdekében ajánlott végrehajtani, előtte azonban célszerű mérlegelni a probléma ilyen módon történő megoldásával járó kockázatokat az adott környezetben. A cikkben tárgyalt kerülő megoldás választása esetén gondoskodjon a számítógép védelméről.
Az összes kibontása | Az összes összecsukása

A lap tartalma

BEVEZETÉS

A cikk előzetes dokumentáció, melynek tartalma a jövőben változhat.

A biztonsági frissítés lehetővé teszi a felhasználók számára, hogy a Microsoft Office tiltóbitlistáival szabályozzák az ActiveX-vezérlők és az OLE-objektumok betöltésének módját. A Windows Internet Explorer tiltóbitlistáiról, valamint a frissített ActiveX-vezérlők betöltését lehetővé tévő alternatív osztályazonosítókról (AlternateCLSID) az ActiveX-vezérlők futásának megakadályozása Internet Explorer böngészőben című cikkben olvashat részletesebben.

Információ és tanácsok az Active Template Library (ATL) távoli kódfuttatásra lehetőséget adó biztonsági réseivel kapcsolatban:
973882 Biztonsági tanácsokat tartalmazó dokumentum (Microsoft Security Advisory): A Microsoft Active Template Library összetevő biztonsági rései távolról végrehajtott kódfuttatást tehetnek lehetővé (Előfordulhat, hogy a tartalom angol nyelven érhető el)

A hivatkozott cikkben tárgyalt tanácsok mindegyike alkalmas az ATL biztonsági réseinek csökkentésére. Ez a biztonsági frissítés az ATL-specifikus kockázati tényezők további csökkentésével foglalkozik.

A biztonsági frissítés a Microsoft Word, a Microsoft Excel, a Microsoft PowerPoint, a Microsoft Publisher és a Microsoft Visio alkalmazást érinti.

Az Office COM-tiltóbitje

Az MS10-036 jelű biztonsági frissítésben megjelent Office COM-tiltóbittel is letiltható a nem kívánt COM-objektumok futása az Office-alkalmazásokban. A COM-objektumok ActiveX-vezérlők és OLE-objektumok is lehetnek. Mostantól a beállításjegyzéken keresztül egyesével is blokkolható az ActiveX- és OLE-objektumok futása az Office-alkalmazásokban.

Fontos tudnivalók
  • Ha egy OLE-objektum beállításkulcsában be van állítva az Office COM-tiltóbitje, az objektum nem töltődik be, és semmilyen körülmények között nem is tölthető be.
  • Az Office 2007 alkalmazásaiban az alábbi hibaüzenet jelenik meg:

    A rendszer letiltotta a külső csatolt OLE-fájlokra mutató hivatkozásokat.
  • Az Office 2003 alkalmazásaiban az alábbi hibaüzenet jelenik meg:
    Nem sikerült egy objektumosztály létrehozására tett kísérlet. A hozzáférés megtagadva.


A nem betölthető objektum osztályazonosítóját megállapíthatja a TechNet webhelyről letölthető Process Monitor eszközzel. A Process Monitor naplófájljában tanulmányozza az Internet Explorer tiltóbitjével kapcsolatos bejegyzéseket.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Megjegyzés: A COM-objektumokra beállított tiltóbiteket nem javasolt eltávolítani, mivel az biztonsági kockázatot jelenthet. A tiltóbit beállítása rendszerint indokolt esetben történik, így a korábban letiltott ActiveX-vezérlők engedélyezésekor fokozott körültekintéssel járjon el.

Az Office COM-tiltóbitjével blokkolt ActiveX-vezérlő CLSID azonosítója mellett alternatív azonosítókat (AlternateCLSID, más néven Phoenix bit) is megadhat, ha egy új ActiveX-vezérlő CLSID azonosítóját kell társítania a blokkolt vezérlőével (feltételezve, hogy az új vezérlő módosítva lett, és a módosítás fokozta a biztonságosságát). Az Office csak az ActiveX-vezérlő típusú COM-objektumok esetén támogatja az AlternateCLSID tulajdonságot.

Megjegyzés: Az Office tiltóbitlistája elsőbbséget élvez az Internet Explorer tiltóbitlistájával szemben. Előfordulhat például, hogy az Office COM-tiltóbitje és az Internet Explorer ActiveX-tiltóbitje is be van állítva egy ActiveX-vezérlő esetén, azonban csak az Internet Explorer listájában van megadva alternatív osztályazonosító (AlternateCLSID). Ebben az esetben a két beállítás ellentmondásos, és az Office COM-tiltóbit beállítása válik mérvadóvá, aminek következtében a vezérlő nem töltődik be.

Az Office COM-tiltóbit beállítása

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows XP rendszerben
Az Office COM-tiltóbitjének beállítását a beállításjegyzék alábbi kulcsában találja:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
(ahol CLSID az adott COM-objektum osztályazonosítója). Az Office COM-tiltóbitjének engedélyezéséhez létre kell hoznia egy beállításkulcsot a blokkolandó ActiveX-vezérlő vagy OLE-objektum osztályazonosítójával, és a REG_DWORD típusú kompatibilitásjelző Compatibility Flag azonosító értékét a 0x00000400 értékre kell állítani.  

Ha az Office COM-tiltóbitjét például a {77061A9C-2F18-4f38-B294-F6BCC8443D24} osztályazonosítójú objektumra kívánja beállítani, keresse meg az alábbi beállításkulcsot, és hozza létre benne a {77061A9C-2F18-4f38-B294-F6BCC8443D24} nevű (REG_SZ típusú) alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Ebben az esetben az elérési út a következőképpen alakul:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Ezt követően a {CLSID} kulcsban létre kell hoznia a Compatibility Flag nevű azonosítót a 0x00000400 értékkel az Office COM-tiltóbitjének beállításához. A 64 és a 32 bites objektumok és tiltóbitjeik a beállításjegyzékben máshol helyezkednek el.

További információt talál a Microsoft tiltóbitekkel kapcsolatos gyakori kérdései között: 

Gyakori kérdések a tiltóbitekről – 1/3. rész

Az Internet Explorer OLE-objektumokra vonatkozó tiltóbitjeinek felülbírálása

Az Internet Explorer tiltóbitjeinek felülbírálásával megadhatja, hogy a böngésző tiltóbitlistáján szereplő OLE-objektumok közül melyeket töltheti be az Office. Ezt a megoldást csak akkor ajánlott választani, ha határozottan tudja, hogy az adott OLE-objektum biztonságosan betölthető az Office alkalmazásaiban. Fontos megjegyezni, hogy amikor az Office a böngésző felülbírált tiltóbitjeit ellenőrzi, az Office COM-tiltóbit engedélyezettségét is vizsgálja. Ha az Office COM-tiltóbitje engedélyezett, az érintett OLE-objektum nem töltődik be.

Az Internet Explorer tiltóbitjének felülbírálásához helyesen kell kategorizálnia az OLE-objektumot. Ha a beállításjegyzékben még nem létezik, hozza létre az Implemented Categories nevű alkulcsot a COM-objektum osztályazonosítójának megfelelő beállításkulcsban. Ezt követően hozzon létre egy {F3E0281E-C257-444E-87E7-F3DC29B62BBD} nevű alkulcsot az Implemented Categories kulcsban. Ez az osztályazonosító az OLE-objektumok kategóriaazonosítója (CATID).

Ha például az Internet Explorer be van állítva egy OLE-objektum blokkolására, de az Office alkalmazásaiban használni szeretné az objektumot, előbb keresse meg az OLE-objektum osztályazonosítóját a beállításjegyzék alábbi ágában:
HKEY_CLASSES_ROOT\CLSID
A Microsoft Graph diagram osztályazonosítója például {00020803-0000-0000-C000-000000000046}. Ezt követően meg kell állapítania, hogy ez a kulcs rendelkezik-e Implemented Categories nevű alkulccsal, vagy most kell létrehozni az alkulcsot. A példában a következő kulcs meglétét kell ellenőriznie:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Végül egy új alkulcsot kell létrehozni az Implemented Categories kulcs alatt, melynek neve az OLE-objektumok fentebb említett kategóriaazonosítója. A példabeli objektum esetén a következő elérési útnak kell létrejönnie:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Megjegyzés: Az OLE-objektumok kategóriaazonosítója {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, és a kapcsos zárójelek részei az azonosítónak (így a kulcsnévben is meg kell adni őket).

Az ATL-specifikus kockázati tényezők csökkentésének megszüntetése

Ha engedélyezve van az ATL-specifikus kockázati tényezők csökkentése, az OleLoadFromStreamsuch azonosítót használó vezérlők nem fognak működni, a vezérlők adatai pedig elvesznek. A probléma érinti például a VB6/Windows általános vezérlőket.

Figyelmeztetés: Ez a kerülő megoldás védtelenebbé teheti a számítógépet vagy a hálózatot a rosszindulatú felhasználók és a kártevő szoftverek – például a vírusok – támadásaival szemben. Az eljárás végrehajtása ugyan nem javasolt, de az információt rendelkezésére bocsátjuk, hogy belátása szerint dönthessen. Az alábbi megoldást csak saját felelősségére alkalmazhatja.

Az ATL-specifikus kockázati tényezők csökkentését megszüntető megoldást kizárólag abban az esetben javasoljuk alkalmazni, ha a csökkentett kockázatot jelentő módszerek olyan mértékű változásokat okoznak, hogy feltétlenül szükségessé válik a visszavonásuk. A csökkentett kockázati helyzet megszüntetésével biztonsági rések jelenhetnek meg. A csökkentett kockázati helyzet megszüntetése után ajánlott csak a megbízható forrásból származó és nem előzetes bejelentés nélkül érkező Microsoft Office-fájlokat megnyitni.

Az ATL biztonsági réseivel kapcsolatos kockázati tényezőket enyhítő megoldások letiltásához a REG_DWORD típusú NoOLELoadFromStreamChecks azonosítót a 00000001 értékre kell állítani a beállításjegyzék alábbi kulcsában:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Megjegyzés: Ha az azonosító nem létezik, REG_DWORD típusúként kell létrehoznia.

Szkriptlet-vezérlők letiltása az Office-alkalmazásokban

A biztonsági frissítés telepítését követően letilthatja az Office-alkalmazásokban a szkriptleteket, miközben az Internet Explorer beállításai változatlanok maradnak.

A szkriptletek Office-alkalmazásbeli letiltásához a REG_DWORD típusú Compatibility Flag beállításazonosítót állítsa a 00000400 értékre az alábbi beállításkulcsban:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Néhány további vezérlő, melyet célszerű lehet az Office tiltólistájára helyezni:
A táblázat összecsukásaA táblázat kibontása
VezérlőCLSID (osztályazonosító)
Microsoft HTA-dokumentum 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
HTML-fájl {25336920-03F9-11CF-8FD0-00AA00686F13}
Teljes ablakba ágyazott HTML-fájl {25336921-03F9-11CF-8FD0-00AA00686F13}
MHTML-fájl {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Webböngésző vezérlő {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTML-szerkesztő {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
Megjegyzés: Ez egy „GYORS KÖZZÉTÉTELŰ” cikk, amelyet maga Microsoft támogatási csoportja készített. A benne fogalt információkat a jelentkező problémákra válaszul, az adott állapotukban biztosítjuk. Az anyagok a közzétételük gyorsaságából következően tartalmazhatnak sajtóhibákat, illetve külön értesítés nélkül bármikor átdolgozáson eshetnek át. További tudnivalók olvashatók a felhasználási feltételek között.

Tulajdonságok

Cikk azonosítója: 2252664 - Utolsó ellenőrzés: 2013. november 29. - Verziószám: 3.0
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Kulcsszavak: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 KB2252664
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com