Pengaturan keamanan untuk kendali ActiveX dan objek OLE dalam Office 2003 dan 2007 Office suite

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 2252664 - Melihat produk di mana artikel ini berlaku.
Penting Artikel ini berisi informasi yang menunjukkan pada Anda cara membantu menurunkan pengaturan keamanan atau cara untuk mematikan fitur keamanan pada komputer. Anda dapat membuat perubahan ini untuk bekerja di sekitar masalah tertentu. Sebelum Anda membuat perubahan ini, kami anjurkan agar Anda mengevaluasi risiko yang berhubungan dengan penerapan di lingkungan tertentu Anda. Jika Anda menerapkan pemecahan masalah ini, ambil langkah tambahan yang tepat untuk membantu melindungi komputer.
Perbesar semua | Perkecil semua

Pada Halaman ini

PENDAHULUAN

Artikel ini berisi dokumentasi pra-rilis dan dapat berubah di masa depan pers.

Pembaruan keamanan ini memungkinkan pengguna mengontrol jika dan bagaimana kendali ActiveX dan objek OLE memuat daftar kill-bit Microsoft Office. Untuk informasi selengkapnya tentang Windows Internet Explorer membunuh-sedikit perilaku bahwa fitur ini didasarkan pada, dan ini termasuk cara menetapkan AlternateCLSIDs yang memungkinkan diperbarui ActiveX kontrol untuk memuat, lihat Cara berhenti kendali ActiveX dari menjalankan di Internet Explorer.

Penasehat artikel berikut membahas kerentanan di aktif Template Perpustakaan (ATL) yang dapat memungkinkan ekseskusi kode jauh.
973882 Microsoft Security Advisory: Kerentanan dalam Microsoft aktif Template Perpustakaan (ATL) dapat memungkinkan ekseskusi kode jauh

Semua fitur dalam artikel penasehat dapat digunakan untuk membantu mengurangi kerentanan ATL ini. Selain itu, khusus ATL mitigations dibahas dalam pembaruan keamanan ini.

Pembaruan keamanan ini berlaku untuk Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher, dan Microsoft Visio.

Kantor COM kill bit

Anda juga dapat menggunakan kantor COM kill bit yang telah diperkenalkan di pembaruan keamanan di MS10-036 untuk mencegah spesifik COM objek dari berjalan dalam aplikasi Office. COM objek ini tertentu termasuk kendali ActiveX dan objek OLE. Sekarang, melalui registri, Anda dapat secara independen mengontrol objek ActiveX dan OLE yang diblokir dari berjalan bila Anda menggunakan Office.

Catatan penting
  • Jika kantor COM kill bit diatur dalam registri untuk objek OLE, objek tidak dimuat, dan objek tidak dapat dimuat dalam keadaan apa pun.
  • Dalam Office 2007, pengguna menerima pesan galat berikut:

    Referensi ke file OLE link eksternal telah diblokir.
  • Dalam Office 2003, pengguna menerima pesan galat berikut:
    Mencoba untuk membuat sebuah kelas objek yang gagal. Akses ditolak.


Untuk menentukan yang CLSID gagal untuk memuat, gunakan Proses Monitor dari TechNet. Telisik Internet Explorer membunuh-sedikit pengaturan dalam file log proses Monitor.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Catatan Kami tidak menganjurkan bahwa Anda menghapus kill bit yang ditetapkan untuk sebuah COM objek. Jika Anda melakukan ini, Anda dapat membuat kerentanan keamanan. Membunuh bit biasanya ditetapkan untuk alasan yang mungkin penting, dan karena ini, sangat hati-hati harus digunakan ketika Anda unkill kendali ActiveX.

Anda dapat menambahkan AlternateCLSID (juga dikenal sebagai "Phoenix sedikit") ketika Anda harus berhubungan CLSID kendali ActiveX baru (dan kendali ActiveX ini diubah untuk mengurangi ancaman keamanan), untuk CLSID kendali ActiveX yang kantor COM kill bit diterapkan. Kantor mendukung AlternateCLSID hanya ketika ActiveX kontrol COM objek yang digunakan.

CatatanKill-bit daftar untuk kantor diutamakan dibanding daftar kill bit untuk Internet Explorer. Misalnya, kantor COM kill bit dan Internet Explorer ActiveX membunuh bit dapat diatur untuk kendali ActiveX yang sama. Tapi AlternateCLSID terletak hanya pada daftar untuk Internet Explorer. Dalam skenario ini, ada konflik antara dua pengaturan. Dalam kasus tersebut, pengaturan kill bit kantor COM diutamakan, dan kontrol tidak dimuat.

Pengaturan kantor COM kill bit

PentingBagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana untuk mengubah registri. Namun, masalah serius mungkin muncul saat Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasinya. Kemudian, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi lebih lanjut tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di dalam Pangkalan Pengetahuan Microsoft:
322756Cara membuat cadangan dan memulihkan registri pada Windows
Lokasi untuk menetapkan kantor COM kill bit dalam registri adalah sebagai berikut:
kompatibilitas mundur HKEY_LOCAL_MACHINE/Software/Microsoft/kantor/umum/COM / {CLSID}
Dalam kasus ini, CLSID adalah kelas pengenal COM objek. Untuk mengaktifkan Office COM kill bit, Anda harus menambahkan subkunci registri dengan CLSID kendali ActiveX atau objek OLE yang Anda inginkan untuk memblokir dari loading. Juga, Anda harus menetapkan nilai REG_DWORD bendera kompatibilitas mundur 0x00000400.

Misalnya, untuk menetapkan kantor COM kill bit untuk objek yang memiliki CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, Cari subkunci berikut, dan menambah REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} subkunci:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Dalam kasus ini, jalan adalah sebagai berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Ketika Anda menambahkan subkunci yang berisi nilai 0x00000400 untuk {CLSID} bukti kunci, kantor COM kill bit diatur. Objek yang 64-bit dan 32-bit dan mereka membunuh bit terletak di lokasi registri yang berbeda.

Untuk informasi lebih lanjut, kunjungi halaman web Microsoft berikut untuk melihat Kill-Bit FAQ:

Kill-Bit FAQ: Bagian 1 dari 3

Bagaimana untuk menggantikan daftar kill-bit Internet Explorer untuk objek OLE

IE menimpa kill-bit daftar pilihan memungkinkan Anda secara khusus daftar objek OLE yang pada Internet Explorer kill-bit daftar diijinkan untuk dimuat dalam kantor. Menggunakan mengesampingkan IE kill-bit daftar hanya jika Anda tahu bahwa objek OLE aman untuk memuat di kantor. Perlu diketahui bahwa bila kantor cek pengaturan kill bit daftar menimpa IE, kantor juga memeriksa apakah kantor COM kill bit diaktifkan. Jika kantor COM kill bit diaktifkan, objek OLE tidak dimuat.

Untuk mengaktifkan opsi kill-bit daftar menimpa IE, Anda benar harus mengkategorikan objek OLE. Dalam registri, jika subkunci tidak sudah ada, menambahkan subkunci yang disebut menerapkan kategori untuk CLSID COM objek. Kemudian, tambahkan subkunci yang berisi kategori ID (CATID) untuk objek OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, dengan menerapkan Kategori bukti kunci.

Sebagai contoh, Internet Explorer dapat mengatur untuk membunuh Objek OLE, tetapi Anda masih ingin menggunakan objek ini di kantor. Dalam kasus ini, Anda terlebih dahulu harus melihat CLSID untuk objek OLE di lokasi berikut dalam registri:
HKEY_CLASSES_ROOT\CLSID
Sebagai contoh, CLSID untuk Microsoft Chart elemen bagan adalah {00020803-0000-0000-C000-000000000046}. Kemudian, Anda harus menentukan apakah bukti kunci, kategori dilaksanakan, sudah ada, atau Anda harus membuat bukti kunci jika itu tidak ada. Dalam contoh ini, jalan adalah sebagai berikut:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Akhirnya, menambahkan subkunci baru untuk CATID objek OLE untuk menerapkan Kategori bukti kunci. Berikut ini adalah jalan untuk contoh ini:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Catatan Kategori ID (CATID) untuk objek OLE adalah {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, dan kawat gigi ({}) harus disertakan.

Cara menonaktifkan ATL mitigations

Ketika ATL mitigations diaktifkan, kontrol yang menggunakan OleLoadFromStreamsuch dapat dicegah fungsi dan kontrol informasi hilang. Misalnya, VB6 Windows umum kontrol yang terpengaruh oleh masalah ini.

Peringatan Pemecahan masalah ini dapat membuat komputer atau jaringan menjadi lebih rentan untuk menyerang oleh pengguna jahat atau oleh peranti penangkap lunak jahat sepert virus. Kami tidak merekomendasikan ini solusi tetapi menyediakan informasi ini sehingga Anda dapat menerapkan pemecahan masalah ini kebijaksanaan Anda sendiri. Menggunakan pemecahan masalah ini risiko Anda sendiri.

Kami tidak menganjurkan Anda untuk menonaktifkan ATL mitigations kecuali mutlak diperlukan karena mitigations ATL ini menutupi lingkup yang luas. Jika Anda menonaktifkan ATL mitigations, Anda dapat membuat kerentanan keamanan. Jika Anda menonaktifkan ATL mitigations, kami merekomendasikan bahwa Anda tidak dapat membuka file Microsoft Office yang Anda terima dari sumber untrusted atau bahwa Anda tiba-tiba menerima dari sumber yang terpercaya.

Untuk menonaktifkan mitigations yang referensi kerentanan ATL, mengatur NoOLELoadFromStreamChecks REG_DWORD ke nilai 00000001 dalam subkunci registri berikut:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Catatan Jika subkunci registri ini tidak ada, Anda harus membuat subkunci registri ini sebagai tipe REG_DWORD.

Menonaktifkan kontrol scriplet untuk aplikasi kantor

Setelah pembaruan keamanan diinstal, Anda dapat menonaktifkan scriptlets untuk aplikasi kantor dan perilaku Internet Explorer tidak berubah.

Untuk menonaktifkan scriptlets untuk aplikasi kantor, menetapkan nilai REG_DWORD bendera kompatibilitas mundur untuk 00000400 dalam subkunci registri berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Berikut ini adalah kendali daftar lain yang Anda mungkin ingin mempertimbangkan menempatkan ke kantor menyangkal daftar:
Perkecil tabel iniPerbesar tabel ini
KontrolCLISD
kumpulan dokumen Microsoft HTA 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Web kontrol ketidakcocokan Browswer {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}

Properti

ID Artikel: 2252664 - Kajian Terakhir: 27 November 2013 - Revisi: 1.0
Berlaku bagi:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Kata kunci: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 kbmt KB2252664 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.
Klik disini untuk melihat versi Inggris dari artikel ini: 2252664

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com