Setările de securitate pentru controalele ActiveX ?i obiecte OLE în Office 2003 și în suita de birou 2007

Traduceri articole Traduceri articole
ID articol: 2252664 - View products that this article applies to.
Importante Acest articol conține informații care vă arată cum să ajute mai mic setările de securitate sau cum să dezactiva caracteristici de securitate pe un computer. Puteți face aceste modificări la soluționa o anumită problemă. Înainte de a face aceste modificări, vă recomandăm ca să evaluați riscurile care sunt asociate cu această soluție de punere în aplicare în mediul dumneavoastră special. Dacă implementați această soluție, să ia orice măsuri suplimentare adecvate pentru a proteja computerul.
Măriți totul | Reduceți totul

În această pagină

INTRODUCERE

Acest articol conține pre-lansare documentația și se pot schimba în versiunile viitoare.

Această actualizare de securitate vă permite să control de utilizatori dacă și cum controalele ActiveX și obiecte OLE încărcat cu o listă de kill-bit Microsoft Office. Pentru mai multe informații despre Windows Internet Explorer bitul comportament că această caracteristică se bazează pe, și acest lucru include cum să setați AlternateCLSIDs care permit ActiveX actualizat controlează pentru a încărca, a se vedea Cum de a opri un control ActiveX la care rulează în Internet Explorer.

Următorul articol Consultativ discută vulnerabilități în Active Template Library (ATL) care ar putea permite remote code execution.
973882 Microsoft Security consultativ: Vulnerabilitățile din Microsoft Active Template Library (ATL) pot permite executarea codului la distanță

Toate caracteristicile în articol consultativ pot fi folosite pentru a ajuta la reducerea acestor vulnerabilitati ATL. În plus, specifice ATL mitigations sunt discutate în această actualizare de securitate.

Această actualizare de securitate se aplică la Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher, și Microsoft Visio.

Birou COM bitul

Puteți utiliza, de asemenea, bitul Office COM, care a fost introdus în actualizare de securitate în MS10-036 pentru a preveni obiecte specifice COM de funcționare în aplicațiile Office. Aceste obiecte specifice COM includ controale ActiveX și obiectelor OLE. Acum, prin intermediul registrului, puteți independent controla care obiectele ActiveX și OLE sunt blocate la care rulează atunci când utilizați Office.

Note importante
  • Dacă Oficiul COM ucide pic este setat în registry pentru un obiect OLE, obiect nu este încărcat și obiectul nu poate fi încărcat în orice împrejurare.
  • În Office 2007, utilizatori primesc următorul mesaj de eroare:

    Referințe la fișiere externe legate de OLE au fost blocate.
  • În Office 2003, utilizatorii primesc următorul mesaj de eroare:
    Încercare de a crea un obiect de clasă nu a reușit. Acces refuzat.


Pentru a determina care CLSID este pe cale să se încarce, utiliza Process Monitor la TechNet. Uita-te pentru setarea kill-bit Internet Explorer în fișierul jurnal Process Monitor.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Notă Nu recomandăm eliminarea bitul care este setat pentru un obiect COM. Dacă veți face acest lucru, ați putea crea vulnerabilități de securitate. Bitul este setat de obicei pentru un motiv care ar putea fi critice, și din acest motiv, extrem de îngrijire trebuie să fie utilizat atunci când vă bitul un control ActiveX.

Puteți adăuga un AlternateCLSID (de asemenea cunoscut ca un "Phoenix pic") când trebuie să se refere la CLSID un nou control ActiveX (și acest control ActiveX a fost modificat pentru a reduce amenințarea de securitate), la CLSID pentru controlul ActiveX la care a fost aplicat bitul Office COM. Office acceptă AlternateCLSID numai atunci când controlul ActiveX COM obiectele sunt utilizate.

NotăListă tabel bitul de birou are prioritate față de Listă tabel kill-bit pentru Internet Explorer. De exemplu, Office COM bitul și Internet Explorer ActiveX bitul pot fi stabilite pentru același control ActiveX. Dar AlternateCLSID este stabilit numai pe Listă tabel pentru Internet Explorer. În acest scenariu, există un conflict între două setări. În astfel de cazuri, Office COM-bitul setări prevalează, și controlul nu este încărcat.

Setarea Office COM bitul

ImportanteAcest secțiune, metodă sau activitate conține pași care vă spune cum să modificați registry. Cu toate acestea, grave probleme ar putea apărea dacă modificați registry incorect. Prin urmare, asigurați-vă că urmați acești pași cu atenție. Pentru protecția adăugată, face o copiere de rezervă registry înainte de a modifica aceasta. Apoi, aveți posibilitatea să restabiliți registry dacă apare o problemă. Pentru mai multe informații despre modul de rezervă și restabilirea registry, faceți clic pe următorul număr de articol pentru a vedea articolul în bază de cunoștințe Microsoft:
322756Cum să face o copiere de rezervă și restabilirea registry-ului în Windows
Locația pentru setarea kill Office COM biți în registry este după cum urmează:
Compatibilitate HKEY_LOCAL_MACHINE/Software/Microsoft/birou/comune/COM / {CLSID}
În acest caz, CLSID este identificatorul de clasă al obiectului de COM. Pentru a activa biroul COM bitul, trebuie să adăugați subcheia de registry cu CLSID pentru controlul ActiveX sau obiectul OLE pe care doriți să bloca de la încărcare. De asemenea, trebuie să setați pavilion compatibilitate REG_DWORD value pentru 0x00000400.

De exemplu, pentru a seta bitul Office COM pentru un obiect care are CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, găsiți următoarea subcheie, și adăugați subcheia REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24}:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
În acest caz, calea este după cum urmează:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Când adăugați o subcheie care conține valoarea de 0x00000400 la cheie {CLSID}, este setat bitul Office COM. Obiectele pe 64-bit și 32-bit și lor ucide biți sunt situate în locații diferite registru.

Pentru mai multe informații, vizitați următorul Web Microsoft pentru a vedea FAQ Kill-Bit:

Kill-Bit FAQ: Partea 1 din 3

Cum să suprascrieți Internet Explorer bitul Listă tabel pentru obiecte OLE

Suprascrie IE bitul Listă tabel opțiune vă permite să în mod special Listă tabel care obiecte OLE pe Listă tabel bitul Internet Explorer sunt permise a fi încărcate în cadrul Oficiului. Utilizați Listă tabel de bitul suprascrie IE numai în cazul în care știți că obiectul OLE este în siguranță pentru a încărca în funcție. Trebuie să știți că atunci când Oficiul verifică suprascrie IE bitul Listă tabel setare, Office, de asemenea, verifică dacă bitul Office COM este activată. Dacă bitul Office COM este activată, obiectul OLE nu este încărcat.

Pentru a activa opțiunea de bitul Listă tabel suprascrie IE, trebuie să clasifica corect obiectul OLE. În registru, dacă subcheia nu există deja, adăugați o subcheie care se numeste implementat categorii la CLSID pentru obiect COM. Apoi, adăugați o subcheie care conține categoria ID (CATID) pentru obiecte OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, la cheie implementate categorii.

De exemplu, Internet Explorer poate constitui pentru a ucide un obiect OLE, dar totuși doriți să utilizați acest obiect în birou. În acest caz, mai întâi trebuie să se uite la CLSID pentru acel obiect OLE în următoarea amplasare din registry:
HKEY_CLASSES_ROOT\CLSID
De exemplu, CLSID pentru Microsoft Graph diagrama este {00020803-0000-0000-C000-000000000046}. Apoi, trebuie să determine dacă cheia, implementat categorii, există deja, sau trebuie să creați cheie în cazul în care nu există. În acest exemplu, calea este după cum urmează:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
În cele din urmă, adăugați o subcheie noi pentru CATID obiect OLE implementat categorii cheie. Aceasta este calea pentru acest exemplu:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Notă Categoria ID (CATID) pentru obiecte OLE este {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, și acolade ({}) trebuie să fie incluse.

Cum se dezactivează ATL mitigations

Când sunt activate ATL mitigations, controale care utilizează OleLoadFromStreamsuch sunt împiedicat funcționarea și controlul informații este pierdut. De exemplu, controalele comune VB6/Windows sunt afectate de această problemă.

Avertisment Această soluție poate face o computerul sau rețeaua mai vulnerabile la atacuri de utilizatori rău intenționați sau de software rău inten?ionat, precum virușii. Noi nu recomandăm această soluție, dar sunt furnizarea acestor informații, astfel încât să puteți implementa această soluție la propria discretie. Utilizați această soluție la propriul risc.

Nu recomandăm că dezactivați ATL mitigations decât dacă este absolut necesară deoarece aceste mitigations ATL acoperă o largă aplicare. Dacă dezactivați ATL mitigations, ați putea crea vulnerabilități de securitate. Dacă dezactivați ATL mitigations, vă recomandăm că nu vă deschide fișiere Microsoft Office, care le primiți de la surse de încredere sau că primiți în mod neașteptat din surse de încredere.

Pentru a dezactiva mitigations care fac referire la vulnerabilități ATL, setați NoOLELoadFromStreamChecks REG_DWORD la o valoare de 00000001 în următoarea subcheie de registry:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Notă Dacă această subcheie registry nu există, trebuie să creați această subcheie registry ca tip REG_DWORD.

Dezactivează comenzile scriplet pentru aplicații de birou

După această actualizare de securitate este instalat, puteți dezactiva miniscripturi pentru aplicații de birou și comportamentul Internet Explorer nu este schimbat.

Pentru a dezactiva miniscripturi pentru aplicații de birou, setați pavilion compatibilitate REG_DWORD value la 00000400 în următoarea subcheie de registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Următoarea este o listă de alte controale pe care poate doriți să ia în considerare punerea pe biroul nega lista:
Reduceți tabelulMăriți tabelul
ControlulCLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Control de Browswer web {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}

Proprietă?i

ID articol: 2252664 - Ultima examinare: 27 noiembrie 2013 - Revizie: 1.0
Se aplică la:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Cuvinte cheie: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 kbmt KB2252664 KbMtro
Traducere automată
IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată ?i poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate ?i articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cuno?tin?e în mai multe limbi. Articolele traduse automat ?i post-editate pot con?ine gre?eli de vocabular, sintaxă ?i/sau gramatică. Microsoft nu este responsabil de inexactită?ile, erorile sau daunele cauzate de traducerea gre?ită a con?inutului sau de utilizarea acestuia de către clien?i. Găsi?i mai multe informa?ii despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.
Face?i clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2252664

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com