Nastavenie zabezpečenia pre ovládacie prvky ActiveX a objekty OLE v Office 2003 a systému Office 2007

Preklady článku Preklady článku
ID článku: 2252664 - Zobraziť produkty, ktorých sa tento článok týka.
Dôležité Tento článok obsahuje informácie, ktoré vám ukáže, ako k oslabeniu zabezpečenia alebo ako k vypnutiu funkcií zabezpečenia v počítači. Môžete vykonať tieto zmeny obísť špecifického problému. Pred vykonaním týchto zmien, odporúčame vyhodnotiť riziká spojené s nasadením tohto riešenia v konkrétnom prostredí. Ak implementujete toto riešenie, prijať všetky vhodné dodatočné kroky na ochranu počítača.
Rozbaliť všetko | Zbaliť všetko

Na tejto stránke

ÚVOD

Tento článok obsahuje predbežnej verzie dokumentácie a podlieha zmenám v budúcich vydaniach.

Túto aktualizáciu zabezpečenia umožňuje užívateľom ak ako ovládacie prvky ActiveX a objekty OLE načítať zoznam bitu Microsoft Office. Ďalšie informácie o programe Windows Internet Explorer bitu správanie, že táto funkcia je založená na, a to zahŕňa ako nastaviť AlternateCLSIDs, ktoré umožňujú aktualizované ActiveX Ovládacie prvky zaťaženie, pozri Ako zastaviť ovládacieho prvku ActiveX spustený v programe Internet Explorer.

Poradný článok pojednáva o zraniteľnosti v aktívnej šablóny knižnice (ATL) by mohla umožniť vzdialené spustenie kódu.
973882 Microsoft Security Advisory: Chyby zabezpečenia v Microsoft Active šablónu knižnice (ATL) by mohla umožniť vzdialené spustenie kódu

Všetky funkcie Poradného článok možno pomôcť znížiť tieto chyby zabezpečenia ATL. Okrem toho špecifické ATL mitigations sú diskutované v tejto aktualizácie zabezpečenia.

Túto aktualizáciu zabezpečenia sa vzťahuje na program Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher a Microsoft Visio.

Office COM bitu

Môžete tiež použiť Office COM bitu, ktorý bol zavedený v aktualizácii zabezpečenia v MS10-036 špecifické objekty COM zabrániť beh aplikácií balíka Office. Tieto špecifické COM objekty patria ovládacie prvky ActiveX a objekty OLE. Teraz, prostredníctvom registra, možno nezávisle kontrolovať, ktoré ActiveX a OLE objekty sú blokované spustený pri používaní balíka Office.

Dôležité poznámky
  • Ak Office COM Kill Bit je nastavený v databáze registry na objekt OLE, objekt nie je naložené, a za akýchkoľvek okolností sa nedá načítať objekt.
  • V Office 2007, používatelia nasledujúce chybové hlásenie:

    Odkazy na externé prepojené súbory OLE boli zablokované.
  • V Office 2003 používateľom zobrazí nasledovné chybové hlásenie:
    Pokus vytvoriť triedu objektu zlyhal. Prístup bol odmietnutý.


Určiť ktoré CLSID nedarí načítať, použite Proces Monitor z lokality TechNet. Nastavenia vyhľadajte v programe Internet Explorer bitu v súbore denníka Process Monitor.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Poznámka Neodporúčame, aby ste odstránili bit ukončenia nastavený pre objekt COM. Ak to urobíte, môžete vytvoriť bezpečnostné zraniteľnosti. Bit ukončenia je zvyčajne nastavený pre príčinu, ktorá môže byť kritická, a preto musí byť použitý opatrnosťou pri mimoriadnou vás ovládací prvok ActiveX.

Môžete pridať AlternateCLSID (tiež známy ako "Phoenix trochu") kedy ste sa vzťahujú identifikátor CLSID nového ovládacieho prvku ActiveX (a tento ovládací prvok ActiveX bol upravený na zníženie ohrozenia bezpečnosti) na identifikátor CLSID ovládacieho prvku ActiveX, na ktoré bola použitá Office COM bitu. Office podporuje AlternateCLSID iba pri COM objekty ActiveX kontroly sa používajú.

PoznámkaZozname bitu Office prednosť bitu zoznamu programu Internet Explorer. Napríklad, Office COM bitu bitu prvkov ActiveX programu Internet Explorer možno vytvoriť a rovnakého ovládacieho prvku ActiveX. Ale AlternateCLSID je len nastaviť na zozname programu Internet Explorer. V tomto scenári, tam je konflikt medzi dvoma nastaveniami. V takýchto prípadoch majú prednosť nastavenia bitu Office COM a kontrolu sa nenačítajú.

Nastavenie Office COM bitu

DôležitéTento oddiel, metóda alebo úloha obsahuje kroky, ktoré vám povedať, ako upraviť databázu registry. Avšak, môžu spôsobiť vážne problémy ak databázu registrov upravíte nesprávne. Preto sa uistite, že ste postupovali správne. Doporučujeme zálohovať databázu registrov skôr, ako zmeníte jej hodnoty. Potom, môžete obnoviť databázu registrov, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy registrov nájdete po kliknutí na nasledovné číslo článku publikovaného v Microsoft Knowledge Base:
322756Ako zálohovať a obnovenie databázy registry v systéme Windows
Miesto pre nastavenie Office COM kill bit v registri je nasledovné:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility / {identifikátor CLSID}
V tomto prípade IDENTIFIKÁTOR CLSID je identifikátor triedy COM objektu. Aby bitu Office COM, musíte pridať podkľúč databázy registry s identifikátor CLSID ovládacieho prvku ActiveX alebo objekt OLE, ktorý chcete blokovať od nakládky. Tiež, budete musieť nastaviť hodnotu REG_DWORD Flag zlučiteľnosť na 0x00000400.

Napríklad ak chcete nastaviť bit ukončenia Office COM pre objekt, ktorý má identifikátor CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, vyhľadajte nasledovný podkľúč a pridať REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} na podkľúč:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
V tomto prípade sa cesta je takto:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Po pridaní podkľúča, ktorý obsahuje hodnoty 0x00000400 kľúča {CLSID}, Office COM nastavení bitu. 64-Bitové a 32-bitové objekty a ich bity sú umiestnené v rôznych registry umiestneniach.

Pre viac informácií, navštívte nasledovnú webovú stránku Microsoft vidieť bitu FAQ:

Bitu FAQ: Časť 1 z 3

Ako potlačiť zozname bitu Internet Explorer objektov OLE

Možnosť prepísať IE bitu zoznam umožňuje konkrétne zoznam ktoré OLE objekty na zozname bitu programu Internet Explorer sú povolené byť načítaný do kancelárie. Prepísať IE bitu zoznam môžete použiť len vtedy, ak viete, že objekt OLE je bezpečné načítať v kancelárii. Uvedomte si, že keď úrad kontroluje nastavenie bitu zoznam prepísať IE, úrad tiež kontroluje či Office COM bitu je zapnutá. Ak Office COM bitu zapnutá, objekt OLE nie je načítaná.

Povoliť prepísanie IE bitu zozname možnosť, musí správne roztriediť objekt OLE. V registri, ak podkľúč už neexistuje, pridajte podkľúč, ktorý sa nazýva implementované kategórií identifikátora CLSID objektu COM. Potom pridajte podkľúč, ktorý obsahuje kategóriu ID (CATID) pre objekty OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, na kľúč realizovať kategórií.

Napríklad, program Internet Explorer môže zriadiť zabiť objekt OLE, ale chcete stále použiť tento objekt v kancelárii. V takom prípade musíte najprv vyhľadať identifikátor CLSID pre daný objekt OLE v nasledujúcom umiestnení v databáze registry:
HKEY_CLASSES_ROOT\CLSID
Identifikátor CLSID pre graf programu Microsoft Graph je napríklad {00020803-0000-0000-C000-000000000046}. Potom musíte zistiť, či kľúč, implementované kategórie už existuje, alebo musíte vytvoriť kľúč Ak neexistuje. V tomto príklade je cesta nasledovne:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Nakoniec pridáme nový podkľúč pre CATID objekt OLE na kľúč realizovať kategórií. Toto je cesta pre tento príklad:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Poznámka Kategórie ID (CATID) pre objekty OLE je {F3E0281E-C257-444E-87E7-F3DC29B62BBD} a zátvoriek ({}) musia byť zahrnuté.

Ako zakázať ATL znižujúce závažnosť rizika

Po zapnutí ATL mitigations ovládacie prvky, ktoré používajú OleLoadFromStreamsuch zabránené fungovanie a kontrolné informácie je stratená. Napríklad, VB6 a Windows spoločnej kontroly sú ovplyvnené týmto problémom.

Upozornenie Toto riešenie môže oslabiť zabezpečenie počítača alebo siete viac náchylné k útokom zlomyseľných používateľov alebo nebezpečnému softvéru, ako sú napríklad vírusy. My neodporúčame toto riešenie ale poskytujeme tieto informácie, aby ste riešenie mohli implementovať podľa vlastného uváženia. Toto riešenie používate na vlastné riziko.

Neodporúčame, že zakážete ATL znižujúce závažnosť rizika, pokiaľ nie je absolútne nevyhnutné, pretože tieto ATL mitigations pokrývajú široký rozsah. Ak zakážete ATL znižujúce závažnosť rizika, môžete vytvoriť bezpečnostné zraniteľnosti. Ak zakážete ATL mitigations, odporúčame že nemáte otvoriť súbory Microsoft Office, ktoré dostávate z nedôveryhodných zdrojov alebo že neočakávane dostanete z dôveryhodných zdrojov.

Zakázať znižujúce závažnosť rizika, ktoré odkazujú na ATL chyby, nastaviť NoOLELoadFromStreamChecks REG_DWORD na hodnotu 00000001 v nasledovnom podkľúči databázy registry:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Poznámka Ak tento podkľúč databázy registry neexistuje, musíte vytvoriť Tento podkľúč databázy registry REG_DWORD typ.

Zakázať scriplet ovládacie prvky pre aplikácie balíka Office

Po nainštalovaní tejto aktualizácie zabezpečenia môžete zakázať skriptlety pre aplikácie balíka Office a Internet Explorer správanie sa nezmení.

Zakázať skriptlety pre aplikácie balíka Office, nastavte hodnotu REG_DWORD Flag zlučiteľnosť na 00000400 v nasledovnom podkľúči databázy registry:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Tu je zoznam ďalších ovládacích prvkov, ktoré možno budete chcieť zvážiť uvedenie do úradu odmietnuť zoznam:
Zbaliť túto tabuľkuRozbaliť túto tabuľku
OvládanieCLISD
Microsoft HTA dokument 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
HTMLFILE {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Ovládací prvok webový prehliadač {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}

Vlastnosti

ID článku: 2252664 - Posledná kontrola: 27. novembra 2013 - Revízia: 1.0
Informácie v tomto článku sa týkajú nasledujúcich produktov:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Kľúčové slová: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 kbmt KB2252664 KbMtsk
Strojovo preložené
DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.
Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 2252664

Odošlite odozvu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com