การตั้งค่าความปลอดภัยสำหรับตัวควบคุม ActiveX และวัตถุ OLE ใน Office 2003 และชุดโปรแกรม Office 2007

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 2252664 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
สิ่งสำคัญ บทความนี้ประกอบด้วยข้อมูลที่แสดงวิธีการตั้งค่าความปลอดภัยที่ต่ำกว่า หรือวิธีการปิดคุณลักษณะการรักษาความปลอดภัยบนเครื่องคอมพิวเตอร์ คุณสามารถทำการเปลี่ยนแปลงเหล่านี้เมื่อต้องการแก้ไขปัญหาที่เฉพาะเจาะจง ก่อนที่คุณจะทำการเปลี่ยนแปลงเหล่านี้ เราขอแนะนำให้คุณประเมินความเสี่ยงที่เกี่ยวข้องกับการใช้วิธีแก้ปัญหานี้ในสภาพแวดล้อมที่เจาะจงของคุณ หากคุณใช้วิธีแก้ปัญหานี้ในเบื้องต้น ใช้ขั้นตอนเพิ่มเติมใด ๆ ที่เหมาะสมเพื่อช่วยปกป้องคอมพิวเตอร์
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

คำแนะนำ

บทความนี้ประกอบด้วยเอกสารรุ่นก่อนวางจำหน่าย และอาจมีการเปลี่ยนแปลงในอนาคต

ปรับปรุงการรักษาความปลอดภัยนี้ช่วยให้ผู้ใช้ควบคุมว่าตัวควบคุม ActiveX และวัตถุ OLE โหลดบิตการทำลายรายการ Microsoft Office สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Windows Internet Explorer บิตการทำลายการทำงานที่เป็นไปตามลักษณะการทำงานนี้ และซึ่งรวมถึงวิธีการตั้งค่า AlternateCLSIDs ที่อนุญาตให้มีการปรับปรุง ActiveX ควบคุมเพื่อโหลด ดู วิธีการหยุดตัวควบคุม ActiveX ทำงานได้ใน Internet Explorer.

บทความคำแนะนำต่อไปนี้อธิบายถึงช่องโหว่ในการใช้งานแม่แบบไลบรารี (ATL) ที่อาจทำให้โค้ดจากระยะไกล
973882 อ่านคำแนะนำด้านความปลอดภัย Microsoft: ช่องโหว่ใน Microsoft ใช้งานแม่แบบไลบรารี (ATL) อาจทำให้โค้ดจากระยะไกล

สามารถใช้คุณลักษณะทั้งหมดในบทความคำแนะนำเพื่อช่วยลดความเสี่ยงเหล่านี้ ATL นอกจากนี้ mitigations ATL เฉพาะมีการกล่าวถึงปรับปรุงการรักษาความปลอดภัยนี้

ปรับปรุงการรักษาความปลอดภัยนี้ใช้กับ Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher และ Microsoft Visio

บิตการทำลาย COM ของ office

คุณยังสามารถใช้บิตการทำลาย Office COM ที่แนะนำในการปรับปรุงการรักษาความปลอดภัยใน MS10 036 เมื่อต้องการป้องกันวัตถุ COM เฉพาะการเรียกใช้ภายในโปรแกรมประยุกต์ Office วัตถุ COM ที่ระบุเหล่านี้รวมถึงตัวควบคุม ActiveX และวัตถุ OLE ขณะนี้ ถึงรีจิสทรี คุณสามารถอย่างอิสระควบคุม ActiveX และ OLE วัตถุที่ถูกบล็อคไม่ให้ทำงานเมื่อคุณใช้ Office

หมายเหตุสำคัญ
  • ถ้าบิตการหยุด COM Office ถูกตั้งค่าในรีจิสทรีสำหรับวัตถุ OLE วัตถุไม่ได้โหลด และไม่สามารถโหลดวัตถุไม่ว่ากรณีใด ๆ
  • ใน Office 2007 ผู้ใช้ได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:

    อ้างอิงไปยังแฟ้ม OLE ที่เชื่อมโยงภายนอกถูกบล็อก
  • ใน Office 2003 ผู้ใช้ได้รับข้อความแสดงข้อผิดพลาดต่อไปนี้:
    ความพยายามในการสร้างคลาสออบเจ็กต์ล้มเหลว การเข้าถึงถูกปฏิเสธ


เมื่อต้องการตรวจสอบซึ่งความล้มเหลวในการโหลด CLSID ใช้ กระบวนการตรวจสอบ จาก TechNet ค้นหาการตั้งค่าบิตการทำลาย Internet Explorer ในแฟ้มบันทึกกระบวนการตรวจสอบ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

หมายเหตุ เราไม่แนะนำให้ คุณเอาออกบิตการทำลายที่ตั้งค่าสำหรับวัตถุ COM ถ้าคุณทำเช่นนี้ คุณอาจสร้างความเสี่ยงด้านความปลอดภัย โดยทั่วไปมีการตั้งค่าบิตการทำลายสำหรับสาเหตุที่อาจเป็นสำคัญ และด้วยเหตุนี้ การดูแลจึงต้องใช้เมื่อคุณงานตัวควบคุม ActiveX

คุณสามารถเพิ่มการ AlternateCLSID (หรือที่เรียกอีกอย่างหนึ่งว่า "ฟินิกซ์บิตการ") เมื่อคุณจำเป็นต้องเชื่อมโยง CLSID ของตัวควบคุม ActiveX ใหม่ (และตัวควบคุม ActiveX นี้ได้ถูกปรับเปลี่ยนเพื่อลดความเสี่ยงด้านความปลอดภัย), กับ CLSID ของตัวควบคุม ActiveX ซึ่งบิตการทำลาย Office COM ถูกใช้อยู่ สำนักงานสนับสนุนการ AlternateCLSID เฉพาะเมื่อมีใช้วัตถุ COM ของตัวควบคุม ActiveX

หมายเหตุบิตการทำลายรายการสำหรับ Office จะมีความสำคัญเหนือรายการบิตการทำลายสำหรับ Internet Explorer ตัวอย่างเช่น บิตการทำลาย Office COM และ Internet Explorer ActiveX บิตการทำลายอาจถูกตั้งค่าสำหรับตัวควบคุม ActiveX เดียวกัน แต่ AlternateCLSID เท่านั้นไว้ในรายการสำหรับ Internet Explorer ในสถานการณ์สมมตินี้ ไม่มีความขัดแย้งระหว่างการตั้งค่าสองครั้ง ในกรณีเช่นนี้ ตั้งค่าบิตการทำลาย Office COM จะมีผลก่อน และไม่ได้โหลดตัวควบคุม

การตั้งค่าบิตการทำลาย COM Office

สิ่งสำคัญส่วน วิธีการ หรืองานนี้ประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้น ตรวจสอบให้แน่ใจว่า คุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองข้อมูลรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณจะสามารถคืนค่ารีจิสทรีได้หากเกิดปัญหา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรอง และคืนค่ารีจิสทรี คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
322756วิธีการสำรอง และคืนค่ารีจิสทรีใน Windows
ตำแหน่งที่ตั้งสำหรับการตั้งค่าการทำลาย Office COM บิตในรีจิสทรีเป็นดังนี้:
ความเข้ากันได้ของ HKEY_LOCAL_MACHINE/ซอฟต์แวร์/Microsoft/Office/ทั่ว ไป/COM / {CLSID}
ในกรณีนี้ CLSID มีรหัสระดับชั้นของวัตถุ COM การเปิดใช้งานบิตการทำลาย Office COM คุณจำเป็นต้องเพิ่มคีย์ย่อยของรีจิสทรีร่วมกับ CLSID ของตัวควบคุม ActiveX หรือวัตถุ OLE ที่คุณต้องการบล็อกไฟล์ นอกจากนี้ คุณต้องตั้งค่า REG_DWORD ค่าสถานะความเข้ากันได้กับ 0x00000400

ตัวอย่างเช่น การกำหนดบิตการทำลาย Office COM สำหรับออบเจ็กต์ที่มี CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24 }, ค้นหาคีย์ย่อยต่อไปนี้ และเพิ่ม REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24 } คีย์ย่อย:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
ในกรณีนี้ เส้นทางมีลักษณะดังนี้:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
เมื่อคุณเพิ่มคีย์ย่อยที่ประกอบด้วยค่าของ 0x00000400 ไปยังคีย์ {CLSID } ไม่มีกำหนดบิตการทำลาย Office COM วัตถุแบบ 64 บิต และ 32 บิตและบิตการทำลายจะอยู่ในตำแหน่งที่ตั้งของรีจิสทรีที่แตกต่างกัน

สำหรับข้อมูลเพิ่มเติม โปรดเยี่ยมชมเว็บเพจของ Microsoft ต่อไปนี้เมื่อต้องการดู FAQ บิตการทำลาย:

บิตการทำลาย FAQ: ส่วนที่ 1 จาก 3

วิธีการแทนรายการบิตการทำลาย Internet Explorer สำหรับวัตถุ OLE

ตัวเลือกรายการของบิตการทำลาย IE แทนช่วยให้คุณโดยเฉพาะรายการที่วัตถุ OLE ใน Internet Explorer บิตการทำลายรายการจะได้รับอนุญาตให้โหลดภายในสำนักงาน ใช้บิตการทำลาย IE แทนรายการเฉพาะเมื่อคุณทราบว่า วัตถุ OLE จะปลอดภัยที่จะโหลดใน Office โปรดทราบว่า เมื่อ Office ตรวจสอบการตั้งค่าบิตการทำลายรายการแทน IE, Office ยังตรวจสอบว่า บิตการทำลาย Office COM ถูกเปิดใช้งาน ถ้าบิตการทำลาย Office COM จะเปิดการใช้งาน วัตถุ OLE ไม่ได้โหลด

เมื่อต้องการเปิดใช้งานตัวเลือกรายการของบิตการทำลายแทน IE คุณต้องกำหนดประเภทวัตถุ OLE อย่างถูกต้อง ในรีจิสทรี ถ้ามีคีย์ย่อยไม่อยู่ เพิ่มคีย์ย่อยที่ชื่อว่าประเภทที่นำมาใช้กับ CLSID ของวัตถุ COM เพิ่มคีย์ย่อยที่ประกอบด้วยการประเภท ID (CATID) สำหรับวัตถุ OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD }, แล้ว กับคีย์ประเภทที่นำมาใช้

ตัวอย่างเช่น อาจตั้งค่า Internet Explorer หยุดวัตถุ OLE แต่คุณยังคงต้องการใช้วัตถุนี้ใน Office ในกรณีนี้ คุณต้องการค้นหา CLSID สำหรับวัตถุ OLE นั้นในตำแหน่งที่ตั้งต่อไปนี้ในรีจิสทรี:
HKEY_CLASSES_ROOT\CLSID
ตัวอย่างเช่น CLSID สำหรับแผนภูมิ Microsoft Graph มี {00020803-0000-0000-C000-000000000046 } แล้ว คุณต้องตรวจสอบว่า มีคีย์ มีใช้ประเภท อยู่แล้ว หรือคุณต้องสร้างคีย์ไม่ได้อยู่ ในตัวอย่างนี้ เส้นทางมีลักษณะดังนี้:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
ในตอนท้าย เพิ่มคีย์ย่อยใหม่สำหรับการ CATID วัตถุ OLE ไปยังคีย์ประเภทที่นำมาใช้ เส้นทางสำหรับตัวอย่างนี้คือต่อไปนี้:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

หมายเหตุ ประเภท ID (CATID) สำหรับวัตถุ OLE {F3E0281E-C257-444E-87E7-F3DC29B62BBD }, และวงเล็บปีกกา ({}) ต้องรวม

วิธีการปิดการใช้งาน ATL mitigations

เมื่อ mitigations ATL ที่จะเปิดการใช้งาน ตัวควบคุมที่ใช้ OleLoadFromStreamsuch จะไม่สามารถทำงาน และข้อมูลของตัวควบคุมจะสูญหาย ตัวอย่างเช่น VB6/Windows ตัวควบคุมทั่วไปจะมีผลกระทบจากปัญหานี้

คำเตือน วิธีแก้ปัญหานี้อาจทำให้คอมพิวเตอร์หรือเครือข่ายมีความเสี่ยงที่สูงขึ้นต่อการถูกโจมตีโดยผู้ใช้ที่เป็นอันตรายหรือโดยซอฟต์แวร์ที่เป็นอันตราย เช่น ไวรัส เราไม่แนะนำวิธีแก้ปัญหานี้แต่เสนอข้อมูลนี้เพื่อให้คุณสามารถใช้วิธีแก้ปัญหานี้ตามดุลยพินิจของคุณเอง ใช้วิธีแก้ปัญหานี้ความน่าเชื่อถือ

เราไม่แนะนำให้ คุณปิดใช้งานแบบ mitigations ATL เว้นแต่ว่าจำเป็นจริง ๆ เนื่องจาก mitigations ATL เหล่านี้ครอบคลุมขอบเขตกว้างขึ้น ถ้าคุณปิดใช้งานการ mitigations ATL คุณอาจสร้างความเสี่ยงด้านความปลอดภัย ถ้าคุณปิดการใช้งานแบบ mitigations ATL เราขอแนะนำให้ คุณเปิดแฟ้ม Microsoft Office ที่คุณได้รับจากแหล่งที่ไม่น่าเชื่อถือ หรือที่ ได้รับจากแหล่งที่เชื่อถือได้โดยไม่คาดคิด

เพื่อปิดการใช้งาน mitigations ที่อ้างอิงถึงช่องโหว่ ATL ตั้งค่า REG_DWORD NoOLELoadFromStreamChecks เป็นค่าของ 00000001 ปรากฏในคีย์ย่อยของรีจิสทรีต่อไปนี้:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

หมายเหตุ ถ้าไม่มีคีย์ย่อยของรีจิสทรีนี้ คุณต้องสร้างคีย์ย่อยของรีจิสทรีนี้เป็นชนิด REG_DWORD

ปิดใช้งานตัวควบคุม scriplet สำหรับโปรแกรมประยุกต์ของ Office

หลังจากที่มีการติดตั้งการปรับปรุงการรักษาความปลอดภัยนี้ คุณสามารถปิดใช้งานการใช้สคริปต์เล็ตสำหรับโปรแกรมประยุกต์ของ Office และจะไม่มีเปลี่ยนลักษณะการทำงานของ Internet Explorer

เมื่อต้องการปิดใช้งานการใช้สคริปต์เล็ตสำหรับโปรแกรมประยุกต์ Office ตั้งค่า REG_DWORD ค่าสถานะความเข้ากันได้กับ 00000400 ในคีย์ย่อยของรีจิสทรีต่อไปนี้:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

ต่อไปนี้เป็นรายการของตัวควบคุมอื่น ๆ ที่คุณอาจต้องการพิจารณาย้ายไปยังสำนักงาน ปฏิเสธรายการ:
ยุบตารางนี้ขยายตารางนี้
ตัวควบคุมCLISD
เอกสาร Microsoft HTA 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B }
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13 }
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13 }
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B }
ตัวควบคุม Browswer เว็บ {8856F961-340A-11D0-A96B-00C04FD705A2 }
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A }

คุณสมบัติ

หมายเลขบทความ (Article ID): 2252664 - รีวิวครั้งสุดท้าย: 27 พฤศจิกายน 2556 - Revision: 1.0
ใช้กับ
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Keywords: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 kbmt KB2252664 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:2252664

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com