Настройки безпеки для керування ActiveX та об'єкти OLE в Office 2003 і комплекту Office 2007

Переклади статей Переклади статей
Номер статті: 2252664 - Показ продуктів, яких стосується ця стаття.
Важливою Ця стаття містить інформацію про те, як зменшити настройки рівня безпеки або як вимкнути функції безпеки на комп’ютері. Ви можете зробити ці зміни для усунення певної проблеми. Перш ніж виконувати зазначені інтерактивні елементи, рекомендовано оцінити ризик, пов'язаний з їх виконанням у вашому конкретному середовищі. Якщо ви застосуєте це тимчасове рішенния, слід ужити всі відповідні додаткові заходи для захисту комп’ютера.
Розгорнути все | Згорнути все

На цій сторінці

Введення

Ця стаття містить пре-реліз документації та зазнавати змін у майбутніх релізів.

Цього поновлення безпеки дає змогу користувачам контролю, якщо як елементи керування ActiveX та об'єкти OLE навантаження список біт анулювання Microsoft Office. Для отримання додаткових відомостей про Windows Internet Explorer біт анулювання поведінки, що на основі цієї функції, і це включає в себе як встановити AlternateCLSIDs, які дозволяють оновлений ActiveX контролює до навантаження, див. Як зупинити запуск браузера Internet Explorer, елементів керування ActiveX.

Наступні консультативної статті обговорюється в на активні шаблон бібліотеки (ATL) що може дозволити віддалене виконання коду уразливості.
973882 Microsoft Security дорадчий: Уразливості в Microsoft Active шаблон бібліотеки (ATL) може дозволити дистанційне виконання програмного коду

Всіма функціями консультативної статті може використовуватися для зменшення цих вразливостей ATL. Крім того, конкретних АТЛ пом'якшення обговорювалися в це оновлення системи безпеки.

Це оновлення системи безпеки призначено для Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher і Microsoft Visio.

Офіс біт анулювання ком

Можна також використовувати Office COM біт анулювання, був введений в MS10-036 заборонити конкретні об'єкти COM працює в додатках Office, оновлення системи безпеки. Ці конкретні об'єкти COM включати елементи керування ActiveX і об'єктів OLE. Тепер через реєстру, ви можете самостійно контролювати які елементи керування ActiveX і OLE об'єкти блокуються небезпечного під Вільний час сценарій виконання Office.

Важливі примітки
  • Якщо Office COM вбити розряду встановлюється в реєстрі для об'єкта OLE, не завантажено об'єкт, і об'єкт не може бути завантажений в будь-яких обставин.
  • В Office 2007 користувачі отримують таке протокол IMAP про помилку:

    Посилання на зовнішні зв'язані файли OLE з ненадійного розташування.
  • В Office 2003 користувачі отримують таке протокол IMAP про помилку:
    Спроба створити об'єкт класу не вдалося. Доступ заборонено.


Щоб визначити, які CLSID не вдається завантажити, використовуйте з Процес монітора від TechNet. Пошукайте Internet Explorer біт анулювання параметрів у файлі журналу процес монітора.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Примітка. Не рекомендовано видаляти біт анулювання, що встановлений для COM-об'єкт. Якщо ви зробите це, ви можете створити вразливостей. Причини, які могли б бути критичних зазвичай автоматична інсталяція біта анулювання, і через це, будьте обережні повинна використовуватися при unkill елемент керування ActiveX.

Ви можете додати керування (також відомий як "Фенікс трохи") коли ви повинні стосуватися CLSID нового об'єкта ActiveX (і цей елемент керування ActiveX був змінений, щоб зменшити загрозу безпеці), щоб CLSID, до якого було застосовано Office COM біт анулювання елемента керування ActiveX. Відділ підтримує до керування лише тоді, коли елемент керування ActiveX COM об'єкти використовуються.

Примітка. Список біт анулювання для Office має пріоритет над списку біт анулювання для Internet Explorer. Наприклад, біта анулювання Office COM і ActiveX для Internet Explorer біт анулювання може встановлюватися ж елемента керування ActiveX. Але до керування лише встановити у списку для Internet Explorer. У цьому випадку є конфлікт між двома настройки. У таких випадках настройки Office COM біт анулювання взяти першість і не завантаженням елемента.

автоматична інсталяція біта анулювання COM Office

Важливо.Цей розділ, спосіб або завдання містять кроки, в яких описано, як змінити реєстр. Проте неправильне внесення змін до реєстру може призвести до серйозних неполадок. Тому переконайтеся, що ви виконуєте зазначені інтерактивні елементи ретельно. Для додаткового захисту створіть архівувати реєстру перед внесенням змін. Тоді ви зможете відновити реєстр у разі виникнення проблеми. Щоб отримати додаткові відомості про архівацію та відновлення реєстру, клацніть номер статті в базі знань Майкрософт:
322756архівувати та відновлення реєстру Windows
Розташування для автоматична інсталяція біт в реєстрі анулювання Office COM виглядає наступним чином:
Сумісність HKEY_LOCAL_MACHINE/програмне забезпечення/Microsoft/офіс/загальні/COM / {CLSID}
У цьому випадку, CLSID – Це ідентифікатор класу COM-об'єкт. Щоб увімкнути біт анулювання Office COM, ви повинні додати підрозділ реєстру разом з CLSID елемента керування або об'єкт OLE, який потрібно заблокувати від завантаження. Крім того, ви повинні встановити прапор сумісності REG_DWORD значення 0x00000400.

Наприклад, щоб установити Office COM біт анулювання для об'єкта, який має CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, знайдіть такий підрозділ і додати REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} підрозділ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
У цьому випадку шлях полягає в наступному:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Коли ви додаєте підрозділ, який містить значення 0x00000400 {CLSID} ключа, автоматична інсталяція біта анулювання Office COM. 64-Розрядних і 32-розрядних об'єктів та їх вбити біти розташовані в різних реєстру місцях.

Для отримання додаткової інформації відвідайте Microsoft сторінці бачити біт анулювання FAQ:

FAQ біт анулювання: Частина 1 із 3

Як перевизначати список Internet Explorer біт анулювання для об'єктів OLE

Перевизначити IE біт анулювання списку параметр дозволяє спеціально списку, які об'єкти OLE в Internet Explorer списку біт анулювання дозволено бути завантажений в межах офісу. За допомогою списку перевизначити IE біт анулювання лише, якщо відомо, що об'єкт OLE, можна завантажити в офісі. Майте на увазі, що коли Microsoft Office перевіряє перевизначити IE біт анулювання список параметр, Office також перевіряє чи біт анулювання Office COM увімкнуто. Якщо активовано біт анулювання Office COM, об'єкт OLE не завантажено.

Щоб дозволити перевизначити IE біт анулювання списку варіант, необхідно правильно класифікувати об'єкт OLE. У реєстрі Якщо підрозділ не вже існує, додати підрозділ, який називається реалізовані категорій, щоб CLSID COM-об'єкт. Потім додати підрозділ, який містить Ідентифікатор категорії (CATID) для об'єктів OLE, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, реалізовані категорії ключ.

Наприклад, браузер Internet Explorer можна налаштувати вбити об'єктом OLE, але потрібно використати цей об'єкт в офісі. У цьому випадку, ви повинні спершу відшукати CLSID для вибраного об'єкта OLE в папці в реєстрі:
HKEY_CLASSES_ROOT\CLSID
Наприклад, CLSID для діаграми Microsoft Graph є {00020803-0000-0000-C000-000000000046}. Потім необхідно визначити чи ключ, реалізовані категорій, уже існує, або потрібно створити ключ, якщо він не існує. У цьому прикладі шлях полягає в наступному:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Нарешті, додати новий підрозділ для на CATID об'єкт OLE реалізовані категорії ключ. Нижче наведено шляхи для цього прикладу:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Примітка. Ідентифікатор категорії (CATID) для об'єктів OLE є {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, і фігурні дужки ({}), повинні бути включені.

Як відключити ATL пом'якшення

При включенні ATL пом'якшення, де використовується OleLoadFromStreamsuch перешкодила функціонування та контролю інформації втрачається. Наприклад, звичайні елементи керування VB6/Windows порушені цим питанням.

Попередження Описана методика може зробити комп’ютер або мережу вразливішими до атак зловмисних користувачів або Підтримка програмного забезпечення для захисту від зловмисних програм, такого як віруси. Ми не радимо користуватися нею, але надаємо цю інформацію, щоб ви могли застосувати цю методику на ваш власний розсуд. Використовуйте цю методику на ваш власний ризик.

Не рекомендовано вимкнути ATL пом'якшення, якщо це не абсолютно необхідно, тому що ці ATL пом'якшення охопити широку сферу застосування. Якщо вимкнути ATL пом'якшення, можна створити вразливостей. Якщо вимкнути ATL пом'якшення, рекомендовано не відкривайте файли Microsoft Office, які ви отримуєте від ненадійних джерел або що несподівано з'являється з надійних джерел.

Щоб вимкнути пом'якшення, які посилаються на ATL вразливостей, встановити NoOLELoadFromStreamChecks REG_DWORD значення 00000001 в такому підрозділі реєстру:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Примітка. Якщо цей підрозділ реєстру не існує, потрібно створити цей розділ реєстру та довідайтеся, як типу REG_DWORD.

Вимкнути scriplet елементи керування для застосунків Office

Після інсталяції цього поновлення безпеки, можна вимкнути сценарії для застосунків Office та поведінку Internet Explorer не змінюється.

Щоб вимкнути сценарії для офісних задач, встановіть значення сумісності прапор REG_DWORD на 00000400 в такому підрозділі реєстру:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Нижче наведено список інших елементів, які необхідно розглянути, поклавши на офісі заперечувати список:
Згорнути цю таблицюРозгорнути цю таблицю
КеруванняCLISD
Документ Microsoft НТА 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Веб-елемент керування Browswer {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}

Властивості

Номер статті: 2252664 - Востаннє переглянуто: 27 листопада 2013 р. - Редакція: 1.0
Застосовується до:
  • Microsoft Office Word 2007
  • Microsoft Office Word 2003
  • Microsoft Office Excel 2007
  • Microsoft Office Excel 2003
  • Microsoft Office PowerPoint 2007
  • Microsoft Office PowerPoint 2003
  • Microsoft Office Publisher 2007
  • Microsoft Office Publisher 2003
  • Microsoft Office Visio Professional 2007
  • Microsoft Office Visio Standard 2007
  • Microsoft Office Visio Professional 2003
  • Microsoft Office Visio Standard 2003
Ключові слова: 
kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 kbmt KB2252664 KbMtuk
Машинний переклад
ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 2252664

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com