Viktig! Denne artikkelen inneholder informasjon som viser hvordan du kan få hjelp til å redusere sikkerhetsinnstillinger eller til å deaktivere sikkerhetsfunksjoner på en datamaskin. Du kan gjøre disse endringene for å løse et bestemt problem. Før du gjør disse endringene, anbefaler vi at du evaluerer risikoen som er knyttet til implementering av denne løsningen i ditt bestemte miljø. Hvis du implementerer denne løsningen, må du gjøre det som er nødvendig for å beskytte datamaskinen.
Denne artikkelen inneholder dokumentasjon for forhåndsversjonen. Den vil endres med fremtidige lanseringer.
Denne sikkerhetsoppdateringen lar brukeren kontrollere om og hvordan ActiveX-kontroller og OLE-objekter lastes ved hjelp av en Microsoft Office "killbit"-liste. Hvis du vil ha mer informasjon om Windows Internet Explorers "killbit"-oppførsel, som denne funksjonen er basert på, inkludert hvordan du kan angi AlternateCLSID-er som tillater at oppdaterte ActiveX-kontroller lastes, kan du se Slik hindrer du at en ActiveX-kontroll kjører i Internet Explorer.
Den følgende veiledningsartikkelen omhandler sikkerhetsproblemer i ATL (Active Template Library) som kan tillate ekstern kjøring av kode.
973882 Microsofts sikkerhetsveiledning: Sikkerhetsproblemer i Microsoft ATL (Active Template Library) kan tillate ekstern kjøring av kode
Alle funksjoner i veiledningen artikkelen til å redusere disse sikkerhetsproblemene ATL. I tillegg omtales spesifikke ATL-migrasjoner i denne sikkerhetsoppdateringen.
Denne sikkerhetsoppdateringen gjelder for Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher og Microsoft Visio.
Office COM "killbit"
Du kan også bruke Office COM "killbiten" som ble innført i sikkerhetsoppdateringen i MS10-036 for å forhindre at spesifikke COM-objekter kjører i Office-programmer. Disse bestemte COM-objekter omfatter ActiveX-kontroller og OLE-objekter. I hele registret kan du nå uavhengig styre hvilke ActiveX- og OLE-objekter som blokkeres fra å kjøre når du bruker Office.
Viktige merknader
-
Hvis Office COM-killbit-en er angitt i registret for et OLE-objekt, blir ikke objektet lastet inn, og objektet kan ikke lastes inn under noen omstendigheter.
-
Brukerne får følgende feilmelding i Office 2007:
Henvisninger til eksternt lenkede OLE-filer er blokkert. -
Brukerne får følgende feilmelding i Office 2003:
Forsøk på å opprette et klasseobjekt mislyktes. Ingen tilgang
For å fastslå hvilken CLSID som ikke lastes inn, kan du bruke Process Monitor fra TechNet. Se etter innstillingen for Internet Explorer "killbit" i loggfilen for prosessovervåking.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
NotatVi anbefaler ikke at du fjerner en killbit som er angitt for et COM-objekt. Dette kan forårsake sikkerhetsproblemer. "Killbit" er vanligvis angitt av en grunn som kan være kritisk, og derfor må du være svært forsiktig når du omgjør deaktivering av en ActiveX-kontroll.
Du kan legge til en AlternateCLSID (kalles også "Phoenix-bit") når du må samsvare CLSID-en for en ActiveX-kontroll (og ActiveX-kontrollen ble endret for å redusere sikkerhetstrusselen), til CLSID-en for ActiveX-kontrollen Office COM-killbit-en ble brukt for. Office støtter kun AlternatCLSID når ActiveX-kontrollen COM-objekter brukes.
Legg merke til "Killbit"-listen for Office overstyrer "killbit"-listen for Internet Explorer. Office COM-killbit og ActiveX-killbit for Internet Explorer kan for eksempel angis for samme ActiveX-kontroll. Men AlternateCLSID angis bare på listen for Internet Explorer. Det er konflikt mellom de to innstillingene i dette tilfellet. I slike tilfeller gjelder Office COM-killbit-innstillingene, og kontrollen blir ikke lastet inn.
Angi Office COM-killbit
Viktig Dette avsnittet, denne metoden eller denne oppgaven inneholder trinn som forteller deg hvordan du kan endre registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåtene nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Dermed kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756Slik sikkerhetskopierer og gjenoppretter du registret i WindowsPlassering for å angi Office COM-kill bit i registret er som følger:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}I dette tilfellet er CLSID klasseidentifikatoren for COM-objektet. Hvis du vil aktivere Office COM-killbit-en, må du legge til registerundernøkkelen sammen med CLSID-en for ActiveX-kontrollen eller OLE-objektet som du vil blokkere innlasting for. Du må også sette REG_DWORD-verdien for kompatibilitetsflagget til 0x00000400.
Hvis du for eksempel vil angi Office COM-killbit for et objekt med CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, søker du etter følgende undernøkkel og legger til REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} for undernøkkelen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityI dette tilfellet er banen slik:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} Når du legger til en undernøkkel som inneholder verdien 0x00000400 til nøkkelen {CLSID}, angis Office COM "killbiten". 64-Biters og 32-biters-objekter og deres "kill bits", finnes i registret på forskjellige steder.
Hvis du vil ha mer informasjon, kan du gå til følgende webområde fra Microsoft for å se ofte spurte spørsmål om "killbit".
Slik overstyrer du killbit-listen for Internet Explorer for OLE-objekter
Alternativet for å overstyre killbit-listen for IE, gjør det mulig å spesifikt angi hvilke OLE-objekter i killbit-listen for Internet Explorer, som har tillatelse til å lastes inn i Office. Bare bruk killbit-listen for IE hvis du vet at det er sikkert å laste inn OLE-objektet i Office. Vær oppmerksom på at når Office kontrollerer innstillingen for killbit-listen for Internet Explorer, kontrollerer Office også om Office COM-killbit-en er aktivert. Hvis Office COM "killbit" er aktivert, vil ikke OLE-objektet lastes.
Hvis du vil aktivere alternativet for overstyring av Internet Explorer-kill-bit-listen, må du kategoriserer OLE-objektet på riktig måte. I registret, hvis undernøkkelen ikke allerede finnes, legger du til en undernøkkel med navnet Implemented Categories for CLSID-en for COM-objektet. Legg deretter til en undernøkkel som inneholder kategori-ID (CATID) for OLE-objekter, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, for Implemented Categories-nøkkelen.
Internet Explorer kan for eksempel være konfigurert for å avslutte et OLE-objekt, men du vil likevel bruke objektet i Office. I slike tilfeller må du først søke etter CLSID-en for OLE-objektet på følgende registerplassering:
HKEY_CLASSES_ROOT\CLSID For eksempel er CLSID-en for Microsoft Graph Chart {00020803-0000-0000-C000-000000000046}. Deretter fastslår du om Implemented Categories-nøkkelen allerede finnes, og opprette den hvis den ikke finnes. I dette eksempelet er banen:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Til slutt må du legge til en ny undernøkkel for objektet CATID OLE til nøkkelen Implemented Categories. Dette er banen for dette eksempelet:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Legg merke til CATID (kategori-ID) for OLE-objekter er {F3E0281E-C257-444E-87E7-F3DC29B62BBD}. Klammeparantensene ( { } ) må være med.
Deaktivere ATL-migrering
Når ATL-migreringene er aktivert, forhindres kontrollere som bruker OleLoadFromStreamsuch fra å virke, og kontrollinformasjon går tapt. For eksempel er vanlige kontrollere for VB6/Windows påvirket av dette problemet.
Advarsel Denne løsningen kan gjøre en datamaskin eller et nettverk mer utsatt for angrep fra brukere med onde hensikter eller skadelig programvare, for eksempel virus. Denne løsningen anbefales ikke, men informasjonen oppgis slik at du kan velge å implementere løsningen på eget initiativ. Bruk denne løsningen på eget ansvar.
Vi anbefaler ikke at du deaktiverer begrensende faktorer for ATL hvis dette ikke er absolutt nødvendig, fordi de begrensende faktorene for ATL, har et omfattende omfang. Hvis du deaktiverer de begrensende faktorene ATL, kan du forårsake sikkerhetsproblemer. Hvis du deaktiverer ATL-migreringer, anbefaler vi at du ikke åpner Microsoft Office-filer som du mottar fra usikre kilder eller som du uventet mottar fra sikre kilder.
Hvis du vil deaktivere begrensende faktorer som henviser til sikkerhetsproblemer i ATL, angir du REG_DWORD-verdien for NoOLELoadFromStreamChecks til 00000001 i følgende registerundernøkkel:
HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
Legg merke til Hvis denne registerundernøkkelen ikke finnes, må du opprette den med typen REG_DWORD.
Deaktivere skriptletkontroller for Office-programmer
Når denne sikkerhetsoppdateringen er installert, kan du deaktivere skriptleter for Office-programmer, uten at virkemåten for Internet Explorer blir endret.
Hvis du vil deaktivere skriplet for Office-programmer, angir du REG_DWORD-verdien for kompatibilitetsflagget til 00000400 i følgende registerundernøkkel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
Følgende er en liste over andre kontroller som du kan vurdere å legge i avslå-listen for Office:
|
Kontroll |
CLISD |
|---|---|
|
Microsoft HTA Document 6.0 |
{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B} |
|
htmlfile |
{25336920-03F9-11CF-8FD0-00AA00686F13} |
|
htmlfile_FullWindowEmbed |
{25336921-03F9-11CF-8FD0-00AA00686F13} |
|
mhtmlfile |
{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} |
|
Web Browser Control |
{8856F961-340A-11D0-A96B-00C04FD705A2} |
|
DHTMLEdit |
{2D360200-FFF5-11D1-8D03-00A0C959BC0A} |
