Ważne Ten artykuł zawiera informacje, dzięki którym można łatwo obniżyć poziom zabezpieczeń lub wyłączyć funkcje zabezpieczeń na komputerze. Takie zmiany można wprowadzić w celu obejścia określonego problemu. Przed ich wprowadzeniem zaleca się dokonanie oceny zagrożenia, z jakim wiąże się zastosowanie tego obejścia w danym środowisku. Po zastosowaniu tego obejścia należy wykonać odpowiednie czynności dodatkowe, aby zapewnić lepszą ochronę komputera.
WPROWADZENIE
Ten artykuł zawiera wstępną wersję dokumentacji i może ulec zmianie w przyszłych wersjach.
Ta aktualizacja zabezpieczeń pozwala użyć listy mechanizmu Killbit pakietu Microsoft Office w celu określenia, czy i jak mają być ładowane formanty ActiveX i obiekty OLE. Więcej informacji na temat działania funkcji Killbit programu Windows Internet Explorer, na której jest oparta ta aktualizacja, a także ustawiania wartości AlternateCLSID umożliwiającej załadowanie zaktualizowanych formantów ActiveX można znaleźć w artykule Jak zatrzymać uruchamianie formantu ActiveX w programie Internet Explorer.
W następującym dokumencie omówiono luki w zabezpieczeniach biblioteki Active Template Library (ATL), które umożliwiają zdalne wykonywanie kodu.
973882 Microsoft Security Advisory: Luki w zabezpieczeniach biblioteki Active Template Library (ATL) firmy Microsoft umożliwiają zdalne wykonywanie kodu (strona może być w języku angielskim)
Za pomocą wszystkich funkcji wymienionych w tym dokumencie można ograniczyć występowanie luk w zabezpieczeniach biblioteki ATL. W tej aktualizacji zabezpieczeń omówiono także konkretne zmiany służące ograniczeniu ryzyka biblioteki ATL.
Ta aktualizacja zabezpieczeń dotyczy programów Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher i Microsoft Visio.
Funkcja Killbit obiektu COM pakietu Office
Korzystając z funkcji Killbit obiektu COM pakietu Office, która została wprowadzona w aktualizacji zabezpieczeń MS10-036, można także zapobiec uruchamianiu określonych obiektów COM w aplikacjach pakietu Office. Te określone obiekty COM to m.in. formanty ActiveX i obiekty OLE. W rejestrze można teraz niezależnie określić, które formanty ActiveX i obiekty OLE będą blokowane i nie będą mogły być uruchamiane podczas korzystania z pakietu Office.
Ważne uwagi
-
Jeśli funkcja Killbit obiektu COM pakietu Office została ustawiona w rejestrze dla obiektu OLE, ten obiekt nie zostanie załadowany i nie będzie można go załadować w żadnych okolicznościach.
-
Użytkownikom pakietu Office 2007 zostanie wyświetlony następujący komunikat o błędzie:
Odwołania do zewnętrznych połączonych plików OLE zostały zablokowane. -
Użytkownikom pakietu Office 2003 zostanie wyświetlony następujący komunikat o błędzie:
Próba utworzenia obiektu klasy nie powiodła się. Odmowa dostępu.
W celu określenia, którego identyfikatora klasy (CLSID) nie można załadować, należy użyć monitora procesu z witryny TechNet. Ustawienie funkcji Killbit programu Internet Explorer można wyszukać w pliku dziennika monitora procesu.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Uwaga Nie zaleca się usuwania funkcji Killbit ustawionej dla obiektu COM. Wykonanie tej czynności może spowodować powstanie luk w zabezpieczeniach. Funkcja Killbit zwykle jest ustawiana z ważnego powodu, dlatego anulowanie kasowania formantu ActiveX musi się odbywać z zachowaniem najwyższej rozwagi.
Wartość AlternateCLSID (zwaną także „bitem feniksa”) można dodać, gdy jest wymagane powiązanie identyfikatora klasy nowego formantu ActiveX (a jest to formant ActiveX, który został zmodyfikowany w celu zmniejszenia zagrożenia bezpieczeństwa) z identyfikatorem klasy formantu ActiveX, do którego zastosowano funkcję Killbit obiektu COM pakietu Office. Pakiet Office obsługuje wartość AlternateCLSID tylko wtedy, gdy są używane obiekty COM w postaci formantu ActiveX.
Uwaga Lista funkcji Killbit pakietu Office ma pierwszeństwo przed listą funkcji Killbit programu Internet Explorer. Na przykład funkcja Killbit obiektu COM pakietu Office i funkcja Killbit formantu ActiveX programu Internet Explorer mogą być ustawione dla tego samego formantu ActiveX. Jednak wartość AlternateCLSID jest ustawiona tylko na liście dla programu Internet Explorer. W tym scenariuszu występuje konflikt między dwoma ustawieniami. W takich przypadkach ustawienia funkcji Killbit obiektu COM pakietu Office będą miały pierwszeństwo, a formant nie zostanie załadowany.
Ustawianie funkcji Killbit obiektu COM pakietu Office
Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756Jak wykonywać kopię zapasową rejestru i przywracać go w systemie WindowsLokalizacja do ustawiania funkcji Killbit obiektu COM pakietu Office w rejestrze jest następująca:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}W tym przypadku wartość CLSID to identyfikator klasy obiektu COM. Aby włączyć funkcję Killbit obiektu COM pakietu Office, należy dodać podklucz rejestru razem z identyfikatorem klasy formantu ActiveX lub obiektu OLE, którego ładowanie ma zostać zablokowane. Ponadto należy ustawić wpis REG_DWORD Compatibility Flags na wartość 0x00000400.
Aby na przykład ustawić funkcję Killbit obiektu COM pakietu Office dla obiektu o identyfikatorze klasy {77061A9C-2F18-4f38-B294-F6BCC8443D24}, należy zlokalizować następujący podklucz i dodać do niego wartość REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24}:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityW tym przypadku ścieżka jest następująca:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} Dodanie podklucza zawierającego wartość 0x00000400 do klucza {CLSID} spowoduje ustawienie funkcji Killbit obiektu COM pakietu Office. Obiekty 32- i 64-bitowe oraz ich funkcje Killbit znajdują się w innych lokalizacjach w rejestrze.
Aby uzyskać więcej informacji, odwiedź następującą stronę firmy Microsoft w sieci Web zawierającą często zadawane pytania dotyczące funkcji Killbit.
Jak zastąpić listę funkcji Killbit programu Internet Explorer dla obiektów OLE
Opcja zastępowania listy funkcji Killbit programu IE pozwala szczegółowo określić, które obiekty OLE znajdujące się na liście funkcji Killbit programu Internet Explorer można załadować w pakiecie Office. Tej opcji należy używać tylko wtedy, gdy wiadomo, że załadowanie obiektu OLE w pakiecie Office jest bezpieczne. Należy pamiętać, że podczas sprawdzania ustawienia zastępowania listy funkcji Killbit programu IE przez pakiet Office jest także sprawdzane, czy funkcja Killbit obiektu COM pakietu Office została włączona. Jeśli funkcja Killbit obiektu COM pakietu Office została włączona, obiekt OLE nie zostanie załadowany.
Aby włączyć opcję zastępowania listy funkcji Killbit programu IE, należy poprawnie skategoryzować obiekt OLE. W rejestrze należy dodać podklucz (jeśli jeszcze nie istnieje) o nazwie Implemented Categories do identyfikatora klasy obiektu COM. Następnie należy dodać do klucza Implemented Categories podklucz zawierający identyfikator kategorii (CATID) dla obiektów OLE: {F3E0281E-C257-444E-87E7-F3DC29B62BBD}.
Na przykład program Internet Explorer może być tak skonfigurowany, aby obiekt OLE był w nim kasowany, ale korzystanie z tego obiektu może być nadal wymagane w pakiecie Office. W tym przypadku należy najpierw wyszukać identyfikator klasy tego obiektu OLE w następującej lokalizacji w rejestrze:
HKEY_CLASSES_ROOT\CLSID Na przykład identyfikator klasy (CLSID) programu Microsoft Graph Chart to {00020803-0000-0000-C000-000000000046}. Następnie należy określić, czy klucz Implemented Categories już istnieje, a jeśli nie istnieje — utworzyć go. W tym przykładzie ścieżka jest następująca:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Na koniec należy dodać nowy podklucz obiektu OLE CATID do klucza Implemented Categories. Poniżej podano ścieżkę dla tego przykładu:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Uwaga Identyfikator kategorii (CATID) dla obiektów OLE to {F3E0281E-C257-444E-87E7-F3DC29B62BBD} i należy w nim uwzględnić nawiasy klamrowe ( { } ).
Jak wyłączyć zmiany służące ograniczeniu ryzyka biblioteki ATL
Gdy zmiany służące ograniczeniu ryzyka biblioteki ATL są włączone, działanie formantów używających elementu OleLoadFromStreamsuch jest blokowane i informacje formantów są tracone. Ten problem dotyczy na przykład typowych formantów VB6/Windows.
Ostrzeżenie Ta metoda obejścia problemu może narazić komputer lub sieć na większe zagrożenie ze strony złośliwych użytkowników lub złośliwego oprogramowania, takiego jak wirusy. Firma Microsoft nie zaleca tej metody obejścia problemu, ale podaje informacje umożliwiające jej zastosowanie według uznania użytkownika. Tę metodę obejścia problemu użytkownicy stosują na własną odpowiedzialność.
Wyłączanie zmian służących ograniczeniu ryzyka biblioteki ATL nie jest zalecane, jeśli nie jest to bezwzględnie konieczne, ponieważ te zmiany obejmują szeroki zakres. Wyłączenie zmian służących ograniczeniu ryzyka biblioteki ATL może spowodować powstanie luk w zabezpieczeniach. W przypadku wyłączenia zmian służących ograniczeniu ryzyka biblioteki ATL zaleca się, aby nie otwierać plików pakietu Microsoft Office otrzymanych z niezaufanych źródeł oraz otrzymanych nieoczekiwanie z zaufanych źródeł.
Aby wyłączyć zmiany służące ograniczeniu ryzyka, które odwołują się do luk w zabezpieczeniach biblioteki ATL, należy ustawić wpis REG_DWORD NoOLELoadFromStreamChecks na wartość 00000001 w następującym podkluczu rejestru:
HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
Uwaga Jeśli ten podklucz rejestru nie istnieje, należy go utworzyć jako wpis typu REG_DWORD.
Wyłączanie formantów skryptletów dla aplikacji pakietu Office
Po zainstalowaniu tej aktualizacji zabezpieczeń można wyłączyć skryptlety dla aplikacji pakietu Office, przy czym działanie programu Internet Explorer nie ulegnie zmianie.
Aby wyłączyć skryptlety dla aplikacji pakietu Office, należy ustawić wpis REG_DWORD Compatibility Flags na wartość 00000400 w następującym podkluczu rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
Oto lista innych formantów, w przypadku których można rozważyć umieszczenie ich na liście niedozwolonych w pakiecie Office:
|
Formant |
CLISD |
|---|---|
|
Microsoft HTA Document 6.0 |
{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B} |
|
htmlfile |
{25336920-03F9-11CF-8FD0-00AA00686F13} |
|
htmlfile_FullWindowEmbed |
{25336921-03F9-11CF-8FD0-00AA00686F13} |
|
mhtmlfile |
{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} |
|
Formant przeglądarki sieci Web |
{8856F961-340A-11D0-A96B-00C04FD705A2} |
|
DHTMLEdit |
{2D360200-FFF5-11D1-8D03-00A0C959BC0A} |
