هام تتضمن هذه المقالة معلومات توضح كيفية المساعدة على خفض إعدادات الأمان أو كيفية إيقاف تشغيل ميزات الأمان الموجودة على جهاز الكمبيوتر. ويمكنك إجراء هذه التغييرات لإيجاد حل بديل لمشكلة معينة. قبل القيام بإجراء هذه التغييرات، يُفضل تقييم المخاطر المرتبطة بتطبيق هذا الحل البديل في بيئة التشغيل الخاصة بك. في حالة تطبيق هذا الحل البديل، قم بتنفيذ أية خطوات إضافية مناسبة للمساعدة في حماية جهاز الكمبيوتر.
مقدمة
تحتوي هذه المقالة على وثائق تجريبية وخاضعة للتغيير في الإصدارات المستقبلية.
يتيح هذا التحديث الأمني للمستخدمين إمكانية التحكم فيما إذا كانت عناصر تحكم ActiveX وكائنات OLE تقوم بالتحميل بقائمة بت إنهاء Microsoft Office أم لا، بالإضافة إلى كيفية القيام بذلك. للحصول على مزيد من المعلومات حول سلوك بت إنهاء Windows Internet Explorer الذي تستند إليه هذه الميزة، ويتضمن ذلك كيفية إعداد AlternateCLSIDs الذي يسمح لعناصر تحكم ActiveX التي تم تحديثها بالتحميل، راجع كيفية إيقاف تشغيل عنصر تحكم ActiveX في Internet Explorer.
تتناول مقالة النصائح الإرشادية للأمان التالية الثغرات الأمنية الموجودة في Active Template Library (ATL) التي قد تسمح بتنفيذ تعليمات برمجية عن بُعد (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
973882 نصائح إرشادية للأمان من Microsoft: وجود ثغرات أمنية في Microsoft Active Template Library (ATL) قد تسمح بتنفيذ التعليمات البرمجية عن بُعد
يمكن استخدام كافة الميزات الواردة في مقالة النصائح الإرشادية للأمان هذه للمساعدة في تقليل ثغرات ATL الأمنية هذه. بالإضافة إلى ذلك، يتم تناول عمليات محددة من عمليات الحد من آثار ATL في هذا التحديث الأمني.
ينطبق هذا التحديث الأمني على Microsoft Word وMicrosoft Excel وMicrosoft PowerPoint وMicrosoft Publisher، بالإضافة إلى Microsoft Visio.
بت إنهاء Office COM
يمكنك أيضًا استخدام بت إنهاء Office COM الذي تم تقديمه في التحديث الأمني في MS10-036 لمنع تشغيل كائنات COM محددة ضمن تطبيقات Office. تتضمن كائنات COM المحددة هذه عناصر تحكم ActiveX وكائنات OLE. والآن، يمكنك من خلال السجل التحكم بشكل مستقل في تحديد كائنات OLE وActiveX التي يتم حظر تشغيلها عند استخدام Office.
ملاحظات مهمة
-
في حالة تعيين بت إنهاء Office COM في السجل لكائن OLE، لا يتم تحميل الكائن، ولا يمكن تحميله مهما كانت الظروف.
-
في Office 2007، يتلقى المستخدمون رسالة الخطأ التالية:
لقد تم حظر مراجع ملفات OLE المرتبطة الخارجية. -
في Office 2003، يتلقى المستخدمون رسالة الخطأ التالية:
فشلت محاولة إنشاء كائن فئة. تم رفض الوصول.
لتحديد CLSID الذي فشل تحميله، استخدم Process Monitor (مراقبة العملية) من TechNet. ابحث عن إعداد بت إنهاء Internet Explorer في ملف سجل Process Monitor (مراقبة العملية).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
ملاحظة لا نوصي بإزالة بت الإنهاء المُعيّن لكائن COM. في حالة القيام بذلك، قد تنتج ثغرات أمنية. يتم تعيين بت الإنهاء عادةً لسبب خطير، ولذلك، يجب توخي الحذر الشديد عند إلغاء إنهاء عنصر تحكم ActiveX.
يمكنك إضافة AlternateCLSID (المعروف أيضًا بـ "Phoenix bit" (بت فونيكس)) في حالة ضرورة ربط CLSID الخاص بعنصر تحكم ActiveX جديد (وتم تعديل عنصر تحكم ActiveX هذا لتقليل تهديد الأمان)، بـ CLSID الخاص بعنصر تحكم ActiveX الذي تم تطبيق بت إنهاء Office COM عليه. لا يوفر Office الدعم لـ AlternateCLSID إلا في حالة استخدام كائنات COM لعنصر تحكم ActiveX.
ملاحظة يكون لقائمة بت إنهاء Office الأسبقية على قائمة بت إنهاء Internet Explorer. على سبيل المثال، يمكن تعيين بت إنهاء Office COM وبت إنهاء Internet Explorer ActiveX لنفس عنصر تحكم ActiveX. ولكن لا يتم تعيين AlternateCLSID إلا في القائمة الخاصة ببرنامج Internet Explorer. في هذا السيناريو، يوجد تعارض بين الإعدادين. في مثل هذه الحالات، يكون لإعدادات بت إنهاء Office COM الأسبقية، ولا يتم تحميل عنصر التحكم.
تعيين بت إنهاء Office COM
مهم يحتوي هذا القسم أو الطريقة أو المهمة على الخطوات التي توضح كيفية تعديل السجل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، يجب التأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية من السجل قبل تعديله. يمكنك بعد ذلك استعادة السجل في حالة حدوث أية مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):
322756كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows XPيكون موقع تعيين بت إنهاء Office COM في السجل كما يلي:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}في هذه الحالة، يكون CLSID هو معرف الفئة الخاص بكائن COM. لتمكين بت إنهاء Office COM، يجب إضافة مفتاح التسجيل الفرعي بـ CLSID الخاص بعنصر تحكم ActiveX أو كائن OLE الذي تريد حظر تحميله. يجب أيضًا تعيين قيمة REG_DWORD الخاصة بعلامة التوافق إلى 0x00000400.
على سبيل المثال لإعداد بت إنهاء Office COM لكائن لديه CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}، قم بتحديد موقع المفتاح الفرعي التالي، وإضافة REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} إلى المفتاح الفرعي:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibilityفي هذه الحالة، يكون المسار كالتالي:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} عند إضافة مفتاح فرعي يتضمن قيمة 0x٠٠٠٠٠٤٠٠ إلى المفتاح {CLSID}، يتم إعداد بت إنهاء Office COM. توجد الكائنات فئة ٣٢ بت و٦٤ بت ووحدات بت الإنهاء الخاصة بها في مواقع مختلفة في السجل.
للحصول على مزيد من المعلومات، قم بزيارة صفحة Microsoft التالية على الويب للاطلاع على الأسئلة المتداولة المتعلقة ببت الإنهاء:
كيفية تجاوز قائمة بت إنهاء Internet Explorer لكائنات OLE
يتيح لك الخيار Override IE kill-bit list (تجاوز قائمة بت إنهاء IE) بشكلٍ خاص إمكانية سرد كائنات OLE الموجودة في قائمة بت إنهاء Internet Explorer المسموح بتحميلها ضمن Office. لا تستخدم Override IE kill-bit list (تجاوز قائمة بت إنهاء IE) إلا إذا كنت تعرف أن تحميل كائن OLE في Office يعد آمنًا. يجب أن تكون على دراية بأنه عندما يقوم Office بفحص إعداد Override IE kill-bit list (تجاوز قائمة بت إنهاء IE)، فإن Office يقوم أيضًا بالتحقق مما إذا كان بت إنهاء Office COM مُمكنًّا أم لا. في حالة تمكين بت إنهاء Office COM، لا يتم تحميل كائن OLE.
لتمكين الخيار Override IE kill-bit list (تجاوز قائمة بت إنهاء IE)، يجب تصنيف كائن OLE بطريقة صحيحة. في السجل، في حالة عدم وجود المفتاح الفرعي بالفعل، قم بإضافة مفتاح فرعي باسم Implemented Categories (الفئات المنفذة) إلى CLSID الخاص بكائن COM. قم بعد ذلك بإضافة مفتاح فرعي يحتوي على معرف الفئة (CATID) لكائنات OLE، {F3E0281E-C257-444E-87E7-F3DC29B62BBD}، إلى المفتاح Implemented Categories (الفئات المنفذة).
على سبيل المثال، يمكن إعداد Internet Explorer لإنهاء كائن OLE، ولكنك لا تزال تحتاج إلى استخدام هذا الكائن في Office. في هذه الحالة، يجب أولاً البحث عن CLSID لكائن OLE هذا في الموقع التالي في السجل:
HKEY_CLASSES_ROOT\CLSID على سبيل المثال، يكون CLSID الخاص بـ Microsoft Graph Chart هو {00020803-0000-0000-C٠٠٠-٠٠٠٠٠٠٠٠٠٠٤٦}. يجب بعد ذلك تحديد ما إذا كان المفتاح Implemented Categories (الفئات المنفذة) موجودًا بالفعل أم لا، وفي حالة عدم وجوده، يجب إنشاء هذا المفتاح. في هذا المثال، يكون المسار كما يلي:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories في النهاية، قم بإضافة مفتاح فرعي جديد لكائن CATID OLE لمفتاح Implemented Categories (الفئات المنفذة). فيما يلي المسار الخاص بهذا المثال:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
ملاحظة يكون معرف الفئة (CATID) لكائنات OLE هو {F3E0281E-C257-444E-87E7-F3DC29B62BBD}، ويجب تضمين الأقواس الكبيرة ( { } ).
كيفية تعطيل عمليات الحد من آثار ATL
عندما يتم تمكين عمليات الحد من آثار ATL، يتم منع عناصر التحكم التي تستخدم OleLoadFromStreamsuch من العمل ويتم فقد بيانات التحكم. على سبيل المثال، تتأثر عناصر التحكم العامة الخاصة بـ VB6/Windows بهذه المشكلة.
تحذير قد يؤدي تطبيق هذا الحل البديل إلى جعل جهاز الكمبيوتر أو الشبكة أكثر عرضة للهجوم من قِبل المستخدمين الضارين أو البرامج الضارة مثل الفيروسات. لذلك لا ننصح باستخدام هذا الحل البديل، ولكننا نورد هذه المعلومات حتى يكون لك كامل الحرية في تطبيق هذا الحل حسب رؤيتك. يمكنك استخدام هذا الحل البديل على مسؤوليتك الشخصية.
لا نوصي بتعطيل عمليات الحد من آثار ATL ما لم تكن ضرورية جدًا نظرًا لقيام هذه العمليات بتغطية نطاق واسع. في حالة تعطيل عمليات الحد من آثار ATL، قد ينتج عن ذلك ثغرات أمنية. إذا قمت بتعطيل عمليات الحد من ATL، نوصي بعم فتح ملفات Microsoft Office التي تلقيتها من مصادر غير موثوقة أو تلقيتها من مصادر موثوقة ولكن بشكل غير متوقع.
لتعطيل عمليات الحد من الآثار التي تشير إلى ثغرات ATL الأمنية، قم بتعيين NoOLELoadFromStreamChecks REG_DWORD إلى القيمة 00000001 في مفتاح التسجيل الفرعي التالي:
HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
ملاحظة في حالة عدم وجود مفتاح التسجيل الفرعي هذا، يجب إنشاؤه كنوع REG_DWORD.
تعطيل عناصر تحكم عناصر البرنامج النصي وHTML القابل لإعادة الاستخدام لتطبيقات Office
بعد تثبيت هذا التحديث الأمني، يمكنك تعطيل عناصر البرنامج النصي لتطبيقات Office ولا يحدث أي تغيير في سلوك Internet Explorer.
لتعطيل البرامج النصية الصغيرة لتطبيقات Office، قم بتعيين قيمة REG_DWORD الخاصة بعلامة التوافق إلى القيمة 00000400 في مفتاح التسجيل الفرعي التالي:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
فيما يلي قائمة بعناصر التحكم الأخرى التي قد تهتم بوضعها في قائمة رفض Office:
|
عنصر التحكم |
CLISD |
|---|---|
|
Microsoft HTA Document 6.0 |
{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B} |
|
htmlfile |
{25336920-03F9-11CF-8FD0-00AA00686F13} |
|
htmlfile_FullWindowEmbed |
{25336921-03F9-11CF-8FD0-00AA00686F13} |
|
mhtmlfile |
{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} |
|
Web Browswer Control |
{8856F961-340A-11D0-A96B-00C04FD705A2} |
|
DHTMLEdit |
{2D360200-FFF5-11D1-8D03-00A0C959BC0A} |
