Внимание: Тази статия съдържа информация, която ви показва как да управлявате настройките за защита за Office. Можете да правите промени в тези настройки за защита, за да увеличите или намалите своята поза за защита. Преди да направите тези промени, ви препоръчваме да оцените рисковете, свързани с промените, които сте направили, за да конфигурирате тази настройка.
ВЪВЕДЕНИЕ
В тази статия са описани наличните настройки за потребителите и ИТ администраторите, за да се контролира дали и как се зареждат COM обекти чрез списък на Microsoft Office Kill bit.
За повече информация относно Windows Internet Explorer – поведение за бита, на което се базира тази функция, включително как да зададете AlternateCLSIDs, което позволява актуализираните ActiveX контроли да се зареждат, вижте как да прекратите изпълнението на ActiveX контрола в Internet Explorer.
Тези насоки се отнасят за Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher и Microsoft Visio.
Битове за Office COM Kill
Част от Office COM Kill е въведена в актуализацията на защитата MS10-036, за да не позволите определени COM обекти да се изпълняват, когато са вградени или свързани от документи на Office.
Битовата функционалност за COM Kill е актуализирана в KB3178703 , за да блокира напълно обектите com да бъдат активирани по време на процеса от Office. Тази актуализация е superset за първоначалното поведение, в което, освен да блокира COM обекти, вградени или свързани в документи на Office, това ще блокира всякакви случаи на COM обекти, които се зареждат в рамките на процеса на Office, чрез други средства като добавки.
Тези конкретни COM обекти включват ActiveX контроли и OLE обекти. Чрез системния регистър можете да контролирате самостоятелно кои COM обекти да бъдат блокирани при използването на Office.
ЗабележкаНе препоръчваме да премахвате бита за убиване, която е зададена за COM обект. Ако направите това, можете да създадете уязвимости в защитата. Бита за убиване обикновено е зададена поради причини, които може да са критични. Следователно трябва да сте изключително внимателни, когато унищожавате ActiveX контрола.
Можете да добавите AlternateCLSID (известен също като "малък Феникс"), когато трябва да свържете CLSID на нова ActiveX контрола (и тази ActiveX контрола е променена, за да намалите заплахата от защитата), към CLSID на ActiveX контролата, към която е приложено Office COM за убийство. Office поддържа AlternateCLSID само когато се използват ActiveX контроли COM обекти.
Забележка: Списъкът за изследваните битове за Office има предимство пред списъка за "Убий бита" за Internet Explorer. Например опцията за малко убийство на Office COM и Internet Explorer ActiveX Kill може да бъде зададена за същата ActiveX контрола. Но свойството AlternateCLSID е зададено само в списъка за Internet Explorer. В този случай има конфликт между двете настройки. В такива случаи настройките за битово убийство на Office COM имат предимство и контролата не е заредена.
Настройка на Office COM Убий малко
Важно:
-
Този раздел, метод или задача съдържа информация за модифициране на системния регистър. Имайте предвид, че при неправилна промяна на системния регистър е възможно да възникнат сериозни проблеми. Затова се уверете, че следвате тези стъпки внимателно. За допълнителна защита архивирайте регистъра, преди да го промените. След това, ако възникне проблем, можете да възстановите регистъра. За повече информация относно това как да направите резервно копие на системния регистър и да го възстановите, щракнете върху следния номер на статия, за да прегледате статия от базата знания на Microsoft:
-
322756Създаване на резервно копие и възстановяване на системния регистър в Windows
Мястото за настройка на Office COM за убиване в системния регистър е по следния начин:
За Office 2013 и Office 2010:
-
За 64-битова версия на Office в 64-битова версия на Windows (или 32-битова версия на Office в 32-битова версия на Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
За 32-битова версия на Office в 64-битова версия на Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
За Office 2016:
-
За 64-битова версия на Office в 64-битова версия на Windows (или 32-битова версия на Office в 32-битова версия на Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
За 32-битова версия на Office в 64-битова версия на Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
В този случай CLSID е Идентификаторът на класа на обекта COM.
За да разрешите бита на Office COM за убиване, изпълнете следните стъпки:
-
Добавете подключ от системния регистър заедно с CLSID на ActiveX контролата или OLE обекта, който искате да блокирате от зареждането.
-
Добавете REG_DWORD към този подключ, наречен флагове за съвместимост и задайте стойността му на 0x00000400.
Например за да зададете бита за Office COM Kill за обект, който има CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} в Office 2016, изпълнете следните стъпки:
-
Намерете следния подключ от системния регистър:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Добавете подключ със стойността {77061A9C-2F18-4f38-B294-F6BCC8443D24}. В този случай полученият път е следният:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Добавете REG_DWORD към този подключ, наречен флагове за съвместимост, и задайте стойността му на 0x00000400.
Битовето за Office COM за убиване е настроено да блокира този обект да бъде активиран в рамките на Office.
Как се блокира само COM при свързване и вграждане на сценарии
Както споменахте, функционалността COM за бита е актуализирана, за да блокира всички активирания на определени COM обекти от Office.
За да блокирате само COM обекти, които са вградени или свързани от документи на Office, изпълнете следните стъпки:
-
Добавете CLSID към бита за COM убийство по инструкции под "Настройване на Office Убий малко" (ако вече не е в списъка)
-
Под подключа за CLSID, който е блокиран, добавете REG_DWORD стойност, която се нарича ActivationFilterOverride, и задайте стойността му на 0x00000001.
Например, за да конфигурирате COM Убий малко, за да блокирате само при свързване и вграждане на сценарии за обекти, които имат CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} в Office 2016, следвайте тези стъпки:
-
Намерете следния подключ от системния регистър:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Добавете подключ, който има стойността {77061A9C-2F18-4f38-B294-F6BCC8443D24}. В този случай полученият път е следният:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Добавете REG_DWORD стойност към този подключ, наречен флагове за съвместимост, и задайте стойността му на 0x00000400.
-
Добавете REG_DWORD към този подключ, наречен ActivationFilterOverride, и задайте стойността му на 0x00000001.
Битове за Office COM Kill сега е настроен да блокира този COM обект само ако е свързан или вграден в документи на Office.
Контроли, които са блокирани от активиране по подразбиране
|
Контрол |
CLSID |
|
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
|
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
|
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
|
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
|
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
|
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
|
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
|
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
|
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
|
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
|
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
|
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
|
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
|
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
|
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
|
Документ на Microsoft HTA 6,0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
|
DHTMLEdit. DHTMLEdit. 1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
|
DHTMLSafe. DHTMLSafe. 1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
|
Скриптов език за VB |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
|
Автор на езика за АВТОМАТИЧНИ скриптове |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
|
Кодиране за език на VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
|
Кодиране за хост на VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
|
Shockwave Flash Object |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
|
Обект на Macromedia Flash Factory |
D27CDB70-AE6D-11cf-96B8-444553540000 |
|
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
|
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
|
Контрола питон |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Контроли, блокирани при вграждане по подразбиране
|
Контрол |
CLSID |
|
Шел. Explorer. 2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
|
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
|
HTML документ на Microsoft за изскачащ прозорец |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Забележка: този списък е моментна снимка на контролите, които са блокирани, и подлежи на промяна
