Upozornění: Tento článek obsahuje informace, které ukazují, jak řídit nastavení zabezpečení pro Office. V těchto nastaveních zabezpečení můžete udělat změny, abyste zvýšili nebo snížili pozici zabezpečení. Před provedením těchto změn doporučujeme vyhodnotit rizika spojená se změnami, které při konfiguraci tohoto nastavení nastavíte. 

ÚVOD

Tento článek popisuje nastavení dostupná pro uživatele a správce IT, aby bylo možné určit, jestli a jak se objekty COM načítá, a to tak, že budou mít seznam de kill bitů Microsoft Office.  

Další informace o chování deaktivování bitů v Internet Exploreru, na které je tato funkce založená, včetně toho, jak nastavit alternateclsidy, které umožňují načtení aktualizovaných ovládacích prvků ActiveX, najdete v tématu Jak zastavit spuštění ovládacího prvku ActiveX v Internet Exploreru. 
 
Tyto pokyny platí pro Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher a Microsoft Visio.  

De kill bit Office COM 

De kill bit office COM byl zaveden v aktualizaci zabezpečení MS10-036, aby se zabránilo spuštění určitých objektů COM při vložených nebo propojených z dokumentů Office.  

Funkce deaktivovaného bitu modelu COM byla v aktualizaci KB3178703 aktualizována tak, aby zcela zablokovala, aby office neaktivoval v procesu objekty COM. Tato aktualizace je nadmnožina původního chování, kdy kromě blokování objektů COM vložených nebo propojených v dokumentech Office se tím zablokují všechny instance objektů COM, které se načítá v rámci procesu Office, jiným způsobem, jako jsou doplňky. 

Mezi tyto konkrétní objekty COM patří ovládací prvky ActiveX a objekty OLE. Prostřednictvím registru můžete nezávisle řídit, které objekty COM jsou při používání Office zablokované. 

Poznámka:Nedoporučujeme odebrat de kill bit, který je nastavený pro objekt COM. Pokud to budete dělat, můžete vytvořit chyby zabezpečení. Dez kill bit je obvykle nastavený z důvodu, který může být důležitý. Proto musíte být velmi opatrní, když unkill ovládacího prvku ActiveX.  
 
Pokud potřebujete vytvořit vztah k identifikátoru CLSID nového ovládacího prvku ActiveX (a tento ovládací prvek ActiveX byl změněn tak, aby se snížila hrozba zabezpečení), můžete přidat identifikátor AlternateCLSID (označovaný taky jako "Phoenix bit") s identifikátorem CLSID ovládacího prvku ActiveX, na který byl použit dezaktivátor modelu Office COM. Office podporuje AlternateCLSID jenom v případě, že se používají objekty COM ovládacího prvku ActiveX.  
 
Poznámka: Seznam de kill bitů pro Office má přednost před seznamem de kill bitů pro Internet Explorer. U stejného ovládacího prvku ActiveX může být například nastavený deaktivní bit Office COM a deaktivování ActiveX v Internet Exploreru. AlternateCLSID je ale nastavené jenom v seznamu pro Internet Explorer. V tomto scénáři je konflikt mezi oběma nastaveními. V takových případech má přednost nastavení de kill bitu modelu COM Pro Office a ovládací prvek se nenačítá. 

Nastavení de kill bitu Office COM

Důležité informace: 

  • Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Úprava registru nesprávným způsobem může způsobit vážné problémy. Proto vždy pečlivě zkontrolujte, jestli postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě problému registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:  

  • 322756Postup zálohování a obnovení registru v systému Windows  

Umístění pro nastavení de kill bitu Office COM v registru je následující:  

Pro Office 2013 a Office 2010:

  • Pro 64bitovou verzi Office v 64bitovém systému Windows (nebo 32bitovou verzi Office v 32bitovém systému Windows).

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}

Pro 32bitovou verzi Office v 64bitovém systému Windows:

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}

Pro Office 2016:

  • Pro 64bitovou verzi Office v 64bitovém systému Windows (nebo 32bitovou verzi Office v 32bitovém systému Windows):

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

  • Pro 32bitovou verzi Office v 64bitovém systému Windows:

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

V tomto případě je identifikátor CLSID identifikátorem třídy objektu COM.  

Pokud chcete povolit de kill bit Office COM, postupujte takto:

  1. Přidejte podklíč registru společně s identifikátorem CLSID ovládacího prvku ActiveX nebo objektu OLE, který chcete blokovat načítání.

  2. Přidejte REG_DWORD podklíč s názvem Příznaky kompatibility a nastavte jeho hodnotu na 0x00000400.

Pokud chcete například nastavit de kill bit Office COM pro objekt, který má identifikátor CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} v Office 2016, postupujte takto: 

  1. Vyhledejte následující podklíč registru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Přidejte podklíč s hodnotou {77061A9C-2F18-4f38-B294-F6BCC8443D24}. V takovém případě je výsledná cesta následující:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Přidejte REG_DWORD podklíč s názvem Příznakykompatibility a nastavte jeho hodnotu na 0x00000400.

Deaktivovaný bit Office COM je teď nastavený tak, aby blokoval aktivaci tohoto objektu v Office. 

Jak blokovat jenom modelu COM při propojování a vkládání scénářů 

Jak už jsme zmínili, funkce de kill bitu modelu COM byla aktualizována tak, aby blokla všechny aktivace zadaných objektů COM z Office.  

Pokud chcete blokovat jenom objekty COM vložené nebo propojené z dokumentů Office, postupujte takto:  

  1. Přidejte identifikátor CLSID do de kill bitu modelu COM podle pokynů v části Nastavení de killbitu Office(pokud ještě není v seznamu)

  2. V podklíči identifikátoru CLSID, který je zablokovaný, přidejte hodnotu REG_DWORD s názvem ActivationFilterOverridea nastavte její hodnotu na 0x00000001.

Pokud chcete například nakonfigurovat de kill bit modelu COM tak, aby blokoval jenom scénáře propojení a vkládání pro objekt, který má v Office 2016 identifikátor CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, postupujte takto:

  1. Vyhledejte následující podklíč registru:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Přidejte podklíč s hodnotou {77061A9C-2F18-4f38-B294-F6BCC8443D24}. V takovém případě je výsledná cesta následující:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Přidejte REG_DWORD do tohoto podklíče s názvem Příznakykompatibility a nastavte její hodnotu na 0x00000400. 

  4. Přidejte REG_DWORD podklíč s názvem ActivationFilterOverridea nastavte jeho hodnotu na 0x00000001. 

De kill bit Office COM je teď nastavený tak, aby tento objekt COM blokovaný jenom v případě, že je propojený nebo vložený v dokumentech Office. 

Ovládací prvky, které jsou ve výchozím nastavení zablokované aktivací

Ovládací prvek

IDENTIFIKÁTOR CLSID

ScriptMoniker

06290BD3-48AA-11D2-8432-006008C3FBFC

SoapActivator

ECABAFD0-7F19-11D2-978E-0000F8757E2A

SoapMoniker

ECABB0C7-7F19-11D2-978E-0000F8757E2A

Zástupný název oddílu

ECABB0C5-7F19-11D2-978E-0000F8757E2A

QueueMoniker

ECABAFC7-7F19-11D2-978E-0000F8757E2A

HTMLApplication

3050F4D8-98B5-11CF-BB82-00AA00BDCE0B

ScripletContext

06290BD0-48AA-11D2-8432-006008C3FBFC

ScripletConstructor

06290BD1-48AA-11D2-8432-006008C3FBFC

ScripletFactory

06290BD2-48AA-11D2-8432-006008C3FBFC

ScripletHostEncode

06290BD4-48AA-11D2-8432-006008C3FBFC

ScripletTypeLib

06290BD5-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Automation

06290BD8-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Event

06290BD9-48AA-11D2-8432-006008C3FBFC

ScripletHandler_ASP

06290BDA-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Behavior

06290BDB-48AA-11D2-8432-006008C3FBFC

XMLFeed

528D46B3-3A4B-4B13-BF74-D9CBD7306E07

Scriptlet

AE24FDAE-03C6-11D1-8B76-0080C744F389

HtmlFile_FullWindowEmbed

25336921-03F9-11CF-8FD0-00AA00686F13

Mhtmlfile

3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Dokument Microsoft HTA 6.0

3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

DHTMLEdit.DHTMLEdit.1

2D360200-FFF5-11D1-8D03-00A0C959BC0A

DHTMLSafe.DHTMLSafe.1

2D360201-FFF5-11D1-8D03-00A0C959BC0A

Skriptovací jazyk VB

B54F3741-5B07-11cf-A4B0-00AA004A55E8

VB Script Language Authoring

B54F3742-5B07-11cf-A4B0-00AA004A55E8

Kódování jazyka VBScript

B54F3743-5B07-11cf-A4B0-00AA004A55E8

Kódování hostitele v jazyce VBScript

85131631-480C-11D2-B1F9-00C04F86C324

Objekt Shockwave Flash

D27CDB6E-AE6D-11cf-96B8-444553540000

Objekt Macromedia Flash Factory

D27CDB70-AE6D-11cf-96B8-444553540000

Microsoft Silverlight

DFEAF541-F3E1-4c24-ACAC-99C30715084A

Adobe Shockwave Player

233C1507-6A77-46A4-9443-F871F945D258

Ovládací prvek Pythonu

DF630910-1C1D-11D0-AE36-8C0F5E000000

Ovládací prvky, které jsou ve výchozím nastavení zablokované v vkládání

Ovládací prvek

IDENTIFIKÁTOR CLSID

Shell.Explorer.2

8856F961-340A-11D0-A96B-00C04FD705A2

Htmlfile

25336920-03F9-11CF-8FD0-00AA00686F13

Microsoft HTML Document for Popup Window

3050F67D-98B5-11CF-BB82-00AA00BDCE0B

Poznámka:Tento seznam je snímek blokovaných ovládacích prvků a může se změnit 

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?

Děkujeme vám za zpětnou vazbu.

×