Advarsel!: Denne artikel indeholder oplysninger, der viser, hvordan du styrer sikkerhedsindstillinger for Office. Du kan foretage ændringer i disse sikkerhedsindstillinger for enten at øge eller sænke din sikkerhed. Før du foretager disse ændringer, anbefaler vi, at du evaluerer de risici, der er forbundet med eventuelle ændringer, du foretager for at konfigurere denne indstilling.
INTRODUKTION
I denne artikel beskrives de indstillinger, der er tilgængelige for brugere og it-administratorer til at styre, om og hvordan COM-objekter indlæses ved at have en liste over Microsoft Office kill-bit.
Du kan finde flere oplysninger om funktionsmåden for dæb-bit-funktionen i Windows Internet Explorer, som denne funktion er baseret på, herunder hvordan du indstiller alternativeCLSID'er, der tillader, at opdaterede ActiveX-objekter indlæses, ved at se, hvordan du stopper et ActiveX-objekt i at køre i Internet Explorer.
Denne vejledning gælder for Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher og Microsoft Visio.
Office COM kill-bit
Office COM kill-bit'en blev introduceret i sikkerhedsopdateringen MS10-036 for at forhindre, at bestemte COM-objekter kører, når de er integreret eller sammenkædet fra Office-dokumenter.
Funktionen COM Kill-bit er blevet opdateret i KB3178703 for helt at forhindre COM-objekter i at blive aktiveret i processen af Office. Denne opdatering er et oversæt af den oprindelige funktionsmåde, hvor det udover at blokere COM-objekter, der er integreret eller sammenkædet i Office-dokumenter, blokerer dette alle forekomster af COM-objekter, der indlæses i Office-processen på andre måder, f.eks. tilføjelsesprogrammet.
Disse specifikke COM-objekter omfatter ActiveX-objekter og OLE-objekter. Via registreringsdatabasen kan du uafhængigt styre, hvilke COM-objekter der blokeres, når du bruger Office.
Bemærk!Vi anbefaler ikke, at du fjerner den kill-bit, der er indstillet for et COM-objekt. Hvis du gør dette, kan du oprette sikkerhedsrisici. Kill-bit'en angives typisk af en årsag, der kan være kritisk. Du skal derfor være meget forsigtig, når du vil fjerne kvalificeringen af et ActiveX-objekt.
Du kan tilføje et AlternateCLSID (også kaldet en "Phoenix-bit"), når du skal relatere CLSID'et for et nyt ActiveX-objekt (og dette ActiveX-objekt blev ændret for at reducere sikkerhedstruslen) til CLSID for det ActiveX-objekt, som Office COM-kill-bit'et blev anvendt til. Office understøtter kun AlternateCLSID, når der bruges ActiveX-objekter fra COM-objekter.
Bemærk! Listen over kill-bit til Office tilsidesætter listen over kill-bit for Internet Explorer. Eksempelvis kan DÆB-bit'en til Office COM og ActiveX-kill-bit'en i Internet Explorer være indstillet til det samme ActiveX-objekt. Men AlternativeCLSID er kun angivet på listen til Internet Explorer. I dette scenarie er der en konflikt mellem de to indstillinger. I sådanne tilfælde har indstillingerne for "Office COM kill bit" forrang, og kontrolelementet indlæses ikke.
Indstilling af Office COM kill-bit
Vigtigt!:
-
I det følgende finder du en fremgangsmåde til redigering af registreringsdatabasen. Der kan dog opstå alvorlige problemer, hvis registreringsdatabasen ikke redigeres korrekt. Derfor skal du kontrollere, at du følger disse trin nøje. Som en ekstra sikkerhed bør du oprette en sikkerhedskopi af registreringsdatabasen, før du redigerer den. Det giver dig mulighed for at gendanne registreringsdatabasen, hvis der opstår problemer. Få flere oplysninger om, hvordan du sikkerhedskopierer og gendanner registreringsdatabasen, ved at klikke på nedenstående artikelnummer for at se artiklen i Microsoft Knowledge Base:
-
322756Sådan sikkerhedskopieres og gendannes registreringsdatabasen i Windows
Placeringen af indstillingen af Office COM kill-bit'en i registreringsdatabasen er som følger:
For Office 2013 og Office 2010:
-
Til 64-bit Office til 64-bit Windows (eller 32-bit Office i 32-bit Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Til 32-bit Office i 64-bit Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
For Office 2016:
-
Til 64-bit Office på 64-bit Windows (eller 32-bit Office i 32-bit Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Til 32-bit Office i 64-bit Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
I dette tilfælde er CLSID klasseidentifikatoren for COM-objektet.
Følg disse trin for at aktivere Office COM kill-bit'en:
-
Tilføj undernøglen i registreringsdatabasen sammen med CLSID for det ActiveX-objekt eller OLE-objekt, du vil blokere fra at blive indlæst.
-
Føj en REG_DWORD til denne undernøgle ved navn Kompatibilitetsflag, og angiv dens værdi til 0x00000400.
Hvis du f.eks. vil indstille office COM-kill-bit'en for et objekt, der har CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} på Office 2016, skal du følge disse trin:
-
Find følgende undernøgle i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Tilføj en undernøgle med værdien {77061A9C-2F18-4f38-B294-F6BCC8443D24}. I dette tilfælde er den resulterende sti som følger:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Føj en REG_DWORD til denne undernøgle, der hedder Kompatibilitetsflag,og angiv dens værdi til 0x00000400.
Office COM kill-bit'en er nu indstillet til at blokere dette objekt i at blive aktiveret i Office.
Sådan blokeres COM kun i scenarier med sammenkædning og integrering
Som nævnt er funktionen COM kill bit blevet opdateret til at blokere al aktivering af angivne COM-objekter fra Office.
Hvis du kun vil blokere COM-objekter, der er integreret eller sammenkædet fra Office-dokumenter, skal du følge disse trin:
-
Føj CLSID'et til COM kill-bit'et i henhold til instruktionerne under " Indstilling afOffice Kill Bit"(hvis det ikke allerede er på listen)
-
Under undernøglen til clsid'et, der blokeres, skal du tilføje en REG_DWORD-værdi, der hedder ActivationFilterOverride,og angive værdien til 0x00000001.
Hvis du f.eks. vil konfigurere COM kill-bit'en til kun at blokere i scenarier med sammenkædning og integrering for et objekt, der har CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} i Office 2016, skal du følge disse trin:
-
Find følgende undernøgle i registreringsdatabasen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Tilføj en undernøgle med værdien {77061A9C-2F18-4f38-B294-F6BCC8443D24}. I dette tilfælde er den resulterende sti som følger:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Føj en REG_DWORD til denne undernøgle, der hedder Kompatibilitetsflag,og angiv dens værdi til 0x00000400.
-
Føj en REG_DWORD til denne undernøgle kaldet ActivationFilterOverride,og angiv dens værdi til 0x00000001.
Office COM kill-bit'en er nu indstillet til kun at blokere dette COM-objekt, hvis det er sammenkædet eller integreret i Office-dokumenter.
Kontrolelementer, der som standard er blokeret fra aktivering
Kontrolelement |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA Document 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
VB-scriptsprog |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB Script Language Authoring |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
VBScript-sprogkodning |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
VBScript Host Encode |
85131631-480C-11D2-B1F9-00C04F86C324 |
Shockwave Flash Object |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Macromedia Flash Factory-objekt |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6a77-46A4-9443-F871F945D258 |
Python-kontrolelement |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Kontrolelementer, der er blokeret fra integrering som standard
Kontrolelement |
CLSID |
Shell.Explorer.2 |
8856F961-340a-11D0-A96B-00C04FD705A2 |
Html-fil |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Microsoft HTML-dokument til pop op-vindue |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Bemærk!Denne liste er et øjebliksbillede af kontrolelementer, der blokeres og kan ændres uden ændringer