Wichtig Dieser Artikel enthält Informationen dazu, wie Sie Sicherheitseinstellungen herabsetzen oder Sicherheitsfunktionen auf einem Computer deaktivieren. Sie können diese Änderungen vornehmen, um ein bestimmtes Problem zu umgehen. Wir raten Ihnen jedoch, zunächst die Risiken dieser Problemumgehung für Ihre Umgebung abzuschätzen, bevor Sie die genannten Änderungen vornehmen. Falls Sie diese Problemumgehung einsetzen, sollten Sie entsprechende Maßnahmen treffen, um Ihren Computer zu schützen.
EINFÜHRUNG
Dieser Artikel enthält Vorabinformationen, die für künftige Versionen geändert werden können. So verhindern Sie die Ausführung von ActiveX-Steuerelementen in Internet Explorer. In der folgenden Sicherheitsempfehlung werden Sicherheitsrisiken in der Active Template Library (ATL) erläutert, die eine Codeausführung von Remotestandorten aus ermöglichen können.
Mit diesem Sicherheitsupdate können Benutzer mithilfe einer Microsoft Office Killbitliste steuern, ob und wie ActiveX-Steuerelemente und OLE-Objekte geladen werden. Weitere Informationen zum Killbitverhalten von Windows Internet Explorer, auf dem dieses Feature beruht, einschließlich zum Setzen der Werte für AlternateCLSIDs, die das Laden aktualisierter ActiveX-Steuerelemente erlauben, finden Sie unter973882 Microsoft-Sicherheitsempfehlung: Sicherheitsrisiken in Microsoft Active Template Library (ATL) können Remotecodeausführung ermöglichen Alle Features im Empfehlungsartikel können verwendet werden, um diese ATL-Sicherheitsrisiken zu senken. Außerdem werden in diesem Sicherheitsupdate spezielle ATL-Einschränkungen erläutert. Dieses Sicherheitsupdate gilt für Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher und Microsoft Visio.
Office COM-Killbit
Sie können mit dem Office COM-Killbit, das im Sicherheitsupdate in MS10-036 eingeführt wurde, auch verhindern, dass bestimmte COM-Objekte in Office-Anwendungen ausgeführt werden. Zu diesen bestimmten COM-Objekten gehören ActiveX-Steuerelemente und OLE-Objekte. Über die Registrierung können Sie nun unabhängig steuern, welche ActiveX- und OLE-Objekte bei der Verwendung von Office blockiert werden.
Wichtige Hinweise-
Wenn in der Registrierung für ein OLE-Objekt das Office COM-Killbit gesetzt ist, wird das Objekt nicht geladen und kann auch unter keinen Umständen geladen werden.
-
In Office 2007 erhalten Benutzer die folgende Fehlermeldung:
-
In Office 2003 erhalten Benutzer die folgende Fehlermeldung:
Der Versuch, ein Klassenobjekt zu erstellen, ist fehlgeschlagen. Zugriff verweigert.
Prozessmonitor von TechNet. Suchen Sie in der Protokolldatei von Process Monitor nach der Killbiteinstellung für Internet Explorer.
Wenn Sie feststellen möchten, welche CLSID nicht geladen wird, verwenden Sie denHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Hinweis Wir raten davon ab, das für ein COM-Objekt festgelegte Killbit zu entfernen. Wenn Sie das dennoch tun, können dadurch Sicherheitsrisiken entstehen. Das "Killbit" ist in der Regel aus wichtigen Gründen gesetzt. Sie sollten daher äußerste Vorsicht walten lassen, wenn Sie die "Kill"-Aktion für ein ActiveX-Steuerelement rückgängig machen. Sie können eine AlternateCLSID (auch als "Phoenix-Bit" bezeichnet) hinzufügen, wenn Sie einen Bezug der CLSID eines neuen ActiveX-Steuerelements (welches verändert wurde, um das Sicherheitsrisiko zu senken) zur CLSID des ActiveX-Steuerelements herstellen möchten, auf das das Office COM-Killbit angewendet wurde. Office unterstützt die AlternateCLSID nur dann, wenn ActiveX-Steuerelemente (COM-Objekte) verwendet werden. Hinweis Die Killbitliste für Office hat Vorrang vor der Killbitliste für Internet Explorer. Beispielsweise kann es sein, dass ein Office COM-Killbit und ein Internet Explorer ActiveX-Killbit für dasselbe ActiveX-Steuerelement existiert. Die AlternateCLSID ist jedoch nur auf der Liste für Internet Explorer gesetzt. In diesem Fall besteht ein Konflikt zwischen den beiden Einstellungen. In einem solchen Fall haben die Office COM-Killbiteinstellungen Vorrang, und das Steuerelement wird nicht geladen.Festlegen des Office COM-Killbits
Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756Sichern und Wiederherstellen der Registrierung in WindowsDer Pfad zum Festlegen des Office COM-Killbits in der Registrierung lautet wie folgt:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}In diesem Fall ist CLSID die Klassen-ID des COM-Objekts. Zur Aktivierung des Office COM-Killbits müssen Sie den Registrierungsunterschlüssel gemeinsam mit der CLSID des ActiveX-Steuerelements oder OLE-Objekts, das blockiert werden soll, hinzufügen. Außerdem müssen Sie den REG_DWORD-Wert des Kompatibilitätsflags auf 0x00000400 festlegen.
Wenn Sie das Office COM-Killbit für ein Objekt mit der CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} setzen möchten, suchen Sie den folgenden Unterschlüssel, und fügen Sie REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} hinzu:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityIn diesem Fall lautet der Pfad wie folgt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} Wenn Sie dem Schlüssel {CLSID} einen Unterschlüssel mit dem Wert 0x00000400 hinzufügen, wird das Office COM-Killbit gesetzt. Die 64-Bit- und 32-Bit-Objekte und deren Killbits befinden sich an unterschiedlichen Orten in der Registrierung.
Weitere Informationen erhalten Sie in den häufig gestellten Fragen zu Killbits auf der folgenden Microsoft-Website:Überschreiben der Internet Explorer-Killbitliste für OLE-Objekte
Mit der Option "IE-Killbitliste außer Kraft setzen" können Sie im Einzelnen angeben, welche OLE-Objekte der Internet Explorer Killbitliste in Office geladen werden dürfen. Verwenden Sie diese Option nur, wenn Sie wissen, dass das OLE-Objekt sicher in Office geladen werden kann. Vergessen Sie nicht, dass Office beim Überprüfen der Einstellung zum Außerkraftsetzen der IE-Killbitliste auch überprüft, ob das Office COM-Killbit aktiviert ist. Wenn das Office COM-Killbit aktiviert ist, wird das OLE-Objekt nicht geladen.
Um die Option "IE-Killbitliste außer Kraft setzen" aktivieren zu können, müssen Sie das OLE-Objekt richtig kategorisieren. Falls der Unterschlüssel in der Registrierung noch nicht vorhanden ist, müssen Sie der CLSID des COM-Objekts einen Unterschlüssel mit dem Namen "Implemented Categories" hinzufügen. Anschließend fügen Sie zum Schlüssel Implemented Categories einen Unterschlüssel hinzu, der die Kategorie-ID (CATID) {F3E0281E-C257-444E-87E7-F3DC29B62BBD} für OLE-Objekte enthält. Beispiel: Eventuell ist für Internet Explorer festgelegt, dass ein OLE-Objekt blockiert wird. Sie möchten dieses aber dennoch in Office verwenden. In diesem Fall müssen Sie zuerst die CLSID für dieses OLE-Objekt unter folgendem Pfad in der Registrierung suchen:HKEY_CLASSES_ROOT\CLSID Beispielsweise lautet die CLSID für Microsoft Graph-Diagramme {00020803-0000-0000-C000-000000000046}. Anschließend müssen Sie ermitteln, ob der Schlüssel Implemented Categories bereits existiert. Anderenfalls erstellen Sie den Schlüssel. In diesem Fall lautet der Pfad wie folgt:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Zum Schluss fügen Sie dem Schlüssel "Implemented Categories" einen neuen Unterschlüssel für das CATID OLE-Objekt hinzu. In diesem Beispiel lautet der Pfad wie folgt:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Hinweis Die Kategorie-ID (CATID) für OLE-Objekte lautet {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, und die geschweiften Klammern ( { } ) müssen angegeben werden.Deaktivieren der ATL-Einschränkungen
Wenn die ATL-Einschränkungen aktiviert sind, funktionieren Steuerelemente, die "OleLoadFromStreamsuch" verwenden, nicht, und die Steuerelementinformationen gehen verloren. VB6/Windows-Standardsteuerelemente sind z. B. von diesem Problem betroffen.
Warnung Durch diese Problemumgehung wird ein Computer oder ein Netzwerk möglicherweise anfälliger für Angriffe durch böswillige Benutzer oder gefährliche Software wie etwa Viren. Diese Problemumgehung wird nicht von Microsoft empfohlen, wird jedoch hier aufgeführt, damit Sie diese Option nach eigenem Ermessen anwenden können. Die Verwendung dieser Problemumgehung erfolgt auf eigene Verantwortung. Es wird nicht empfohlen, dass Sie die ATL-Einschränkungen deaktivieren, falls dies nicht absolut erforderlich ist, da ATL-Einschränkungen Auswirkungen auf viele Bereiche haben. Wenn Sie ATL-Einschränkungen deaktivieren, entstehen dadurch eventuell Sicherheitsrisiken. Wenn Sie die ATL-Einschränkungen deaktivieren, empfiehlt es sich, keine Microsoft Office-Dateien zu öffnen, die Sie aus nicht vertrauenswürdigen Quellen oder unerwartet von vertrauenswürdigen Absendern erhalten haben. Wenn Sie die Einschränkungen deaktivieren, die sich auf die ATL-Sicherheitsrisiken beziehen, müssen Sie den REG_DWORD-Wert von NoOLELoadFromStreamChecks im folgenden Registrierungsunterschlüssel auf den Wert 00000001 festlegen:HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
HinweisFalls dieser Registrierungsunterschlüssel nicht existiert, müssen Sie ihn als Registrierungsunterschlüssel vom Typ REG_DWORD erstellen.Deaktivieren der Scriptlet-Steuerelemente für Office-Anwendungen
Nach der Installation dieses Sicherheitsupdates können Sie die Scriptlets für Office-Anwendungen deaktivieren. Das Verhalten von Internet Explorer ändert sich dadurch nicht.
Zum Deaktivieren von Scriptlets für Office-Anwendungen müssen Sie den REG_DWORD-Wert des Kompatibilitätsflags im folgenden Registrierungsunterschlüssel auf 00000400 festlegen:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
Die folgende Liste enthält weitere Steuerelemente, die Sie möglicherweise zur Office-Verweigerungsliste hinzufügen sollten.
Steuerelement |
CLISD |
---|---|
Microsoft HTA Document 6.0 |
{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B} |
htmlfile |
{25336920-03F9-11CF-8FD0-00AA00686F13} |
htmlfile_FullWindowEmbed |
{25336921-03F9-11CF-8FD0-00AA00686F13} |
mhtmlfile |
{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} |
Webbrowser-Steuerelement |
{8856F961-340A-11D0-A96B-00C04FD705A2} |
DHTMLEdit |
{2D360200-FFF5-11D1-8D03-00A0C959BC0A} |