Achtung: Dieser Artikel enthält Informationen zum Steuern der Sicherheitseinstellungen für Office. Sie können Änderungen an diesen Sicherheitseinstellungen vornehmen, um Ihr Sicherheitsniveau entweder zu erhöhen oder zu senken. Bevor Sie diese Änderungen vornehmen, empfiehlt es sich, die Risiken zu bewerten, die mit den Änderungen verbunden sind, welche Sie zum Konfigurieren dieser Einstellung vornehmen.
EINFÜHRUNG
In diesem Artikel werden für Endbenutzer und IT-Administratoren verfügbare Einstellungen beschrieben, mit denen sie mit einer Microsoft Office-Killbitliste steuern können, ob und wie COM-Objekte geladen werden.
Weitere Informationen zum Killbitverhalten von Windows Internet Explorer, auf dem dieses Feature basiert, einschließlich des Festlegens von AlternateCLSIDs, mit denen aktualisierte ActiveX-Steuerelemente geladen werden können, finden Sie unter Verhindern der Ausführung eines ActiveX-Steuerelements in Internet Explorer.
Dieser Leitfaden gilt für Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher und Microsoft Visio.
COM-Killbit für Office
Das COM-Killbit für Office wurde im Sicherheitsupdate MS10-036 eingeführt, um die Ausführung bestimmter COM-Objekte zu verhindern, wenn sie über Office-Dokumente eingebettet oder verknüpft sind.
Die Funktion „COM-Killbit“ wurde in KB3178703 aktualisiert, um durch Office die Aktivierung von COM-Objekten im Prozess vollständig zu blockieren. Dieses Update ist ein Übersatz des ursprünglichen Verhaltens, bei dem nicht nur in Office-Dokumente eingebettete oder verknüpfte COM-Objekte blockiert werden, sondern auch alle Instanzen von COM-Objekten, die im Office-Prozess geladen werden, mit anderen Mitteln wie Add-Ins blockiert werden.
Diese spezifischen COM-Objekte umfassen ActiveX-Steuerelemente und OLE-Objekte. Über die Registrierung können Sie unabhängig steuern, welche COM-Objekte bei der Verwendung von Office blockiert werden.
Hinweis: Es wird nicht empfohlen, das für ein COM-Objekt festgelegte Killbit zu entfernen. Wenn Sie dies tun, können Sie Sicherheitsrisiken verursachen. Das Killbit wird in der Regel aus einem möglicherweise kritischen Grund festgelegt. Daher müssen Sie äußerst vorsichtig sein, wenn Sie das Killen eines ActiveX-Steuerelements aufheben.
Sie können eine AlternateCLSID (auch als „Phoenix-Bit“ bezeichnet) hinzufügen, wenn Sie die CLSID eines neuen ActiveX-Steuerelements (und dieses ActiveX-Steuerelement wurde geändert, um die Sicherheitsbedrohung zu verringern) mit der CLSID des ActiveX-Steuerelements in Beziehung setzen müssen, auf das das Office COM-Killbit angewendet wurde. Office unterstützt die AlternateCLSID nur, wenn COM-Objekte für ActiveX-Steuerelemente verwendet werden.
Hinweis: Die Killbit-Liste für Office hat Vorrang vor der Killbit-Liste für Internet Explorer. So können beispielsweise das COM-Killbit für Office und das ActiveX-Kill-Bit für Internet Explorer für das gleiche ActiveX-Steuerelement festgelegt werden. Die AlternativeCLSID ist jedoch nur für die Liste für Internet Explorer festgelegt. In diesem Szenario besteht ein Konflikt zwischen den beiden Einstellungen. In solchen Fällen haben die COM-Killbiteinstellungen für Office Vorrang, sodass das Steuerelement nicht geladen wird.
Festlegen des COM-Killbits für Office
Wichtig:
-
Dieser Abschnitt, diese Methode oder Aufgabe enthält Schritte, die Ihnen erklären, wie Sie die Registrierung ändern. Es können jedoch schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Achten Sie daher darauf, diese Schritte sorgfältig zu befolgen. Sichern Sie zum zusätzlichen Schutz die Registrierung, bevor Sie sie ändern. Dann können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung erhalten Sie, wenn Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
-
322756 Sichern und Wiederherstellen der Registrierung in Windows
Der Pfad zum Festlegen des COM-Killbits für Office in der Registrierung lautet wie folgt:
Für Office 2013 und Office 2010:
-
Für die 64-Bit-Version von Office unter einer 64-Bit-Version von Windows (oder für die 32-Bit-Version von Office unter einer 32-Bit-Version von Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Für die 32-Bit-Version von Office unter einer 64-Bit-Version von Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Für Office 2016:
-
Für die 64-Bit-Version von Office unter einer 64-Bit-Version von Windows (oder für die 32-Bit-Version von Office unter einer 32-Bit-Version von Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Für die 32-Bit-Version von Office unter einer 64-Bit-Version von Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
In diesem Fall ist „CLSID“ der Klassenbezeichner des COM-Objekts.
Führen Sie die folgenden Schritte aus, um das COM-Killbit für Office zu aktivieren:
-
Fügen Sie den Registrierungsunterschlüssel gemeinsam mit der CLSID des ActiveX-Steuerelements oder OLE-Objekts, das blockiert werden soll, hinzu.
-
Fügen Sie einen REG_DWORD-Eintrag mit der Bezeichnung Compatibility Flags zu diesem Unterschlüssel hinzu, und legen Sie als Wert 0x00000400 fest.
Um beispielsweise das COM-Killbit für Office für ein Objekt mit der CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} in Office 2016 festzulegen, gehen Sie folgendermaßen vor:
-
Suchen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Fügen Sie einen Unterschlüssel mit dem Wert {77061A9C-2F18-4f38-B294-F6BCC8443D24} hinzu. In diesem Fall lautet der resultierende Pfad wie folgt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Fügen Sie einen REG_DWORD-Eintrag mit der Bezeichnung Compatibility Flags zu diesem Unterschlüssel hinzu, und legen Sie als Wert 0x00000400 fest.
Das COM-Killbit für Office ist nun so konfiguriert, dass die Aktivierung dieses Objekts in Office blockiert wird.
Blockieren von COM-Objekten nur für verknüpfte und eingebettete COM-Objekte
Wie bereits erwähnt, wurde die COM-Killbitfunktionalität aktualisiert, um jegliche Aktivierung von angegebenen COM-Objekten in Office zu blockieren.
Gehen Sie wie folgt vor, um nur COM-Objekte zu blockieren, die in Office-Dokumenten eingebettet oder verknüpft sind:
-
Fügen Sie die CLSID gemäß den Anweisungen unter „Festlegen des Office-Killbits“ zum COM-Killbit hinzu (soweit noch nicht in der Liste vorhanden).
-
Fügen Sie unter dem Unterschlüssel für die blockierte CLSID einen REG_DWORD-Wert mit dem Namen ActivationFilterOverride hinzu, und legen Sie als Wert 0x00000001 fest.
Um beispielsweise das COM-Killbit so zu konfigurieren, dass es nur in Verknüpfungs- und Einbettungsszenarien für ein Objekt mit der CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} unter Office 2016 blockiert wird, gehen Sie folgendermaßen vor:
-
Suchen Sie den folgenden Registrierungsunterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Fügen Sie einen Unterschlüssel mit dem Wert {77061A9C-2F18-4f38-B294-F6BCC8443D24} hinzu. In diesem Fall lautet der resultierende Pfad wie folgt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Fügen Sie einen REG_DWORD-Eintrag mit der Bezeichnung Compatibility Flags zu diesem Unterschlüssel hinzu, und legen Sie als Wert 0x00000400 fest.
-
Fügen Sie zu diesem Unterschlüssel einen REG_DWORD-Eintrag mit der Bezeichnung ActivationFilterOverride hinzu, und legen Sie als Wert 0x00000001 fest.
Das COM-Killbit für Office ist nun so konfiguriert, dass dieses COM-Objekt nur dann blockiert wird, wenn es in Office-Dokumente eingebettet oder verknüpft ist.
Steuerelemente, deren Aktivierung standardmäßig blockiert wird
Steuerelement |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978e-0000f8757e2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978e-0000f8757e2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978e-0000f8757e2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978e-0000f8757e2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528d46b3-3a4b-4b13-BF74-D9CBd7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8b76-0080c744f389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA Document 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
VB Skriptsprache |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB Skriptsprachenerstellung |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
VBScript-Sprachcodierung |
B54F3743-5B07-11cf-A4B0-00AA004A55e8 |
VBScript Host Encode |
85131631-480C-11D2-B1F9-00C04F86C324 |
Shockwave Flash Object |
D27CDB6E-AE6D-11cf-96b8-444553540000 |
Macromedia Flash Factory Object |
D27CDB70-AE6D-11cf-96b8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46a4-9443-f871f945d258 |
Python-Steuerelement |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Steuerelemente, deren Einbettung standardmäßig blockiert wird
Steuerelement |
CLSID |
Shell.Explorer.2 |
8856f961-340a-11d0-a96b-00c04fd705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Microsoft HTML-Dokument für Popupfenster |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Hinweis:Diese Liste ist eine Momentaufnahme der blockierten Steuerelemente und kann jederzeit geändert werden