Ρυθμίσεις ασφαλείας για τα στοιχεία ελέγχου ActiveX και τα αντικείμενα OLE στο Office 2003 και την οικογένεια προγραμμάτων του Office 2007

Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες που σας δείχνουν τον τρόπο μείωσης των ρυθμίσεων ασφαλείας ή τον τρόπο απενεργοποίησης των δυνατοτήτων ασφαλείας ενός υπολογιστή. Μπορείτε να κάνετε αυτές τις αλλαγές για να αντιμετωπίσετε ένα συγκεκριμένο πρόβλημα. Προτού κάνετε αυτές τις αλλαγές, συνιστάται να εκτιμήσετε τους κινδύνους που σχετίζονται με την εφαρμογή αυτού του εναλλακτικού τρόπου αντιμετώπισης στο συγκεκριμένο περιβάλλον που χρησιμοποιείτε. Εάν εφαρμόσετε αυτόν τον τρόπο αντιμετώπισης, λάβετε τα κατάλληλα πρόσθετα μέτρα για να συμβάλετε στην προστασία του υπολογιστή.

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο περιέχει τεκμηρίωση προ-έκδοσης και ενδέχεται να υποστεί αλλαγές σε μελλοντικές εκδόσεις του. 

Αυτή η ενημέρωση ασφαλείας επιτρέπει στους χρήστες να ελέγχουν εάν και με ποιο τρόπο θα γίνεται η φόρτωση των στοιχείων ελέγχου ActiveX και των αντικειμένων OLE με μια λίστα bit τερματισμού του Microsoft Office. Για περισσότερες πληροφορίες σχετικά με τη συμπεριφορά bit τερματισμού του Windows Internet Explorer, στην οποία βασίζεται η παρούσα δυνατότητα, καθώς και τον τρόπο ρύθμισης στοιχείων AlternateCLSID τα οποία επιτρέπουν τη φόρτωση ενημερωμένων στοιχείων ελέγχου ActiveX, ανατρέξτε στη διεύθυνση Τρόπος διακοπής της εκτέλεσης ενός στοιχείου ελέγχου ActiveX στον Internet Explorer.

Το ακόλουθο συμβουλευτικό άρθρο εξετάζει θέματα ευπάθειας στη Βιβλιοθήκη ενεργών προτύπων (ATL) τα οποία θα μπορούσαν να επιτρέψουν την απομακρυσμένη εκτέλεση κώδικα.
973882 Συμβουλευτικό δελτίο ασφαλείας της Microsoft: Θέματα ευπάθειας στη Βιβλιοθήκη ενεργών προτύπων της Microsoft (ATL) που θα μπορούσαν να επιτρέψουν την απομακρυσμένη εκτέλεση κώδικα (Ενδέχεται να είναι στα Αγγλικά)

Όλες οι δυνατότητες του συμβουλευτικού άρθρου μπορούν να χρησιμοποιηθούν για τη μείωση αυτών των θεμάτων ευπάθειας της ATL. Επιπλέον, σε αυτήν την ενημέρωση ασφαλείας εξετάζεται ο μετριασμός συγκεκριμένων στοιχείων της ATL.

Η παρούσα ενημέρωση ασφαλείας ισχύει για το Microsoft Word, το Microsoft Excel, το Microsoft PowerPoint, τον Microsoft Publisher και το Microsoft Visio.

Bit "Kill" αντικειμένων COM του Office

Μπορείτε, επίσης να χρησιμοποιήσετε το bit "kill" αντικειμένου COM του Office το οποίο παρουσιάζεται στην ενημέρωση ασφαλείας του ενημερωτικού δελτίου MS10-036 για να εμποδίσετε την εκτέλεση συγκεκριμένων αντικειμένων COM εντός των εφαρμογών του Office. Τα εν λόγω συγκεκριμένα αντικείμενα COM περιλαμβάνουν στοιχεία ελέγχου ActiveX και αντικείμενα OLE. Πλέον, μπορείτε, μέσω του μητρώου, να ελέγξετε μεμονωμένα για ποια αντικείμενα ActiveX και OLE αποκλείεται η εκτέλεση όταν χρησιμοποιείται το Office.

Σημαντικές παρατηρήσεις
  • Εάν το bit "kill" αντικειμένων COM του Office ρυθμιστεί στο μητρώο για ένα αντικείμενο OLE, δεν γίνεται φόρτωση του εν λόγω αντικειμένου και δεν είναι δυνατή η φόρτωσή του υπό οποιεσδήποτε συνθήκες.
  • Στο Office 2007, οι χρήστες λαμβάνουν το ακόλουθο μήνυμα σφάλματος:

    Οι αναφορές σε εξωτερικά συνδεδεμένα αρχεία OLE έχουν αποκλειστεί. 
  • Στο Office 2003, οι χρήστες λαμβάνουν το ακόλουθο μήνυμα σφάλματος:
    Η προσπάθεια δημιουργίας ενός αντικειμένου κλάσης απέτυχε. Δεν επιτρέπεται η πρόσβαση.


Για να προσδιορίσετε ποιο CLSID αποτυγχάνει να φορτωθεί, χρησιμοποιήστε το Πρόγραμμα παρακολούθησης διεργασιών από το TechNet. Αναζητήστε τη ρύθμιση του bit τερματισμού του Internet Explorer στο αρχείο καταγραφής του προγράμματος παρακολούθησης διεργασιών.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Σημείωση Δεν συνιστάται η κατάργηση αυτού του bit "kill" το οποίο έχει οριστεί για κάποιο αντικείμενο COM. Εάν το κάνετε αυτό, ενδέχεται να δημιουργηθούν θέματα ευπάθειας ασφαλείας. Το bit "kill" ορίζεται συνήθως για κάποιον λόγο που ενδέχεται να είναι μεγάλης σημασίας και, επομένως, θα πρέπει να δείξετε μεγάλη προσοχή όταν αναιρείτε τη λειτουργία kill σε ένα στοιχείο ελέγχου ActiveX.

Μπορείτε να προσθέσετε ένα στοιχείο AlternateCLSID (επίσης γνωστό ως “Phoenix bit”), εάν χρειαστεί να συσχετίσετε το στοιχείο CLSID ενός νέου στοιχείου ελέγχου ActiveX (το οποίο στοιχείο ελέγχου ActiveX έχει τροποποιηθεί για τη μείωση του κινδύνου ασφαλείας) με το στοιχείο CLSID του στοιχείου ελέγχου ActiveX στο οποίο εφαρμόστηκε η λειτουργία "kill bit" αντικειμένου COM του Office. Το Office υποστηρίζει το στοιχείο AlternateCLSID μόνο όταν χρησιμοποιούνται αντικείμενα COM στοιχείων ελέγχου ActiveX. 

Σημείωση Η λίστα bit τερματισμού για το Office έχει προτεραιότητα έναντι της λίστας bit τερματισμού για τον Internet Explorer. Για παράδειγμα, το bit "kill" αντικειμένου COM του Office και το bit "kill" στοιχείου ActiveX του Internet Explorer είναι δυνατό να ρυθμιστούν για το ίδιο στοιχείο ελέγχου ActiveX. Ωστόσο, το στοιχείο AlternateCLSID ορίζεται μόνο στη λίστα για τον Internet Explorer. Σε αυτό το σενάριο, δημιουργείται διένεξη μεταξύ των δύο ρυθμίσεων. Σε τέτοιες περιπτώσεις, έχουν προτεραιότητα οι ρυθμίσεις bit τερματισμού αντικειμένου COM του Office και δεν γίνεται φόρτωση του στοιχείου ελέγχου.

Ορισμός το bit τερματισμού αντικειμένου COM του Office

Σημαντικό Αυτή η ενότητα, η μέθοδος ή η εργασία περιέχει βήματα που σας καθοδηγούν στην τροποποίηση του μητρώου. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα αν δεν τροποποιήσετε σωστά το μητρώο. Κατά συνέπεια, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο, εάν προκύψει πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
322756 Τρόπος δημιουργίας αντιγράφων και επαναφοράς μητρώου στα Windows
Η θέση για τον ορισμό του bit "kill" αντικειμένου COM του Office στο μητρώο είναι η εξής:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
Σε αυτήν την περίπτωση, το CLSID είναι το αναγνωριστικό κλάσης του αντικειμένου COM. Για την ενεργοποίηση του bit "kill" αντικειμένου COM του Office, το δευτερεύον κλειδί μητρώου θα πρέπει να προστεθεί μαζί με το στοιχείο CLSID του στοιχείου ελέγχου ActiveX ή του αντικειμένου OLE για το οποίο θέλετε να εφαρμόσετε αποκλεισμό φόρτωσης. Επίσης, πρέπει να ορίσετε την τιμή της Σημαίας συμβατότητας (Compatibility Flag) REG_DWORD σε 0x00000400.  

Για παράδειγμα, για να ορίσετε το bit τερματισμού COM του Office για ένα αντικείμενο το οποίο έχει CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, βρείτε το παρακάτω δευτερεύον κλειδί και προσθέστε REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} στο δευτερεύον κλειδί:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Σε αυτήν την περίπτωση, η διαδρομή είναι ως εξής:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Όταν προσθέτετε ένα δευτερεύον κλειδί το οποίο περιέχει την τιμή 0x00000400 για το κλειδί {CLSID}, ορίζεται το bit τερματισμού COM του Office. Τα αντικείμενα 64-bit και 32-bit και τα αντίστοιχα bit kill βρίσκονται σε διαφορετικές θέσεις του μητρώου. 

 Για περισσότερες πληροφορίες, επισκεφθείτε την ακόλουθη ιστοσελίδα της Microsoft για να δείτε τις συνήθεις ερωτήσεις σχετικά με τη λειτουργία του bit τερματισμού: 

Τρόπος παράκαμψης της λίστας bit τερματισμού του Internet Explorer για αντικείμενα OLE

Η επιλογή "Παράκαμψη λίστας bit τερματισμού του IE" σας επιτρέπει να παραθέσετε τα συγκεκριμένα αντικείμενα OLE της λίστας bit τερματισμού του Internet Explorer για τα οποία επιτρέπεται η φόρτωση εντός του Office. Χρησιμοποιήστε την επιλογή παράκαμψης της λίστας bit τερματισμού του IE μόνο εάν γνωρίζετε ότι η φόρτωση του εκάστοτε αντικειμένου OLE στο Office είναι ασφαλής. Λάβετε υπόψη σας ότι όταν το Office ελέγχει τη ρύθμιση "Παράκαμψη λίστας bit τερματισμού του IE" ελέγχει, επίσης, αν είναι ενεργοποιημένο το bit τερματισμού αντικειμένων COM του Office. Εάν το bit τερματισμού αντικειμένου COM του Office είναι ενεργοποιημένο, το αντικείμενο OLE δεν θα φορτωθεί.  

Για να ενεργοποιήσετε την επιλογή "Παράκαμψη λίστας bit τερματισμού του IE", θα πρέπει να κατηγοριοποιήσετε σωστά το αντικείμενο OLE. Στο μητρώο, σε περίπτωση που το δευτερεύον κλειδί δεν υπάρχει ήδη, προσθέστε ένα δευτερεύον κλειδί με την ονομασία "Implemented Categories" στο στοιχείο CLSID του αντικειμένου COM. Κατόπιν, προσθέστε στο κλειδί Implemented Categories ένα δευτερεύον κλειδί το οποίο θα περιέχει το αναγνωριστικό κατηγορίας (CATID) για αντικείμενα OLE {F3E0281E-C257-444E-87E7-F3DC29B62BBD}.

Για παράδειγμα, ο Internet Explorer ενδέχεται να έχει ρυθμιστεί για τον τερματισμό της λειτουργίας ("kill") ενός αντικειμένου OLE, αλλά εσείς εξακολουθείτε να θέλετε να χρησιμοποιήσετε το εν λόγω αντικείμενο στο Office. Σε αυτήν την περίπτωση, αρχικά θα πρέπει να αναζητήσετε το αναγνωριστικό κλάσης CLSID για το εν λόγω αντικείμενο OLE στην ακόλουθη θέση του μητρώου:
HKEY_CLASSES_ROOT\CLSID
Για παράδειγμα, το CLSID για το γράφημα του Microsoft Graph είναι {00020803-0000-0000-C000-000000000046}. Στη συνέχεια, θα πρέπει να προσδιορίσετε εάν υπάρχει ήδη το κλειδί "Implemented Categories" (κατηγορίες που υλοποιήθηκαν) ή αν θα πρέπει να δημιουργήσετε εσείς το κλειδί. Σε αυτό το παράδειγμα, η διαδρομή είναι η ακόλουθη:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Τέλος, προσθέστε ένα νέο δευτερεύον κλειδί CATID για το αντικείμενο OLE στο κλειδί Implemented Categories. Η διαδρομή για το εν λόγω παράδειγμα είναι η ακόλουθη:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Σημείωση Το Αναγνωριστικό κατηγορίας (CATID) για αντικείμενα OLE είναι {F3E0281E-C257-444E-87E7-F3DC29B62BBD} και τα άγκιστρα ( { } ) είναι απαραίτητο να συμπεριληφθούν.

Τρόπος απενεργοποίησης μετριασμών ATL

Όταν οι μετριασμοί ATL είναι ενεργοποιημένοι, δεν επιτρέπεται η λειτουργία στοιχείων ελέγχου που χρησιμοποιούν OleLoadFromStreamsuch και οι πληροφορίες ελέγχου χάνονται. Για παράδειγμα, κοινά στοιχείαν ελέγχου VB6/Windows επηρεάζονται από αυτό το ζήτημα.

Προειδοποίηση Αυτός ο τρόπος αντιμετώπισης ενδέχεται να καταστήσει έναν υπολογιστή ή ένα δίκτυο πιο ευάλωτο σε επιθέσεις από κακόβουλους χρήστες ή κακόβουλο λογισμικό, όπως οι ιοί. Δεν συνιστούμε τη χρήση αυτού του εναλλακτικού τρόπου αντιμετώπισης, αλλά παρέχουμε τις παρούσες πληροφορίες ώστε να έχετε τη δυνατότητα να τον εφαρμόσετε κατά την κρίση σας. Χρησιμοποιήστε αυτόν τον εναλλακτικό τρόπο αντιμετώπισης με δική σας ευθύνη.

Η απενεργοποίηση των μετριασμών ATL δεν συνιστάται παρά μόνο εάν είναι απολύτως απαραίτητο, εφόσον οι εν λόγω μετριασμοί ATL καλύπτουν ένα ευρύ φάσμα. Εάν απενεργοποιήσετε τους μετριασμούς ATL, ενδέχεται να δημιουργηθούν θέματα ευπάθειας ασφαλείας. Εάν απενεργοποιήσετε τους μετριασμούς ATL, συνιστάται να μην ανοίγετε τα αρχεία Microsoft Office που λαμβάνετε από μη αξιόπιστες πηγές ή που λαμβάνετε απρόσμενα από αξιόπιστες πηγές.

Για την απενεργοποίηση των μετριασμών που αναφέρονται σε ευπάθειες ATL, ορίστε το στοιχείο REG_DWORD του NoOLELoadFromStreamChecks στην τιμή 00000001 στο ακόλουθο δευτερεύον κλειδί του μητρώου:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Σημείωση Εάν αυτό το δευτερεύον κλειδί μητρώου δεν υπάρχει, πρέπει να το δημιουργήσετε ως κλειδί τύπου REG_DWORD.

Απενεργοποίηση στοιχείων ελέγχου βοηθητικών εφαρμογών δέσμης ενεργειών για εφαρμογές του Office

Μετά από την εγκατάσταση αυτής της ενημέρωσης ασφαλείας, έχετε τη δυνατότητα απενεργοποίησης των βοηθητικών εφαρμογών δέσμης ενεργειών για τις εφαρμογές του Office χωρίς να αλλάξει η συμπεριφορά του Internet Explorer.

Για την απενεργοποίηση των βοηθητικών εφαρμογών δέσμης ενεργειών για τις εφαρμογές του Office, ορίστε το στοιχείο REG_DWORD του Compatibility Flag στην τιμή 00000400 στο ακόλουθο δευτερεύον κλειδί του μητρώου:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Παρακάτω θα βρείτε μια λίστα άλλων στοιχείων ελέγχου τα οποία ενδέχεται να θέλετε να προσθέσετε στη λίστα απόρριψης του Office:
Στοιχείο ελέγχουCLISD
Έγγραφο Microsoft HTA 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Στοιχείο ελέγχου προγράμματος περιήγησης στο web {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
Ιδιότητες

Αναγνωριστικό άρθρου: 2252664 - Τελευταία αναθεώρηση: 29 Νοε 2013 - Αναθεώρηση: 1

Σχόλια