Προσοχή: Αυτό το άρθρο περιέχει πληροφορίες που σας δείχνουν πώς μπορείτε να ελέγξετε τις ρυθμίσεις ασφαλείας για το Office. Μπορείτε να κάνετε αλλαγές σε αυτές τις ρυθμίσεις ασφαλείας για να αυξήσετε ή να μειώσετε τη θέση ασφαλείας σας. Προτού κάνετε αυτές τις αλλαγές, συνιστάται να αξιολογήσετε τους κινδύνους που σχετίζονται με τις αλλαγές που κάνετε για να ρυθμίσετε αυτές τις παραμέτρους.
ΕΙΣΑΓΩΓΗ
Αυτό το άρθρο περιγράφει τις ρυθμίσεις που είναι διαθέσιμες για τους χρήστες και τους διαχειριστές IT για να ελέγχουν εάν και πώς φορτώνονται τα αντικείμενα COM, έχοντας μια λίστα bit kill του Microsoft Office.
Για περισσότερες πληροφορίες σχετικά με τη συμπεριφορά bit kill του Windows Internet Explorer στην οποία βασίζεται αυτή η δυνατότητα, συμπεριλαμβανομένου του πώς μπορείτε να ορίσετε alternateCLSIDs που επιτρέπουν τη φόρτωση ενημερωμένων στοιχείων ελέγχου ActiveX, ανατρέξτε στο θέμα Τρόπος διακοπής της λειτουργίας ενός στοιχείου ελέγχου ActiveX στον Internet Explorer.
Αυτές οι οδηγίες ισχύουν για το Microsoft Word, το Microsoft Excel, το Microsoft PowerPoint, τον Microsoft Publisher και το Microsoft Visio.
Bit "Kill" του Office COM
Το bit του Office COM kill παρουσιάστηκε στην ενημέρωση ασφαλείας MS10-036 για να αποτρέψετε την εκτέλεση συγκεκριμένων αντικειμένων COM όταν είναι ενσωματωμένα ή συνδεδεμένα από έγγραφα του Office.
Η λειτουργικότητα bit COM Kill έχει ενημερωθεί στο KB3178703 για να αποκλείσει πλήρως τα αντικείμενα COM από την ενεργοποίηση κατά τη διαδικασία από το Office. Αυτή η ενημέρωση είναι ένα υπερσύνολο της αρχικής συμπεριφοράς όπου, εκτός από τον αποκλεισμό αντικειμένων COM που είναι ενσωματωμένα ή συνδεδεμένα σε έγγραφα του Office, αυτό θα αποκλείσει τυχόν εμφανίσεις αντικειμένων COM που φορτώνονται στη διαδικασία του Office μέσω άλλων μέσων, όπως τα πρόσθετα.
Αυτά τα συγκεκριμένα αντικείμενα COM περιλαμβάνουν στοιχεία ελέγχου ActiveX και αντικείμενα OLE. Μέσω του μητρώου, μπορείτε να ελέγχετε ανεξάρτητα ποια αντικείμενα COM αποκλείονται όταν χρησιμοποιείτε το Office.
Σημείωση:Δεν συνιστάται να καταργήσετε το bit kill που έχει οριστεί για ένα αντικείμενο COM. Εάν το κάνετε αυτό, μπορείτε να δημιουργήσετε θέματα ευπάθειας ασφαλείας. Το bit kill συνήθως ορίζεται για έναν λόγο που μπορεί να είναι κρίσιμος. Επομένως, πρέπει να είστε εξαιρετικά προσεκτικοί κατά την κατάργηση της πρόσβασης σε ένα στοιχείο ελέγχου ActiveX.
Μπορείτε να προσθέσετε ένα AlternateCLSID (γνωστό και ως "Bit Φοίνιξ") όταν πρέπει να συσχετιώσετε το CLSID ενός νέου στοιχείου ελέγχου ActiveX (και αυτό το στοιχείο ελέγχου ActiveX τροποποιήθηκε για να μειώσει την απειλή ασφαλείας), στο CLSID του στοιχείου ελέγχου ActiveX στο οποίο εφαρμόστηκε το bit kill COM του Office. Το Office υποστηρίζει το AlternateCLSID μόνο όταν χρησιμοποιούνται αντικείμενα COM στοιχείου ελέγχου ActiveX.
Σημείωση: Η λίστα bit kill για το Office προηγείται της λίστας bit kill για τον Internet Explorer. Για παράδειγμα, το bit "Kill BIT COM" του Office και το bit "Kill ActiveX" του Internet Explorer μπορεί να έχουν οριστεί για το ίδιο στοιχείο ελέγχου ActiveX. Ωστόσο, το AlternateCLSID έχει οριστεί μόνο στη λίστα για τον Internet Explorer. Σε αυτό το σενάριο, υπάρχει διένεξη μεταξύ των δύο ρυθμίσεων. Σε αυτές τις περιπτώσεις, οι ρυθμίσεις bit του Office COM kill έχουν προτεραιότητα και το στοιχείο ελέγχου δεν φορτώνεται.
Ρύθμιση του bit "Kill" του Office COM
Σημαντικό:
-
Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας εξηγούν πώς να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα σε περίπτωση λανθασμένης τροποποίησης του μητρώου. Γι' αυτό, βεβαιωθείτε ότι ακολουθείτε με προσοχή τα σχετικά βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφο ασφαλείας του μητρώου, πριν να το τροποποιήσετε. Στη συνέχεια, εάν παρουσιαστεί πρόβλημα, μπορείτε να επαναφέρετε το μητρώο. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και τον τρόπο επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης (Knowledge Base) της Microsoft:
-
322756Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows
Η θέση για τη ρύθμιση του bit του Office COM kill στο μητρώο είναι η εξής:
Για το Office 2013 και το Office 2010:
-
Για office 64 bit σε Windows 64 bit (ή Office 32 bit σε Windows 32 bit).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Για το Office 32 bit σε Windows 64 bit:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Για το Office 2016:
-
Για office 64 bit σε Windows 64 bit (ή Office 32 bit σε Windows 32 bit):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Για το Office 32 bit σε Windows 64 bit:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
Σε αυτή την περίπτωση, το CLSID είναι το αναγνωριστικό κλάσης του αντικειμένου COM.
Για να ενεργοποιήσετε το bit kill COM του Office, ακολουθήστε τα παρακάτω βήματα:
-
Προσθέστε το δευτερεύον κλειδί μητρώου μαζί με το CLSID του στοιχείου ελέγχου ActiveX ή του αντικειμένου OLE που θέλετε να αποκλείσετε από τη φόρτωση.
-
Προσθέστε ένα REG_DWORD σε αυτό το δευτερεύον κλειδί που ονομάζεται Σημαίες συμβατότητας και ορίστε την τιμή του σε 0x00000400.
Για παράδειγμα, για να ορίσετε το bit του Office COM kill για ένα αντικείμενο που έχει CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} στο Office 2016, ακολουθήστε τα παρακάτω βήματα:
-
Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Προσθέστε ένα δευτερεύον κλειδί με την τιμή {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Σε αυτή την περίπτωση, η διαδρομή που προκύπτει είναι η εξής:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Προσθέστε ένα REG_DWORD σε αυτό το δευτερεύον κλειδί που ονομάζεται "Σημαίες συμβατότητας"και ορίστε την τιμή του σε 0x00000400.
Το bit kill COM του Office έχει πλέον ρυθμιστεί ώστε να αποκλείσει την ενεργοποίηση αυτού του αντικειμένου μέσα στο Office.
Τρόπος αποκλεισμού μόνο των σεναρίων σύνδεσης και ενσωμάτωσης COM
Όπως αναφέρθηκε, η λειτουργικότητα bit kill COM έχει ενημερωθεί για να αποκλείσει την ενεργοποίηση όλων των καθορισμένων αντικειμένων COM μέσα από το Office.
Για να αποκλείσετε μόνο αντικείμενα COM που είναι ενσωματωμένα ή συνδεδεμένα μέσα από έγγραφα του Office, ακολουθήστε τα παρακάτω βήματα:
-
Προσθέστε το CLSID στο bit com kill σύμφωνα με τις οδηγίες στην περιοχή " Ρύθμιση τουBit kill του Office"(εάν δεν υπάρχει ήδη στη λίστα)
-
Κάτω από το δευτερεύον κλειδί για το CLSID που έχει αποκλειστεί, προσθέστε μια τιμή REG_DWORD που ονομάζεται ActivationFilterOverrideκαι ορίστε την τιμή της σε 0x00000001.
Για παράδειγμα, για να ρυθμίσετε τις παραμέτρους του bit com kill για αποκλεισμό μόνο σε σενάρια σύνδεσης και ενσωμάτωσης για ένα αντικείμενο που έχει CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} στο Office 2016, ακολουθήστε τα παρακάτω βήματα:
-
Εντοπίστε το ακόλουθο δευτερεύον κλειδί μητρώου:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Προσθέστε ένα δευτερεύον κλειδί που έχει την τιμή {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Σε αυτή την περίπτωση, η διαδρομή που προκύπτει είναι η εξής:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Προσθέστε μια REG_DWORD σε αυτό το δευτερεύον κλειδί που ονομάζεται "Σημαίες συμβατότητας"και ορίστε την τιμή της σε 0x00000400.
-
Προσθέστε ένα REG_DWORD σε αυτό το δευτερεύον κλειδί που ονομάζεται ActivationFilterOverrideκαι ορίστε την τιμή του σε 0x00000001.
Το bit kill COM του Office έχει πλέον ρυθμιστεί ώστε να αποκλείσει αυτό το αντικείμενο COM μόνο εάν είναι συνδεδεμένο ή ενσωματωμένο σε έγγραφα του Office.
Στοιχεία ελέγχου που έχουν αποκλειστεί από την ενεργοποίηση από προεπιλογή
Στοιχείο ελέγχου |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Δέσμη ενεργειών |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Έγγραφο HTA της Microsoft 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
Γλώσσα δέσμης ενεργειών VB |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
Σύνταξη γλώσσας δέσμης ενεργειών VB |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Κωδικοποίηση γλώσσας VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Κωδικοποίηση κεντρικού υπολογιστή VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
Αντικείμενο Shockwave Flash |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Αντικείμενο Macromedia Flash Factory |
D27CDB70-AE6D-11cf-96B8-44455354000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Στοιχείο ελέγχου Python |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Στοιχεία ελέγχου που έχουν αποκλειστεί από την ενσωμάτωση από προεπιλογή
Στοιχείο ελέγχου |
CLSID |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Αρχείο Html |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Έγγραφο HTML της Microsoft για αναδυόμενο παράθυρο |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Σημείωση:Αυτή η λίστα είναι ένα στιγμιότυπο των στοιχείων ελέγχου που έχουν αποκλειστεί και υπόκεινται σε αλλαγή