Configuración de seguridad para objetos COM en Office

Se aplica a: Office 2016 version of Office 365 ProPlusMicrosoft Office 2013 Service Pack 1Microsoft Office 2010 Service Pack 2

Importante En este artículo se incluye información que le muestra cómo controlar la configuración de seguridad de Office. Puede hacer cambios a la configuración de seguridad para aumentar o reducir el estado de seguridad. Sin embargo, antes de realizar estos cambios, le recomendamos que evalúe los riesgos asociados a los cambios que realice para configurar esta opción.  

INTRODUCCIÓN


En este artículo se describe la configuración disponible para los usuarios finales y los administradores de TI para controlar si y cómo los objetos COM se cargan con una lista de bits de cierre de Microsoft Office.  

Para obtener más información sobre el comportamiento de los bits de cierre de Windows Internet Explorer en el que se basa esta característica, por ejemplo, cómo configurar los valores AlternateCLSID que permiten que los controles ActiveX actualizados se carguen, consulte How to stop an ActiveX control from running in Internet Explorer
 
Esta guía se aplica a Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher y Microsoft Visio.  

Bit de cierre de COM de Office 

El bit de cierre de COM de Office se introdujo en la actualización de seguridad MS10-036 para impedir la ejecución de objetos COM específicos cuando se integran o vinculan desde documentos Office.  

La funcionalidad de bit de cierre de COM se actualizó en KB3178703 para impedir por completo que Office active los objetos COM en el proceso. Esta actualización es un superconjunto del comportamiento original en el que, además de bloquear los objetos COM integrados o vinculados en documentos de Office, se bloquearán todas las instancias de carga de objetos COM dentro del proceso Office a través de otros métodos, como complementos. 

Entre estos objetos COM específicos se incluyen controles ActiveX y objetos OLE. A través del Registro, puede controlar de manera independiente qué objetos COM se bloquean al usar Office. 

Nota  No recomendamos quitar el bit de cierre establecido para un objeto COM. Si lo hace, puede crear vulnerabilidades de seguridad. El bit de cierre se suele configurar por un motivo que puede ser crítico, por lo que hay que ser extremadamente cuidadoso al deshacer una acción de terminar un control ActiveX.  
 
Puede agregar un valor AlternateCLSID (también denominado "Bit Phoenix") cuando tiene que relacionar el CLSID de un nuevo control ActiveX (este control ActiveX se modificó para reducir la amenaza de seguridad) con el CLSID del control ActiveX al que se aplicó el bit de cierre de COM de Office. Office admite el valor AlternateCLSID solo cuando se usan los objetos COM de los controles ActiveX.  
 
Nota La lista de bits de cierre de Office tiene prioridad sobre la lista de bits de cierre de Internet Explorer. Por ejemplo, el bit de cierre COM de Office y el bit de cierre ActiveX de Internet Explorer se pueden establecer para el mismo control ActiveX. Sin embargo, el valor AlternateCLSID  solo se establece en la lista de Internet Explorer. En esta situación, hay un conflicto entre las dos opciones de configuración. En estos casos, la configuración del bit de cierre de COM de Office tiene prioridad y el control no se carga. 

Configurar el bit de cierre de COM de Office

Importante En esta sección, método o tarea se incluyen pasos para modificar el Registro. Sin embargo, se pueden producir problemas graves si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para mayor protección, realice una copia de seguridad del Registro antes de modificarlo. De esta manera podrá restaurar el Registro en caso de que se produzca un problema. Para obtener más información sobre cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:  

322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows  

La ubicación para la configuración del bit de cierre de COM de Office en el Registro es la siguiente:  

Office 2013 y Office 2010:

  1. Office de 64 bits en Windows de 64 bits (u Office de 32 bits en Windows de 32 bits).

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}

  2. Office de 32 bits en Windows de 64 bits.

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}

Office 2016:

  1. Office de 64 bits en Windows de 64 bits (u Office de 32 bits en Windows de 32 bits).
    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
  2. Office de 32 bits en Windows de 64 bits.
    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

En este caso, CLSID es el identificador de clase del objeto de COM.  

Para habilitar el bit de cierre de COM de Office, realice los pasos siguientes: 

  1. Agregue la subclave del Registro junto con el CLSID del control ActiveX o del objeto OLE que no desea que se cargue.  

  1. Agregue un valor de REG_DWORD a esta subclave denominado Compatibility Flags y establezca su valor en 0x00000400.  

Por ejemplo, para establecer el bit de cierre de COM de Office para un objeto con un CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} en Office 2016, 

  1. busque la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility 

  1. Agregue una subclave con el valor {77061A9C-2F18-4f38-B294-F6BCC8443D24}. En este caso, la ruta de acceso que resulta es la siguiente:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} 

  2. Agregue un valor de REG_DWORD a esta subclave denominado Compatibility Flags y establezca su valor en 0x00000400

El bit de cierre de COM de Office ahora está configurado para bloquear la activación de este objeto en Office. 

Cómo bloquear solo COM en escenarios de vinculación e integración 

Tal como se mencionó anteriormente, la funcionalidad de bit de cierre de COM se actualizó para activar toda la activación de objetos COM en Office.  

Para bloquear solo los objetos COM integrados o vinculados en documentos Office, realice los pasos siguientes:  

  1. Agregue el CLSID al bit de cierre de COM según las instrucciones en "Configurar el bit de cierre de Office" (si no figura en la lista). 

  1. En la subclave del CLSID que se bloquea, agregue un valor REG_DWORD denominado ActivationFilterOverride y establezca su valor en 0x00000001.  

Por ejemplo, para configurar el bit de cierre de COM de modo que solo se bloquee en escenarios de vinculación e integración para un objeto con CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} en Office 2016, 

  1. busque la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility 

  2. Agregue una subclave con el valor {77061A9C-2F18-4f38-B294-F6BCC8443D24}. En este caso, la ruta de acceso que resulta es la siguiente: 
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} 

  3. Agregue un valor de REG_DWORD a esta subclave denominado Compatibility Flags y establezca su valor en 0x00000400

  4. Agregue un valor de REG_DWORD a esta subclave denominado ActivationFilterOverride y establezca su valor en 0x00000001

El bit de cierre de COM de Office ahora está configurado para bloquear este objeto COM solo cuando está vinculado o integrado en documentos Office. 

Controles cuya activación está bloqueada de manera predeterminada


Control

CLSID

ScriptMoniker

06290BD3-48AA-11D2-8432-006008C3FBFC

SoapActivator

ECABAFD0-7F19-11D2-978E-0000F8757E2A

SoapMoniker

ECABB0C7-7F19-11D2-978E-0000F8757E2A

PartitionMoniker

ECABB0C5-7F19-11D2-978E-0000F8757E2A

QueueMoniker

ECABAFC7-7F19-11D2-978E-0000F8757E2A

HTMLApplication

3050F4D8-98B5-11CF-BB82-00AA00BDCE0B

ScripletContext

06290BD0-48AA-11D2-8432-006008C3FBFC

ScripletConstructor

06290BD1-48AA-11D2-8432-006008C3FBFC

ScripletFactory

06290BD2-48AA-11D2-8432-006008C3FBFC

ScripletHostEncode

06290BD4-48AA-11D2-8432-006008C3FBFC

ScripletTypeLib

06290BD5-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Automation

06290BD8-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Event

06290BD9-48AA-11D2-8432-006008C3FBFC

ScripletHandler_ASP

06290BDA-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Behavior

06290BDB-48AA-11D2-8432-006008C3FBFC

XMLFeed

528D46B3-3A4B-4B13-BF74-D9CBD7306E07

Scriptlet

AE24FDAE-03C6-11D1-8B76-0080C744F389

HtmlFile_FullWindowEmbed

25336921-03F9-11CF-8FD0-00AA00686F13

Mhtmlfile

3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Microsoft HTA Document 6.0

3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

DHTMLEdit.DHTMLEdit.1

2D360200-FFF5-11D1-8D03-00A0C959BC0A

DHTMLSafe.DHTMLSafe.1

2D360201-FFF5-11D1-8D03-00A0C959BC0A

VB Script Language

B54F3741-5B07-11cf-A4B0-00AA004A55E8

VB Script Language Authoring

B54F3742-5B07-11cf-A4B0-00AA004A55E8

VBScript Language Encoding

B54F3743-5B07-11cf-A4B0-00AA004A55E8

VBScript Host Encode

85131631-480C-11D2-B1F9-00C04F86C324

Shockwave Flash Object

D27CDB6E-AE6D-11cf-96B8-444553540000

Macromedia Flash Factory Object

D27CDB70-AE6D-11cf-96B8-444553540000

Microsoft Silverlight

DFEAF541-F3E1-4c24-ACAC-99C30715084A

Adobe Shockwave Player

233C1507-6A77-46A4-9443-F871F945D258

Controles cuya integración está bloqueada de manera predeterminada


Control

CLSID

Shell.Explorer.2

8856F961-340A-11D0-A96B-00C04FD705A2

Htmlfile

25336920-03F9-11CF-8FD0-00AA00686F13

Microsoft HTML Document for Popup Window

3050F67D-98B5-11CF-BB82-00AA00BDCE0B

 

Nota: Esta lista es una instantánea de los controles bloqueados y está sujeta a cambios.