Precaución: Este artículo contiene información que muestra cómo controlar la configuración de seguridad de Office. Puede realizar cambios en la configuración de seguridad para aumentar o reducir la posición de seguridad. Antes de realizar estos cambios, le recomendamos que evalúe los riesgos asociados con los cambios que realice en esta configuración.
INTRODUCCIÓN
En este artículo se describe la configuración disponible para los usuarios finales y los administradores de TI para controlar la posible carga de objetos COM con una lista de cierre de bits de Microsoft Office y cómo conseguirlo.
Para obtener más información sobre el comportamiento de bits de cierre de Windows Internet Explorer en el que se basa esta característica, incluyendo la forma de establecer los AlternateCLSID que permiten cargar controles ActiveX actualizados, consulte cómo detener la ejecución de un control ActiveX en Internet Explorer.
Esta guía se aplica a Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher y Microsoft Visio.
Bit de cierre COM de Office
El bit de cierre COM de Office se introdujo en la actualización de seguridad MS10-036 para impedir la ejecución de objetos COM específicos cuando se integran o vinculan desde documentos de Office.
La funcionalidad de los bits de cierre COM se ha actualizado en KB3178703 para impedir por completo que Office active los objetos COM en proceso. Esta actualización es un superconjunto del comportamiento original en el que, además de bloquear objetos COM integrados o vinculados en documentos de Office, se bloqueará cualquier instancia de objetos COM que se cargue dentro del proceso de Office a través de otros medios como complementos.
Estos objetos COM específicos incluyen ActiveX y Objetos OLE. A través del Registro, puede controlar independientemente qué objetos COM se bloquean al usar Office.
Nota: No le recomendamos quitar el bit de cierre establecido para un objeto COM. Si lo hace, es posible que provoque vulnerabilidades de seguridad. El bit de cierre suele establecerse por un motivo que puede ser crítico, por lo que debe tener mucho cuidado al deshacer un control ActiveX.
Puede agregar un AlternateCLSID (también conocido como "bit Phoenix") cuando tenga que relacionar el CLSID de un nuevo control ActiveX (si ese control ActiveX se modificó para reducir la amenaza de seguridad) con el CLSID de control de ActiveX al que se aplicó el bit de cierre COM de Office. Office admite AlternateCLSID solo cuando se usan los objetos COM de control ActiveX.
Nota: La lista de bits de cierre de Office tiene prioridad sobre la lista de bits de cierre para Internet Explorer. Por ejemplo, el bit de cierre COM de Office y el bit de cierre ActiveX de Internet Explorer se pueden configurar para el mismo control ActiveX; pero el AlternateCLSID solo se establece en la lista de Internet Explorer. En este escenario, hay un conflicto entre las dos opciones de configuración: la configuración de bits de cierre COM de Office tiene prioridad y el control no se carga.
Configurar el bit de cierre COM de Office
Importante:
-
Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Pero es posible que se produzcan problemas graves si el Registro modifica incorrectamente. Por lo tanto, asegúrese de seguir estos pasos cuidadosamente. Para obtener protección adicional, haga una copia de seguridad del Registro antes de modificarlo. Así, si se produce un problema, después podrá restaurar el Registro. Para obtener más información sobre cómo hacer una copia de seguridad y restaurar el Registro, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:
-
322756 Hacer una copia de seguridad del Registro y restaurarlo en Windows
La ubicación para la configuración del bit de cierre COM de Office en el Registro es la siguiente:
Para Office 2013 y Office 2010:
-
Para Office Edición de 64 bits en Windows de 64 bits (u Office Edición de 32 bits en Windows de 32 bits):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Para Office Edición de 32 bits en Windows de 64 bits:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Para Office 2016:
-
Para Office Edición de 64 bits en Windows de 64 bits (u Office Edición de 32 bits en Windows de 32 bits):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Para Office Edición de 32 bits en Windows de 64 bits:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
En este caso, CLSID es el identificador de clase del objeto COM.
Para habilitar el bit de cierre COM de Office, haga lo siguiente:
-
Agregue la subclave del Registro junto con el CLSID del control ActiveX o del Objeto OLE que no desea que se cargue.
-
Agregue un valor REG_DWORD a esta subclave denominado Compatibility Flags y establezca su valor en 0x00000400.
Por ejemplo, para establecer el bit de cierre COM de Office para un objeto con un CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} en Office 2016, haga lo siguiente:
-
Busque la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Agregue una subclave con el valor {77061A9C-2F18-4f38-B294-F6BCC8443D24}. En este caso, la ruta resultante es la siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Agregue un valor REG_DWORD a esta subclave denominado Compatibility Flags y establezca su valor en 0x00000400.
El bit de cierre COM de Office ya está configurado para bloquear la activación de este objeto en Office.
Bloquear objetos COM solo en escenarios de vinculación e integración
Tal como se mencionó anteriormente, la funcionalidad del bit de cierre COM se actualizó para bloquear toda activación de objetos COM específicos dentro de Office.
Para bloquear solo los objetos COM integrados o vinculados en documentos de Office, haga lo siguiente:
-
Agregue el CLSID al bit de cierre COM según las instrucciones en "Configurar el bit de cierre de Office" (si no figura en la lista).
-
En la subclave del CLSID que está bloqueado, agregue un valor REG_DWORD denominado ActivationFilterOverridey establezca su valor en 0x00000001.
Por ejemplo, para configurar el bit de cierre COM de modo que solo se bloquee en escenarios de vinculación e integración para un objeto con CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} en Office 2016, haga lo siguiente:
-
Busque la siguiente subclave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Agregue una subclave que tenga el valor {77061A9C-2F18-4f38-B294-F6BCC8443D24}. En este caso, la ruta resultante es la siguiente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Agregue un valor REG_DWORD a esta subclave denominado Compatibility Flags y establezca su valor en 0x00000400.
-
Agregue un valor REG_DWORD a esta subclave denominado ActivationFilterOverride y establezca su valor en 0x00000001.
El bit de cierre COM de Office ya está configurado para bloquear este objeto COM solo si está vinculado o integrado en documentos de Office.
Controles cuya activación está bloqueada de manera predeterminada
|
Control |
CLSID |
|
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
|
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
|
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
|
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
|
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
|
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
|
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
|
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
|
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
|
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
|
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
|
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
|
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
|
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
|
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
|
Documento HTA 6.0 de Microsoft |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
|
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
|
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
|
VB Script Language |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
|
VB de lenguaje de script |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
|
Codificación de idioma VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
|
Código de host VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
|
Objeto Shockwave Flash |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
|
Macromedia Flash de fábrica |
D27CDB70-AE6D-11cf-96B8-444553540000 |
|
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
|
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
|
Control de Python |
DF630910-1C1D-11D0-AE36-8C0F5E00000 |
Controles cuya integración está bloqueada de manera predeterminada
|
Control |
CLSID |
|
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
|
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
|
Documento HTML de Microsoft para ventana emergente |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Nota: Esta lista es una instantánea de los controles bloqueados y está sujeta a cambios.
