Ettevaatust!: See artikkel sisaldab teavet, mis näitab, kuidas Office ' i turvasätteid reguleerida. Te saate muuta neid turvasätteid nii, et see suurendaks või vähendaks teie turvalisust poosi. Enne nende muudatuste tegemist soovitame teil hinnata selle sätete konfigureerimiseks tehtud muudatustega seotud riske.
SISSEJUHATUS
Selles artiklis kirjeldatakse kasutajate ja IT-administraatoritele saadaolevaid sätteid, et määrata, kas ja kuidas Microsoft Office ' i desaktiveerimissätte loendiga laaditakse.
Lisateavet selle kohta, kuidas Windows Internet Explorer desaktiveerimissätte, et see funktsioon põhineb, sealhulgas kuidas määrata AlternateCLSIDs, mis lubavad värskendatud ActiveX-juhtelemente laadida, leiate teemast ActiveX-juhtelemendi käivitamise peatamine Internet Exploreris.
See juhend kehtib Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher ja Microsoft Visio kohta.
Office COM-desaktiveerimissätte
Office COM desaktiveerimissätte võeti kasutusele turvavärskenduse MS10-036, et takistada teatud COM-objektide käivitamist Office ' i dokumentides manustatud või lingitud.
COM-desaktiveerimissätte funktsioone on värskendatud KB3178703 , et Office ' i aktiveerimisel on com-objektide aktiveerimine täielikult takistatud. See värskendus on ülemhulk algsest käitumisest, kus lisaks Office ' i dokumentides manustatud või lingitud COM-objektide sulgemisele blokeerib see kõik Office ' i sisus olevad COM-objektide eksemplarid muude vahenditega (nt lisandmoodulid).
Need konkreetsed COM-objektid hõlmavad ActiveX-juhtelemente ja OLE-objekte. Registri kaudu saate sõltumatult reguleerida, milliseid COM-objekte Office ' i kasutamisel blokeeritakse.
MärkusMe ei soovita eemaldada COM-objekti jaoks seatud desaktiveerimissätte. Kui seda teete, võite luua turvalisuse nõrkusi. Desaktiveerimissätte määramine on tavaliselt põhjus, mis võib olla kriitiline. Seetõttu peate ActiveX-juhtelemendi eemaldamisel olema äärmiselt ettevaatlik.
Saate lisada AlternateCLSID (tuntud ka kui "Phoenix-bitine"), kui peate siduma uue ActiveX-juhtelemendi CLSID (ja seda ActiveX-juhtelementi on muudetud, et vähendada turvariski) selle ActiveX-juhtelemendi CLSID, millele on rakendatud Office COM-desaktiveerimissätte. Office toetab AlternateCLSID ainult siis, kui kasutatakse ActiveX-juhtelemendi COM-objekte.
Märkus: Office ' i desaktiveerimissätte loend alistab Internet Exploreri desaktiveerimissätte loendi. Näiteks võib Office COM desaktiveerimissätte ja Internet Explorer ActiveX-desaktiveerimissätte seada samale ActiveX-juhtelemendile. Kuid AlternateCLSID on määratud ainult Internet Exploreri loendis. Selle stsenaariumi korral on kahe sätte vaheline konflikt. Sellistel juhtudel on Office COM-desaktiveerimissätte sätted ülimuslikud ja juhtelementi ei laadita.
Office COM-desaktiveerimissätte määramine
NB!:
-
See jaotis, meetod või toiming sisaldab etappe, mille käigus õpetatakse teid registrit muutma. Registri ekslik muutmine võib aga põhjustada tõsiseid probleeme. Seetõttu järgige tingimata hoolikalt juhiseid. Lisakaitseks varundage register enne selle muutmist. Siis saate probleemide ilmnemisel registri taastada. Registri varundamise ja taastamise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi asjakohase artikli kuvamiseks järgmist artiklinumbrit.
-
322756Registri varundamine ja taastamine Windowsis
Office COM-desaktiveerimissätte loomise asukoht registris on järgmine:
Office 2013 ja Office 2010 puhul tehke järgmist.
-
64-bitise Office ' i jaoks 64-bitine Windows (või 32-bitine Office 32-bitises Windowsis).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
32-bitise Office ' i jaoks 64-bitises Windowsi versioonis tehke järgmist.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Office 2016 puhul tehke järgmist.
-
64-bitise Office ' i jaoks 64-bitine Windows (või 32-bitine Office 32-bitises Windowsi versioonis):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
32-bitise Office ' i jaoks 64-bitises Windowsi versioonis tehke järgmist.
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
Sel juhul on CLSID COM-objekti klassi identifikaator.
Office COM-desaktiveerimissätte lubamiseks tehke järgmist.
-
Lisage registri alamvõti koos ActiveX-juhtelemendi või OLE-objekti CLSID-ga, mille laadimist soovite blokeerida.
-
Lisage sellele alamvõtmele REG_DWORD, mida nimetatakse ühilduvuse lippudeks , ja seadke selle väärtuseks 0x00000400.
Näiteks Office COM-desaktiveerimissätte seadmiseks objektile, millel on Office 2016 CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, tehke järgmist.
-
Otsige üles järgmine registri alamvõti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Alamvõtme lisamine väärtusega {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Sellisel juhul on tulemuseks järgmine tee:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Lisage sellele alamvõtmele REG_DWORD nimega ühilduvuse lipudja seadke selle väärtuseks 0x00000400.
Office COM-desaktiveerimissätte on nüüd seatud blokeerima selle objekti aktiveerimise Office ' is.
Kuidas keelata COM-i ainult linkimise ja manustamise stsenaariumid
Nagu mainitud, on COM-desaktiveerimissätte funktsioone värskendatud, et blokeerida kõik määratud COM-objektide aktiveerimised Office ' is.
Office ' i dokumentides manustatud või lingitud COM-objektide blokeerimiseks tehke järgmist.
-
Lisage jaotisse "Office ' i desaktiveerimissätte" määramise juhised jaotises "Office ' i desaktiveerimissätte" (kui seda pole juba loendis).
-
Lisage blokeeritud CLSID-i alamvõtme all REG_DWORD väärtus, mille nimi on ActivationFilterOverride, ja seadke selle väärtuseks 0x00000001.
Kui soovite näiteks konfigureerida COM-desaktiveerimissätte blokeerima ainult nende objektide linkimise ja manustamisega seotud stsenaariumid, millel on Office 2016 CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, tehke järgmist.
-
Otsige üles järgmine registri alamvõti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Saate lisada alamvõtme, millel on väärtus {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Sellisel juhul on tulemuseks järgmine tee:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Lisage sellele alamvõtmele REG_DWORD väärtus, mille nimi on ühilduvuse lipud, ja seadke selle väärtuseks 0x00000400.
-
Lisage sellele alamvõtmele REG_DWORD nimega ActivationFilterOverrideja seadke selle väärtuseks 0x00000001.
Office COM-desaktiveerimissätte on nüüd seatud blokeerima selle COM-objekti ainult siis, kui see on lingitud või manustatud Office ' i dokumentides.
Juhtelemendid, mille aktiveerimine on vaikimisi blokeeritud
Juhtelemendi |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA dokument 6,0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit. DHTMLEdit. 1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe. DHTMLSafe. 1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
VB skripti keel |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB skripti keele autorlus |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
VBScripti keele kodeeringu |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
VBScripti hosti kodeering |
85131631-480C-11D2-B1F9-00C04F86C324 |
Shockwave Flashi objekt |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Macromedia Flashi tehase objekt |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Pythoni juhtelement |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Juhtelemendid, mis on vaikimisi keelatud manustamiseks
Juhtelemendi |
CLSID |
Shell. Explorer .2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Microsoft HTML-dokument hüpikakna jaoks |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Märkus: see loend on blokeeritud juhtelementide hetktõmmis ja seda võidakse muuta