Varoitus: Tässä artikkelissa on tietoja, jotka osoittavat, miten voit hallita Officen suojausasetuksia. Voit tehdä näihin suojausasetuksiin muutoksia, jotta voit joko suurentaa tai pienentää tietoturva-asentoa. Ennen kuin teet nämä muutokset, suosittelemme, että arvioit tämän asetuksen määrittämiseksi tehtyihin muutoksiin liittyvät riskit.
JOHDANTO
Tässä artikkelissa kuvataan käyttäjien ja IT-järjestelmänvalvojien käytettävissä olevat asetukset sen hallitsemista varten, latautuvatko COM-objektit ja miten ne latautuvat Microsoft Officen kill-bittiluettelon avulla.
Lisätietoja Windows Internet Explorerin bittien käytöstä, johon tämä ominaisuus perustuu, sekä siitä, miten voit määrittää vaihtoehtoisetCLSIDs-tunnukset, jotka sallivat päivitetyn ActiveX-komponentin latautumisen, on ohjeaiheessa ActiveX-komponentin toiminnan pysäyttäminen Internet Explorerissa.
Nämä ohjeet koskevat Microsoft Wordia, Microsoft Exceliä, Microsoft PowerPointia, Microsoft Publisheria ja Microsoft Visiota.
Office COM :n kill-bitti
OfficeN COM-kill-bitti otettiin käyttöön suojauspäivityksessä MS10-036, jotta tietyt COM-objektit eivät toimi, kun ne upotetaan tai linkitetään Office-tiedostoista.
COM Kill-bitti -toiminto on päivitetty KB3178703:ssa, jotta Office ei voi aktivoida COM-objekteja kokonaan. Tämä päivitys on alkuperäisen toiminnan pääjoukko, jossa Office-tiedostoihin upotetut tai linkitetyt COM-objektit estetään, joten kaikki COM-objektien esiintymät ladataan Office-prosessiin muilla tavoin, kuten apuohjelmilla.
Näitä COM-objekteja ovat Esimerkiksi ActiveX-komponentit ja OLE-objektit. Rekisterin kautta voit itsenäisesti hallita, mitkä COM-objektit estetään Officea käytettäessä.
Huomautus:Com-objektille määritettyä kill-bittiä ei ole suositeltavaa poistaa. Jos teet näin, saatat luoda tietoturva-aukkoja. Kill-bitti on yleensä määritetty syyksi, joka voi olla kriittinen. Tämän vuoksi activeX-komponentin ohjauksen on oltava erittäin varovainen.
Voit lisätä AlternateCLSID-ohjausobjektin (tunnetaan myös nimellä "Ix-bitti"), kun sinun on hallittava uuden ActiveX-komponentin CLSID-järjestelyä (ja tätä ActiveX-komponenttia on muokattu tietoturvauhkien vähentämiseksi) sen ActiveX-komponentin CLSID-kohteeseen, johon Office COM -kill-bittiä on käytetty. Office tukee AlternateCLSID-objekteja vain, kun activex-komponenttien COM-objekteja käytetään.
Huomautus: Officen Kill-bittiluettelo on etusijalla Internet Explorerin Kill Bit -luetteloon. Esimerkiksi OfficeN COM-kill-bitti ja Internet Explorerin ActiveX-kill-bitti saatetaan määrittää samalle ActiveX-komponentille. VaihtoehtoinenCLSID-arvo on kuitenkin määritetty vain Internet Explorerin luetteloon. Tässä skenaariossa nämä kaksi asetusta ovat ristiriidassa. Tällaisissa tapauksissa OfficeN COM-kill-bittiasetukset ovat etusijalla, eikä ohjausobjektia ladata.
OfficeN COM-kill-bittiasetuksen määrittäminen
Tärkeää:
-
Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Rekisterin virheellinen muokkaaminen saattaa kuitenkin aiheuttaa vakavia ongelmia. Noudata näitä ohjeita ehdottoman tarkasti. Varmuuskopioi rekisteri varmuuden vuoksi ennen muokkaustoimia. Tällöin voit palauttaa rekisterin ongelmatilanteessa. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa Microsoft Knowledge Base -artikkelinumeroa:
-
322756Rekisterin varmuuskopioiminen ja palauttaminen Windowsissa
Office COM :n kill-bitti määritetään rekisterissä seuraavasti:
Office 2013 ja Office 2010:
-
Jos käytössäsi on 64-bittinen Office 64-bittisessä Windowsissa (tai 32-bittisessä Officessa 32-bittisessä Windowsissa).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
32-bittinen Office 64-bittisessä Windowsissa:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Office 2016:
-
Jos käytössäsi on 64-bittinen Office 64-bittisessä Windowsissa (tai 32-bittisessä Officessa 32-bittisessä Windowsissa):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
32-bittinen Office 64-bittisessä Windowsissa:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
Tässä tapauksessa CLSID on COM-objektin luokkatunniste.
Voit ottaa OfficeN COM-kill-bitin käyttöön seuraavasti:
-
Lisää rekisterin aliavain sen ActiveX-komponentin tai OLE-objektin CLSID-avaimen kanssa, jonka lataamisen haluat estää.
-
Lisää REG_DWORD aliavain nimeltä Yhteensopivuusliput ja määritä sen arvoksi 0x00000400.
Jos esimerkiksi haluat määrittää OfficeN COM-kill-bitin objektille, jonka Office 2016:ssa on CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, toimi seuraavasti:
-
Etsi seuraava rekisterin aliavain:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Lisää aliavain, jonka arvo on {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Tässä tapauksessa tuloksena oleva polku on seuraava:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Lisää REG_DWORD aliavain, jonka nimi onYhteensopivuusmerkintä, ja määritä sen arvoksi 0x00000400.
OfficeN COM-kill-bitti on nyt määritetty estämaan tämän objektin aktivointi Officessa.
COM-esto vain linkitys- ja upotusskenaarioissa
Kuten edellä mainittiin, COM-kill-bittitoiminto on päivitetty, jotta kaikki määritettyjen COM-objektien aktivointi estetään Officesta.
Jos haluat estää vain COM-objekteja, jotka on upotettu tai linkitetty Office-tiedostoista, toimi seuraavasti:
-
Lisää CLSID COM-kill-bittiin kohdassa"Office Kill Bitinmäärittäminen" olevien ohjeiden mukaisesti (jos sitä ei ole vielä luettelossa)
-
Lisää estetyn CLSID-aliavaimen alle REG_DWORD ActivationFilterOverride-niminenarvo ja määritä sen arvoksi 0x00000001.
Jos esimerkiksi haluat, että COM-kill-bitti estetään vain linkittämis- ja upotusskenaarioissa objektille, jonka Office 2016:ssa on CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, toimi seuraavasti:
-
Etsi seuraava rekisterin aliavain:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Lisää aliavain, jonka arvo on {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Tässä tapauksessa tuloksena oleva polku on seuraava:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Lisää REG_DWORD aliavain, jonka nimi on Yhteensopivuusmerkintä,ja määritä sen arvoksi 0x00000400.
-
Lisää tähän REG_DWORD ActivationFilterOverride-aliavainja määritä sen arvoksi 0x00000001.
Officen COM-kill-bitti on nyt määritetty estämaan tämä COM-objekti vain, jos se on linkitetty tai upotettu Office-tiedostoihin.
Ohjausobjektit, jotka on oletusarvoisesti estetty aktivoinnista
Hallinta |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XML-tieto |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Komentosarja |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA Document 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
VB-komentosarjan kieli |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB-komentosarjan kielen sisällöntarjoaminen |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
VBScript-kielen koodaus |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
VBScript-isäntäkoodi |
85131631-480C-11D2-B1F9-00C04F86C324 |
Shockwave Flash -objekti |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Macromedia Flash Factory -objekti |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Python-ohjausobjekti |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Ohjausobjektit, jotka on oletusarvoisesti estetty upottamisen avulla
Hallinta |
CLSID |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
MicrosoftIN HTML-asiakirja ponnahdusikkunassa |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Huomautus:Tämä luettelo on tilannevedos estetyistä ohjausobjekteista, ja se voi muuttua