Attention : Cet article contient des informations qui vous expliquent comment contrôler les paramètres de sécurité d’Office. Vous pouvez apporter des modifications à ces paramètres de sécurité afin d’augmenter ou de diminuer l’état de la sécurité. Avant de procéder, nous vous recommandons d’évaluer les risques associés à chaque modification que vous souhaitez apporter dans la configuration de ces paramètres.
INTRODUCTION
Cet article décrit les paramètres permettant aux utilisateurs et aux administrateurs informatiques de contrôler si et comment des objets COM se chargent avec une liste de bits d’arrêt Microsoft Office.
Pour plus d’informations sur le comportement du bit d’arrêt de Windows Internet Explorer sur lequel cette fonctionnalité est basée, notamment sur la procédure de définition des AlternateCLSID qui autorisent le chargement des contrôles ActiveX mis à jour, consultez l’article Comment empêcher l’exécution d’un contrôle ActiveX dans Internet Explorer.
Ces instructions s’appliquent à Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher et Microsoft Visio.
Bit d’arrêt Office COM
Le bit d’arrêt Office COM a été introduit dans la mise à jour de sécurité MS10-036 pour empêcher l’exécution d’objets COM spécifiques incorporés ou liés dans des documents Office.
La fonctionnalité de bit d’arrêt COM a été mise à jour dans KB3178703 pour bloquer complètement l’activation en cours de processus des objets COM par Office. Cette mise à jour est un sur-ensemble du comportement d’origine dans lequel, en plus de bloquer les objets COM incorporés ou liés dans les documents Office, le chargement des instances d’objets COM est bloqué dans le processus Office à l’aide d’autres moyens, comme les compléments.
Ces objets COM spécifiques incluent les contrôles ActiveX et les objets OLE. Par le biais du Registre, vous pouvez contrôler de manière indépendante quels objets COM sont bloqués lorsque vous utilisez Office.
Remarque : nous vous déconseillons de supprimer le bit d’arrêt défini pour un objet COM. Cela pourrait en effet engendrer des failles de sécurité. Le bit d’arrêt est généralement défini pour une raison qui peut se révéler critique. Par conséquent, vous devez faire preuve d’une grande vigilance lorsque vous annulez l’arrêt d’exécution d’un contrôle ActiveX.
Vous pouvez ajouter un AlternateCLSID (également appelé « Phoenix bit ») lorsque vous devez lier le CLSID d’un nouveau contrôle ActiveX (et que ce contrôle ActiveX a été modifié pour diminuer la menace de sécurité) au CLSID du contrôle ActiveX auquel le bit d’arrêt Office COM a été appliqué. Office ne prend en charge cet AlternateCLSID que si des objets COM du contrôle ActiveX sont utilisés.
Remarque : la liste des bits d’arrêt Office est prioritaire sur celle d’Internet Explorer. Par exemple, le bit d’arrêt ActiveX Office COM et le bit d’arrêt d’Internet Explorer peuvent être définis pour le même contrôle ActiveX. Toutefois, l’AlternateCLSID est uniquement défini dans la liste d’Internet Explorer. Dans ce scénario, les deux paramètres sont en conflit. Dans un cas pareil, les paramètres du bit d’arrêt Office COM sont prioritaires et le contrôle n’est pas chargé.
Définition du bit d’arrêt Office COM
Important :
-
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre attentivement cette procédure. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous pourrez ainsi le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro suivant pour consulter l’article correspondant dans la Base de connaissances Microsoft :
-
322756 Comment sauvegarder et restaurer le Registre dans Windows
L’emplacement permettant de définir le bit d’arrêt Office COM dans le Registre est le suivant :
Pour Office 2013 et Office 2010 :
-
Pour Office 64 bits sous Windows 64 bits (ou Office 32 bits sous Windows 32 bits) :
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Pour Office 32 bits sous Windows 64 bits :
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Pour Office 2016 :
-
Pour Office 64 bits sous Windows 64 bits (ou Office 32 bits sous Windows 32 bits) :
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Pour Office 32 bits sous Windows 64 bits :
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
Dans ce cas, CLSID correspond à l’identificateur de classe de l’objet COM.
Pour activer le bit d’arrêt Office COM, procédez comme suit :
-
Ajoutez la sous-clé de Registre accompagnée du CLSID du contrôle ActiveX ou de l’objet OLE dont vous voulez empêcher le chargement.
-
Ajoutez la valeur REG_DWORD Compatibility Flags à cette sous-clé et définissez-la sur 0x00000400.
Par exemple, pour définir le bit d’arrêt Office COM pour un objet ayant le CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} sur Office 2016, procédez comme suit :
-
Recherchez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Ajoutez une sous-clé avec la valeur {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Dans ce cas, le chemin d’accès qui en résulte est le suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Ajoutez la valeur REG_DWORD Compatibility Flags à cette sous-clé et définissez-la sur 0x00000400.
Le bit d’arrêt Office COM est à présent défini pour empêcher l’activation de cet objet dans Office.
Comment bloquer uniquement les objets COM dans les scénarios de liaison et d’incorporation
Comme indiqué précédemment, la fonctionnalité de bit d’arrêt COM a été mise à jour pour empêcher l’activation d’objets COM spécifiés à partir d’Office.
Pour bloquer uniquement les objets COM incorporés ou liés à partir de documents Office, procédez comme suit :
-
Ajoutez le CLSID au bit d’arrêt COM en suivant les instructions figurant dans la section « Définition du bit d’arrêt Office » (s’il ne figure pas déjà dans la liste).
-
Sous la sous-clé du CLSID bloqué, ajoutez une valeur REG_DWORD nommée ActivationFilterOverride et définissez-la sur 0x00000001.
Par exemple, pour configurer le bit d’arrêt COM permettant uniquement le blocage dans les scénarios de liaison et d’incorporation pour un objet ayant le CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} sur Office 2016, procédez comme suit :
-
Recherchez la sous-clé de Registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Ajoutez une sous-clé ayant la valeur {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Dans ce cas, le chemin d’accès qui en résulte est le suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Ajoutez la valeur REG_DWORD Compatibility Flags à cette sous-clé et définissez-la sur 0x00000400.
-
Ajoutez la valeur REG_DWORD ActivationFilterOverride à cette sous-clé et définissez-la sur 0x00000001.
Le bit d’arrêt Office COM est à présent défini pour bloquer cet objet COM uniquement lorsqu’il est lié ou incorporé dans des documents Office.
Contrôles dont l’activation est bloquée par défaut
Contrôle |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
Scriplet Mêmeor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Fichier Mhtml |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA Document 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
VB Script Language |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB de texte en langage de script |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Codage de langage VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Code hôte VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
Objet Shockwave Flash |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Macromedia Flash Factory Object |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Contrôle Python |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Contrôles dont l’incorporation est bloquée par défaut
Contrôle |
CLSID |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Document HTML Microsoft pour fenêtre pop-up |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Remarque : cette liste est un aperçu des contrôles bloqués et peut faire lʼobjet de modifications.