Attention : Cet article contient des informations qui vous expliquent comment contrôler les paramètres de sécurité d’Office. Vous pouvez apporter des modifications à ces paramètres de sécurité afin d’augmenter ou de diminuer l’état de la sécurité. Avant de procéder, nous vous recommandons d’évaluer les risques associés à chaque modification que vous souhaitez apporter dans la configuration de ces paramètres.

INTRODUCTION

Cet article décrit les paramètres permettant aux utilisateurs et aux administrateurs informatiques de contrôler si et comment des objets COM se chargent avec une liste de bits d’arrêt Microsoft Office.

Pour plus d’informations sur le comportement du bit d’arrêt de Windows Internet Explorer sur lequel cette fonctionnalité est basée, notamment sur la procédure de définition des AlternateCLSID qui autorisent le chargement des contrôles ActiveX mis à jour, consultez l’article Comment empêcher l’exécution d’un contrôle ActiveX dans Internet Explorer
 
Ces instructions s’appliquent à Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher et Microsoft Visio.

Bit d’arrêt Office COM

Le bit d’arrêt Office COM a été introduit dans la mise à jour de sécurité MS10-036 pour empêcher l’exécution d’objets COM spécifiques incorporés ou liés dans des documents Office.

La fonctionnalité de bit d’arrêt COM a été mise à jour dans KB3178703 pour bloquer complètement l’activation en cours de processus des objets COM par Office. Cette mise à jour est un sur-ensemble du comportement d’origine dans lequel, en plus de bloquer les objets COM incorporés ou liés dans les documents Office, le chargement des instances d’objets COM est bloqué dans le processus Office à l’aide d’autres moyens, comme les compléments.

Ces objets COM spécifiques incluent les contrôles ActiveX et les objets OLE. Par le biais du Registre, vous pouvez contrôler de manière indépendante quels objets COM sont bloqués lorsque vous utilisez Office.

Remarque : nous vous déconseillons de supprimer le bit d’arrêt défini pour un objet COM. Cela pourrait en effet engendrer des failles de sécurité. Le bit d’arrêt est généralement défini pour une raison qui peut se révéler critique. Par conséquent, vous devez faire preuve d’une grande vigilance lorsque vous annulez l’arrêt d’exécution d’un contrôle ActiveX.  
 
Vous pouvez ajouter un AlternateCLSID (également appelé « Phoenix bit ») lorsque vous devez lier le CLSID d’un nouveau contrôle ActiveX (et que ce contrôle ActiveX a été modifié pour diminuer la menace de sécurité) au CLSID du contrôle ActiveX auquel le bit d’arrêt Office COM a été appliqué. Office ne prend en charge cet AlternateCLSID que si des objets COM du contrôle ActiveX sont utilisés.  
 
Remarque : la liste des bits d’arrêt Office est prioritaire sur celle d’Internet Explorer. Par exemple, le bit d’arrêt ActiveX Office COM et le bit d’arrêt d’Internet Explorer peuvent être définis pour le même contrôle ActiveX. Toutefois, l’AlternateCLSID est uniquement défini dans la liste d’Internet Explorer. Dans ce scénario, les deux paramètres sont en conflit. Dans un cas pareil, les paramètres du bit d’arrêt Office COM sont prioritaires et le contrôle n’est pas chargé.

Définition du bit d’arrêt Office COM

Important : 

  • Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre attentivement cette procédure. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous pourrez ainsi le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro suivant pour consulter l’article correspondant dans la Base de connaissances Microsoft :

  •             322756 Comment sauvegarder et restaurer le Registre dans Windows

L’emplacement permettant de définir le bit d’arrêt Office COM dans le Registre est le suivant :

Pour Office 2013 et Office 2010 :

  • Pour Office 64 bits sous Windows 64 bits (ou Office 32 bits sous Windows 32 bits) :

                HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}

Pour Office 32 bits sous Windows 64 bits :

            HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}

Pour Office 2016 :

  • Pour Office 64 bits sous Windows 64 bits (ou Office 32 bits sous Windows 32 bits) :

                HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

  • Pour Office 32 bits sous Windows 64 bits :

                HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

Dans ce cas, CLSID correspond à l’identificateur de classe de l’objet COM.

Pour activer le bit d’arrêt Office COM, procédez comme suit :

  1. Ajoutez la sous-clé de Registre accompagnée du CLSID du contrôle ActiveX ou de l’objet OLE dont vous voulez empêcher le chargement.

  2. Ajoutez la valeur REG_DWORD Compatibility Flags à cette sous-clé et définissez-la sur 0x00000400.

Par exemple, pour définir le bit d’arrêt Office COM pour un objet ayant le CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} sur Office 2016, procédez comme suit :

  1. Recherchez la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Ajoutez une sous-clé avec la valeur {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Dans ce cas, le chemin d’accès qui en résulte est le suivant :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Ajoutez la valeur REG_DWORD Compatibility Flags à cette sous-clé et définissez-la sur 0x00000400.

Le bit d’arrêt Office COM est à présent défini pour empêcher l’activation de cet objet dans Office.

Comment bloquer uniquement les objets COM dans les scénarios de liaison et d’incorporation

Comme indiqué précédemment, la fonctionnalité de bit d’arrêt COM a été mise à jour pour empêcher l’activation d’objets COM spécifiés à partir d’Office.

Pour bloquer uniquement les objets COM incorporés ou liés à partir de documents Office, procédez comme suit :

  1. Ajoutez le CLSID au bit d’arrêt COM en suivant les instructions figurant dans la section « Définition du bit d’arrêt Office » (s’il ne figure pas déjà dans la liste).

  2. Sous la sous-clé du CLSID bloqué, ajoutez une valeur REG_DWORD nommée ActivationFilterOverride et définissez-la sur 0x00000001.

Par exemple, pour configurer le bit d’arrêt COM permettant uniquement le blocage dans les scénarios de liaison et d’incorporation pour un objet ayant le CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} sur Office 2016, procédez comme suit :

  1. Recherchez la sous-clé de Registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility 

  2. Ajoutez une sous-clé ayant la valeur {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Dans ce cas, le chemin d’accès qui en résulte est le suivant :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} 

  3. Ajoutez la valeur REG_DWORD Compatibility Flags à cette sous-clé et définissez-la sur 0x00000400.

  4. Ajoutez la valeur REG_DWORD ActivationFilterOverride à cette sous-clé et définissez-la sur 0x00000001.

Le bit d’arrêt Office COM est à présent défini pour bloquer cet objet COM uniquement lorsqu’il est lié ou incorporé dans des documents Office.

Contrôles dont l’activation est bloquée par défaut

Contrôle

CLSID

ScriptMoniker

06290BD3-48AA-11D2-8432-006008C3FBFC

SoapActivator

ECABAFD0-7F19-11D2-978E-0000F8757E2A

SoapMoniker

ECABB0C7-7F19-11D2-978E-0000F8757E2A

PartitionMoniker

ECABB0C5-7F19-11D2-978E-0000F8757E2A

QueueMoniker

ECABAFC7-7F19-11D2-978E-0000F8757E2A

HTMLApplication

3050F4D8-98B5-11CF-BB82-00AA00BDCE0B

ScripletContext

06290BD0-48AA-11D2-8432-006008C3FBFC

Scriplet Mêmeor

06290BD1-48AA-11D2-8432-006008C3FBFC

ScripletFactory

06290BD2-48AA-11D2-8432-006008C3FBFC

ScripletHostEncode

06290BD4-48AA-11D2-8432-006008C3FBFC

ScripletTypeLib

06290BD5-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Automation

06290BD8-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Event

06290BD9-48AA-11D2-8432-006008C3FBFC

ScripletHandler_ASP

06290BDA-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Behavior

06290BDB-48AA-11D2-8432-006008C3FBFC

XMLFeed

528D46B3-3A4B-4B13-BF74-D9CBD7306E07

Scriptlet

AE24FDAE-03C6-11D1-8B76-0080C744F389

HtmlFile_FullWindowEmbed

25336921-03F9-11CF-8FD0-00AA00686F13

Fichier Mhtml

3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Microsoft HTA Document 6.0

3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

DHTMLEdit.DHTMLEdit.1

2D360200-FFF5-11D1-8D03-00A0C959BC0A

DHTMLSafe.DHTMLSafe.1

2D360201-FFF5-11D1-8D03-00A0C959BC0A

VB Script Language

B54F3741-5B07-11cf-A4B0-00AA004A55E8

VB de texte en langage de script

B54F3742-5B07-11cf-A4B0-00AA004A55E8

Codage de langage VBScript

B54F3743-5B07-11cf-A4B0-00AA004A55E8

Code hôte VBScript

85131631-480C-11D2-B1F9-00C04F86C324

Objet Shockwave Flash

D27CDB6E-AE6D-11cf-96B8-444553540000

Macromedia Flash Factory Object

D27CDB70-AE6D-11cf-96B8-444553540000

Microsoft Silverlight

DFEAF541-F3E1-4c24-ACAC-99C30715084A

Adobe Shockwave Player

233C1507-6A77-46A4-9443-F871F945D258

Contrôle Python

DF630910-1C1D-11D0-AE36-8C0F5E000000

Contrôles dont l’incorporation est bloquée par défaut

Contrôle

CLSID

Shell.Explorer.2

8856F961-340A-11D0-A96B-00C04FD705A2

Htmlfile

25336920-03F9-11CF-8FD0-00AA00686F13

Document HTML Microsoft pour fenêtre pop-up

3050F67D-98B5-11CF-BB82-00AA00BDCE0B

            Remarque : cette liste est un aperçu des contrôles bloqués et peut faire lʼobjet de modifications.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?

Nous vous remercions de vos commentaires.

×