זהירות: מאמר זה מכיל מידע שמראה לך כיצד לשלוט בהגדרות האבטחה עבור Office. באפשרותך לבצע שינויים בהגדרות אבטחה אלה כדי להגדיל או להקטין את תנוחת האבטחה שלך. לפני ביצוע שינויים אלה, מומלץ להעריך את הסיכונים המשויכים לשינויים שתבצע כדי לקבוע את תצורת ההגדרה.
מבוא
מאמר זה מתאר הגדרות זמינות עבור משתמשים ומנהלי IT כדי לקבוע אם אובייקטי COM נטענים על-ידי הצגת רשימת סיביות של Microsoft Office kill.
לקבלת מידע נוסף אודות אופן הפעולה של הkill ב-Windows Internet Explorer שתכונה זו מבוססת עליה, כולל כיצד להגדיר את AlternateCLSIDs המאפשרים לפקדי ActiveX מעודכנים להיטען, ראה כיצד למנוע הפעלה של פקד activex ב-Internet Explorer.
הנחיה זו חלה על Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher ו-Microsoft Visio.
סיבית kill של Office COM
סיבית הkill של Office COM הוצגה בעדכון האבטחה MS10-036 כדי למנוע הפעלה של אובייקטי COM ספציפיים כאשר הם מוטבעים או מקושרים ממסמכי Office.
פונקציונליות ה-COM Kill bit עודכנה ב- KB3178703 כדי לחסום לחלוטין את הפעלת אובייקטי COM בתהליך ההפעלה של Office. עדכון זה מהווה קבוצת על של אופן הפעולה המקורי שבו, בנוסף לחסימת אובייקטי COM המוטבעים או מקושרים במסמכי Office, פעולה זו חוסמת כל מופע של אובייקטי COM הנטענים בתוך תהליך Office באמצעות אמצעים אחרים כגון תוספות.
אובייקטי COM ספציפיים אלה כוללים פקדי ActiveX ואובייקטי OLE. באמצעות הרישום, באפשרותך לקבוע באופן עצמאי אילו אובייקטי COM נחסמים בעת השימוש ב-Office.
הערהלא מומלץ להסיר את סיבית kill שהוגדרה עבור אובייקט COM. אם תעשה זאת, תוכל ליצור פגיעויות אבטחה. סיבית kill מוגדרת בדרך כלל מסיבה שעשויה להיות קריטית. לכן, עליך להיות זהיר מאוד כאשר אתה מכבה פקד ActiveX.
באפשרותך להוסיף AlternateCLSID (הנקרא גם "Phoenix bit") כאשר עליך לקשר את ה-CLSID של פקד ActiveX חדש (ופקד ActiveX זה שונה כדי להפחית את איום האבטחה), אל ה-CLSID של פקד ה-ActiveX שאליו הוחל סיבית kill של Office COM. Office תומך ב-AlternateCLSID רק כאשר נעשה שימוש באובייקטי COM של פקד ActiveX.
הערה: רשימת הסיביות להריגה של Office מקבלת קדימות על-פני רשימת kill bit עבור Internet Explorer. לדוגמה, ניתן להגדיר את סיבית ה-kill של Office COM ו-web Explorer של ActiveX של Internet Explorer עבור אותו פקד ActiveX. אולם AlternateCLSID מוגדר רק על הרשימה עבור Internet Explorer. בתרחיש זה, קיימת התנגשות בין שתי ההגדרות. במקרים כאלה, הגדרות הסיביות של Office COM מקבלות קדימות והפקד אינו טעון.
הגדרת סיבית הkill של Office COM
חשוב:
-
מקטע זה, פעולת שירות או משימה זו מכילה שלבים שיספרו לך כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד על ביצוע שלבים אלה בתשומת לב מרובה. לתוספת הגנה, גבה את הרישום לפני שתשנה אותו. לאחר מכן, תוכל לשחזר את הרישום אם תתרחש בעיה. לקבלת מידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציג את המאמר במאגר הידע Microsoft Knowledge Base:
-
322756כיצד לגבות ולשחזר את הרישום ב- Windows
מיקום ההגדרה של הסיבית הkill של Office COM ברישום הוא כדלקמן:
עבור Office 2013 ו-Office 2010:
-
לקבלת משרד של 64-bit בחלונות 64 סיביות (או במשרד 32-סיביות בחלונות של 32).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
לקבלת משרד של 32-bit בחלונות 64 סיביות:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
עבור Office 2016:
-
לקבלת משרד של 64-bit בחלונות 64 סיביות (או 32-bit Office בחלונות של 32 סיביות):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
לקבלת משרד של 32-bit בחלונות 64 סיביות:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
במקרה זה, CLSID הוא מזהה הכיתה של אובייקט COM.
כדי להפוך את kill bit של Office COM לזמין, בצע שלבים אלה:
-
הוסף את מפתח המשנה של הרישום יחד עם ה-CLSID של פקד ActiveX או אובייקט OLE שברצונך לחסום מטעינה.
-
הוסף REG_DWORD למפתח משנה זה בשם דגלי תאימות והגדר את הערך שלו 0x00000400'.
לדוגמה, כדי להגדיר את הסיבית של Office COM עבור אובייקט הכולל CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} ב-Office 2016, בצע את הפעולות הבאות:
-
אתר את מפתח המשנה הבא של הרישום
:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
הוסף מפתח משנה עם הערך {77061A9C-2F18-4f38-B294-F6BCC8443D24}. במקרה זה, הנתיב המתקבל הוא כדלקמן
:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
הוסף REG_DWORD למפתח משנה זה בשם דגלי תאימותוהגדר את הערך שלו 0x00000400'.
סיבית הkill של Office COM מוגדרת כעת לחסימת אובייקט זה מפני ההפעלה בתוך Office.
כיצד לחסום את COM רק בתרחישים של קישור והטבעה
כפי שהוזכר, הפונקציונליות של bit ה-COM kill עודכנה כדי לחסום את כל ההפעלה של אובייקטי COM שצוינו מתוך Office.
כדי לחסום רק אובייקטי COM המוטבעים או מקושרים מתוך מסמכי Office, בצע את הפעולות הבאות:
-
הוסף את ה-CLSID ל-COM kill bit לכל ההוראות תחת "הגדרת סיבית kill של Office" (אם היא אינה נמצאת כבר ברשימה)
-
תחת מפתח המשנה של ה-CLSID שנחסם, הוסף ערך REG_DWORD בשם ActivationFilterOverrideוהגדר את הערך שלו ל- 0x00000001.
לדוגמה, כדי לקבוע את התצורה של ה-COM kill bit כדי לחסום רק בתרחישים של קישור והטבעה של אובייקט הכולל CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} ב-Office 2016, בצע את הפעולות הבאות:
-
אתר את מפתח המשנה הבא של הרישום
:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
הוסף מפתח משנה שמכיל את הערך {77061A9C-2F18-4f38-B294-F6BCC8443D24}. במקרה זה, הנתיב המתקבל הוא כדלקמן
:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
הוסף ערך REG_DWORD למפתח משנה זה שנקרא ' דגלי תאימות', והגדר את הערך שלו 0x00000400'.
-
הוסף REG_DWORD למפתח משנה זה בשם ActivationFilterOverrideוהגדר את הערך שלו ל- 0x00000001.
הסיבית של Office COM kill מוגדרת כעת לחסימת אובייקט COM זה רק אם הוא מקושר או מוטבע במסמכי Office.
פקדים שנחסמו מפני הפעלה כברירת מחדל
|
פקד |
CLSID |
|
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
|
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
|
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
|
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
|
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
|
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
|
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
|
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
|
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
|
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
|
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
|
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
|
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
|
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
|
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
|
Microsoft HTA Document 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
|
DHTMLEdit. DHTMLEdit 1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
|
DHTMLSafe. DHTMLSafe 1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
|
שפת Script של VB |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
|
עריכה של שפת Script של VB |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
|
קידוד שפה של VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
|
קידוד מארח VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
|
Shockwave Flash Object |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
|
אובייקט מפעל Flash של Macromedia |
D27CDB70-AE6D-11cf-96B8-444553540000 |
|
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
|
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
|
בקרת פייתון |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
פקדים שנחסמו על-ידי הטבעה כברירת מחדל
|
פקד |
CLSID |
|
מעטפת. Explorer. 2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
|
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
|
מסמך Microsoft HTML עבור חלון מוקפץ |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
הערה: רשימה זו היא תמונה של פקדים חסומים, והוא כפוף לשינוי
