Oprez: U ovom se članku nalaze informacije koje će vam pokazati kako kontrolirati sigurnosne postavke za Office. Možete unijeti promjene u te sigurnosne postavke da biste povećali ili smanjili sigurnosni položaj. Prije nego što izvršite te promjene, preporučujemo da procijenite rizike povezane s promjenama koje izvršite da biste konfigurirali tu postavku.
UVOD
U ovom se članku opisuju postavke dostupne korisnicima i IT administratorima da bi kontrolirali jesu li i kako se COM objekti učitali tako da imaju popis sustava Microsoft Office kill bit.
Dodatne informacije o ponašanju u sustavu Windows Internet Explorer na kojoj se ta značajka temelji, uključujući način postavljanja promjena ActiveX kontrola za učitavanje, potražite u članku Sprječavanje izvođenja ActiveX kontrole u pregledniku Internet Explorer.
Te se smjernice odnose na Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher i Microsoft Visio.
Office COM kill bit
Office COM Kill zalogaj predstavljen je u sigurnosnom ažuriranju MS10-036 da bi se spriječilo da se specifični COM objekti pokrenu prilikom ugrađenog ili povezanog s dokumentima sustava Office.
Funkcionalnost COM Kill bita ažurirana je u KB3178703 da biste u potpunosti blokirali com objekte da ga aktiviraju u postupku u sustavu Office. Ovo je ažuriranje super skup izvornog ponašanja u kojem se, osim blokiranjem COM objekata ugrađenih ili povezanih u dokumentima sustava Office, to blokira bilo koje instance COM objekata koji se učitavaju unutar procesa sustava Office putem drugih sredstava kao što su dodaci.
Ovi specifični COM objekti obuhvaćaju ActiveX kontrole i OLE objekte. Putem registra možete samostalno kontrolirati koji su COM objekti blokirani prilikom korištenja sustava Office.
NapomenaNe preporučujemo da uklonite gumb ubij koji je postavljen za COM objekt. Ako to učinite, možda ćete stvarati sigurnosne ranjivosti. Gumb za ubojstvo obično je postavljen za razlog koji bi mogao biti kritičan. Stoga morate biti vrlo pažljivi kada poništite kontrolu ActiveX kontrole.
Možete dodati zamjensku CLSID (poznat i kao "Feniksov zalogaj") kada morate povezati CLSID nove ActiveX kontrole (a ta je ActiveX kontrola izmijenjena da bi se smanjila sigurnost), na CLSID kontrole ActiveX na koju je primijenjena verzija Office COM Kill. Office podržava alternativni Kleclsid samo kada se koriste ActiveX kontrole COM objekti.
Upozorenje: Popis pobijaj za Office ima prednost iznad popisa kill bit za Internet Explorer. Primjerice, Office COM kill bit i ActiveX gumb za Internet Explorer mogu se postaviti za istu ActiveX kontrolu. No, alternativno je postavljen na samo popis u pregledniku Internet Explorer. U ovom scenariju postoji sukob između dviju postavki. U takvim slučajevima postavke sustava Office COM Kill bita imaju prednost, a kontrola nije učitana.
Postavljanje sustava Office COM kill bit
Važno:
-
Ovaj odjeljak, postupak ili zadatak sadrže upute za izmjenu registra. No nepravilnim izmjenama registra možete prouzročiti ozbiljne probleme. Zato pažljivo slijedite ove upute. Radi dodatne zaštite prije izmjene registra stvorite njegovu sigurnosnu kopiju. Na taj ćete način moći vratiti registar ako se pojave problemi. Dodatne informacije o stvaranju sigurnosne kopije i vraćanju registra potražite u članku iz Microsoftove baze znanja pod brojem
-
322756Sigurnosno kopiranje i vraćanje registra u sustavu Windows
Mjesto za postavljanje sustava Office COM kill bit u registru je kako slijedi:
Za Office 2013 i Office 2010:
-
Za 64-bitni Office na 64-bitnom sustavu Windows (ili 32-bitni Office na 32-bitnom sustavu Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Za 32-bitni Office na 64-bitnom sustavu Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Za Office 2016:
-
Za 64-bitni Office na 64-bitnom sustavu Windows (ili 32-bitni Office na 32-bitnom sustavu Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
Za 32-bitni Office na 64-bitnom sustavu Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
U ovom slučaju CLSID je identifikator klase u COM objektu.
Da biste omogućili verziju sustava Office COM Kill, slijedite ove korake:
-
Dodajte potključ registra zajedno s CLSID-om ActiveX kontrole ili OLE objekta koji želite blokirati iz učitavanja.
-
Dodajte REG_DWORD u ovaj potključ pod nazivom oznake kompatibilnosti i postavite vrijednost na 0x00000400.
Da biste, primjerice, postavili Office COM kill bit za objekt koji ima CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} u sustavu Office 2016, slijedite ove korake:
-
Pronađite sljedeći subkey registra:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Dodajte potključ s vrijednošću {77061a9c-2F18-4f38-b294-f6bcc8443d24}. U ovom slučaju, put koji je nastao je sljedeći:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Dodajte REG_DWORD u ovaj potključ koji se naziva zastavicama za kompatibilnosti postavite vrijednost na 0x00000400.
Sustav Office COM kill bit će sada postavljen da blokira aktiviranje tog objekta u sustavu Office.
Kako samo blokirati COM u povezivanju i ugrađivanje scenarija
Kao što je spomenuto, funkcionalnost COM Kill bita ažurirana je da bi se blokirala sva aktivacija navedenih COM objekata iz sustava Office.
Da biste blokirali COM objekte koji su ugrađeni ili povezani u dokumentima sustava Office, slijedite ove korake:
-
Dodajte CLSID u COM Kill zalogaj po uputama u odjeljku "Postavljanje sustava Office kill bit" (ako već nije na popisu)
-
U odjeljku potključ za CLSID koji je blokiran dodajte vrijednost REG_DWORD koja se naziva activationfilter,i postavite vrijednost na 0x00000001.
Da biste, primjerice, konfigurirali COM kill bit da blokira samo povezivanje i ugrađivanje scenarija za objekt koji ima CLSID {77061E9c-2F18-4f38-b294-f6bcc8443d24} u sustavu Office 2016, slijedite ove korake:
-
Pronađite sljedeći subkey registra:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Dodajte potključ s vrijednošću {77061a9c-2F18-4f38-b294-f6bcc8443d24}. U ovom slučaju, put koji je nastao je sljedeći:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Dodajte vrijednost REG_DWORD u ovaj potključ koji se naziva zastavicama za kompatibilnosti postavite vrijednost na 0x00000400.
-
Dodajte REG_DWORD na ovaj potključ pod nazivom activationfilter,i postavite vrijednost na 0x00000001.
Sustav Office COM kill bit će sada postavljen da blokira ovaj COM objekt samo ako je povezan ili ugrađen u dokumentima sustava Office.
Kontrole koje se po zadanom blokiraju iz aktivacije
|
Kontrolu |
CLSID |
|
Skriptinadimak |
0290BD3-48AA-11D2-8432-006008C3FBFC |
|
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
|
Soapapeker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
|
Partitione |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
|
Nadimak u redu čekanja |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
|
Htmlappda |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
|
ScripletContext |
49493FBFC-U |
|
ScripletConstructor |
18290BD1-48AA-11D2-8432-006008C3FBFC |
|
ScripletFactory |
0290BD2-48AA-11D2-8432-006008C3FBFC |
|
ScripletHostEncode |
0290BD4-48AA-11D2-8432-006008C3FBFC |
|
ScripletTypeLib |
18290BD5-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Automation |
0290BD8-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Event |
0290BD9-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_ASP |
0290BDA-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Behavior |
0290BDB-48AA-11D2-8432-006008C3FBFC |
|
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
|
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
|
HtmlFile_FullWindowEmbed |
OPIS SERVISA U SUSTAVU U PROGRAMU (OPIS FUNKCIJE) |
|
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
|
Microsoft HTA dokument 6,0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
|
Dahtmledit. d-Htmledit. 1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
|
Dahtmlsafe. DB |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
|
VB Script jezik |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
|
Autorstvo VB skriptne jezike |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
|
Kodiranje jezičnog jezika za VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
|
Kodiranje koda programa VBScript host |
85131631-480C-11D2-B1F9-00C04F86C324 |
|
Shockwave Flash objekt |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
|
Objekt Macromedia Flash Factory |
D27CDB70-AE6D-11cf-96B8-444553540000 |
|
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
|
Adobe Shockwave Player |
U REDU, NE MOGU SE VIŠE VIŠE RADITI S NJIMA. |
|
Python Control |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Kontrole koje se po zadanom blokiraju iz ugrađivanja
|
Kontrolu |
CLSID |
|
Shell. Explorer. 2 |
U REDU, NE MOŽETE SE VIŠE NI NA KOJI DRUGI PUT NA SERVISU |
|
Htmlfile |
OPIS SERVISA (U PROGRAMU) (OPIS FUNKCIJE) |
|
Microsoft HTML dokument za popup prozor |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Pažnja: ovaj je popis snimka blokiranih kontrola, a podložna je promjeni
