Az Office 2003 és a 2007-es Office rendszer ActiveX-vezérlőinek és OLE-objektumainak biztonsági beállításai

Fontos: A cikkben szereplő információk segítségével számítógépén alacsonyabb szintű biztonsági beállításokat adhat meg, illetve kikapcsolhat biztonsági szolgáltatásokat. Ezeket a módosításokat egy adott probléma megoldása érdekében ajánlott végrehajtani, előtte azonban célszerű mérlegelni a probléma ilyen módon történő megoldásával járó kockázatokat az adott környezetben. A cikkben tárgyalt kerülő megoldás választása esetén gondoskodjon a számítógép védelméről.

BEVEZETÉS

A cikk előzetes dokumentáció, melynek tartalma a jövőben változhat.

A biztonsági frissítés lehetővé teszi a felhasználók számára, hogy a Microsoft Office tiltóbitlistáival szabályozzák az ActiveX-vezérlők és az OLE-objektumok betöltésének módját. A Windows Internet Explorer tiltóbitlistáiról, valamint a frissített ActiveX-vezérlők betöltését lehetővé tévő alternatív osztályazonosítókról (AlternateCLSID) az ActiveX-vezérlők futásának megakadályozása Internet Explorer böngészőben című cikkben olvashat részletesebben.

Információ és tanácsok az Active Template Library (ATL) távoli kódfuttatásra lehetőséget adó biztonsági réseivel kapcsolatban:
973882 Biztonsági tanácsokat tartalmazó dokumentum (Microsoft Security Advisory): A Microsoft Active Template Library összetevő biztonsági rései távolról végrehajtott kódfuttatást tehetnek lehetővé (Előfordulhat, hogy a tartalom angol nyelven érhető el)

A hivatkozott cikkben tárgyalt tanácsok mindegyike alkalmas az ATL biztonsági réseinek csökkentésére. Ez a biztonsági frissítés az ATL-specifikus kockázati tényezők további csökkentésével foglalkozik.

A biztonsági frissítés a Microsoft Word, a Microsoft Excel, a Microsoft PowerPoint, a Microsoft Publisher és a Microsoft Visio alkalmazást érinti.

Az Office COM-tiltóbitje

Az MS10-036 jelű biztonsági frissítésben megjelent Office COM-tiltóbittel is letiltható a nem kívánt COM-objektumok futása az Office-alkalmazásokban. A COM-objektumok ActiveX-vezérlők és OLE-objektumok is lehetnek. Mostantól a beállításjegyzéken keresztül egyesével is blokkolható az ActiveX- és OLE-objektumok futása az Office-alkalmazásokban.

Fontos tudnivalók
  • Ha egy OLE-objektum beállításkulcsában be van állítva az Office COM-tiltóbitje, az objektum nem töltődik be, és semmilyen körülmények között nem is tölthető be.
  • Az Office 2007 alkalmazásaiban az alábbi hibaüzenet jelenik meg:

    A rendszer letiltotta a külső csatolt OLE-fájlokra mutató hivatkozásokat.
  • Az Office 2003 alkalmazásaiban az alábbi hibaüzenet jelenik meg:
    Nem sikerült egy objektumosztály létrehozására tett kísérlet. A hozzáférés megtagadva.


A nem betölthető objektum osztályazonosítóját megállapíthatja a TechNet webhelyről letölthető Process Monitor eszközzel. A Process Monitor naplófájljában tanulmányozza az Internet Explorer tiltóbitjével kapcsolatos bejegyzéseket.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Megjegyzés: A COM-objektumokra beállított tiltóbiteket nem javasolt eltávolítani, mivel az biztonsági kockázatot jelenthet. A tiltóbit beállítása rendszerint indokolt esetben történik, így a korábban letiltott ActiveX-vezérlők engedélyezésekor fokozott körültekintéssel járjon el.

Az Office COM-tiltóbitjével blokkolt ActiveX-vezérlő CLSID azonosítója mellett alternatív azonosítókat (AlternateCLSID, más néven Phoenix bit) is megadhat, ha egy új ActiveX-vezérlő CLSID azonosítóját kell társítania a blokkolt vezérlőével (feltételezve, hogy az új vezérlő módosítva lett, és a módosítás fokozta a biztonságosságát). Az Office csak az ActiveX-vezérlő típusú COM-objektumok esetén támogatja az AlternateCLSID tulajdonságot.

Megjegyzés: Az Office tiltóbitlistája elsőbbséget élvez az Internet Explorer tiltóbitlistájával szemben. Előfordulhat például, hogy az Office COM-tiltóbitje és az Internet Explorer ActiveX-tiltóbitje is be van állítva egy ActiveX-vezérlő esetén, azonban csak az Internet Explorer listájában van megadva alternatív osztályazonosító (AlternateCLSID). Ebben az esetben a két beállítás ellentmondásos, és az Office COM-tiltóbit beállítása válik mérvadóvá, aminek következtében a vezérlő nem töltődik be.

Az Office COM-tiltóbit beállítása

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 A beállításjegyzék biztonsági mentése és visszaállítása Windows XP rendszerben
Az Office COM-tiltóbitjének beállítását a beállításjegyzék alábbi kulcsában találja:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
(ahol CLSID az adott COM-objektum osztályazonosítója). Az Office COM-tiltóbitjének engedélyezéséhez létre kell hoznia egy beállításkulcsot a blokkolandó ActiveX-vezérlő vagy OLE-objektum osztályazonosítójával, és a REG_DWORD típusú kompatibilitásjelző Compatibility Flag azonosító értékét a 0x00000400 értékre kell állítani.  

Ha az Office COM-tiltóbitjét például a {77061A9C-2F18-4f38-B294-F6BCC8443D24} osztályazonosítójú objektumra kívánja beállítani, keresse meg az alábbi beállításkulcsot, és hozza létre benne a {77061A9C-2F18-4f38-B294-F6BCC8443D24} nevű (REG_SZ típusú) alkulcsot:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Ebben az esetben az elérési út a következőképpen alakul:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Ezt követően a {CLSID} kulcsban létre kell hoznia a Compatibility Flag nevű azonosítót a 0x00000400 értékkel az Office COM-tiltóbitjének beállításához. A 64 és a 32 bites objektumok és tiltóbitjeik a beállításjegyzékben máshol helyezkednek el.

További információt talál a Microsoft tiltóbitekkel kapcsolatos gyakori kérdései között: 

Az Internet Explorer OLE-objektumokra vonatkozó tiltóbitjeinek felülbírálása

Az Internet Explorer tiltóbitjeinek felülbírálásával megadhatja, hogy a böngésző tiltóbitlistáján szereplő OLE-objektumok közül melyeket töltheti be az Office. Ezt a megoldást csak akkor ajánlott választani, ha határozottan tudja, hogy az adott OLE-objektum biztonságosan betölthető az Office alkalmazásaiban. Fontos megjegyezni, hogy amikor az Office a böngésző felülbírált tiltóbitjeit ellenőrzi, az Office COM-tiltóbit engedélyezettségét is vizsgálja. Ha az Office COM-tiltóbitje engedélyezett, az érintett OLE-objektum nem töltődik be.

Az Internet Explorer tiltóbitjének felülbírálásához helyesen kell kategorizálnia az OLE-objektumot. Ha a beállításjegyzékben még nem létezik, hozza létre az Implemented Categories nevű alkulcsot a COM-objektum osztályazonosítójának megfelelő beállításkulcsban. Ezt követően hozzon létre egy {F3E0281E-C257-444E-87E7-F3DC29B62BBD} nevű alkulcsot az Implemented Categories kulcsban. Ez az osztályazonosító az OLE-objektumok kategóriaazonosítója (CATID).

Ha például az Internet Explorer be van állítva egy OLE-objektum blokkolására, de az Office alkalmazásaiban használni szeretné az objektumot, előbb keresse meg az OLE-objektum osztályazonosítóját a beállításjegyzék alábbi ágában:
HKEY_CLASSES_ROOT\CLSID
A Microsoft Graph diagram osztályazonosítója például {00020803-0000-0000-C000-000000000046}. Ezt követően meg kell állapítania, hogy ez a kulcs rendelkezik-e Implemented Categories nevű alkulccsal, vagy most kell létrehozni az alkulcsot. A példában a következő kulcs meglétét kell ellenőriznie:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Végül egy új alkulcsot kell létrehozni az Implemented Categories kulcs alatt, melynek neve az OLE-objektumok fentebb említett kategóriaazonosítója. A példabeli objektum esetén a következő elérési útnak kell létrejönnie:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Megjegyzés: Az OLE-objektumok kategóriaazonosítója {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, és a kapcsos zárójelek részei az azonosítónak (így a kulcsnévben is meg kell adni őket).

Az ATL-specifikus kockázati tényezők csökkentésének megszüntetése

Ha engedélyezve van az ATL-specifikus kockázati tényezők csökkentése, az OleLoadFromStreamsuch azonosítót használó vezérlők nem fognak működni, a vezérlők adatai pedig elvesznek. A probléma érinti például a VB6/Windows általános vezérlőket.

Figyelmeztetés: Ez a kerülő megoldás védtelenebbé teheti a számítógépet vagy a hálózatot a rosszindulatú felhasználók és a kártevő szoftverek – például a vírusok – támadásaival szemben. Az eljárás végrehajtása ugyan nem javasolt, de az információt rendelkezésére bocsátjuk, hogy belátása szerint dönthessen. Az alábbi megoldást csak saját felelősségére alkalmazhatja.

Az ATL-specifikus kockázati tényezők csökkentését megszüntető megoldást kizárólag abban az esetben javasoljuk alkalmazni, ha a csökkentett kockázatot jelentő módszerek olyan mértékű változásokat okoznak, hogy feltétlenül szükségessé válik a visszavonásuk. A csökkentett kockázati helyzet megszüntetésével biztonsági rések jelenhetnek meg. A csökkentett kockázati helyzet megszüntetése után ajánlott csak a megbízható forrásból származó és nem előzetes bejelentés nélkül érkező Microsoft Office-fájlokat megnyitni.

Az ATL biztonsági réseivel kapcsolatos kockázati tényezőket enyhítő megoldások letiltásához a REG_DWORD típusú NoOLELoadFromStreamChecks azonosítót a 00000001 értékre kell állítani a beállításjegyzék alábbi kulcsában:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Megjegyzés: Ha az azonosító nem létezik, REG_DWORD típusúként kell létrehoznia.

Szkriptlet-vezérlők letiltása az Office-alkalmazásokban

A biztonsági frissítés telepítését követően letilthatja az Office-alkalmazásokban a szkriptleteket, miközben az Internet Explorer beállításai változatlanok maradnak.

A szkriptletek Office-alkalmazásbeli letiltásához a REG_DWORD típusú Compatibility Flag beállításazonosítót állítsa a 00000400 értékre az alábbi beállításkulcsban:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Néhány további vezérlő, melyet célszerű lehet az Office tiltólistájára helyezni:
VezérlőCLSID (osztályazonosító)
Microsoft HTA-dokumentum 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
HTML-fájl {25336920-03F9-11CF-8FD0-00AA00686F13}
Teljes ablakba ágyazott HTML-fájl {25336921-03F9-11CF-8FD0-00AA00686F13}
MHTML-fájl {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Webböngésző vezérlő {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTML-szerkesztő {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
Tulajdonságok

Cikkazonosító: 2252664 - Utolsó ellenőrzés: 2013. nov. 29. - Verziószám: 1

Visszajelzés