Az Office 2003 és a 2007-es Office rendszer ActiveX-vezérlőinek és OLE-objektumainak biztonsági beállításai

Fontos: A cikkben szereplő információk segítségével számítógépén alacsonyabb szintű biztonsági beállításokat adhat meg, illetve kikapcsolhat biztonsági szolgáltatásokat. Ezeket a módosításokat egy adott probléma megoldása érdekében ajánlott végrehajtani, előtte azonban célszerű mérlegelni a probléma ilyen módon történő megoldásával járó kockázatokat az adott környezetben. A cikkben tárgyalt kerülő megoldás választása esetén gondoskodjon a számítógép védelméről.

BEVEZETÉS

A cikk előzetes dokumentáció, melynek tartalma a jövőben változhat.

A biztonsági frissítés lehetővé teszi a felhasználók számára, hogy a Microsoft Office tiltóbitlistáival szabályozzák az ActiveX-vezérlők és az OLE-objektumok betöltésének módját. A Windows Internet Explorer tiltóbitlistáiról, valamint a frissített ActiveX-vezérlők betöltését lehetővé tévő alternatív osztályazonosítókról (AlternateCLSID) az  című cikkben olvashat részletesebben.

Információ és tanácsok az Active Template Library (ATL) távoli kódfuttatásra lehetőséget adó biztonsági réseivel kapcsolatban:

Biztonsági tanácsokat tartalmazó dokumentum (Microsoft Security Advisory): A Microsoft Active Template Library összetevő biztonsági rései távolról végrehajtott kódfuttatást tehetnek lehetővé (Előfordulhat, hogy a tartalom angol nyelven érhető el)
A hivatkozott cikkben tárgyalt tanácsok mindegyike alkalmas az ATL biztonsági réseinek csökkentésére. Ez a biztonsági frissítés az ATL-specifikus kockázati tényezők további csökkentésével foglalkozik.

A biztonsági frissítés a Microsoft Word, a Microsoft Excel, a Microsoft PowerPoint, a Microsoft Publisher és a Microsoft Visio alkalmazást érinti.

Az Office COM-tiltóbitje

Az MS10-036 jelű biztonsági frissítésben megjelent Office COM-tiltóbittel is letiltható a nem kívánt COM-objektumok futása az Office-alkalmazásokban. A COM-objektumok ActiveX-vezérlők és OLE-objektumok is lehetnek. Mostantól a beállításjegyzéken keresztül egyesével is blokkolható az ActiveX- és OLE-objektumok futása az Office-alkalmazásokban.

Fontos tudnivalók

  • Ha egy OLE-objektum beállításkulcsában be van állítva az Office COM-tiltóbitje, az objektum nem töltődik be, és semmilyen körülmények között nem is tölthető be.

  • Az Office 2007 alkalmazásaiban az alábbi hibaüzenet jelenik meg:


    A rendszer letiltotta a külső csatolt OLE-fájlokra mutató hivatkozásokat.

  • Az Office 2003 alkalmazásaiban az alábbi hibaüzenet jelenik meg:

    Nem sikerült egy objektumosztály létrehozására tett kísérlet. A hozzáférés megtagadva.



A nem betölthető objektum osztályazonosítóját megállapíthatja a TechNet webhelyről letölthető eszközzel. A Process Monitor naplófájljában tanulmányozza az Internet Explorer tiltóbitjével kapcsolatos bejegyzéseket.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Megjegyzés: A COM-objektumokra beállított tiltóbiteket nem javasolt eltávolítani, mivel az biztonsági kockázatot jelenthet. A tiltóbit beállítása rendszerint indokolt esetben történik, így a korábban letiltott ActiveX-vezérlők engedélyezésekor fokozott körültekintéssel járjon el.

Az Office COM-tiltóbitjével blokkolt ActiveX-vezérlő CLSID azonosítója mellett alternatív azonosítókat (AlternateCLSID, más néven Phoenix bit) is megadhat, ha egy új ActiveX-vezérlő CLSID azonosítóját kell társítania a blokkolt vezérlőével (feltételezve, hogy az új vezérlő módosítva lett, és a módosítás fokozta a biztonságosságát). Az Office csak az ActiveX-vezérlő típusú COM-objektumok esetén támogatja az AlternateCLSID tulajdonságot.

Megjegyzés: Az Office tiltóbitlistája elsőbbséget élvez az Internet Explorer tiltóbitlistájával szemben. Előfordulhat például, hogy az Office COM-tiltóbitje és az Internet Explorer ActiveX-tiltóbitje is be van állítva egy ActiveX-vezérlő esetén, azonban csak az Internet Explorer listájában van megadva alternatív osztályazonosító (AlternateCLSID). Ebben az esetben a két beállítás ellentmondásos, és az Office COM-tiltóbit beállítása válik mérvadóvá, aminek következtében a vezérlő nem töltődik be.

Az Office COM-tiltóbit beállítása

Fontos: Az alábbi szakasz, módszer vagy feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt célszerű biztonsági másolatot készíteni, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

A beállításjegyzék biztonsági mentése és visszaállítása Windows XP rendszerbenAz Office COM-tiltóbitjének beállítását a beállításjegyzék alábbi kulcsában találja:

HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}(ahol CLSID az adott COM-objektum osztályazonosítója). Az Office COM-tiltóbitjének engedélyezéséhez létre kell hoznia egy beállításkulcsot a blokkolandó ActiveX-vezérlő vagy OLE-objektum osztályazonosítójával, és a REG_DWORD típusú kompatibilitásjelző Compatibility Flag azonosító értékét a 0x00000400 értékre kell állítani.  

Ha az Office COM-tiltóbitjét például a {77061A9C-2F18-4f38-B294-F6BCC8443D24} osztályazonosítójú objektumra kívánja beállítani, keresse meg az alábbi beállításkulcsot, és hozza létre benne a {77061A9C-2F18-4f38-B294-F6BCC8443D24} nevű (REG_SZ típusú) alkulcsot:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityEbben az esetben az elérési út a következőképpen alakul:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} Ezt követően a {CLSID} kulcsban létre kell hoznia a Compatibility Flag nevű azonosítót a 0x00000400 értékkel az Office COM-tiltóbitjének beállításához. A 64 és a 32 bites objektumok és tiltóbitjeik a beállításjegyzékben máshol helyezkednek el.

További információt talál a Microsoft tiltóbitekkel kapcsolatos gyakori kérdései között: 

Az Internet Explorer OLE-objektumokra vonatkozó tiltóbitjeinek felülbírálása

Az Internet Explorer tiltóbitjeinek felülbírálásával megadhatja, hogy a böngésző tiltóbitlistáján szereplő OLE-objektumok közül melyeket töltheti be az Office. Ezt a megoldást csak akkor ajánlott választani, ha határozottan tudja, hogy az adott OLE-objektum biztonságosan betölthető az Office alkalmazásaiban. Fontos megjegyezni, hogy amikor az Office a böngésző felülbírált tiltóbitjeit ellenőrzi, az Office COM-tiltóbit engedélyezettségét is vizsgálja. Ha az Office COM-tiltóbitje engedélyezett, az érintett OLE-objektum nem töltődik be.

Az Internet Explorer tiltóbitjének felülbírálásához helyesen kell kategorizálnia az OLE-objektumot. Ha a beállításjegyzékben még nem létezik, hozza létre az Implemented Categories nevű alkulcsot a COM-objektum osztályazonosítójának megfelelő beállításkulcsban. Ezt követően hozzon létre egy {F3E0281E-C257-444E-87E7-F3DC29B62BBD} nevű alkulcsot az Implemented Categories kulcsban. Ez az osztályazonosító az OLE-objektumok kategóriaazonosítója (CATID).

Ha például az Internet Explorer be van állítva egy OLE-objektum blokkolására, de az Office alkalmazásaiban használni szeretné az objektumot, előbb keresse meg az OLE-objektum osztályazonosítóját a beállításjegyzék alábbi ágában:

HKEY_CLASSES_ROOT\CLSID A Microsoft Graph diagram osztályazonosítója például {00020803-0000-0000-C000-000000000046}. Ezt követően meg kell állapítania, hogy ez a kulcs rendelkezik-e Implemented Categories nevű alkulccsal, vagy most kell létrehozni az alkulcsot. A példában a következő kulcs meglétét kell ellenőriznie:

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Végül egy új alkulcsot kell létrehozni az Implemented Categories kulcs alatt, melynek neve az OLE-objektumok fentebb említett kategóriaazonosítója. A példabeli objektum esetén a következő elérési útnak kell létrejönnie:

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Megjegyzés: Az OLE-objektumok kategóriaazonosítója {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, és a kapcsos zárójelek részei az azonosítónak (így a kulcsnévben is meg kell adni őket).

Az ATL-specifikus kockázati tényezők csökkentésének megszüntetése

Ha engedélyezve van az ATL-specifikus kockázati tényezők csökkentése, az OleLoadFromStreamsuch azonosítót használó vezérlők nem fognak működni, a vezérlők adatai pedig elvesznek. A probléma érinti például a VB6/Windows általános vezérlőket.

Figyelmeztetés: Ez a kerülő megoldás védtelenebbé teheti a számítógépet vagy a hálózatot a rosszindulatú felhasználók és a kártevő szoftverek – például a vírusok – támadásaival szemben. Az eljárás végrehajtása ugyan nem javasolt, de az információt rendelkezésére bocsátjuk, hogy belátása szerint dönthessen. Az alábbi megoldást csak saját felelősségére alkalmazhatja.

Az ATL-specifikus kockázati tényezők csökkentését megszüntető megoldást kizárólag abban az esetben javasoljuk alkalmazni, ha a csökkentett kockázatot jelentő módszerek olyan mértékű változásokat okoznak, hogy feltétlenül szükségessé válik a visszavonásuk. A csökkentett kockázati helyzet megszüntetésével biztonsági rések jelenhetnek meg. A csökkentett kockázati helyzet megszüntetése után ajánlott csak a megbízható forrásból származó és nem előzetes bejelentés nélkül érkező Microsoft Office-fájlokat megnyitni.

Az ATL biztonsági réseivel kapcsolatos kockázati tényezőket enyhítő megoldások letiltásához a REG_DWORD típusú NoOLELoadFromStreamChecks azonosítót a 00000001 értékre kell állítani a beállításjegyzék alábbi kulcsában:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
Megjegyzés: Ha az azonosító nem létezik, REG_DWORD típusúként kell létrehoznia.

Szkriptlet-vezérlők letiltása az Office-alkalmazásokban

A biztonsági frissítés telepítését követően letilthatja az Office-alkalmazásokban a szkriptleteket, miközben az Internet Explorer beállításai változatlanok maradnak.

A szkriptletek Office-alkalmazásbeli letiltásához a REG_DWORD típusú Compatibility Flag beállításazonosítót állítsa a 00000400 értékre az alábbi beállításkulcsban:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
Néhány további vezérlő, melyet célszerű lehet az Office tiltólistájára helyezni:

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Köszönjük visszajelzését!

Köszönjük visszajelzését. Jobbnak látjuk, ha az Office egyik támogatási szakemberéhez irányítjuk.

×