Pengaturan keamanan untuk objek COM di Office

Perhatian: Artikel ini berisi informasi yang memperlihatkan kepada Anda cara mengontrol pengaturan keamanan untuk Office. Anda bisa membuat perubahan pada pengaturan keamanan ini untuk menambah atau menurunkan postur keamanan Anda. Sebelum Anda membuat perubahan ini, kami menyarankan agar Anda mengevaluasi risiko yang terkait dengan perubahan apa pun yang Anda lakukan untuk mengonfigurasi pengaturan ini. 

PENDAHULUAN

Artikel ini menguraikan pengaturan yang tersedia untuk pengguna dan administrator TI untuk mengontrol apakah dan bagaimana objek COM dimuat dengan memiliki daftar Kill bit Microsoft Office.  

Untuk informasi selengkapnya tentang Windows Internet Explorer Kill bit behavior yang didasarkan pada fitur ini, termasuk cara mengatur AlternateCLSID yang memperbolehkan diperbarui kontrol ActiveX untuk memuat, lihat cara menghentikan kontrol ActiveX berjalan di Internet Explorer
 
Panduan ini berlaku untuk Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher, dan Microsoft Visio.  

Office COM Kill bit 

Office COM Kill bit diperkenalkan di pembaruan keamanan MS10-036 untuk mencegah objek COM tertentu berjalan saat disematkan atau ditautkan dari dokumen Office.  

Fungsionalitas Kill bit COM telah diperbarui di KB3178703 untuk memblokir sepenuhnya objek com agar tidak diaktifkan dalam proses oleh Office. Pembaruan ini merupakan superset dari perilaku asli di mana, selain memblokir objek COM yang disematkan atau ditautkan dalam dokumen Office, ini akan memblokir semua contoh objek COM yang dimuat dalam proses Office melalui cara lain seperti Add-in. 

Objek COM tertentu ini menyertakan kontrol ActiveX dan objek OLE. Melalui registri, Anda bisa secara independen mengontrol objek COM mana yang diblokir saat Anda menggunakan Office. 

AnKami tidak menyarankan Anda menghapus sedikit Kill yang diatur untuk objek COM. Jika Anda melakukan ini, Anda mungkin membuat kerentanan keamanan. Sedikit Kill biasanya diatur untuk alasan yang mungkin penting. Oleh karena itu, Anda harus sangat berhati-hati saat Menghapus instalan kontrol ActiveX.  
 
Anda dapat menambahkan AlternateCLSID (juga dikenal sebagai "Phoenix bit") saat Anda harus mengaitkan CLSID dari kontrol ActiveX baru (dan kontrol ActiveX ini telah dimodifikasi untuk mengurangi ancaman keamanan), ke CLSID dari kontrol ActiveX yang diterapkan Office COM Kill bit. Office mendukung AlternateCLSID hanya ketika objek COM Control ActiveX yang digunakan.  
 
Catatan: Daftar Kill bit untuk Office diutamakan di atas daftar Kill bit untuk Internet Explorer. Misalnya, Office COM Kill bit dan Internet Explorer ActiveX Kill bit mungkin diatur untuk kontrol ActiveX yang sama. Tapi AlternateCLSID diatur hanya pada daftar untuk Internet Explorer. Dalam skenario ini, terdapat konflik antara kedua pengaturan tersebut. Dalam contoh tersebut, pengaturan Office Kill bit diutamakan, dan kontrol tidak dimuat. 

Mengatur Office COM Kill bit

Penting: 

  • Bagian, metode, atau tugas ini berisi langkah-langkah yang memberi tahu Anda untuk memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum memodifikasinya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:  

  • 322756Cara membuat cadangan dan memulihkan registri di Windows  

Lokasi untuk mengatur Office COM Kill bit dalam registri adalah sebagai berikut:  

Untuk Office 2013 dan Office 2010:

  • Untuk Office 64-bit pada jendela 64-bit (atau 32-bit di Windows 32).

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}

Untuk Office 32-bit pada Windows 64-bit:

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}

Untuk Office 2016:

  • Untuk Office 64-bit pada jendela 64-bit (atau 32-bit Office pada jendela 32-bit):

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}

  • Untuk Office 32-bit pada Windows 64-bit:

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}

Dalam kasus ini, CLSID adalah pengidentifikasi kelas objek COM.  

Untuk mengaktifkan Office COM Kill bit, ikuti langkah-langkah berikut:

  1. Tambahkan subkunci registri bersama-sama dengan CLSID kontrol ActiveX atau objek OLE yang ingin Anda blokir memuat.

  2. Tambahkan REG_DWORD ke subkunci ini yang disebut bendera kompatibilitas dan atur nilainya ke 0x00000400.

Misalnya, untuk mengatur Office COM Kill bit untuk objek yang memiliki CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} di Office 2016, ikuti langkah-langkah berikut: 

  1. Temukan subkunci registri berikut ini:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Menambahkan subkunci dengan nilai {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Dalam kasus ini, jalur yang dihasilkan adalah sebagai berikut:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Tambahkan REG_DWORD ke subkunci ini yang bernama bendera kompatibilitas, dan atur nilainya ke 0x00000400.

Office COM Kill bit kini diatur untuk memblokir objek ini agar tidak diaktifkan di Office. 

Cara memblokir COM dalam skenario menautkan dan menyematkan 

Seperti disebutkan, fungsionalitas Kill bit COM telah diperbarui untuk memblokir semua aktivasi objek COM tertentu dari dalam Office.  

Untuk hanya memblokir objek COM yang disematkan atau ditautkan dari dalam dokumen Office, ikuti langkah-langkah berikut:  

  1. Tambahkan CLSID ke COM Kill bit per instruksi di bawah "pengaturan Office Kill bit" (jika tidak ada di daftar)

  2. Di bawah subkunci untuk CLSID yang diblokir, tambahkan nilai REG_DWORD yang bernama Activationfilteroverride, dan atur nilainya ke 0x00000001.

Misalnya, untuk mengonfigurasi COM Kill bit untuk memblokir hanya dalam skenario menautkan dan menyematkan untuk objek yang memiliki CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} di Office 2016, ikuti langkah-langkah berikut:

  1. Temukan subkunci registri berikut ini:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Menambahkan subkunci yang memiliki nilai {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Dalam kasus ini, jalur yang dihasilkan adalah sebagai berikut:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Tambahkan nilai REG_DWORD ke subkunci ini yang bernama bendera kompatibilitas, dan atur nilainya ke 0x00000400

  4. Tambahkan REG_DWORD ke subkunci ini yang disebut Activationfilteroverride, dan atur nilainya ke 0x00000001

Office COM Kill bit kini diatur untuk memblokir objek COM ini hanya jika tertaut atau disematkan dalam dokumen Office. 

Kontrol yang diblokir dari aktivasi secara default

Remote

CLSID

Penulis naskah

06290BD3-48AA-11D2-8432-006008C3FBFC

SoapActivator

ECABAFD0-7F19-11D2-978E-0000F8757E2A

SoapMoniker

ECABB0C7-7F19-11D2-978E-0000F8757E2A

PartitionMoniker

ECABB0C5-7F19-11D2-978E-0000F8757E2A

Antrian

ECABAFC7-7F19-11D2-978E-0000F8757E2A

Aplikasi HTML

3050F4D8-98B5-11CF-BB82-00AA00BDCE0B

Coretan

06290BD0-48AA-11D2-8432-006008C3FBFC

ScripletConstructor

06290BD1-48AA-11D2-8432-006008C3FBFC

ScripletFactory

06290BD2-48AA-11D2-8432-006008C3FBFC

ScripletHostEncode

06290BD4-48AA-11D2-8432-006008C3FBFC

ScripletTypeLib

06290BD5-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Automation

06290BD8-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Event

06290BD9-48AA-11D2-8432-006008C3FBFC

ScripletHandler_ASP

06290BDA-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Behavior

06290BDB-48AA-11D2-8432-006008C3FBFC

XMLFeed

528D46B3-3A4B-4B13-BF74-D9CBD7306E07

Penulisan naskah

AE24FDAE-03C6-11D1-8B76-0080C744F389

HtmlFile_FullWindowEmbed

25336921-03F9-11CF-8FD0-00AA00686F13

File MHTML

3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Dokumen Microsoft HTA 6,0

3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

Dztmledit. DHTMLEdit. 1

2D360200-FFF5-11D1-8D03-00A0C959BC0A

DHTMLSafe. DHTMLSafe. 1

2D360201-FFF5-11D1-8D03-00A0C959BC0A

Bahasa skrip VB

B54F3741-5B07-11cf-A4B0-00AA004A55E8

Penulisan bahasa skrip VB

B54F3742-5B07-11cf-A4B0-00AA004A55E8

Pengkodean bahasa VBScript

B54F3743-5B07-11cf-A4B0-00AA004A55E8

Host VBScript encode

85131631-480C-11D2-B1F9-00C04F86C324

Shockwave Flash object

D27CDB6E-AE6D-11cf-96B8-444553540000

Macromedia Flash object pabrik

D27CDB70-AE6D-11cf-96B8-444553540000

Microsoft Silverlight

DFEAF541-F3E1-4c24-ACAC-99C30715084A

Pemutar Adobe Shockwave

233C1507-6A77-46A4-9443-F871F945D258

IE4Protocol

9D148291-B9C8-11d0-A4CC-0000f80149f6

ParseURL

9D148290-B9C8-11Dv0-A4CC-0000f80149f6

Penyimpanan

D54EEE56-AAAB-11D0-9E1D-00A0C922E6EC

Itpenyimpanan

5D02926A-212E-11D0-9DF9-00A0C922E6EC

Kontrol yang diblokir dari menyematkan secara default

Remote

CLSID

Shell. Explorer. 2

8856F961-340A-11D0-A96B-00C04FD705A2

File html

25336920-03F9-11CF-8FD0-00AA00686F13

Dokumen Microsoft HTML untuk jendela popup

3050F67D-98B5-11CF-BB82-00AA00BDCE0B

Catatan: Daftar ini adalah snapshot kontrol yang diblokir, dan dapat berubah 

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×