Perhatian: Artikel ini berisi informasi yang memperlihatkan kepada Anda cara mengontrol pengaturan keamanan untuk Office. Anda bisa membuat perubahan pada pengaturan keamanan ini untuk menambah atau menurunkan postur keamanan Anda. Sebelum Anda membuat perubahan ini, kami menyarankan agar Anda mengevaluasi risiko yang terkait dengan perubahan apa pun yang Anda lakukan untuk mengonfigurasi pengaturan ini.
PENDAHULUAN
Artikel ini menguraikan pengaturan yang tersedia untuk pengguna dan administrator TI untuk mengontrol apakah dan bagaimana objek COM dimuat dengan memiliki daftar Kill bit Microsoft Office.
Untuk informasi selengkapnya tentang Windows Internet Explorer Kill bit behavior yang didasarkan pada fitur ini, termasuk cara mengatur AlternateCLSID yang memperbolehkan diperbarui kontrol ActiveX untuk memuat, lihat cara menghentikan kontrol ActiveX berjalan di Internet Explorer.
Panduan ini berlaku untuk Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher, dan Microsoft Visio.
Office COM Kill bit
Office COM Kill bit diperkenalkan di pembaruan keamanan MS10-036 untuk mencegah objek COM tertentu berjalan saat disematkan atau ditautkan dari dokumen Office.
Fungsionalitas Kill bit COM telah diperbarui di KB3178703 untuk memblokir sepenuhnya objek com agar tidak diaktifkan dalam proses oleh Office. Pembaruan ini merupakan superset dari perilaku asli di mana, selain memblokir objek COM yang disematkan atau ditautkan dalam dokumen Office, ini akan memblokir semua contoh objek COM yang dimuat dalam proses Office melalui cara lain seperti Add-in.
Objek COM tertentu ini menyertakan kontrol ActiveX dan objek OLE. Melalui registri, Anda bisa secara independen mengontrol objek COM mana yang diblokir saat Anda menggunakan Office.
AnKami tidak menyarankan Anda menghapus sedikit Kill yang diatur untuk objek COM. Jika Anda melakukan ini, Anda mungkin membuat kerentanan keamanan. Sedikit Kill biasanya diatur untuk alasan yang mungkin penting. Oleh karena itu, Anda harus sangat berhati-hati saat Menghapus instalan kontrol ActiveX.
Anda dapat menambahkan AlternateCLSID (juga dikenal sebagai "Phoenix bit") saat Anda harus mengaitkan CLSID dari kontrol ActiveX baru (dan kontrol ActiveX ini telah dimodifikasi untuk mengurangi ancaman keamanan), ke CLSID dari kontrol ActiveX yang diterapkan Office COM Kill bit. Office mendukung AlternateCLSID hanya ketika objek COM Control ActiveX yang digunakan.
Catatan: Daftar Kill bit untuk Office diutamakan di atas daftar Kill bit untuk Internet Explorer. Misalnya, Office COM Kill bit dan Internet Explorer ActiveX Kill bit mungkin diatur untuk kontrol ActiveX yang sama. Tapi AlternateCLSID diatur hanya pada daftar untuk Internet Explorer. Dalam skenario ini, terdapat konflik antara kedua pengaturan tersebut. Dalam contoh tersebut, pengaturan Office Kill bit diutamakan, dan kontrol tidak dimuat.
Mengatur Office COM Kill bit
Penting:
-
Bagian, metode, atau tugas ini berisi langkah-langkah yang memberi tahu Anda untuk memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum memodifikasinya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
-
322756Cara membuat cadangan dan memulihkan registri di Windows
Lokasi untuk mengatur Office COM Kill bit dalam registri adalah sebagai berikut:
Untuk Office 2013 dan Office 2010:
-
Untuk Office 64-bit pada jendela 64-bit (atau 32-bit di Windows 32).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Untuk Office 32-bit pada Windows 64-bit:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Untuk Office 2016:
-
Untuk Office 64-bit pada jendela 64-bit (atau 32-bit Office pada jendela 32-bit):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
Untuk Office 32-bit pada Windows 64-bit:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
Dalam kasus ini, CLSID adalah pengidentifikasi kelas objek COM.
Untuk mengaktifkan Office COM Kill bit, ikuti langkah-langkah berikut:
-
Tambahkan subkunci registri bersama-sama dengan CLSID kontrol ActiveX atau objek OLE yang ingin Anda blokir memuat.
-
Tambahkan REG_DWORD ke subkunci ini yang disebut bendera kompatibilitas dan atur nilainya ke 0x00000400.
Misalnya, untuk mengatur Office COM Kill bit untuk objek yang memiliki CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} di Office 2016, ikuti langkah-langkah berikut:
-
Temukan subkunci registri berikut ini:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Menambahkan subkunci dengan nilai {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Dalam kasus ini, jalur yang dihasilkan adalah sebagai berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Tambahkan REG_DWORD ke subkunci ini yang bernama bendera kompatibilitas, dan atur nilainya ke 0x00000400.
Office COM Kill bit kini diatur untuk memblokir objek ini agar tidak diaktifkan di Office.
Cara memblokir COM dalam skenario menautkan dan menyematkan
Seperti disebutkan, fungsionalitas Kill bit COM telah diperbarui untuk memblokir semua aktivasi objek COM tertentu dari dalam Office.
Untuk hanya memblokir objek COM yang disematkan atau ditautkan dari dalam dokumen Office, ikuti langkah-langkah berikut:
-
Tambahkan CLSID ke COM Kill bit per instruksi di bawah "pengaturan Office Kill bit" (jika tidak ada di daftar)
-
Di bawah subkunci untuk CLSID yang diblokir, tambahkan nilai REG_DWORD yang bernama Activationfilteroverride, dan atur nilainya ke 0x00000001.
Misalnya, untuk mengonfigurasi COM Kill bit untuk memblokir hanya dalam skenario menautkan dan menyematkan untuk objek yang memiliki CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} di Office 2016, ikuti langkah-langkah berikut:
-
Temukan subkunci registri berikut ini:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Menambahkan subkunci yang memiliki nilai {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Dalam kasus ini, jalur yang dihasilkan adalah sebagai berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Tambahkan nilai REG_DWORD ke subkunci ini yang bernama bendera kompatibilitas, dan atur nilainya ke 0x00000400.
-
Tambahkan REG_DWORD ke subkunci ini yang disebut Activationfilteroverride, dan atur nilainya ke 0x00000001.
Office COM Kill bit kini diatur untuk memblokir objek COM ini hanya jika tertaut atau disematkan dalam dokumen Office.
Kontrol yang diblokir dari aktivasi secara default
Remote |
CLSID |
Penulis naskah |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
Antrian |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
Aplikasi HTML |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
Coretan |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Penulisan naskah |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
File MHTML |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Dokumen Microsoft HTA 6,0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
Dztmledit. DHTMLEdit. 1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe. DHTMLSafe. 1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
Bahasa skrip VB |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
Penulisan bahasa skrip VB |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Pengkodean bahasa VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Host VBScript encode |
85131631-480C-11D2-B1F9-00C04F86C324 |
Shockwave Flash object |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Macromedia Flash object pabrik |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Pemutar Adobe Shockwave |
233C1507-6A77-46A4-9443-F871F945D258 |
Kontrol Python |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Kontrol yang diblokir dari menyematkan secara default
Remote |
CLSID |
Shell. Explorer. 2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
File html |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Dokumen Microsoft HTML untuk jendela popup |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Catatan: Daftar ini adalah snapshot kontrol yang diblokir, dan dapat berubah