Attenzione: Questo articolo contiene informazioni che illustrano come controllare le impostazioni di sicurezza per Office. È possibile apportare modifiche a queste impostazioni di sicurezza per aumentare o ridurre la postura di sicurezza. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati alle modifiche apportate per configurare questa impostazione.
INTRODUZIONE
Questo articolo descrive le impostazioni disponibili per gli utenti e gli amministratori IT per controllare se e come vengono caricati gli oggetti COM con un elenco Microsoft Office kill bit.
Per altre informazioni sul comportamento del kill bit di Windows Internet Explorer su cui si basa questa funzionalità, incluso come impostare gli ALTERNATECLSID che consentono il caricamento di controlli ActiveX aggiornati, vedere Come interrompere l'esecuzione di un controllo ActiveX in Internet Explorer. Queste indicazioni si applicano a Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher e Microsoft Visio.
Kill bit di Office COM
Il kill bit com di Office è stato introdotto nell'aggiornamento della sicurezza MS10-036 per impedire l'esecuzione di oggetti COM specifici quando sono incorporati o collegati da documenti di Office.
La funzionalità del kill bit COM è stata aggiornata in KB3178703 per impedire completamente l'attivazione in-process di oggetti COM da parte di Office. Questo aggiornamento è un superset del comportamento originale in cui, oltre a bloccare gli oggetti COM incorporati o collegati nei documenti di Office, blocca tutte le istanze di oggetti COM caricati nel processo di Office con altri mezzi come i componenti aggiuntivi.
Questi oggetti COM specifici includono ActiveX e oggetti OLE. Tramite il Registro di sistema è possibile controllare in modo indipendente gli oggetti COM bloccati quando si usa Office.
Nota:Non è consigliabile rimuovere il kill bit impostato per un oggetto COM. In questo caso, è possibile creare vulnerabilità della sicurezza. Il kill bit è in genere impostato per un motivo che potrebbe essere critico. Pertanto, è necessario prestare particolare attenzione quando si annulla l'ActiveX controllo.
È possibile aggiungere un AlternateCLSID (noto anche come "phoenix bit") quando è necessario correlare il CLSID di un nuovo controllo ActiveX (e questo controllo ActiveX è stato modificato per ridurre la minaccia alla sicurezza) al CLSID del controllo ActiveX a cui è stato applicato il kill bit di Office COM. Office supporta AlternateCLSID solo quando si ActiveX gli oggetti COM del controllo. Nota: L'elenco dei kill bit per Office ha la precedenza sull'elenco dei kill bit per Internet Explorer. Ad esempio, il kill bit di Office COM e ActiveX kill bit di Internet Explorer possono essere impostati per lo stesso ActiveX controllo. Ma l'ALTERNATECLSID è impostato solo sull'elenco per Internet Explorer. In questo scenario esiste un conflitto tra le due impostazioni. In questi casi, le impostazioni del kill bit COM di Office hanno la precedenza e il controllo non viene caricato.Impostazione del kill bit di Office COM
Importante:
-
In questo metodo, sezione o attività viene spiegato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Per questo motivo, occorre attenersi scrupolosamente alla procedura indicata. Per una maggiore sicurezza, eseguire una copia di backup del Registro di sistema prima di modificarlo. in modo da poterlo poi ripristinare in caso di problemi. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
-
322756Come eseguire il backup e il ripristino del Registro di sistema in Windows
La posizione in cui impostare il kill bit di Office COM nel Registro di sistema è la seguente:
Per Office 2013 e Office 2010:
-
Per Office a 64 bit in Windows a 64 bit (o Office a 32 bit in Windows a 32 bit).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Per Office a 32 bit in Windows a 64 bit:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Per Office 2016:
-
Per Office a 64 bit in Windows a 64 bit (o Office a 32 bit in Windows a 32 bit):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Per Office a 32 bit in Windows a 64 bit:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
In questo caso, CLSID è l'identificatore di classe dell'oggetto COM.
Per abilitare il kill bit COM di Office, seguire questa procedura:
-
Aggiungere la sottochiave del Registro di sistema con il CLSID del controllo ActiveX o dell'oggetto OLE che si vuole bloccare dal caricamento.
-
Aggiungere un REG_DWORD a questa sottochiave denominata Contrassegni compatibilità e impostarne il valore su 0x00000400.
Ad esempio, per impostare il kill bit di Office COM per un oggetto con CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} in Office 2016, seguire questa procedura:
-
Individuare la sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Aggiungere una sottochiave con il valore {77061A9C-2F18-4f38-B294-F6BCC8443D24}. In questo caso, il percorso risultante è il seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Aggiungere un REG_DWORD a questa sottochiave denominata Contrassegnicompatibilità e impostarne il valore su 0x00000400.
Il kill bit com di Office è ora impostato per impedire l'attivazione di questo oggetto all'interno di Office.
Come bloccare COM solo negli scenari di collegamento e incorporamento
Come accennato, la funzionalità del kill bit COM è stata aggiornata per bloccare tutte le attivazioni di oggetti COM specificati da Office.
Per bloccare solo gli oggetti COM incorporati o collegati all'interno di documenti di Office, seguire questa procedura:
-
Aggiungere il CLSID al kill bit COM in base alle istruzioni in " Impostazione delkill bitdi Office " (se non è già presente nell'elenco)
-
Sotto la sottochiave del CLSID bloccato aggiungere un valore REG_DWORD denominato ActivationFilterOverridee impostarne il valore su 0x00000001.
Ad esempio, per configurare il kill bit COM in modo che si blocchi solo negli scenari di collegamento e incorporamento per un oggetto con CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} in Office 2016, seguire questa procedura:
-
Individuare la sottochiave del Registro di sistema seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Aggiungere una sottochiave con il valore {77061A9C-2F18-4f38-B294-F6BCC8443D24}. In questo caso, il percorso risultante è il seguente:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Aggiungere un REG_DWORD a questa sottochiave denominata Contrassegnicompatibilità e impostarne il valore su 0x00000400.
-
Aggiungere un REG_DWORD a questa sottochiave denominata ActivationFilterOverridee impostarne il valore su 0x00000001.
Il kill bit com di Office è ora impostato per bloccare questo oggetto COM solo se è collegato o incorporato nei documenti di Office.
Controlli bloccati dall'attivazione per impostazione predefinita
Controllo |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Documento HTA Microsoft 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
VB Script Language |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB creazione in linguaggio script |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Codifica del linguaggio VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Codifica host VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
Shockwave Flash Object |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Macromedia Flash Factory Object |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Controllo Python |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Controlli bloccati dall'incorporamento per impostazione predefinita
Controllo |
CLSID |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Documento HTML Microsoft per finestra popup |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Nota:questo elenco è uno snapshot dei controlli bloccati ed è soggetto a modifiche