Impostazioni di sicurezza per gli oggetti COM in Office

Attenzione: Questo articolo contiene informazioni che illustrano come controllare le impostazioni di sicurezza per Office. È possibile apportare modifiche a queste impostazioni di sicurezza per aumentare o ridurre la postura di sicurezza. Prima di apportare queste modifiche, è consigliabile valutare i rischi associati alle modifiche apportate per configurare questa impostazione. 

INTRODUZIONE

Questo articolo descrive le impostazioni disponibili per gli utenti e gli amministratori IT per controllare se e come vengono caricati gli oggetti COM con un elenco Microsoft Office kill bit.  

Per altre informazioni sul comportamento del kill bit di Windows Internet Explorer su cui si basa questa funzionalità, incluso come impostare gli ALTERNATECLSID che consentono il caricamento di controlli ActiveX aggiornati, vedere Come interrompere l'esecuzione di un controllo ActiveX in Internet Explorer. 
 
Queste indicazioni si applicano a Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher e Microsoft Visio.  

Kill bit di Office COM 

Il kill bit com di Office è stato introdotto nell'aggiornamento della sicurezza MS10-036 per impedire l'esecuzione di oggetti COM specifici quando sono incorporati o collegati da documenti di Office.  

La funzionalità del kill bit COM è stata aggiornata in KB3178703 per impedire completamente l'attivazione in-process di oggetti COM da parte di Office. Questo aggiornamento è un superset del comportamento originale in cui, oltre a bloccare gli oggetti COM incorporati o collegati nei documenti di Office, blocca tutte le istanze di oggetti COM caricati nel processo di Office con altri mezzi come i componenti aggiuntivi. 

Questi oggetti COM specifici includono ActiveX e oggetti OLE. Tramite il Registro di sistema è possibile controllare in modo indipendente gli oggetti COM bloccati quando si usa Office. 

Nota:Non è consigliabile rimuovere il kill bit impostato per un oggetto COM. In questo caso, è possibile creare vulnerabilità della sicurezza. Il kill bit è in genere impostato per un motivo che potrebbe essere critico. Pertanto, è necessario prestare particolare attenzione quando si annulla l'ActiveX controllo.  
 
È possibile aggiungere un AlternateCLSID (noto anche come "phoenix bit") quando è necessario correlare il CLSID di un nuovo controllo ActiveX (e questo controllo ActiveX è stato modificato per ridurre la minaccia alla sicurezza) al CLSID del controllo ActiveX a cui è stato applicato il kill bit di Office COM. Office supporta AlternateCLSID solo quando si ActiveX gli oggetti COM del controllo.  
 
Nota: L'elenco dei kill bit per Office ha la precedenza sull'elenco dei kill bit per Internet Explorer. Ad esempio, il kill bit di Office COM e ActiveX kill bit di Internet Explorer possono essere impostati per lo stesso ActiveX controllo. Ma l'ALTERNATECLSID è impostato solo sull'elenco per Internet Explorer. In questo scenario esiste un conflitto tra le due impostazioni. In questi casi, le impostazioni del kill bit COM di Office hanno la precedenza e il controllo non viene caricato. 

Impostazione del kill bit di Office COM

Importante: 

  • In questo metodo, sezione o attività viene spiegato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Per questo motivo, occorre attenersi scrupolosamente alla procedura indicata. Per una maggiore sicurezza, eseguire una copia di backup del Registro di sistema prima di modificarlo. in modo da poterlo poi ripristinare in caso di problemi. Per ulteriori informazioni su come eseguire il backup e il ripristino del Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:  

  • 322756Come eseguire il backup e il ripristino del Registro di sistema in Windows  

La posizione in cui impostare il kill bit di Office COM nel Registro di sistema è la seguente:  

Per Office 2013 e Office 2010:

  • Per Office a 64 bit in Windows a 64 bit (o Office a 32 bit in Windows a 32 bit).

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}

Per Office a 32 bit in Windows a 64 bit:

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}

Per Office 2016:

  • Per Office a 64 bit in Windows a 64 bit (o Office a 32 bit in Windows a 32 bit):

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

  • Per Office a 32 bit in Windows a 64 bit:

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

In questo caso, CLSID è l'identificatore di classe dell'oggetto COM.  

Per abilitare il kill bit COM di Office, seguire questa procedura:

  1. Aggiungere la sottochiave del Registro di sistema con il CLSID del controllo ActiveX o dell'oggetto OLE che si vuole bloccare dal caricamento.

  2. Aggiungere un REG_DWORD a questa sottochiave denominata Contrassegni compatibilità e impostarne il valore su 0x00000400.

Ad esempio, per impostare il kill bit di Office COM per un oggetto con CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} in Office 2016, seguire questa procedura: 

  1. Individuare la sottochiave del Registro di sistema seguente:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Aggiungere una sottochiave con il valore {77061A9C-2F18-4f38-B294-F6BCC8443D24}. In questo caso, il percorso risultante è il seguente:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Aggiungere un REG_DWORD a questa sottochiave denominata Contrassegnicompatibilità e impostarne il valore su 0x00000400.

Il kill bit com di Office è ora impostato per impedire l'attivazione di questo oggetto all'interno di Office. 

Come bloccare COM solo negli scenari di collegamento e incorporamento 

Come accennato, la funzionalità del kill bit COM è stata aggiornata per bloccare tutte le attivazioni di oggetti COM specificati da Office.  

Per bloccare solo gli oggetti COM incorporati o collegati all'interno di documenti di Office, seguire questa procedura:  

  1. Aggiungere il CLSID al kill bit COM in base alle istruzioni in " Impostazione delkill bitdi Office " (se non è già presente nell'elenco)

  2. Sotto la sottochiave del CLSID bloccato aggiungere un valore REG_DWORD denominato ActivationFilterOverridee impostarne il valore su 0x00000001.

Ad esempio, per configurare il kill bit COM in modo che si blocchi solo negli scenari di collegamento e incorporamento per un oggetto con CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} in Office 2016, seguire questa procedura:

  1. Individuare la sottochiave del Registro di sistema seguente:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Aggiungere una sottochiave con il valore {77061A9C-2F18-4f38-B294-F6BCC8443D24}. In questo caso, il percorso risultante è il seguente:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Aggiungere un REG_DWORD a questa sottochiave denominata Contrassegnicompatibilità e impostarne il valore su 0x00000400

  4. Aggiungere un REG_DWORD a questa sottochiave denominata ActivationFilterOverridee impostarne il valore su 0x00000001

Il kill bit com di Office è ora impostato per bloccare questo oggetto COM solo se è collegato o incorporato nei documenti di Office. 

Controlli bloccati dall'attivazione per impostazione predefinita

Controllo

CLSID

ScriptMoniker

06290BD3-48AA-11D2-8432-006008C3FBFC

SoapActivator

ECABAFD0-7F19-11D2-978E-0000F8757E2A

SoapMoniker

ECABB0C7-7F19-11D2-978E-0000F8757E2A

PartitionMoniker

ECABB0C5-7F19-11D2-978E-0000F8757E2A

QueueMoniker

ECABAFC7-7F19-11D2-978E-0000F8757E2A

HTMLApplication

3050F4D8-98B5-11CF-BB82-00AA00BDCE0B

ScripletContext

06290BD0-48AA-11D2-8432-006008C3FBFC

ScripletConstructor

06290BD1-48AA-11D2-8432-006008C3FBFC

ScripletFactory

06290BD2-48AA-11D2-8432-006008C3FBFC

ScripletHostEncode

06290BD4-48AA-11D2-8432-006008C3FBFC

ScripletTypeLib

06290BD5-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Automation

06290BD8-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Event

06290BD9-48AA-11D2-8432-006008C3FBFC

ScripletHandler_ASP

06290BDA-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Behavior

06290BDB-48AA-11D2-8432-006008C3FBFC

XMLFeed

528D46B3-3A4B-4B13-BF74-D9CBD7306E07

Scriptlet

AE24FDAE-03C6-11D1-8B76-0080C744F389

HtmlFile_FullWindowEmbed

25336921-03F9-11CF-8FD0-00AA00686F13

Mhtmlfile

3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Documento HTA Microsoft 6.0

3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

DHTMLEdit.DHTMLEdit.1

2D360200-FFF5-11D1-8D03-00A0C959BC0A

DHTMLSafe.DHTMLSafe.1

2D360201-FFF5-11D1-8D03-00A0C959BC0A

VB Script Language

B54F3741-5B07-11cf-A4B0-00AA004A55E8

VB creazione in linguaggio script

B54F3742-5B07-11cf-A4B0-00AA004A55E8

Codifica del linguaggio VBScript

B54F3743-5B07-11cf-A4B0-00AA004A55E8

Codifica host VBScript

85131631-480C-11D2-B1F9-00C04F86C324

Shockwave Flash Object

D27CDB6E-AE6D-11cf-96B8-444553540000

Macromedia Flash Factory Object

D27CDB70-AE6D-11cf-96B8-444553540000

Microsoft Silverlight

DFEAF541-F3E1-4c24-ACAC-99C30715084A

Adobe Shockwave Player

233C1507-6A77-46A4-9443-F871F945D258

Controllo Python

DF630910-1C1D-11D0-AE36-8C0F5E000000

Controlli bloccati dall'incorporamento per impostazione predefinita

Controllo

CLSID

Shell.Explorer.2

8856F961-340A-11D0-A96B-00C04FD705A2

Htmlfile

25336920-03F9-11CF-8FD0-00AA00686F13

Documento HTML Microsoft per finestra popup

3050F67D-98B5-11CF-BB82-00AA00BDCE0B

Nota:questo elenco è uno snapshot dei controlli bloccati ed è soggetto a modifiche 

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×