Önemli Bu makale, bir bilgisayarın güvenlik ayarlarını düşürmenize veya güvenlik özelliklerini devre dışı bırakmanıza yardımcı olacak bilgiler içermektedir. Bu değişiklikleri, belirli bir soruna geçici çözüm bulmak için yapabilirsiniz. Bu değişiklikleri yapmadan önce, bu geçici çözümün çalışma ortamınızda uygulanmasıyla ilişkili riskleri değerlendirmeniz önerilir. Bu geçici çözümü uygularsanız, bilgisayarınızın korunmasına yardımcı olabilecek ek adımları da gerçekleştirin.
GİRİŞ
Bu makale yayın öncesi belgeler içerir ve sonraki yayınlarda değiştirilebilir.
Bu güvenlik güncelleştirmesi, ActiveX denetimlerinin ve OLE nesnelerinin bir Microsoft Office kill biti listesiyle birlikte yüklenip yüklenmeyeceklerinin ve yükleneceklerse nasıl yükleneceklerinin kullanıcılar tarafından denetlenmesine olanak verir. Güncelleştirilmiş ActiveX denetimlerinin yüklenmesine olanak veren AlternateCLSID değerlerinin ayarlanması da dahil olmak üzere bu özelliğin dayandığı Windows Internet Explorer kill biti davranışı hakkında daha fazla bilgi için bkz. Internet Explorer'da ActiveX denetiminin çalışması nasıl engellenir.
Aşağıdaki danışma belgesinde, Etkin Şablon Kütüphanesi'nde (ATL) uzaktan kod yürütülmesine olanak verebilecek güvenlik açıkları anlatılmaktadır.
973882 Microsoft Güvenlik Danışma Belgesi: Microsoft Etkin Şablon Kütüphanesi'ndeki (ATL) güvenlik açıkları uzaktan kod yürütülmesine izin verebilir
Bu ATL güvenlik açıklarının etkilerini azaltmak için danışma belgesindeki tüm özellikler kullanılabilir. Ayrıca, bu güvenlik güncelleştirmesindeki belirli ATL azaltıcı etkileri açıklanır.
Bu güvenlik güncelleştirmesi Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher ve Microsoft Visio'ya uygulanır.
Office COM Kill Biti
MS10-036'daki güvenlik güncelleştirmesi ile sunulan Office COM kill bitini kullanarak da belirli COM nesnelerinin Office uygulamaları içinde çalışmasını engelleyebilirsiniz. Bu COM nesneleri, ActiveX denetimlerini ve OLE nesnelerini içerir. Kayıt defteri aracılığıyla, Office'i kullanırken engellenecek ActiveX ve OLE nesnelerini bağımsız olarak denetleyebilirsiniz.
Önemli notlar
-
Bir OLE nesnesi için kayıt defterinde Office COM Kill Biti ayarlanmışsa, nesne yüklenmez ve hiçbir durumda yüklenemez.
-
Office 2007'de, kullanıcılar aşağıdaki hata iletisini alırlar:
Dış bağlantılı OLE dosyalarına yapılan başvurular engellendi. -
Office 2003'te, kullanıcılar aşağıdaki hata iletisini alırlar:
Bir sınıf nesnesi oluşturma girişimi başarısız. Erişim Reddedildi.
Hangi CLSID'nin yüklenemediğini belirlemek için, TechNet'teki İşlem İzleyicisi'ni kullanın. İşlem İzleyicisi günlük dosyasında Internet Explorer kill biti ayarını arayın.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Not Bir COM nesnesi için ayarlanmış kill bitini kaldırmanız önerilmez. Bunu yaparsanız güvenlik açıkları oluşturabilirsiniz. Kill biti genellikle kritik olabilecek bir nedenle ayarlanmış olabileceği için, bir ActiveX denetimini sonlandırma işlemini geri alırken çok dikkatli olunmalıdır.
Yeni bir ActiveX denetimini Office COM kill bitinin uygulandığı ActiveX denetiminin CLSID değeriyle ilişkilendirmeniz gerektiğinde bir AlternateCLSID (“Phoenix bit” olarak da bilinir) ekleyebilirsiniz (güvenlik tehdidini azaltmak üzere bu ActiveX denetimi değiştirilmiştir). Office yalnızca ActiveX denetimi COM nesneleri kullanıldığında AlternateCLSID'i destekler.
Not Office kill biti listesi, Internet Explorer kill biti listesinden daha önceliklidir. Örneğin, aynı ActiveX denetimi için hem Office COM kill biti hem de Internet Explorer ActiveX kill biti ayarlanmış olabilir. Ancak AlternateCLSID yalnızca Internet Explorer'ın listesinde ayarlanmıştır. Bu senaryoda, bu iki ayar arasında bir çakışma bulunmaktadır. Bu durumda, Office COM kill biti ayarları daha önceliklidir ve denetim yüklenmez.
Office COM Kill Biti'ni ayarlama
Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımlar içermektedir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756Windows'da kayıt defteri nasıl yedeklenir, düzenlenir ve geri yüklenirOffice COM kill biti, kayıt defterinde aşağıdaki konumdan ayarlanır:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}Burada CLSID, COM nesnesinin sınıf tanımlayıcısıdır. Office COM kill bitini etkinleştirmek için, yüklenmesini engellemek istediğiniz ActiveX denetiminin veya OLE nesnesinin CLSID değeriyle birlikte kayıt defteri alt anahtarını da eklemelisiniz. Bunun yanı sıra, Compatibility Flag REG_DWORD değerini 0x00000400 olarak ayarlamalısınız.
Örneğin, CLSID değeri {77061A9C-2F18-4f38-B294-F6BCC8443D24} olan bir nesnenin Office COM kill bitini ayarlamak için, aşağıdaki alt anahtarı bulun ve bu alt anahtara REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} değerini ekleyin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityBu durumda, yol şu şekilde olacaktır:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} {CLSID} anahtarına 0x00000400 değerini içeren bir alt anahtar eklediğinizde Office COM kill biti ayarlanır. 64-bit ve 32-bit nesneler ve bunların kill bitleri, kayıt defterinde farklı konumlarda bulunur.
Daha fazla bilgi için, Kill Biti Hakkında SSS'yi görmek üzere aşağıdaki Microsoft Web sayfasını ziyaret edin:
OLE nesnelerinin Internet Explorer kill biti listesini geçersiz kılma
IE kill biti listesini geçersiz kıl seçeneği, Internet Explorer kill biti listesindeki OLE nesnelerinden hangilerinin Office içinde yüklenmesine izin verildiğini belirlemenize olanak verir. IE kill biti listesini geçersiz kıl seçeneğini yalnızca OLE nesnesinin Office içinde yüklenmesinin güvenli olduğunu biliyorsanız kullanın. IE kill biti listesini geçersiz kıl ayarı Office tarafından denetlenirken, Office COM kill bitinin etkinleştirilmiş olup olmadığının da denetlendiğinden emin olun. Office COM kill biti etkinleştirilirse OLE nesnesi yüklenmez.
IE kill biti listesini geçersiz kıl seçeneğini etkinleştirmek için, OLE nesnesini doğru şekilde kategorilere ayırmanız gerekir. Bu alt anahtar kayıt defterinde yoksa, COM nesnesinin CLSID değerine Implemented Categories adlı bir alt anahtar ekleyin. Ardından, Implemented Categories anahtarına OLE nesneleri için Kategori Kimliği (CATID) olarak {F3E0281E-C257-444E-87E7-F3DC29B62BBD} içeren bir alt anahtar ekleyin.
Örneğin, Internet Explorer bir OLE nesnesine kill biti uygulayacak biçimde ayarlanmış olmasına karşın bu nesneyi Office içinde kullanmak istiyor olabilirsiniz. Bu durumda, bu OLE nesnesinin CLSID değerini kayıt defterinde öncelikle aşağıdaki konumda aramalısınız:
HKEY_CLASSES_ROOT\CLSID Örneğin, Microsoft Graph Grafiği için CLSID {00020803-0000-0000-C000-000000000046}. Daha sonra, Implemented Categories adlı anahtarın var olup olmadığını belirlemeniz ve yoksa bu anahtarı oluşturmanız gerekir. Bu örnekte, yol şu şekilde olacaktır:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Son olarak, Implemented Categories anahtarına CATID OLE nesnesi için yeni bir alt anahtar ekleyin. Bu örnekte, yol şu şekildedir:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Not OLE nesnelerinin Kategori Kimliği (CATID), {F3E0281E-C257-444E-87E7-F3DC29B62BBD} şeklindedir ve kaşlı ayraçların ( { } ) kullanılması gerekir.
ATL azaltıcı etkenlerini devre dışı bırakma
ATL azaltıcı etkenleri etkinleştirildiğinde, OleLoadFromStreamsuch öğesini kullanan denetimlerin çalışması engellenir ve denetim bilgileri kaybolur. Örneğin, VB6/Windows ortak denetimleri bu sorundan etkilenir.
Uyarı Bu geçici çözüm, bilgisayarın veya ağın kötü niyetli kullanıcılar veya virüsler gibi kötü amaçlı yazılımlar tarafından gerçekleştirilecek saldırılara karşı daha savunmasız kalmasına neden olabilir. Bu geçici çözüm önerilmez, ancak gerekli olduğunu düşünürseniz kullanabilmeniz amacıyla bu bilgiler sağlanmaktadır. Bu çözümü kullanmak kendi sorumluluğunuzdadır.
Bu ATL azaltıcı etkenleri geniş bir kapsama sahip olduğu için, kesinlikle gerekli olmadıkça ATL azaltıcı etkenlerini devre dışı bırakmanız önerilmez. ATL azaltıcı etkenlerini devre dışı bırakırsanız güvenlik açıkları oluşturabilirsiniz. ATL azaltıcı etkenlerini devre dışı bırakırsanız, güvenilir olmayan kaynaklardan aldığınız veya güvenilir kaynaklardan beklenmedik şekilde aldığınız Microsoft Office dosyalarını açmamanızı öneririz.
ATL güvenlik açıklarına başvuran azaltıcı etkenleri devre dışı bırakmak için, aşağıdaki kayıt defteri alt anahtarında NoOLELoadFromStreamChecks REG_DWORD değerini 00000001 olarak ayarlayın:
HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
Not Bu kayıt defteri alt anahtarı yoksa REG_DWORD türünde oluşturmalısınız.
Office uygulamalarının kod oluşturma yöntemi denetimlerini devre dışı bırakma
Bu güvenlik güncelleştirmesi yüklendikten sonra, Office uygulamaları için kod oluşturma yöntemlerini devre dışı bıraktığınızda Internet Explorer davranışı değişmez.
Office uygulamaları için kod oluşturma yöntemlerini devre dışı bırakmak isterseniz, aşağıdaki kayıt defteri alt anahtarında Compatibility Flag REG_DWORD değerini 00000400 olarak ayarlayın:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
Office reddetme listesine eklemek isteyebileceğiniz diğer denetimlerin listesi aşağıda verilmektedir:
|
Denetim |
CLISD |
|---|---|
|
Microsoft HTA Document 6.0 |
{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B} |
|
htmlfile |
{25336920-03F9-11CF-8FD0-00AA00686F13} |
|
htmlfile_FullWindowEmbed |
{25336921-03F9-11CF-8FD0-00AA00686F13} |
|
mhtmlfile |
{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} |
|
Web Browswer Control |
{8856F961-340A-11D0-A96B-00C04FD705A2} |
|
DHTMLEdit |
{2D360200-FFF5-11D1-8D03-00A0C959BC0A} |
