주의: 이 문서에는 Office 보안 설정을 제어하는 방법을 보여 주는 정보가 포함되어 있습니다. 이러한 보안 설정을 변경하여 보안 태세를 강화하거나 낮출 수 있습니다. 이러한 변경을 적용하기 전에 이 설정을 구성하기 위해 수행하는 변경 사항과 관련된 위험을 평가하는 것이 좋습니다.
소개
이 문서에서는 사용자와 IT 관리자가 Microsoft Office kill-bit 목록을 사용하여 COM 개체를 로드할지 여부 및 로드하는 방법을 제어하는 데 사용할 수 있는 설정에 대해 설명합니다.
업데이트된 ActiveX 컨트롤을 로드하도록 AlternateCLSID를 설정하는 방법을 포함하여 이 기능을 기반으로 하는 Windows Internet Explorer kill bit 동작에 대한 자세한 내용은 ActiveX 컨트롤이 Internet Explorer에서 실행되지 않도록 막는 방법을 참조하세요.
이 지침은 Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher 및 Microsoft Visio에 적용됩니다.
Office COM kill bit
Office COM kill bit는 Office 문서에 포함되거나 Office 문서에서 연결되는 특정 COM 개체가 실행되는 것을 방지하기 위해 보안 업데이트 MS10-036에 도입되었습니다.
COM Kill bit 기능은 KB3178703에서 업데이트되어 Office에서 COM 개체가 프로세스 중 활성화되지 못하게 완전히 차단합니다. 이 업데이트는 원래 행동의 상위집합이며, Office 문서에 포함되거나 연결된 COM 개체를 차단하는 것 외에도 추가 기능과 같은 다른 수단을 통해 Office 프로세스 내에서 로드되는 COM 개체의 인스턴스를 차단합니다.
이러한 특정 COM 개체에는 ActiveX 컨트롤 및 OLE 개체가 포함됩니다. 레지스트리를 통해 Office를 사용할 때 차단되는 COM 개체를 독립적으로 제어할 수 있습니다.
참고: COM 개체에 대해 설정된 kill bit를 제거하지 않는 것이 좋습니다. 제거할 경우 보안 취약성이 발생할 수 있습니다. Kill bit는 일반적으로 중요한 이유로 인해 설정됩니다. 따라서 ActiveX 컨트롤을 중단하지 않도록 할 경우 매우 유의해야 합니다.
새 ActiveX 컨트롤의 CLSID를 Office COM kill bit가 적용된 ActiveX 컨트롤의 CLSID에 연결해야 할 경우(그리고 이 ActiveX 컨트롤은 보안 위협을 줄이도록 수정되었습니다) AlternateCLSID("Phoenix 비트"라고도 함)를 추가할 수 있습니다. Office는 ActiveX 컨트롤 COM 개체를 사용할 경우 AlternateCLSID만 지원합니다.
참고: Office의 kill bit 목록은 Internet Explorer의 kill bit 목록보다 우선합니다. 예를 들어, Office COM kill bit 및 Internet Explorer ActiveX kill bit는 동일한 ActiveX 컨트롤에 대해 설정할 수 있습니다. 그러나, AlternateCLSID는 Internet Explorer 목록에만 설정됩니다. 이 시나리오에서는 두 설정 간에 충돌이 있습니다. 이러한 경우, Office COM kill bit 설정이 우선하며 컨트롤이 로드되지 않습니다.
Office COM kill bit 설정
중요:
-
이 섹션, 방법 또는 작업에는 레지스트리를 수정하는 방법을 설명하는 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수 있습니다. 따라서 다음 단계를 신중하게 수행해야 합니다. 더욱 안전하게 하려면 레지스트리를 수정하기 전에 백업합니다. 이렇게 하면 문제가 발생해도 레지스트리를 복원할 수 있습니다. 레지스트리를 백업하고 복원하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 문서를 볼 수 있습니다.
-
322756 Windows에서 레지스트리를 백업 및 복원하는 방법
레지스트리에서 Office COM kill bit 설정 위치는 다음과 같습니다.
Office 2013 및 Office 2010:
-
64비트 Windows의 64비트 Office(또는 32비트 Windows의 32비트 Office).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
64비트 Windows의 32비트 Office:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Office 2016:
-
64비트 Windows의 64비트 Office(또는 32비트 Windows의 32비트 Office):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
64비트 Windows의 32비트 Office:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
이 경우, CLSID는 COM 개체의 클래스 식별자입니다.
Office COM kill bit를 사용하도록 설정하려면 다음 단계를 수행합니다.
-
로드되지 못하게 차단하려는 ActiveX 컨트롤 또는 OLE 개체의 CLSID를 포함하는 레지스트리 하위 키를 추가합니다.
-
이 하위 키에 Compatibility Flags라는 REG_DWORD를 추가하고 값을 0x00000400으로 설정합니다.
예를 들어, Office 2016에서 CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}가 있는 개체에 Office COM kill bit를 설정하려면 다음 단계를 따릅니다.
-
다음 레지스트리 하위 키를 찾습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
값 {77061A9C-2F18-4f38-B294-F6BCC8443D24}으로 하위 키를 추가합니다. 이 경우, 그에 따른 경로는 다음과 같습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
이 하위 키에 Compatibility Flags라는 REG_DWORD를 추가하고 값을 0x00000400으로 설정합니다.
이제 이 개체가 Office 내에서 활성화되는 것을 차단하도록 Office COM kill bit가 설정되었습니다.
연결 및 포함 시나리오에서만 COM을 차단하는 방법
앞에서 언급했듯이, COM kill bit 기능은 지정된 모든 COM 개체가 Office 내에서 활성화되는 것을 차단하도록 업데이트되었습니다.
Office 문서 내에 포함되거나 Office 문서 내에서 연결되는 COM 개체만 차단하려면 다음 단계를 수행합니다.
-
"Office Kill Bit 설정"의 지침에 따라 COM kill bit에 CLSID를 추가합니다(목록에 아직 없는 경우).
-
차단된 CLSID의 하위 키에서 ActivationFilterOverride라는 REG_DWORD 값을 추가하고 해당 값을 0x00000001로 설정합니다.
예를 들어, Office 2016에서 연결 및 포함 시나리오에서만 CLSID가 {77061A9C-2F18-4f38-B294-F6BCC8443D24}인 개체에 대해 차단하도록 COM kill bit를 구성하려면 다음 단계를 따릅니다.
-
다음 레지스트리 하위 키를 찾습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
{77061A9C-2F18-4f38-B294-F6BCC8443D24}의 값이 있는 하위 키를 추가합니다. 이 경우, 그에 따른 경로는 다음과 같습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
이 하위 키에 Compatibility Flags라는 REG_DWORD를 추가하고 값을 0x00000400으로 설정합니다.
-
이 하위 키에 ActivationFilterOverride라는 REG_DWORD를 추가하고 값을 0x00000001로 설정합니다.
이제 이 COM 개체가 Office 문서에 연결되거나 포함될 때만 개체를 차단하도록 Office COM kill bit가 설정되었습니다.
기본적으로 활성화되지 않도록 차단되는 컨트롤
컨트롤 |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
스크립트렛 |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA 문서 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
VB 스크립트 언어 |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB 스크립트 언어 작성 |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
VBScript 언어 인코딩 |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
VBScript 호스트 인코드 |
85131631-480C-11D2-B1F9-00C04F86C324 |
Shockwave 플래시 개체 |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Macromedia Flash 팩터리 개체 |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Python 컨트롤 |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
기본적으로 포함되지 않도록 차단되는 컨트롤
컨트롤 |
CLSID |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
팝업 창용 Microsoft HTML 문서 |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
참고:이 목록은 차단된 컨트롤의 스냅샷이며 변경될 수 있습니다.이며 변경될 수 있습니다.