Dėmesio: Šiame straipsnyje pateikiama informacija, rodanti, kaip valdyti "Office" saugos parametrus. Galite keisti šiuos saugos parametrus arba padidinti arba sumažinti savo saugos pozą. Prieš atliekant šiuos pokyčius rekomenduojame įvertinti riziką, susijusią su bet kokiais pakeitimais, kuriuos atliekate šiam parametrui konfigūruoti.
ĮŽANGA
Šiame straipsnyje aprašomi galimi vartotojų ir IT administratorių parametrai, kad būtų galima kontroliuoti, ar "Microsoft Office" naikinimo bitą galima įkelti ir kaip COM objektai.
Daugiau informacijos apie "Windows Internet Explorer" naikinimo bitų veikimą, kad ši funkcija yra paremta, įskaitant tai, kaip nustatyti AlternateCLSID, leidžiantį įkelti atnaujintus "ActiveX" valdiklius, Sužinokite, kaip uždrausti "ActiveX" valdiklį paleisti naršyklėje "Internet Explorer".
Šios rekomendacijos taikomos "Microsoft Word", "Microsoft Excel", "Microsoft PowerPoint", "Microsoft Publisher" ir "Microsoft Visio".
"Office COM" naikinimo bitas
"Office COM" naikinimo bitas įtrauktas į saugos naujinimą MS10-036, kad konkretūs COM objektai nebūtų rodomi, kai įdėtieji arba susieti su "Office" dokumentais.
COM naikinimo bitais funkcija buvo atnaujinta " KB3178703 " visiškai blokuoti com objektus, kad jie nebūtų suaktyvinti "Office". Šis naujinimas yra pirminio elgesio, kuriame, be blokavimo COM objektų, įdėtų arba susietų naudojant "Office" dokumentus, antrinkinys bus užblokuoti visi COM objektai, kurie bus įkelti per "Office" procesą, naudojant kitas priemones, pvz., papildinius.
Šie konkretūs COM objektai apima "ActiveX" valdiklius ir OLE objektus. Naudodami registrą, galite savarankiškai kontroliuoti, kurie COM objektai užblokuoti, kai naudojate "Office".
PastabaNerekomenduojame šalinti naikinimo bito, kuris nustatytas COM objektui. Jei tai padarysite, galite sukurti saugos pažeidžiamumą. Naikinimo bitas paprastai nustatomas pagal priežastį, kuri gali būti labai svarbi. Todėl kai panaikinate "ActiveX" valdiklį, turite būti itin atsargūs.
Galite įtraukti AlternateCLSID (dar vadinamą "Phoenix bit"), kai reikia susieti naujo "ActiveX" valdiklio CLSID (ir šis "ActiveX" valdiklis buvo modifikuotas siekiant sumažinti grėsmę saugai), prie "ActiveX" valdiklio, kuriam pritaikytas "Office COM" naikinimo bitas, CLSID. "Office" palaiko "AlternateCLSID" tik tada, kai naudojami "ActiveX" valdiklių COM objektai.
Pastaba: Naikinimo bitų sąrašas, skirtas "Office", yra viršesnis už "Internet Explorer" naikinimo bitų sąrašą. Pvz., "Office COM" naikinimo bitas ir "Internet Explorer" "ActiveX" naikinimo bitas gali būti nustatytas naudoti tą patį "ActiveX" valdiklį. Tačiau AlternateCLSID nustatytas tik "Internet Explorer" sąraše. Šiame scenarijuje tarp dviejų parametrų yra konfliktas. Tokiais atvejais "Office COM" naikinimo bitų parametrai turi viršenybę ir valdiklis neįkeliamas.
"Office COM" naikinimo bitų nustatymas
Svarbu:
-
Šiame skyriuje, metode arba užduotyje pateikiami veiksmai, kuriais nurodoma, kaip modifikuoti registrą. Jei registro duomenis pakeisite netinkamai, gali kilti rimtų problemų. Todėl atlikite šiuos veiksmus atidžiai. Kad būtų saugiau, prieš modifikuodami registrą sukurkite atsarginę jo kopiją. Tada galėsite atkurti registrą, jei kils problemų. Daugiau informacijos, kaip sukurti atsarginę registro kopiją ir atkurti registrą, rasite spustelėję toliau nurodytą straipsnio numerį ir peržiūrėję „Microsoft“ žinių bazės straipsnį:
-
322756Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje „Windows“
Vieta, kur galima nustatyti "Office COM" naikinimo bitą registre, yra tokia:
Jei turite "Office 2013" ir "Office 2010":
-
64 bitų "Office", skirto "64", "Windows" (arba 32 bitų "Office", skirto "32" "Windows").
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Jei naudojate "32", "Office" 64 bitų "Windows":
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Jei turite "Office 2016":
-
Jei naudojate "64", "Office", skirtą "64", "Windows" (arba 32 bitų 32 "Office" sistemoje "Windows"):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
Jei naudojate "32", "Office" 64 bitų "Windows":
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
Šiuo atveju CLSID yra COM objekto klasės identifikatorius.
Norėdami įgalinti "Office COM" naikinimo bitą, atlikite šiuos veiksmus:
-
Įtraukite registro dalinį raktą kartu su "ActiveX" valdiklio arba OLE objekto, kurį norite blokuoti įkėlimą, CLSID.
-
Įtraukite REG_DWORD į šį dalinį raktą, pavadintą suderinamumo vėliavėlės ir nustatykite jo reikšmę į 0x00000400.
Pavyzdžiui, Norėdami nustatyti "Office COM" naikinimo bitą objektui, kuris turi CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} "Office 2016", atlikite šiuos veiksmus:
-
Raskite šį dalinį registro raktą:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Įtraukite dalinį raktą su reikšme {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Šiuo atveju gautas maršrutas yra toks:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Įtraukite REG_DWORD į šį dalinį raktą, pavadintą suderinamumo vėliavėlėsir nustatykite jo reikšmę į 0x00000400.
Dabar "Office COM" naikinimo bitas nustatytas blokuoti šį objektą "Office".
Kaip blokuoti COM susiejimą ir įterpimo scenarijus
Kaip minėta, COM naikinimo bitais funkcija atnaujinta, kad būtų blokuoti visi nurodytų COM objektų suaktyvinimas "Office".
Norėdami tik blokuoti COM objektus, kurie yra įdėtieji arba susieti iš "Office" dokumentų, atlikite šiuos veiksmus:
-
Įtraukite CLSID į COM naikinimo bitą už instrukcijas dalyje "nustatymas"Office "naikinimo bitą" (jei jis dar nėra sąraše)
-
Dalyje blokuojamų CLSID rakto, įtraukite REG_DWORD reikšmę, pavadintą Activationfilteroverride, ir nustatykite jos reikšmę 0x00000001.
Pvz., jei norite konfigūruoti COM naikinimo bitą, kad būtų blokuojama tik objekto, kuriame yra CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} "Office 2016".
-
Raskite šį dalinį registro raktą:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Įtraukite dalinį raktą, kurio reikšmė yra {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Šiuo atveju gautas maršrutas yra toks:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Įtraukite REG_DWORD reikšmę į šį dalinį raktą, kuris pavadintas suderinamumo vėliavas, ir nustatykite jo reikšmę į 0x00000400.
-
Įtraukite REG_DWORD į šį dalinį raktą, pavadintą Activationfilteroverride, ir nustatykite jo reikšmę į 0x00000001.
Dabar "Office COM" naikinimo bitas nustatytas blokuoti šį COM objektą tik tuo atveju, jei jis susietas arba įdėtasis "Office" dokumentuose.
Valdikliai, užblokuoti suaktyvinant pagal numatytuosius numatytuosius
Kontrolės |
CLSID |
Scripcpseudoner |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
Particionmoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
"QueueMoniker" |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
Htmlapplikacija |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
"ScripletFactory" |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scripcduok |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
"Microsoft HTA" dokumentas 6,0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit. DHTMLEdit. 1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe. DHTMLSafe. 1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
VB scenarijaus kalba |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB scenarijaus kalbų redagavimas |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
VBScript kalbos kodavimas |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
VBScript pagrindinio kompiuterio kodavimas |
85131631-480C-11D2-B1F9-00C04F86C324 |
"Shockwave Flash Object" |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Macromedia Flash Factory objektas |
D27CDB70-AE6D-11cf-96B8-444553540000 |
"Microsoft Silverlight" |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
"Adobe Shockwave Player" |
233C1507-6A77-46A4-9443-F871F945D258 |
Python valdiklis |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Valdikliai, užblokuoti iš įdėjimo pagal numatytąją reikšmę
Kontrolės |
CLSID |
Shell. Explorer. 2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
"Microsoft HTML" dokumentas iššokančiajame lange |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Pastaba: Šis sąrašas yra blokuojamų valdiklių momentinė kopija ir gali būti keičiama