Brīdinājums.: Šajā rakstā ir sniegta informācija, kurā parādīts, kā kontrolēt Office drošības iestatījumus. Jūs varat veikt izmaiņas šajos drošības iestatījumos, lai paaugstinātu vai pazeminātu drošības stāvokli. Pirms izmaiņu veikšanas ieteicams novērtēt riskus, kas saistīti ar izmaiņām, ko veicat, konfigurējot šo iestatījumu.
IEVADS
Šajā rakstā ir aprakstīti iestatījumi, kas pieejami lietotājiem un IT administratoriem, lai kontrolētu, vai un kā COM objekti tiek ielādēti, izmantojot Microsoft Office kill bit List.
Papildinformāciju par Windows Internet Explorer nonāvēšanas darbību, kurā šis līdzeklis ir pamatots, ieskaitot to, kā iestatīt AlternateCLSIDs, kas atļauj atjauninātas ActiveX vadīklas ielādēt, skatiet rakstā kā pārtraukt ActiveX vadīklas darbību pārlūkprogrammā Internet Explorer.
Šīs vadlīnijas attiecas uz Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher un Microsoft Visio.
Office COM nogalināt bit
Office COM nonāvēšanas bits tika ieviests drošības atjauninājuma MS10-036, lai neļautu noteiktiem COM objektiem darboties, ja tie ir iegulti vai saistīti ar Office dokumentiem.
COM bloķējošā bitu funkcionalitāte ir atjaunināta programmā KB3178703 , lai pilnībā bloķētu com objektus no aktivizēšanas uz procesu sistēmā Office. Šajā atjauninājumā ir iekļauts sākotnējais darbības veids, kur papildus bloķētiem COM objektiem, kas ir iegulti vai saistīti ar Office dokumentiem, tādējādi tiek bloķēti visi COM objektu gadījumi, kas tiek ielādēti Office procesā, izmantojot citus līdzekļus, piemēram, pievienojumprogrammas.
Šajos noteiktajos COM objektos ietilpst ActiveX vadīklas un OLE objekti. Izmantojot reģistru, varat neatkarīgi noteikt, kuri COM objekti tiek bloķēti, kad izmantojat Office.
PiezīmeNeiesakām noņemt bloķējošo bitu, kas ir iestatīts COM objektam. Ja tas ir paveikts, varat izveidot drošības ievainojamību. Bloķējošais bits parasti ir iestatīts uz svarīgu iemeslu. Tāpēc, lai nenogalinātu ActiveX vadīklu, jums ir jābūt ļoti uzmanīgam.
Jūs varat pievienot AlternateCLSID (ko dēvē arī par "Phoenix bit"), ja ir jāpiesaista jaunas ActiveX vadīklas CLSID (un šī ActiveX vadīkla ir modificēta, lai samazinātu drošības draudus), uz CLSID ActiveX vadīklai, kurā tika lietots Office COM bloķējošais bits. Office atbalsta AlternateCLSID tikai tad, ja tiek izmantoti ActiveX vadīklu COM objekti.
Piezīme: Office novākšanas bitu saraksts dominē pār Internet Explorer nonāvēšanas bitu sarakstu. Piemēram, Office COM bloķējošā bitu un Internet Explorer ActiveX bloķējošais bits var būt iestatīts vienai ActiveX vadīklai. Taču AlternateCLSID ir iestatīts tikai Internet Explorer sarakstā. Šajā scenārijā ir konflikts starp abiem iestatījumiem. Šādos gadījumos Office COM nogalināt bitu iestatījumi dominē un vadīkla nav ielādēta.
Office COM bloķējošā bitu iestatīšana
Svarīgi!:
-
Šajā sadaļā, metodē vai uzdevumā ir ietverti norādījumi par to, kā modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tāpēc veiciet šīs darbības tieši tā, kā aprakstīts. Papildu drošībai pirms reģistra modificēšanas izveidojiet tā dublējumu. Tādējādi, ja radīsies kāda problēma, varēsit reģistru atjaunot. Lai iegūtu papildinformāciju par reģistra dublēšanu un atjaunošanu, noklikšķiniet uz tālāk norādītā raksta numura un lasiet rakstu Microsoft zināšanu bāzē.
-
322756Reģistra dublēšana un atjaunošana operētājsistēmā Windows
Office COM nonāvēšanas līdzekļa atrašanās vieta reģistrā ir šāda:
Office 2013 un Office 2010:
-
64 bitu sistēmai Office 64 bitu operētājsistēmā Windows (vai 32 bitu sistēmā Office darbojas 32 bitu operētājsistēmā Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
32 bitu sistēmai Office 64 bitu operētājsistēmā Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Pakalpojumā Office 2016:
-
64 bitu sistēmai Office 64 bitu operētājsistēmā Windows (vai 32 bitu sistēmā Office darbojas 32 bitu operētājsistēmā Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
32 bitu sistēmai Office 64 bitu operētājsistēmā Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
Šajā gadījumā CLSID ir COM objekta klases identifikators.
Lai iespējotu Office COM nogalināt bitu, veiciet tālāk norādītās darbības.
-
Pievienojiet reģistra apakšatslēgu kopā ar CLSID ActiveX vadīklai vai OLE objektam, ko vēlaties bloķēt, lai to ielādētu.
-
Pievienojiet REG_DWORD šai apakšatslēgai saderības karodziņi un iestatiet tā vērtību uz 0x00000400.
Piemēram, lai iestatītu Office COM bloķējošo bitu objektam, kuram ir CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} pakalpojumā Office 2016, veiciet tālāk norādītās darbības.
-
Atrodiet šo reģistra apakšatslēgu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Pievienojiet apakšatslēgu ar vērtību {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Šajā gadījumā izveidotais ceļš ir šāds:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Pievienojiet REG_DWORD šai apakšatslēgai ar nosaukumu saderības karodziņiun iestatiet tā vērtību uz 0x00000400.
Office COM nogalināt bit tagad ir iestatīta, lai bloķētu šo objektu no aktivizēšanas sistēmā Office.
Kā tikai bloķēt COM datu saistīšanas un iegulšanas scenārijos
Kā minēts iepriekš, COM bloķējošā bitu funkcionalitāte ir atjaunināta, lai bloķētu visu norādīto COM objektu aktivizāciju no Office.
Lai tikai bloķētu COM objektus, kas ir iegulti vai saistīti no Office dokumentiem, veiciet tālāk norādītās darbības.
-
Pievienojiet CLSID COM nonāvēšanas bits atbilstoši instrukcijām sadaļā "Office novākšanas bits iestatīšana" (ja tas vēl nav norādīts sarakstā)
-
Zem bloķēto CLSID apakšatslēgas pievienojiet REG_DWORD vērtību, kuras nosaukums ir ActivationFilterOverride, un iestatiet tās vērtību uz 0x00000001.
Piemēram, lai konfigurētu COM bloķējošo bitu, lai bloķētu tikai to objektu saistīšanas un iegulšanas scenārijiem, kuriem sistēmā Office 2016 ir CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, veiciet tālāk norādītās darbības.
-
Atrodiet šo reģistra apakšatslēgu:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Pievienojiet apakšatslēgu, kuras vērtība ir {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Šajā gadījumā izveidotais ceļš ir šāds:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Pievienojiet REG_DWORD vērtību šai apakšatslēgai ar nosaukumu saderības karodziņiun iestatiet tā vērtību uz 0x00000400.
-
Pievienojiet REG_DWORD šo apakšatslēgu, ko dēvē par ActivationFilterOverride, un iestatiet tās vērtību uz 0x00000001.
Office COM nonāvēšanas bits tagad ir iestatīts bloķēt šo COM objektu tikai tad, ja tas ir saistīts vai iegults Office dokumentos.
Vadīklas, kas pēc noklusējuma ir bloķētas no aktivizēšanas
Vadības |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA dokuments 6,0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit. DHTMLEdit. 1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe. DHTMLSafe. 1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
VB skripta valoda |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB skripta valodas autorēšana |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
VBScript valodas kodējums |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
VBScript resursdatora kodēšana |
85131631-480C-11D2-B1F9-00C04F86C324 |
Shockwave Flash Object |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Macromedia Flash Factory objekts |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave atskaņotājs |
233C1507-6A77-46A4-9443-F871F945D258 |
Python vadīkla |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Vadīklas, kas pēc noklusējuma ir bloķētas no iegulšanas
Vadības |
CLSID |
Čaula. Explorer. 2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Microsoft HTML dokuments uznirstošajam logam |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Piezīme: Šis saraksts ir bloķēto vadīklu momentuzņēmums, un tās var tikt mainītas