Forsiktig!: Denne artikkelen inneholder informasjon som viser deg hvordan du kontrollerer sikkerhetsinnstillingene for Office. Du kan gjøre endringer i disse sikkerhetsinnstillingene for enten å øke eller redusere sikkerhetsposten. Før du gjør disse endringene, anbefaler vi at du evaluerer risikoene som er knyttet til eventuelle endringer du gjør for å konfigurere denne innstillingen.
INNLEDNING
Denne artikkelen beskriver innstillingene som er tilgjengelige for brukere og IT-administratorer for å kontrollere om og hvordan COM-objekter lastes inn ved å ha en Microsoft Office-kill bit-liste.
Hvis du vil ha mer informasjon om kill bit-virkemåten i Windows Internet Explorer som denne funksjonen er basert på, inkludert hvordan du angir AlternativeCLSID-er som tillater at oppdaterte ActiveX-kontroller lastes inn, kan du se Slik stopper du en ActiveX-kontrollfra å kjøre i Internet Explorer .
Denne veiledningen gjelder for Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher og Microsoft Visio.
Office COM kill bit
Office COM-kill bit ble introdusert i sikkerhetsoppdateringen MS10-036 for å hindre at bestemte COM-objekter kjører når de bygges inn eller kobles fra Office-dokumenter.
Com Kill bit-funksjonaliteten er oppdatert i KB3178703 for å blokkere COM-objekter fullstendig fra å bli aktivert i prosess av Office. Denne oppdateringen er et overordnet sett med den opprinnelige virkemåten, og i tillegg til å blokkere COM-objekter som er innebygd eller koblet i Office-dokumenter, blokkeres alle forekomster av COM-objekter som lastes inn i Office-prosessen på andre måter, for eksempel tillegg.
Disse bestemte COM-objektene omfatter ActiveX-kontroller og OLE-objekter. Gjennom registeret kan du uavhengig kontrollere hvilke COM-objekter som blokkeres når du bruker Office.
Obs!Vi anbefaler ikke at du fjerner kill bit som er angitt for et COM-objekt. Hvis du gjør dette, kan du opprette sikkerhetsproblemer. Kill bit er vanligvis angitt av en grunn som kan være kritisk. Derfor må du være svært forsiktig når du senker en ActiveX-kontroll.
Du kan legge til en AlternateCLSID (også kjent som en "Phoenix-bit") når du må relatere CLSID for en ny ActiveX-kontroll (og denne ActiveX-kontrollen ble endret for å redusere sikkerhetstrusselen), til CLSIDen for ActiveX-kontrollen der Office COM-kill bit ble brukt. Office støtter bare AlternateCLSID når ActiveX-kontroller COM-objekter brukes.
Obs! Kill bit-listen for Office har forrang over kill bit-listen for Internet Explorer. Office COM-kill bit og Internet Explorer ActiveX-kill bit kan for eksempel angis for samme ActiveX-kontroll. AlternativCLSID er stilt inn bare på listen for Internet Explorer. I dette scenarioet er det en konflikt mellom de to innstillingene. I slike tilfeller har kill bit-innstillingene for Office COM prioritet, og kontrollen lastes ikke inn.
Angi Office COM-kill bit
Viktig!:
-
Dette avsnittet, denne metoden eller denne oppgaven inneholder trinn som forteller deg hvordan du kan endre registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåten nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Da kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
-
322756Slik kan du sikkerhetskopiere og gjenopprette registeret i Windows
Plasseringen for å angi Office COM-kill bit i registeret er som følger:
For Office 2013 og Office 2010:
-
For 64-biters Office på 64-biters Windows (eller 32-biters Office på 32-biters Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
For 32-biters Office på 64-biters Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
For Office 2016:
-
For 64-biters Office på 64-biters Windows (eller 32-biters Office på 32-biters Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
For 32-biters Office på 64-biters Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
I dette tilfellet er CLSID klasseidentifikatoren for COM-objektet.
Følg disse trinnene for å aktivere Office COM-kill bit:
-
Legg til registerundernøkkelen sammen med CLSIDen til ActiveX-kontrollen eller OLE-objektet som du vil blokkere fra innlasting.
-
Legg til REG_DWORD i denne undernøkkelen som heter Kompatibilitetsflagg, og angi verdien til 0x00000400.
Hvis du for eksempel vil angi Office COM-kill bit for et objekt som har CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} på Office 2016, følger du disse trinnene:
-
Finn følgende registerundernøkkel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Legg til en undernøkkel med verdien {77061A9C-2F18-4f38-B294-F6BCC8443D24}. I dette tilfellet er den resulterende banen som følger:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Legg til REG_DWORD i denne undernøkkelen som heter Kompatibilitetsflagg, og angi verdien til 0x00000400.
Office COM-kill bit er nå satt til å blokkere dette objektet fra å bli aktivert i Office.
Slik blokkerer du bare COM i koblings- og innebyggingsscenarioer
Som nevnt har COM-kill bit-funksjonaliteten blitt oppdatert for å blokkere all aktivering av angitte COM-objekter fra Office.
Hvis du bare vil blokkere COM-objekter som er innebygd eller koblet fra Office-dokumenter, følger du disse trinnene:
-
Legg til CLSIDen i COM-kill-biten i henhold til instruksjonene under"Angi Office Kill Bit"(hvis den ikke er på listen allerede)
-
Legg til en REG_DWORD som heter ActivationFilterOverrideunder undernøkkelen for CLSID-en som er blokkert,og angi verdien til 0x00000001 .
Hvis du for eksempel vil konfigurere COM-kill bit til å blokkere bare i koblings- og innebyggingsscenarioer for et objekt som har CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} på Office 2016, følger du disse trinnene:
-
Finn følgende registerundernøkkel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Legg til en undernøkkel som har verdien {77061A9C-2F18-4f38-B294-F6BCC8443D24}. I dette tilfellet er den resulterende banen som følger:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Legg til REG_DWORD verdi i denne undernøkkelen som heter Kompatibilitetsflagg, og angi verdien til 0x00000400.
-
Legg til REG_DWORD til denne undernøkkelen kalt ActivationFilterOverride, og angi verdien til 0x00000001.
Office COM-kill bit er nå satt til å blokkere dette COM-objektet bare hvis det er koblet eller innebygd i Office-dokumenter.
Kontroller som er blokkert fra aktivering som standard
Kontroll |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Skriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA-dokument 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
VB-skriptspråk |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB Skriptspråkredigering |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
VBScript-språkkoding |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
VBScript-vertskode |
85131631-480C-11D2-B1F9-00C04F86C324 |
Shockwave Flash-objekt |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Macromedia Flash Factory-objekt |
D27CDB70-AE6D-11cf-96B8-44455354000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Python-kontroll |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Kontroller som er blokkert fra innebygging som standard
Kontroll |
CLSID |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Html-fil |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Microsoft HTML-dokument for popup-vindu |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Obs!Denne listen er et øyeblikksbilde av kontroller som er blokkert, og kan endres