Sikkerhetsinnstillingene for ActiveX-kontroller og OLE-objekter i Office 2003 og 2007 Office-programserie

Kundestøtte for Office 2003 er avsluttet

Microsoft avsluttet kundestøtte for Office 2003 den 8. april 2014. Denne endringen har påvirket programvareoppdateringene og sikkerhetsalternativene dine. Finn ut hvordan dette påvirker deg og hvordan du forblir beskyttet.

VIKTIG: Denne artikkelen ble oversatt med maskinoversettelsesprogramvare fra Microsoft og muligens redigert av Microsoft Community via CTF-teknologi i stedet for av en oversetter. Microsoft tilbyr både menneskelig oversatte og maskinoversatte/Community-redigerte artikler, slik at du får tilgang til alle artiklene i vår Knowledge Base på ditt eget språk. En maskinoversatt eller Community-redigert artikkel er imidlertid ikke alltid perfekt. Den kan inneholde feil i vokabular, syntaks eller grammatikk, mye likt en fremmedspråklig som forsøker å snakke språket ditt. Microsoft har ikke ansvar for unøyaktige opplysninger, feil eller skade forårsaket av feilaktig oversettelse av innholdet eller kundenes bruk av informasjonen. Microsoft oppdaterer jevnlig maskinoversettelsesprogramvaren og -verktøyene for å forbedre redigering av maskinoversatte tekster.

Den engelske versjonen av denne artikkelen er den følgende: 2252664
Viktig Denne artikkelen inneholder informasjon som viser deg hvordan du kan senke sikkerhetsinnstillingene eller deaktivere sikkerhetsfunksjonene på en datamaskin. Du kan gjøre disse endringene for å løse et bestemt problem. Før du foretar disse endringene, anbefaler vi at du evaluerer risikoen som er knyttet til implementering av denne løsningen i ditt bestemte miljø. Hvis du implementerer denne midlertidige løsningen, må du ta alle nødvendige forholdsregler for å beskytte datamaskinen.
INTRODUKSJON
Denne artikkelen inneholder dokumentasjon for forhåndsversjonen, og kan endres i fremtidige versjoner.

Denne sikkerhetsoppdateringen kan brukere kontrollere om og hvordan ActiveX-kontroller og OLE-objekter lastes inn med en liste over kill bit for Microsoft Office. For mer informasjon om Windows Internet Explorer Kontroller kill bit virkemåten at denne funksjonen er basert på, og dette inkluderer hvordan du angir AlternateCLSIDs som gjør at oppdatert ActiveX til å laste inn, kan du se Hvordan du kan hindre en ActiveX-kontroll fra å kjøres i Internet Explorer.

Følgende artikkel i veiledningen omhandler sikkerhetsproblemer i Active Template Library (ATL) som kan tillate ekstern kjøring av kode.
973882 Microsoft Security veiledningen: Sikkerhetsproblemer i Microsoft Active Template Library (ATL) kan tillate ekstern kjøring av kode

Alle funksjonene i artikkelen veiledningen kan brukes til å redusere disse sikkerhetsproblemene i ATL. I tillegg diskuteres spesifikke ATL-begrensninger i denne sikkerhetsoppdateringen.

Denne sikkerhetsoppdateringen gjelder for Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher og Microsoft Visio.

Office COM "Kill Bit"

Du kan også bruke Office COM killbit som ble innført med sikkerhetsoppdatering i MS10-036 for å hindre at bestemte COM-objekter fra å kjøre i Office-programmer. Disse bestemte COM-objekter omfatter ActiveX-kontroller og OLE-objekter. Nå via registret, kan du uavhengig styre hvilke ActiveX- og OLE-objekter er blokkert fra å kjøre når du bruker Office.

Viktige notater
  • Hvis Office COM Kill Bit angis i registret for et OLE-objekt, er ikke lastet inn objektet, og objektet kan ikke lastes inn under noen omstendigheter.
  • I Office 2007 får brukerne følgende feilmelding:

    Referanser til eksterne koblede OLE-filer er blokkert.
  • Brukere får du følgende feilmelding i Office 2003:
    Forsøk på å registrere et klasseobjekt mislyktes. Ingen tilgang.


Slik avgjør du hvilken CLSID er ikke lastes inn, kan du bruke den Prosessovervåking fra TechNet. Se etter innstillingen Internet Explorer kill bit i loggfilen Prosessovervåking.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Merk Vi anbefaler ikke at du fjerner killbit som er angitt for et COM-objekt. Hvis du gjør dette, kan du opprette sikkerhetsproblemer. "Killbit" er vanligvis angitt av en grunn som kan være kritisk, og derfor må du være svært forsiktig når du omgjør deaktivering av en ActiveX-kontroll.

Du kan legge til en AlternateCLSID (også kjent som en "Phoenix bit") når du har til å relatere CLSID for ActiveX-kontrollen for en ny (og denne ActiveX-kontrollen ble endret for å redusere sikkerhetstrusselen), til CLSID for ActiveX-kontrollen for Office COM killbit ble brukt. Office støtter for AlternateCLSID bare når COM-objekter, ActiveX-kontrollen brukes.

Merk Listen kill bit for Office overstyrer listen kill bit for Internet Explorer. Killbit for COM Office og Internet Explorer ActiveX-"killbit" kan for eksempel angis for den samme ActiveX-kontrollen. Men AlternateCLSID angis bare på listen for Internet Explorer. Det er en konflikt mellom de to innstillingene i dette scenariet. I slike tilfeller Office COM kill bit innstillingene bli prioritert, og kontrollen er ikke lastet inn.

Angi Office COM Kill Bit

Viktig Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registeret feilaktig. Sørg derfor for at du følger disse trinnene nøye. For ekstra beskyttelse kan du ta sikkerhetskopi av registret før du endrer det. Deretter kan du gjenopprette registret hvis det oppstår et problem. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756Slik sikkerhetskopierer og gjenoppretter registret i Windows
Plassering for å angi Office COM "kill bit" i registret er som følger:
Kompatibilitet for HKEY_LOCAL_MACHINE/Software/Microsoft/Office/felles/COM / {CLSID}
I dette tilfellet CLSID er klasseidentifikatoren for COM-objektet. Hvis du vil aktivere Office COM "killbit", må du legge til registerundernøkkelen sammen med CLSID for ActiveX-kontroll eller OLE-objekt som du vil blokkere fra å laste inn. Du må også verdien for kompatibilitetsflagg REG_DWORD til 0x00000400.

Hvis du vil angi Office COM killbit for et objekt som har CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, finner du følgende undernøkkel, og legge til undernøkkelen REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24}:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
I dette tilfellet er banen som følger:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
Når du legger til en undernøkkel som inneholder verdien for 0x00000400 til nøkkelen {CLSID}, er Office COM "killbit" angitt. For 64-biters og 32-biters-objekter og deres killbits befinner seg i ulike registerplasseringene.

Hvis du vil ha mer informasjon, kan du gå til følgende Microsoft-webside Hvis du vil se de vanlige Spørsmålene Kill Bit:

Hvordan å overstyre listen Internet Explorer kill bit for OLE-objekter

Alternativet Overstyr IE kill bit-listen kan du spesifikt liste hvilke OLE-objekter i Internet Explorer kill bit listen har tillatelse til å bli lastet inn i Office. Bruk listen Overstyr IE kill bit bare hvis du vet at det er trygt å laste inn i Office OLE-objektet. Vær oppmerksom på at når kontoret overstyre IE kill bit innstillingen, Office kontrollerer også om Office COM "killbit" er aktivert. Hvis Office COM "killbit" er aktivert, lastes ikke OLE-objektet.

Hvis du vil aktivere alternativet Overstyr IE kill bit-listen, må du riktig kategorisere OLE-objektet. I registeret, hvis den ikke allerede finnes, legger du til en undernøkkel som kalles implementert kategorier til CLSID for COM-objektet. Deretter kan du legge til en undernøkkel som inneholder kategori ID (CATID) for OLE-objekter, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, til nøkkelen implementert kategorier.

For eksempel Internet Explorer kan konfigureres til å avslutte et OLE-objekt, men du likevel ønsker å bruke dette objektet i Office. I så fall må du først se CLSIDen for som OLE-objektet på følgende sted i registret:
HKEY_CLASSES_ROOT\CLSID
CLSIDen for Microsoft Graph-diagram er for eksempel {00020803-0000-0000-C000-000000000046}. Deretter må du finne ut om nøkkelen implementert kategorier finnes allerede, eller du må opprette nøkkelen hvis den ikke finnes. I dette eksemplet er følgende banen:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Til slutt kan du legge til en ny undernøkkel for CATID OLE-objektet i nøkkelen implementert kategorier. Følgende er banen for dette eksemplet:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Merk Kategori ID (CATID) for OLE-objekter er {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, og klammeparenteser ({}) må være inkludert.

Slik deaktiverer du ATL-begrensninger

Når ATL-løsningene er aktivert, kontroller som bruker OleLoadFromStreamsuch hindres i å fungere, og kontrollere informasjon går tapt. For eksempel berøres VB6/Windows felles kontroller av dette problemet.

Advarsel Denne løsningen kan gjøre en datamaskin eller et nettverk mer utsatt for angrep av ondsinnede brukere eller skadelig programvare som virus. Denne løsningen anbefales ikke, men informasjonen oppgis slik at du kan implementere løsningen på eget initiativ. Bruk denne løsningen på eget ansvar.

Vi anbefaler ikke at du deaktiverer ATL-løsningene med mindre det er absolutt nødvendig fordi disse løsningene som ATL dekker et bredt område. Hvis du deaktiverer de begrensende faktorene ATL, kan du opprette sikkerhetsproblemer. Hvis du deaktiverer ATL-løsningene, anbefaler vi at du ikke åpne Microsoft Office-filer som du mottar fra ikke-klarerte kilder, eller som mottar du uventet fra klarerte kilder.

Hvis du vil deaktivere de begrensende faktorene som refererer til ATL-sikkerhetsproblemene, kan du angi den NoOLELoadFromStreamChecks REG_DWORD til en verdi på 00000001 i følgende registerundernøkkel:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Merk Hvis registerundernøkkelen ikke finnes, må du opprette denne registerundernøkkelen som en REG_DWORD-type.

Deaktiver scriplet-kontroller for Office-programmer

Etter at denne sikkerhetsoppdateringen er installert, kan du deaktivere skriptleter for Office-programmer, og virkemåten for Internet Explorer er ikke endret.

Hvis du vil deaktivere skriptleter for Office-programmer, angir du den kompatibilitetsflagget REG_DWORD verdien til 00000400 i følgende registerundernøkkel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Det følgende er en liste over andre kontroller som du bør vurdere å legge til kontoret blokkeringsliste:
KontrollCLISD
Microsoft HTA dokumentet 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
Web Browswer kontroll {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
oppdatere sikkerhetsoppdatering sikkerhet_oppdatering sikkerhetsfeil problem sikkerhetsproblem skadelig angriper utnytte register uautorisert bufferoverløp overflyt spesialutformet omfang spesiallaget denial of service DoS TSE

Advarsel: Denne artikkelen er autooversatt

Eigenschappen

Artikel-id: 2252664 - Laatst bijgewerkt: 11/27/2013 02:53:00 - Revisie: 3.0

Microsoft Office Word 2007, Microsoft Office Word 2003, Microsoft Office Excel 2007, Microsoft Office Excel 2003, Microsoft Office PowerPoint 2007, Microsoft Office PowerPoint 2003, Microsoft Office Publisher 2007, Microsoft Office Publisher 2003, Microsoft Office Visio Professional 2007, Microsoft Office Visio Standard 2007, Microsoft Office Visio Professional 2003, Microsoft Office Visio Standard 2003

  • kbsecvulnerability kbsecurity kbsecbulletin kbfix kbexpertiseinter kbbug atdownload kb983632 kb2252664 kbmt KB2252664 KbMtno
Feedback