Sikkerhetsinnstillinger for COM-objekter i Office

ViktigDenne artikkelen inneholder informasjon som viser hvordan du kan kontrollere sikkerhetsinnstillinger for Office. Du kan endre disse sikkerhetsinnstillingene for å øke eller senke posture din sikkerhet. Før du foretar disse endringene, anbefaler vi at du evaluerer risikoen som er forbundet med eventuelle endringer du gjør i denne innstillingen konfigureres.  

INNLEDNING

Denne artikkelen beskriver innstillingene som er tilgjengelige for sluttbrukere og IT-administratorer til å kontrollere om og hvordan COM-objekter lastes inn med en liste over kill bit for Microsoft Office.  

For mer informasjon om Windows Internet Explorer Kontroller kill bit virkemåten at denne funksjonen er basert på, og dette inkluderer hvordan du angir AlternateCLSIDs som gjør at oppdatert ActiveX til å laste inn, kan du se hvordan du kan hindre en ActiveX-kontroll fra å kjøres i Internet Explorer.    Denne veiledningen gjelder for Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher og Microsoft Visio.  

Office COM "Kill Bit" 

Office COM killbit ble innført med sikkerhetsoppdatering MS10-036 for å hindre at bestemte COM-objekter kjører når innebygd eller koblet fra Office-dokumenter.  

COM-Kill bit funksjonalitet som er blitt oppdatert i KB3178703 å fullstendig blokkere COM-objektene er aktivert i arbeid av Office. Denne oppdateringen er et overordnet sett for den opprinnelige virkemåten versjonsproblemer, i tillegg til COM-objekter innebygde eller koblede i Office-dokumenter, dette blokkerer alle forekomster av COM-objekter som lastes inn i Office-prosessen på andre måter som tillegg. 

Disse bestemte COM-objekter omfatter ActiveX-kontroller og OLE-objekter. Via registret, kan du uavhengig styre hvilken COM-objekter er blokkert når du bruker Office. 

Obs! Vi anbefaler ikke at du fjerner killbit som er angitt for et COM-objekt. Hvis du gjør dette, kan du opprette sikkerhetsproblemer. "Killbit" er vanligvis angitt av en grunn som kan være kritisk, og derfor må du være svært forsiktig når du omgjør deaktivering av en ActiveX-kontroll.     Du kan legge til en AlternateCLSID (også kjent som en "Phoenix bit") når du har til å relatere CLSID for ActiveX-kontrollen for en ny (og denne ActiveX-kontrollen ble endret for å redusere sikkerhetstrusselen), til CLSID for ActiveX-kontrollen for Office COM killbit ble brukt. Office støtter for AlternateCLSID bare når du bruker ActiveX-kontrollen COM-objekter.     Obs! Listen kill bit for Office overstyrer listen kill bit for Internet Explorer. Killbit for COM for Office og Internet Explorer ActiveX killbit kan for eksempel angis for den samme ActiveX-kontrollen. Men AlternateCLSID angis bare på listen for Internet Explorer. Det er en konflikt mellom de to innstillingene i dette scenariet. I slike tilfeller Office COM kill bit innstillingene bli prioritert, og kontrollen er ikke lastet inn. 

Angi Office COM Kill Bit

ViktigDette avsnittet, denne metoden eller denne oppgaven inneholder trinn som forteller deg hvordan du kan endre registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåten nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Da kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:  

322756 Slik kan du sikkerhetskopiere og gjenopprette registeret i Windows

Plassering for å angi Office COM "kill bit" i registret er som følger:  

For 2013 for Office og Office 2010:

  1. For 64-biters Office på 64-biters Windows (eller 32-biters Office på Windows 32-biters).

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}

  2. For 32-biters Office på 64-biters Windows.

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}

For Office-2016:

  1. For 64-biters Office på 64-biters Windows (eller 32-biters Office på Windows 32-biters). HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}

  2. For 32-biters Office på 64-biters Windows. HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}

I dette tilfellet er CLSID klasse-IDen for COM-objektet.  

Hvis du vil aktivere Office COM "killbit", kan du utføre følgende trinn 

  1. Legge til registerundernøkkelen sammen med CLSID for ActiveX-kontroll eller OLE-objekt som du vil blokkere fra å laste inn.  

  1. Legge til en REG_DWORD-verdi i denne nøkkelen kalles Compatibility Flags og sette verdien til 0x00000400.  

For eksempel skal angi Office COM-kill bit for et objekt med CLSIDen {77061A9C-2F18-4f38-B294-F6BCC8443D24} på Office-2016; 

  1. Finn følgende registernøkkel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM-kompatibilitet

  1. Legg til en undernøkkel med verdien {77061A9C-2F18-4f38-B294-F6BCC8443D24}. I dette tilfellet er den resulterende banen som følger: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ {77061A9C-2F18-4f38-B294-F6BCC8443D24}

  2. Legge til en REG_DWORD-verdi i denne nøkkelen kalles Compatibility Flags og sette verdien til 0x00000400

Office COM "killbit" er nå satt til å blokkere dette objektet blir aktivert i Office. 

Slik blokkerer bare COM i kobling og innebygging av scenarier 

Som nevnt tidligere, vil COM kill bit funksjonalitet har blitt oppdatert for å blokkere alle angitte COM-objekter fra Office-aktivering.  

Hvis du vil blokkere bare COM-objekter som er innebygd eller koblet fra i Office-dokumenter, kan du utføre følgende trinn:  

  1. Legge til CLSIDen COM killbit per instruksjonene under "Angi Office Kill Bit" (Hvis det ikke er på listen) 

  1. Under undernøkkelen for CLSID blir blokkert, legge til en REG_DWORD-verdi kalt ActivationFilterOverride og sette verdien til 0x00000001

For eksempel hvis du vil konfigurere COM "killbit" til å blokkere bare i kobling og innebygging av scenarier for et objekt har som CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} på Office-2016 

  1. Finn følgende registernøkkel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM-kompatibilitet

  2. Legg til en undernøkkel med verdien {77061A9C-2F18-4f38-B294-F6BCC8443D24}. I dette tilfellet den resulterende banen er som følger: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\ {77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Legge til en REG_DWORD-verdi i denne nøkkelen kalles Compatibility Flags og sette verdien til 0x00000400

  4. Legge til en REG_DWORD-verdi i denne nøkkelen kalles ActivationFilterOverride , og angi verdidataene til 0x00000001

Office COM "killbit" er nå satt til å blokkere dette COM-objektet bare når den er koblet eller innebygd i Office-dokumenter. 

Kontroller som er blokkert fra aktivering som standard

Kontroll

CLSID

ScriptMoniker

06290BD3-48AA-11D2-8432-006008C3FBFC

SoapActivator

ECABAFD0-7F19-11D2-978E-0000F8757E2A

SoapMoniker

ECABB0C7-7F19-11D2-978E-0000F8757E2A

PartitionMoniker

ECABB0C5-7F19-11D2-978E-0000F8757E2A

QueueMoniker

ECABAFC7-7F19-11D2-978E-0000F8757E2A

HTMLApplication

3050F4D8-98B5-11CF-BB82-00AA00BDCE0B

ScripletContext

06290BD0-48AA-11D2-8432-006008C3FBFC

ScripletConstructor

06290BD1-48AA-11D2-8432-006008C3FBFC

ScripletFactory

06290BD2-48AA-11D2-8432-006008C3FBFC

ScripletHostEncode

06290BD4-48AA-11D2-8432-006008C3FBFC

ScripletTypeLib

06290BD5-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Automation

06290BD8-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Event

06290BD9-48AA-11D2-8432-006008C3FBFC

ScripletHandler_ASP

06290BDA-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Behavior

06290BDB-48AA-11D2-8432-006008C3FBFC

XMLFeed

528D46B3-3A4B-4B13-BF74-D9CBD7306E07

Skriptlet

AE24FDAE-03C6-11D1-8B76-0080C744F389

HtmlFile_FullWindowEmbed

25336921-03F9-11CF-8FD0-00AA00686F13

Mhtmlfile

3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Microsoft HTA dokumentet 6.0

3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

DHTMLEdit.DHTMLEdit.1

2D360200-FFF5-11D1-8D03-00A0C959BC0A

DHTMLSafe.DHTMLSafe.1

2D360201-FFF5-11D1-8D03-00A0C959BC0A

Kontroller som blokkeres som standard fra innebygging

Kontroll

CLSID

Shell.Explorer.2

8856F961-340A-11D0-A96B-00C04FD705A2

Htmlfile

25336920-03F9-11CF-8FD0-00AA00686F13

Microsoft HTML-dokument for Popup-vindu

3050F67D-98B5-11CF-BB82-00AA00BDCE0B

 

Merknad: denne listen er et øyeblikksbilde av kontrollene som er sperret og kan endres 

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×