Let op: Dit artikel bevat informatie over het beheren van beveiligingsinstellingen voor Office. U kunt deze beveiligingsinstellingen wijzigen om uw beveiligingsstatus te verhogen of te verlagen. Voordat u deze wijzigingen aan gaat brengen, raden we u aan de risico's te evalueren die samenhangen met wijzigingen die u aan brengen om deze instelling te configureren.
Inleiding
In dit artikel worden instellingen beschreven die beschikbaar zijn voor gebruikers en IT-beheerders om te bepalen of en hoe COM-objecten worden geladen door een Microsoft Office-lijst met kill-bits te hebben.
Zie Hoe u kunt voorkomen dat een ActiveX-besturingselementwordt uitgevoerd in Internet Explorer voor meer informatie over het kill-bitgedrag van Windows Internet Explorer waarop deze functie is gebaseerd, zoals het instellen van alternatieveCLSIDs waarmee bijgewerkte ActiveX-besturingselementen kunnen worden geladen.
Deze richtlijn is van toepassing op Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher en Microsoft Visio.
Office COM kill bit
De Office COM kill bit is geïntroduceerd in de beveiligingsupdate MS10-036 om te voorkomen dat specifieke COM-objecten worden uitgevoerd wanneer ze zijn ingesloten of gekoppeld vanuit Office-documenten.
De COM Kill-bitfunctionaliteit is bijgewerkt in KB3178703 om te blokkeren dat COM-objecten in proces worden geactiveerd door Office. Deze update is een superset van het oorspronkelijke gedrag, waarbij com-objecten die zijn ingesloten of gekoppeld in Office-documenten, niet alleen worden geblokkeerd, maar ook alle exemplaren van COM-objecten die binnen het Office-proces worden geladen via andere middelen, zoals invoegingen, worden geblokkeerd.
Deze specifieke COM-objecten zijn ActiveX-besturingselementen en OLE-objecten. Via het register kunt u onafhankelijk bepalen welke COM-objecten worden geblokkeerd wanneer u Office gebruikt.
Opmerking:U wordt niet aangeraden de kill-bit te verwijderen die is ingesteld voor een COM-object. Als u dit doet, kunt u beveiligingsproblemen maken. De kill-bit wordt meestal ingesteld om een reden die kritiek kan zijn. Daarom moet u uiterst voorzichtig zijn wanneer u een ActiveX-besturingselement uitscholt.
U kunt een AlternatieveCLSID (ook wel bekend als een 'Phoenix-bit') toevoegen als u de CLSID van een nieuw ActiveX-besturingselement (en dit ActiveX-besturingselement is gewijzigd om de beveiligingsrisico's te beperken) moet relateren aan de CLSID van het ActiveX-besturingselement waarop de Office COM-kill-bit is toegepast. Office ondersteunt de AlternateCLSID alleen wanneer ActiveX-besturingselement COM-objecten worden gebruikt.
Opmerking: De kill-bitlijst voor Office heeft voorrang op de lijst met kill-bits voor Internet Explorer. De Kill Bit van Office COM en de Kill Bit van Internet Explorer ActiveX kunnen bijvoorbeeld worden ingesteld voor hetzelfde ActiveX-besturingselement. De AlternatieveCLSID is echter alleen ingesteld op de lijst voor Internet Explorer. In dit scenario is er een conflict tussen de twee instellingen. In dergelijke gevallen hebben de office COM kill bit-instellingen voorrang en wordt het besturingselement niet geladen.
Het kill-bit van Office COM instellen
Belangrijk:
-
Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
-
322756Een back-up nemen en het herstellen van het register in Windows
De locatie voor het instellen van de Office COM kill bit in het register is als volgt:
Voor Office 2013 en Office 2010:
-
Voor 64-bits Office op 64-bits Windows (of 32-bits Office in 32-bits Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Voor 32-bits Office op 64-bits Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Voor Office 2016:
-
Voor 64 bits Office op 64-bits Windows (of 32-bits Office in 32-bits Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Voor 32-bits Office op 64-bits Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
In dit geval is CLSID de klasseaanduiding van het COM-object.
Als u de Office COM-kill-bit wilt inschakelen, gaat u als volgt te werk:
-
Voeg de register subsleutel samen met de CLSID van het ActiveX-besturingselement of OLE-object toe dat u wilt blokkeren om te laden.
-
Voeg een REG_DWORD toe aan deze subsleutel genaamd Compatibiliteitsvlaggen en stel de waarde in op 0x00000400.
Als u bijvoorbeeld de Kill Bit van Office COM wilt instellen voor een object met CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} in Office 2016, volgt u de volgende stappen:
-
Zoek de volgende register subsleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Voeg een subsleutel toe met de waarde {77061A9C-2F18-4f38-B294-F6BCC8443D24}. In dit geval is het resulterende pad als volgt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Voeg een REG_DWORD toe aan deze subsleutel met de naam Compatibiliteitsvlaggenen stel de waarde in op 0x00000400.
De Office COM kill bit is nu ingesteld om te blokkeren dat dit object wordt geactiveerd in Office.
Com alleen blokkeren bij het koppelen en insluiten van scenario's
Zoals vermeld, is de functionaliteit voor COM-kill-bits bijgewerkt om alle activering van opgegeven COM-objecten vanuit Office te blokkeren.
Als u alleen COM-objecten wilt blokkeren die zijn ingesloten of gekoppeld vanuit Office-documenten, volgt u de volgende stappen:
-
Voeg de CLSID toe aan de COM kill bit volgens de instructies onder "De Office Kill Bitinstellen " (als deze nog niet in de lijst staat)
-
Voeg onder de subsleutel voor de geblokkeerde CLSID een REG_DWORD-waarde toe met de naam ActivationFilterOverrideen stel de waarde in op 0x00000001.
Als u bijvoorbeeld de kill bit com wilt configureren om alleen te blokkeren bij het koppelen en insluiten van scenario's voor een object met CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} in Office 2016, volgt u de volgende stappen:
-
Zoek de volgende register subsleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Voeg een subsleutel toe met de waarde {77061A9C-2F18-4f38-B294-F6BCC8443D24}. In dit geval is het resulterende pad als volgt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Voeg een REG_DWORD waarde toe aan deze subsleutel met de naam Compatibiliteitsvlaggenen stel de waarde in op 0x00000400.
-
Voeg een REG_DWORD toe aan deze subsleutel ActivationFilterOverrideen stel de waarde in op 0x00000001.
De Office COM kill bit is nu ingesteld om dit COM-object alleen te blokkeren als het is gekoppeld of ingesloten in Office-documenten.
Besturingselementen die standaard zijn geblokkeerd voor activering
|
Control |
CLSID |
|
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
|
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
|
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
|
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
|
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
|
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
|
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
|
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
|
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
|
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
|
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
|
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
|
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
|
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
|
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
|
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
|
Microsoft HTA Document 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
|
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
|
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
|
VB-scripttaal |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
|
VB Script Language Authoring |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
|
VBScript Language Encoding |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
|
VBScript Host Encode |
85131631-480C-11D2-B1F9-00C04F86C324 |
|
Shockwave Flash Object |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
|
Macromedia Flash Factory Object |
D27CDB70-AE6D-11cf-96B8-444553540000 |
|
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
|
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
|
Python-besturingselement |
DF630910-1C1D-11D0-AE36-8C0F5E0000000 |
Besturingselementen die standaard zijn geblokkeerd voor insluiten
|
Control |
CLSID |
|
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
|
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
|
Microsoft HTML-document voor pop-upvenster |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Opmerking:Deze lijst is een momentopname van geblokkeerde besturingselementen en kan worden gewijzigd
