Belangrijk Dit artikel bevat informatie waarmee u beveiligingsinstellingen kunt verlagen of beveiligingsfuncties kunt uitschakelen op een computer. U kunt deze wijzigingen aanbrengen om een specifiek probleem te omzeilen. Voordat u deze wijzigingen aanbrengt, raden we u aan om de risico's te evalueren die gepaard gaan met de implementatie van deze methode in uw configuratie. Als u deze methode implementeert, dient u extra stappen te ondernemen om de computer te beveiligen.

Inleiding

Dit artikel bevat voorlopige documentatie en kan in toekomstige uitgaven worden gewijzigd.

Met deze beveiligingsupdate kunnen gebruikers met behulp van een Microsoft Office-kill-bit-lijst bepalen of en hoe ActiveX-besturingselementen en OLE-objecten worden geladen. Zie De uitvoering van een ActiveX-besturingselement in Internet Explorer stoppen voor meer informatie over het kill-bit-gedrag in Windows Internet Explorer waarop dit artikel is gebaseerd, met onder meer informatie over hoe u AlternateCLSID-waarden kunt instellen om het laden van gewijzigde ActiveX-besturingselementen mogelijk te maken.

In het volgende beveiligingsadvies worden beveiligingsproblemen in de Active Template Library (ATL) besproken die kunnen leiden tot uitvoering van externe code.

973882 Microsoft-beveiligingsadvies: Beveiligingsproblemen in Microsoft Active Template Library (ATL) kunnen leiden tot uitvoering van externe code (Mogelijk alleen beschikbaar in het Engels)
Alle elementen in het beveiligingsadvies kunnen worden gebruikt om de ATL-beveiligingsproblemen te beperken. Daarnaast worden er specifieke ATL-oplossingen besproken in deze beveiligingsupdate.

Deze beveiligingsupdate is van toepassing op Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher en Microsoft Visio.

Office COM-kill-bit

U kunt ook gebruikmaken van de Office COM-kill-bit die in beveiligingsupdate MS10-036 is geïntroduceerd om te voorkomen dat specifieke COM-objecten worden uitgevoerd binnen Office-toepassingen. Deze specifieke COM-objecten omvatten ActiveX-besturingselementen en OLE-objecten. Via het register kunt u nu onafhankelijk bepalen welke ActiveX- en OLE-objecten niet mogen worden uitgevoerd wanneer u Office gebruikt.

Belangrijke opmerkingen

  • Als de Office COM-kill-bit is ingesteld in het register voor een OLE-object, wordt het object niet geladen en kan het in geen enkele omstandigheid worden geladen.

  • In Office 2007 wordt het volgende foutbericht weergegeven:


    Verwijzingen naar externe gekoppelde OLE-bestanden zijn geblokkeerd.

  • In Office 2003 wordt het volgende foutbericht weergegeven:

    Kan een klasseobject niet maken. Toegang geweigerd.Met Process Monitor van TechNet kunt u bepalen welke CLSID niet wordt geladen. Zoek naar de Internet Explorer-kill-bit-instelling in het logboekbestand van Process Monitor.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Opmerking Microsoft raadt u niet aan om de kill-bit die is ingesteld voor een COM-object, te verwijderen. Als u dit doet, kunnen er beveiligingslekken ontstaan. De kill-bit wordt gewoonlijk ingesteld voor essentiële zaken. Daarom is het van belang om uiterst nauwkeurig te werk te gaan wanneer u de kill-actie op ActiveX-besturingselementen ongedaan wilt maken.

U kunt een AlternateCLSID, ook wel bekend als een 'fenix-bit', toevoegen aan de CLSID van een ActiveX-besturingselement waarop de Office COM-kill-bit is toegepast, om de CLSID van een nieuw ActiveX-besturingselement eraan te koppelen, als dit ActiveX-besturingselement is gewijzigd om het beveiligingsrisico te verkleinen. Office ondersteunt de AlternateCLSID alleen wanneer ActiveX-COM-objecten zijn gebruikt.

Opmerking De kill-bit-lijst voor Office heeft voorrang op de kill-bit-lijst voor Internet Explorer. Stel dat de Office COM-kill-bit en de Internet Explorer ActiveX-kill-bit zijn ingesteld voor hetzelfde ActiveX-besturingselement. De AlternateCLSID is echter alleen ingesteld op de lijst voor Internet Explorer. In dit geval is er een conflict tussen de twee instellingen. In dergelijke situaties heeft de Office COM-kill-bit-instelling voorrang en wordt het besturingselement niet geladen.

De Office COM-kill-bit instellen

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:

322756Back-ups van het register maken en het register terugzetten in WindowsDe locatie voor het instellen van de Office COM-kill-bit in het register is als volgt:

HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}In dit geval is CLSID de klasse-ID van het COM-object. Als u het Office COM-kill-bit wilt inschakelen, moet u de registersubsleutel toevoegen, samen met de CLSID van het ActiveX-besturingselement of het OLE-object dat u niet wilt laden. Daarnaast moet u de REG_DWORD-waarde Compatibility Flags op 0x00000400 instellen.

Als u bijvoorbeeld de Office COM-kill-bit wilt instellen voor een object met CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, zoekt u de volgende subsleutel op en voegt u REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} toe aan de subsleutel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityIn dit geval wordt het pad als volgt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} Wanneer u een subsleutel die de waarde 0x00000400 bevat, aan de {CLSID}-sleutel toevoegt, wordt de Office COM-kill-bit ingesteld. De 64-bits en de 32-bits objecten en hun kill-bits bevinden zich in verschillende registerlocaties.

Ga voor meer informatie naar de volgende Microsoft-webpagina met veelgestelde vragen over kill-bits:

The Kill-Bit FAQ: Part 1 of 3

De Internet Explorer-kill-bit-lijst voor OLE-objecten gedeeltelijk opheffen

Met de opheffunctie voor de IE-kill-bit-lijst kunt u specifiek aangeven welke OLE-objecten op de Internet Explorer-kill-bit-lijst toch binnen Office mogen worden geladen. Gebruik de opheffunctie voor de IE-kill-bit-lijst alleen als u weet dat het betreffende OLE-object veilig in Office kan worden geladen. Houd er rekening mee dat wanneer Office de ophefinstelling voor de IE-kill-bit-lijst controleert, Office ook controleert of de Office COM-kill-bit is ingeschakeld. Als de Office COM-kill-bit is ingeschakeld, wordt het OLE-object niet geladen.

Als u de opheffunctie voor de IE-kill-bit-lijst wilt inschakelen, moet u het OLE-object correct categoriseren. Als de subsleutel niet al bestaat in het register, voegt u een subsleutel met de naam Implemented Categories toe aan de CLSID van het COM-object. Vervolgens voegt u een subsleutel die de categorie-ID (CATID) voor OLE-objecten bevat, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, toe aan de sleutel Implemented Categories.

Stel dat in Internet Explorer een kill-bit is ingesteld voor een OLE-object dat u toch in Office wilt gebruiken. In dat geval moet u eerst de CLSID voor dat OLE-object opzoeken op de volgende registerlocatie:

HKEY_CLASSES_ROOT\CLSID De CLSID voor de Microsoft Graph-grafiek is bijvoorbeeld {00020803-0000-0000-C000-000000000046}. Vervolgens moet u bepalen of de sleutel Implemented Categories al bestaat, en deze maken als dat niet het geval is. In dit voorbeeld wordt het pad als volgt:

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Voeg ten slotte een nieuwe subsleutel voor het CATID OLE-object toe aan de sleutel Implemented Categories. Het pad voor dit voorbeeld wordt als volgt:

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Opmerking De categorie-ID (CATID) voor OLE-objecten is {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, en de haakjes ( { } ) moeten ook worden opgenomen.

ATL-oplossingen uitschakelen

Wanneer de ATL-oplossingen zijn ingeschakeld, werken besturingselementen waar gebruik wordt gemaakt van OleLoadFromStreamsuch niet, en gaan besturingsgegevens verloren. Dit probleem doet zich bijvoorbeeld voor met gemeenschappelijke besturingselementen van VB6/Windows.

Waarschuwing Door deze methode kan uw computer of netwerk kwetsbaarder worden voor aanvallen door kwaadwillende gebruikers of schadelijke software, zoals virussen. Microsoft raadt deze methode niet aan, maar verschaft u deze informatie, zodat u zelf kunt beslissen of u de methode al dan niet wilt uitvoeren. Het gebruik van deze methode is voor uw eigen risico.

Microsoft raadt niet aan de ATL-oplossingen uit te schakelen, tenzij dat absoluut noodzakelijk is, omdat deze ATL-oplossingen een breder bereik hebben. Als u de ATL-oplossingen uitschakelt, kunnen zwakke plekken in de beveiliging ontstaan. Als u de ATL-oplossingen uitschakelt, raden wij u aan geen Microsoft Office-bestanden te openen die u ontvangt van bronnen die u niet vertrouwt, of die u onverwacht ontvangt van bronnen die u wel vertrouwt.

U kunt de oplossingen voor de ATL-beveiligingsproblemen uitschakelen door de REG_DWORD NoOLELoadFromStreamChecks in de volgende registersubsleutel in te stellen op de waarde 00000001:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
Opmerking Als deze registersubsleutel niet bestaat, moet u deze aanmaken als REG_DWORD-type.

Scriptlet-besturingselementen voor Office-toepassingen uitschakelen

Nadat deze beveiligingsupdate is geïnstalleerd, kunt u scriptlets voor Office-toepassingen uitschakelen zodat de werking van Internet Explorer niet wordt gewijzigd.

U kunt scriptlets voor Office-toepassingen uitschakelen door de REG_DWORD Compatibility Flags-waarde in de volgende registersubsleutel in te stellen op 00000400:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
Hieronder ziet u een lijst met andere besturingselementen die u wellicht op de lijst Weigeren van Office wilt plaatsen:

Control

CLISD

Microsoft HTA Document 6.0

{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}

htmlfile

{25336920-03F9-11CF-8FD0-00AA00686F13}

htmlfile_FullWindowEmbed

{25336921-03F9-11CF-8FD0-00AA00686F13}

mhtmlfile

{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}

Web Browser Control

{8856F961-340A-11D0-A96B-00C04FD705A2}

DHTMLEdit

{2D360200-FFF5-11D1-8D03-00A0C959BC0A}

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?

Bedankt voor uw feedback.

×