Let op: Dit artikel bevat informatie over het beheren van beveiligingsinstellingen voor Office. U kunt deze beveiligingsinstellingen wijzigen om uw beveiligingsstatus te verhogen of te verlagen. Voordat u deze wijzigingen aan gaat brengen, raden we u aan de risico's te evalueren die samenhangen met wijzigingen die u aan brengen om deze instelling te configureren. 

Inleiding

In dit artikel worden instellingen beschreven die beschikbaar zijn voor gebruikers en IT-beheerders om te bepalen of en hoe COM-objecten worden geladen door een Microsoft Office-lijst met kill-bits te hebben.  

Zie Hoe u kunt voorkomen dat een ActiveX-besturingselementwordt uitgevoerd in Internet Explorer voor meer informatie over het kill-bitgedrag van Windows Internet Explorer waarop deze functie is gebaseerd, zoals het instellen van alternatieveCLSIDs waarmee bijgewerkte ActiveX-besturingselementen kunnen worden geladen. 
 
Deze richtlijn is van toepassing op Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher en Microsoft Visio.  

Office COM kill bit 

De Office COM kill bit is geïntroduceerd in de beveiligingsupdate MS10-036 om te voorkomen dat specifieke COM-objecten worden uitgevoerd wanneer ze zijn ingesloten of gekoppeld vanuit Office-documenten.  

De COM Kill-bitfunctionaliteit is bijgewerkt in KB3178703 om te blokkeren dat COM-objecten in proces worden geactiveerd door Office. Deze update is een superset van het oorspronkelijke gedrag, waarbij com-objecten die zijn ingesloten of gekoppeld in Office-documenten, niet alleen worden geblokkeerd, maar ook alle exemplaren van COM-objecten die binnen het Office-proces worden geladen via andere middelen, zoals invoegingen, worden geblokkeerd. 

Deze specifieke COM-objecten zijn ActiveX-besturingselementen en OLE-objecten. Via het register kunt u onafhankelijk bepalen welke COM-objecten worden geblokkeerd wanneer u Office gebruikt. 

Opmerking:U wordt niet aangeraden de kill-bit te verwijderen die is ingesteld voor een COM-object. Als u dit doet, kunt u beveiligingsproblemen maken. De kill-bit wordt meestal ingesteld om een reden die kritiek kan zijn. Daarom moet u uiterst voorzichtig zijn wanneer u een ActiveX-besturingselement uitscholt.  
 
U kunt een AlternatieveCLSID (ook wel bekend als een 'Phoenix-bit') toevoegen als u de CLSID van een nieuw ActiveX-besturingselement (en dit ActiveX-besturingselement is gewijzigd om de beveiligingsrisico's te beperken) moet relateren aan de CLSID van het ActiveX-besturingselement waarop de Office COM-kill-bit is toegepast. Office ondersteunt de AlternateCLSID alleen wanneer ActiveX-besturingselement COM-objecten worden gebruikt.  
 
Opmerking: De kill-bitlijst voor Office heeft voorrang op de lijst met kill-bits voor Internet Explorer. De Kill Bit van Office COM en de Kill Bit van Internet Explorer ActiveX kunnen bijvoorbeeld worden ingesteld voor hetzelfde ActiveX-besturingselement. De AlternatieveCLSID is echter alleen ingesteld op de lijst voor Internet Explorer. In dit scenario is er een conflict tussen de twee instellingen. In dergelijke gevallen hebben de office COM kill bit-instellingen voorrang en wordt het besturingselement niet geladen. 

Het kill-bit van Office COM instellen

Belangrijk: 

  • Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:  

  • 322756Een back-up nemen en het herstellen van het register in Windows  

De locatie voor het instellen van de Office COM kill bit in het register is als volgt:  

Voor Office 2013 en Office 2010:

  • Voor 64-bits Office op 64-bits Windows (of 32-bits Office in 32-bits Windows).

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}

Voor 32-bits Office op 64-bits Windows:

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}

Voor Office 2016:

  • Voor 64 bits Office op 64-bits Windows (of 32-bits Office in 32-bits Windows):

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

  • Voor 32-bits Office op 64-bits Windows:

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

In dit geval is CLSID de klasseaanduiding van het COM-object.  

Als u de Office COM-kill-bit wilt inschakelen, gaat u als volgt te werk:

  1. Voeg de register subsleutel samen met de CLSID van het ActiveX-besturingselement of OLE-object toe dat u wilt blokkeren om te laden.

  2. Voeg een REG_DWORD toe aan deze subsleutel genaamd Compatibiliteitsvlaggen en stel de waarde in op 0x00000400.

Als u bijvoorbeeld de Kill Bit van Office COM wilt instellen voor een object met CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} in Office 2016, volgt u de volgende stappen: 

  1. Zoek de volgende register subsleutel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Voeg een subsleutel toe met de waarde {77061A9C-2F18-4f38-B294-F6BCC8443D24}. In dit geval is het resulterende pad als volgt:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Voeg een REG_DWORD toe aan deze subsleutel met de naam Compatibiliteitsvlaggenen stel de waarde in op 0x00000400.

De Office COM kill bit is nu ingesteld om te blokkeren dat dit object wordt geactiveerd in Office. 

Com alleen blokkeren bij het koppelen en insluiten van scenario's 

Zoals vermeld, is de functionaliteit voor COM-kill-bits bijgewerkt om alle activering van opgegeven COM-objecten vanuit Office te blokkeren.  

Als u alleen COM-objecten wilt blokkeren die zijn ingesloten of gekoppeld vanuit Office-documenten, volgt u de volgende stappen:  

  1. Voeg de CLSID toe aan de COM kill bit volgens de instructies onder "De Office Kill Bitinstellen " (als deze nog niet in de lijst staat)

  2. Voeg onder de subsleutel voor de geblokkeerde CLSID een REG_DWORD-waarde toe met de naam ActivationFilterOverrideen stel de waarde in op 0x00000001.

Als u bijvoorbeeld de kill bit com wilt configureren om alleen te blokkeren bij het koppelen en insluiten van scenario's voor een object met CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} in Office 2016, volgt u de volgende stappen:

  1. Zoek de volgende register subsleutel:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Voeg een subsleutel toe met de waarde {77061A9C-2F18-4f38-B294-F6BCC8443D24}. In dit geval is het resulterende pad als volgt:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Voeg een REG_DWORD waarde toe aan deze subsleutel met de naam Compatibiliteitsvlaggenen stel de waarde in op 0x00000400. 

  4. Voeg een REG_DWORD toe aan deze subsleutel ActivationFilterOverrideen stel de waarde in op 0x00000001. 

De Office COM kill bit is nu ingesteld om dit COM-object alleen te blokkeren als het is gekoppeld of ingesloten in Office-documenten. 

Besturingselementen die standaard zijn geblokkeerd voor activering

Control

CLSID

ScriptMoniker

06290BD3-48AA-11D2-8432-006008C3FBFC

SoapActivator

ECABAFD0-7F19-11D2-978E-0000F8757E2A

SoapMoniker

ECABB0C7-7F19-11D2-978E-0000F8757E2A

PartitionMoniker

ECABB0C5-7F19-11D2-978E-0000F8757E2A

QueueMoniker

ECABAFC7-7F19-11D2-978E-0000F8757E2A

HTMLApplication

3050F4D8-98B5-11CF-BB82-00AA00BDCE0B

ScripletContext

06290BD0-48AA-11D2-8432-006008C3FBFC

ScripletConstructor

06290BD1-48AA-11D2-8432-006008C3FBFC

ScripletFactory

06290BD2-48AA-11D2-8432-006008C3FBFC

ScripletHostEncode

06290BD4-48AA-11D2-8432-006008C3FBFC

ScripletTypeLib

06290BD5-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Automation

06290BD8-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Event

06290BD9-48AA-11D2-8432-006008C3FBFC

ScripletHandler_ASP

06290BDA-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Behavior

06290BDB-48AA-11D2-8432-006008C3FBFC

XMLFeed

528D46B3-3A4B-4B13-BF74-D9CBD7306E07

Scriptlet

AE24FDAE-03C6-11D1-8B76-0080C744F389

HtmlFile_FullWindowEmbed

25336921-03F9-11CF-8FD0-00AA00686F13

Mhtmlfile

3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Microsoft HTA Document 6.0

3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

DHTMLEdit.DHTMLEdit.1

2D360200-FFF5-11D1-8D03-00A0C959BC0A

DHTMLSafe.DHTMLSafe.1

2D360201-FFF5-11D1-8D03-00A0C959BC0A

VB-scripttaal

B54F3741-5B07-11cf-A4B0-00AA004A55E8

VB Script Language Authoring

B54F3742-5B07-11cf-A4B0-00AA004A55E8

VBScript Language Encoding

B54F3743-5B07-11cf-A4B0-00AA004A55E8

VBScript Host Encode

85131631-480C-11D2-B1F9-00C04F86C324

Shockwave Flash Object

D27CDB6E-AE6D-11cf-96B8-444553540000

Macromedia Flash Factory Object

D27CDB70-AE6D-11cf-96B8-444553540000

Microsoft Silverlight

DFEAF541-F3E1-4c24-ACAC-99C30715084A

Adobe Shockwave Player

233C1507-6A77-46A4-9443-F871F945D258

Python-besturingselement

DF630910-1C1D-11D0-AE36-8C0F5E0000000

Besturingselementen die standaard zijn geblokkeerd voor insluiten

Control

CLSID

Shell.Explorer.2

8856F961-340A-11D0-A96B-00C04FD705A2

Htmlfile

25336920-03F9-11CF-8FD0-00AA00686F13

Microsoft HTML-document voor pop-upvenster

3050F67D-98B5-11CF-BB82-00AA00BDCE0B

Opmerking:Deze lijst is een momentopname van geblokkeerde besturingselementen en kan worden gewijzigd 

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de vertaalkwaliteit?

Wat heeft uw ervaring beïnvloed?

Hebt u aanvullende feedback? (Optioneel)

Bedankt voor uw feedback.

×