Przestroga: Ten artykuł zawiera informacje, które pokazują, jak kontrolować ustawienia zabezpieczeń dla pakietu Office. Możesz zmienić te ustawienia zabezpieczeń, aby zwiększyć lub obniżyć poziom zabezpieczeń. Przed rozpoczęciem tych zmian zalecamy ocenę ryzyka związanego z zmianami wprowadzonymi w celu skonfigurowania tego ustawienia.
WPROWADZENIE
W tym artykule opisano ustawienia dostępne dla użytkowników i administratorów IT w celu kontrolowania tego, czy i jak są ładowane obiekty COM przez posiadanie listy programu Microsoft Office kill bit.
Aby uzyskać więcej informacji na temat działania kill-bitów w programie Windows Internet Explorer, na podstawie których ta funkcja jest oparta, w tym jak ustawić wartość AlternateCLSID, która zezwala na ładowanie zaktualizowanych kontrolek ActiveX,zobacz Jak zatrzymać uruchamianie kontrolki ActiveX w programie Internet Explorer.
Te wskazówki dotyczą programów Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher i Microsoft Visio.
Office COM kill bit
W aktualizacji zabezpieczeń MS10-036 wprowadzono pakiet Office COM kill-bit, aby zapobiec uruchamianiu określonych obiektów COM podczas osadzonego lub połączonego z dokumentami pakietu Office.
Funkcja COM Kill-bit została zaktualizowana w aktualizacji KB3178703, aby całkowicie zablokować możliwość aktywowania obiektów COM w procesie przez pakiet Office. Ta aktualizacja to nadsetek oryginalnego zachowania, w którym oprócz blokowania obiektów COM osadzonych lub połączonych w dokumentach pakietu Office spowoduje to zablokowanie wszystkich wystąpień obiektów COM ładowanych w ramach procesu pakietu Office za pomocą innych środków, takich jak dodatki.
Do tych konkretnych obiektów COM należą kontrolki ActiveX i obiekty OLE. Korzystając z rejestru, możesz niezależnie kontrolować, które obiekty COM są blokowane podczas korzystania z pakietu Office.
Uwaga:Nie zalecamy usuwania kill-bitu ustawionego dla obiektu COM. W takim przypadku możesz utworzyć luki w zabezpieczeniach. Kill-bit jest zazwyczaj ustawiany z powodu, który może być krytyczny. W związku z tym należy zachować szczególną ostrożność w przypadku cokołychanie kontrolki ActiveX.
Gdy trzeba powiązać element CLSID nowej kontrolki ActiveX (i tę kontrolkę ActiveX zmodyfikowano w celu zmniejszenia zagrożenia bezpieczeństwa), można dodać alternatywny kodCLSID (nazywany również bitem phoenix), z wartością CLSID kontrolki ActiveX, do której zastosowano pakiet Office COM kill bit. Pakiet Office obsługuje tę funkcję tylko wtedy, gdy są używane obiekty COM kontrolki ActiveX.
Uwaga: Lista kill-bitów dla pakietu Office ma pierwszeństwo przed listą kill-bit w programie Internet Explorer. Na przykład dla tej samej kontrolki ActiveX można ustawić dla office COM kill bit i Internet Explorer ActiveX kill bit. Jednak wartość AlternateCLSID jest ustawiana tylko na liście programu Internet Explorer. W tym scenariuszu występuje konflikt między tymi dwoma ustawieniami. W takich przypadkach ustawienia office COM kill bit mają pierwszeństwo, a kontrolka nie jest ładowana.
Ustawianie kill-bitu usługi Office COM
Ważne:
-
W tej sekcji, metodzie lub zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
-
322756Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows
Lokalizacja ustawiania kill-bitów pakietu Office w rejestrze jest następująca:
W przypadku pakietu Office 2013 i Office 2010:
-
64-bitowa wersja pakietu Office w 64-bitowym systemie Windows (lub 32-bitowa wersja pakietu Office w 32-bitowym systemie Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
W przypadku 32-bitowej wersji pakietu Office w 64-bitowym systemie Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Dla pakietu Office 2016:
-
W przypadku 64-bitowej wersji pakietu Office w 64-bitowej wersji systemu Windows (lub 32-bitowej wersji pakietu Office w 32-bitowej wersji systemu Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
W przypadku 32-bitowej wersji pakietu Office w 64-bitowym systemie Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
W tym przypadku CLSID jest identyfikatorem klasy obiektu COM.
Aby włączyć pakiet Office COM kill bit, wykonaj następujące czynności:
-
Dodaj podklucz rejestru wraz z identyfikatorem CLSID kontrolki ActiveX lub obiektu OLE, który ma być blokowany przez ładowanie.
-
Dodaj do REG_DWORD podklucza nazwę Flagi zgodności i ustaw jego wartość na 0x00000400.
Aby na przykład ustawić kill-bit office COM dla obiektu, który w psłudze Office 2016 zawiera identyfikator CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} w psłudze Office 2016, wykonaj następujące czynności:
-
Znajdź następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Dodaj podklucz o wartości {77061A9C-2F18-4f38-B294-F6BCC8443D24}. W tym przypadku ścieżka wynikowa jest następująca:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Dodaj REG_DWORD podklucza o nazwie Flagizgodności i ustaw jego wartość na 0x00000400.
W usłudze Office COM kill bit ustawiono teraz blokowanie aktywowania tego obiektu w psłudze Office.
Jak blokować tylko com w scenariuszach łączenia i osadzania
Jak wspomniano, funkcja COM kill-bit została zaktualizowana w celu zablokowania wszystkich aktywacji określonych obiektów COM z poziomu pakietu Office.
Aby blokować tylko obiekty COM, które są osadzone lub połączone z poziomu dokumentów pakietu Office, wykonaj następujące czynności:
-
Dodaj wartości CLSID do instrukcji COM kill bit zgodnie z instrukcjami podanymi w te sposób: "Ustawianie officeKill Bit"(jeśli nie ma go jeszcze na liście)
-
Pod kluczem podklucza zablokowanego kodu CLSID dodaj wartość REG_DWORD o nazwie ActivationFilterOverridei ustaw dla tej wartości wartość 0x00000001.
Aby na przykład skonfigurować plik COM kill-bit w taki sposób, aby blokował tylko w scenariuszach łączenia i osadzania dla obiektu, który w psłudze Office 2016 zawiera identyfikator CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} w psłudze Office 2016, wykonaj następujące czynności:
-
Znajdź następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Dodaj podklucz o wartości {77061A9C-2F18-4f38-B294-F6BCC8443D24}. W tym przypadku ścieżka wynikowa jest następująca:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Dodaj wartość REG_DWORD do tego podklucza o nazwie Flagizgodności, a następnie ustaw jego wartość na 0x00000400.
-
Dodaj kod REG_DWORD do tego podklucza o nazwie ActivationFilterOverridei ustaw jego wartość na 0x00000001.
W przypadku office COM kill bit ustawiono teraz blokowanie tego obiektu COM tylko wtedy, gdy jest on połączony lub osadzony w dokumentach pakietu Office.
Kontrolki, które domyślnie są zablokowane z aktywacją
Kontrolka |
IDENTYFIKATOR KLASY |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Dokument HTA firmy Microsoft 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
VB Script Language |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB Script Language Authoring |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Kodowanie języka VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Kodowanie hosta języka VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
Shockwave Flash Object |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Obiekt Macromedia Flash Factory |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Kontrolka języka Python |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Kontrolki, dla których domyślnie jest blokowane osadzanie
Kontrolka |
IDENTYFIKATOR KLASY |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Dokument HTML firmy Microsoft dla okna podręcznego |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Uwaga:ta lista to migawka zablokowanych kontrolek, które mogą ulec zmianie