Cuidado: Este artigo contém informações que mostram como controlar as configurações de segurança do Office. Você pode fazer alterações nessas configurações de segurança para aumentar ou diminuir sua postura de segurança. Antes de fazer essas alterações, recomendamos que você avalie os riscos associados a quaisquer alterações feitas na configuração dessas definições.
INTRODUÇÃO
Este artigo descreve as configurações disponíveis para usuários finais e administradores de TI controlarem se e como objetos COM são carregados com uma lista de kill bit do Microsoft Office.
Para obter mais informações sobre o comportamento de kill bits do Windows Internet Explorer sobre o qual esse recurso se baseia, incluindo como definir AlternateCLSIDs que permitem que controles de ActiveX atualizados carreguem, consulte Como impedir que um controle ActiveX control seja executado no Internet Explorer.
Essa orientação se aplica ao Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher e Microsoft Visio.
Kill Bit COM do Office
O kill bit COM do Office foi introduzido na atualização de segurança MS10-036 para impedir que objetos COM específicos sejam executados quando inseridos ou vinculados a partir de documentos do Office.
A funcionalidade de bit kill de COM foi atualizada em KB3178703 para impedir totalmente que os objetos COM fossem ativados durante o processo pelo Office. Essa atualização é um superconjunto do comportamento original em que, além de bloquear objetos COM incorporados ou vinculados em documentos do Office, haverá o bloqueio de todas as instâncias de objetos COM que estão sendo carregados dentro do processo do Office por meio de outros meios, como Complementos.
Esses objetos COM específicos incluem controles ActiveX e objetos OLE. Através do registro, você pode controlar de forma independente quais objetos COM são bloqueados ao usar o Office.
Observação: Não recomendamos que você remova o kill bit que está definido para um objeto COM. Se você fizer isso, poderá criar vulnerabilidades de segurança. O kill bit normalmente é definido por um motivo que pode ser crítico. Portanto, você deve ter muito cuidado ao remover o kill de um controle ActiveX.
Você pode adicionar um AlternateCLSID (também conhecido como "bit de Phoenix") quando precisa relacionar o CLSID de um novo controle ActiveX (e esse controle ActiveX foi modificado para reduzir a ameaça de segurança) para o CLSID do controle ActiveX para o qual o kill bit do COM Office foi aplicado. O Office dá suporte ao AlternateCLSID somente quando objetos COM de controle ActiveX são usados.
Observação: a lista de kill bits do Office tem precedência sobre a lista de kill bits para o Internet Explorer. Por exemplo, o kill bit do COM Office e o kill bit do ActiveX do Internet Explorer podem ser definidos para o mesmo controle ActiveX. Mas o AlternateCLSID é definido apenas na lista do Internet Explorer. Nesse cenário, há um conflito entre as duas configurações. Em tais instâncias, as configurações de kill bit do COM Office têm precedência e o controle não é carregado.
Configurando o Kill Bit COM do Office
Importante:
-
Esta seção, método ou tarefa contém etapas que informam como modificar o registro. No entanto, problemas graves podem ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas com cuidado. Para maior proteção, faça back-up do registro antes de modificá-lo. Em seguida, você pode restaurar o registro caso algum problema ocorra. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número de artigo a seguir para exibir o artigo na base de dados de conhecimento da Microsoft:
-
322756 Como fazer o backup e a restauração do registro no Windows
O local para definir o kill bit COM do Office no registro é o seguinte:
Para o Office 2013 e o Office 2010:
-
Para o Office de 64 bits no Windows de 64 bits (ou Office de 32 bits no Windows de 32 bits).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Para o Office de 32 bits no Windows de 64 bits:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Para o Office 2016:
-
Para o Office de 64 bits no Windows de 64 bits (ou Office de 32 bits no Windows de 32 bits):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Para o Office de 32 bits no Windows de 64 bits:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
Nesse caso, CLSID é o identificador de classe do objeto COM.
Para habilitar o kill bit do COM do Office, siga estas etapas:
-
Adicione a subchave do registro junto com o CLSID do controle ActiveX ou o objeto OLE cujo carregamento você deseja bloquear.
-
Adicione um REG_DWORD a esta subchave chamado Sinalizadores de Conformidade e defina seu valor como 0x00000400.
Por exemplo, para definir o kill bit do COM do Office para um objeto com CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} no Office 2016, siga estas etapas:
-
Localize a seguinte subchave do registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Adicione uma subchave com o valor {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Nesse caso, o caminho resultante é o seguinte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Adicione um REG_DWORD a esta subchave chamado Sinalizadores de Conformidade e defina seu valor como 0x00000400.
O kill bit do COM do Office agora está definido para impedir que esse objeto seja ativado no Office.
Como bloquear COM apenas em cenários de vinculação e incorporação
Como mencionado anteriormente, a funcionalidade de kill bit do COM foi atualizada para bloquear toda a ativação de objetos COM especificados a partir de dentro do Office.
Para bloquear somente objetos COM inseridos ou vinculados a partir de dentro de documentos do Office, siga estas etapas:
-
Adicione o CLSID ao kill bit do COM de acordo com as instruções em "Definindo o kill bit do Office" (se ainda não estiver na lista)
-
Na subchave do CLSID bloqueado, adicione um valor de REG_DWORD chamado ActivationFilterOverride e defina seu valor como 0x00000001.
Por exemplo, para configurar o kill bit do COM para bloqueio apenas em cenários de vinculação e incorporação para um objeto com CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} no Office 2016, siga estas etapas:
-
Localize a seguinte subchave do registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Adicione uma subchave que tenha o valor {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Nesse caso, o caminho resultante é o seguinte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Adicione um REG_DWORD a esta subchave chamado Sinalizadores de Conformidade e defina seu valor como 0x00000400.
-
Adicione um REG_DWORD a esta subchave chamado ActivationFilterOverride e defina seu valor como 0x00000001.
O kill bit do COM do Office agora está definido para bloquear esse objeto COM somente quando ele é vinculado ou incorporado em documentos do Office.
Controles com a ativação bloqueada por padrão
Controle |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AAA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AAA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AAA00BDCE0B |
Microsoft HTA Document 6.0 |
3050F5C8-98B5-11CF-BB82-00AAA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
Linguagem de script VB |
B54F3741-5B07-11cf-A4B0-00AAA004A55E8 |
Autoria de linguagem de script VB |
B54F3742-5B07-11cf-A4B0-00AAA004A55E8 |
Codificação de idioma VBScript |
B54F3743-5B07-11cf-A4B0-00AAA004A55E8 |
Codificação de host VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
Objeto Flash Shockwave |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Objeto Flash Factory de macromedia |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Controle Python |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Controles com a Inserção bloqueada por padrão
Controle |
CLSID |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AAA00686F13 |
Documento HTML da Microsoft para janela pop-up |
3050F67D-98B5-11CF-BB82-00AAA00BDCE0B |
Observação:Essa lista é um instantâneo dos controles bloqueados e está sujeita a alterações