Cuidado: Este artigo contém informações que mostram como controlar as configurações de segurança do Office. Você pode fazer alterações nessas configurações de segurança para aumentar ou diminuir sua postura de segurança. Antes de fazer essas alterações, recomendamos que você avalie os riscos associados a quaisquer alterações feitas na configuração dessas definições.

INTRODUÇÃO

Este artigo descreve as configurações disponíveis para usuários finais e administradores de TI controlarem se e como objetos COM são carregados com uma lista de kill bit do Microsoft Office.

Para obter mais informações sobre o comportamento de kill bits do Windows Internet Explorer sobre o qual esse recurso se baseia, incluindo como definir AlternateCLSIDs que permitem que controles de ActiveX atualizados carreguem, consulte Como impedir que um controle ActiveX control seja executado no Internet Explorer
 
Essa orientação se aplica ao Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher e Microsoft Visio.

Kill Bit COM do Office

O kill bit COM do Office foi introduzido na atualização de segurança MS10-036 para impedir que objetos COM específicos sejam executados quando inseridos ou vinculados a partir de documentos do Office.

A funcionalidade de bit kill de COM foi atualizada em KB3178703 para impedir totalmente que os objetos COM fossem ativados durante o processo pelo Office. Essa atualização é um superconjunto do comportamento original em que, além de bloquear objetos COM incorporados ou vinculados em documentos do Office, haverá o bloqueio de todas as instâncias de objetos COM que estão sendo carregados dentro do processo do Office por meio de outros meios, como Complementos.

Esses objetos COM específicos incluem controles ActiveX e objetos OLE. Através do registro, você pode controlar de forma independente quais objetos COM são bloqueados ao usar o Office.

Observação: Não recomendamos que você remova o kill bit que está definido para um objeto COM. Se você fizer isso, poderá criar vulnerabilidades de segurança. O kill bit normalmente é definido por um motivo que pode ser crítico. Portanto, você deve ter muito cuidado ao remover o kill de um controle ActiveX.  

Você pode adicionar um AlternateCLSID (também conhecido como "bit de Phoenix") quando precisa relacionar o CLSID de um novo controle ActiveX (e esse controle ActiveX foi modificado para reduzir a ameaça de segurança) para o CLSID do controle ActiveX para o qual o kill bit do COM Office foi aplicado. O Office dá suporte ao AlternateCLSID somente quando objetos COM de controle ActiveX são usados.  

Observação: a lista de kill bits do Office tem precedência sobre a lista de kill bits para o Internet Explorer. Por exemplo, o kill bit do COM Office e o kill bit do ActiveX do Internet Explorer podem ser definidos para o mesmo controle ActiveX. Mas o AlternateCLSID é definido apenas na lista do Internet Explorer. Nesse cenário, há um conflito entre as duas configurações. Em tais instâncias, as configurações de kill bit do COM Office têm precedência e o controle não é carregado.

Configurando o Kill Bit COM do Office

Importante: 

  • Esta seção, método ou tarefa contém etapas que informam como modificar o registro. No entanto, problemas graves podem ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir estas etapas com cuidado. Para maior proteção, faça back-up do registro antes de modificá-lo. Em seguida, você pode restaurar o registro caso algum problema ocorra. Para obter mais informações sobre como fazer backup e restaurar o registro, clique no número de artigo a seguir para exibir o artigo na base de dados de conhecimento da Microsoft:

  •             322756 Como fazer o backup e a restauração do registro no Windows

O local para definir o kill bit COM do Office no registro é o seguinte:

Para o Office 2013 e o Office 2010:

  • Para o Office de 64 bits no Windows de 64 bits (ou Office de 32 bits no Windows de 32 bits).

                HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}

Para o Office de 32 bits no Windows de 64 bits:

            HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}

Para o Office 2016:

  • Para o Office de 64 bits no Windows de 64 bits (ou Office de 32 bits no Windows de 32 bits):

                HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

  • Para o Office de 32 bits no Windows de 64 bits:

                HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

Nesse caso, CLSID é o identificador de classe do objeto COM.

Para habilitar o kill bit do COM do Office, siga estas etapas:

  1. Adicione a subchave do registro junto com o CLSID do controle ActiveX ou o objeto OLE cujo carregamento você deseja bloquear.

  2. Adicione um REG_DWORD a esta subchave chamado Sinalizadores de Conformidade e defina seu valor como 0x00000400.

Por exemplo, para definir o kill bit do COM do Office para um objeto com CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} no Office 2016, siga estas etapas:

  1. Localize a seguinte subchave do registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Adicione uma subchave com o valor {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Nesse caso, o caminho resultante é o seguinte:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Adicione um REG_DWORD a esta subchave chamado Sinalizadores de Conformidade e defina seu valor como 0x00000400.

O kill bit do COM do Office agora está definido para impedir que esse objeto seja ativado no Office.

Como bloquear COM apenas em cenários de vinculação e incorporação

Como mencionado anteriormente, a funcionalidade de kill bit do COM foi atualizada para bloquear toda a ativação de objetos COM especificados a partir de dentro do Office.

Para bloquear somente objetos COM inseridos ou vinculados a partir de dentro de documentos do Office, siga estas etapas:

  1. Adicione o CLSID ao kill bit do COM de acordo com as instruções em "Definindo o kill bit do Office" (se ainda não estiver na lista)

  2. Na subchave do CLSID bloqueado, adicione um valor de REG_DWORD chamado ActivationFilterOverride e defina seu valor como 0x00000001.

Por exemplo, para configurar o kill bit do COM para bloqueio apenas em cenários de vinculação e incorporação para um objeto com CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} no Office 2016, siga estas etapas:

  1. Localize a seguinte subchave do registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility 

  2. Adicione uma subchave que tenha o valor {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Nesse caso, o caminho resultante é o seguinte:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} 

  3. Adicione um REG_DWORD a esta subchave chamado Sinalizadores de Conformidade e defina seu valor como 0x00000400.

  4. Adicione um REG_DWORD a esta subchave chamado ActivationFilterOverride e defina seu valor como 0x00000001.

O kill bit do COM do Office agora está definido para bloquear esse objeto COM somente quando ele é vinculado ou incorporado em documentos do Office.

Controles com a ativação bloqueada por padrão

Controle

CLSID

ScriptMoniker

06290BD3-48AA-11D2-8432-006008C3FBFC

SoapActivator

ECABAFD0-7F19-11D2-978E-0000F8757E2A

SoapMoniker

ECABB0C7-7F19-11D2-978E-0000F8757E2A

PartitionMoniker

ECABB0C5-7F19-11D2-978E-0000F8757E2A

QueueMoniker

ECABAFC7-7F19-11D2-978E-0000F8757E2A

HTMLApplication

3050F4D8-98B5-11CF-BB82-00AAA00BDCE0B

ScripletContext

06290BD0-48AA-11D2-8432-006008C3FBFC

ScripletConstructor

06290BD1-48AA-11D2-8432-006008C3FBFC

ScripletFactory

06290BD2-48AA-11D2-8432-006008C3FBFC

ScripletHostEncode

06290BD4-48AA-11D2-8432-006008C3FBFC

ScripletTypeLib

06290BD5-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Automation

06290BD8-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Event

06290BD9-48AA-11D2-8432-006008C3FBFC

ScripletHandler_ASP

06290BDA-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Behavior

06290BDB-48AA-11D2-8432-006008C3FBFC

XMLFeed

528D46B3-3A4B-4B13-BF74-D9CBD7306E07

Scriptlet

AE24FDAE-03C6-11D1-8B76-0080C744F389

HtmlFile_FullWindowEmbed

25336921-03F9-11CF-8FD0-00AAA00686F13

Mhtmlfile

3050F3D9-98B5-11CF-BB82-00AAA00BDCE0B

Microsoft HTA Document 6.0

3050F5C8-98B5-11CF-BB82-00AAA00BDCE0B

DHTMLEdit.DHTMLEdit.1

2D360200-FFF5-11D1-8D03-00A0C959BC0A

DHTMLSafe.DHTMLSafe.1

2D360201-FFF5-11D1-8D03-00A0C959BC0A

Linguagem de script VB

B54F3741-5B07-11cf-A4B0-00AAA004A55E8

Autoria de linguagem de script VB

B54F3742-5B07-11cf-A4B0-00AAA004A55E8

Codificação de idioma VBScript

B54F3743-5B07-11cf-A4B0-00AAA004A55E8

Codificação de host VBScript

85131631-480C-11D2-B1F9-00C04F86C324

Objeto Flash Shockwave

D27CDB6E-AE6D-11cf-96B8-444553540000

Objeto Flash Factory de macromedia

D27CDB70-AE6D-11cf-96B8-444553540000

Microsoft Silverlight

DFEAF541-F3E1-4c24-ACAC-99C30715084A

Adobe Shockwave Player

233C1507-6A77-46A4-9443-F871F945D258

Controle Python

DF630910-1C1D-11D0-AE36-8C0F5E000000

Controles com a Inserção bloqueada por padrão

Controle

CLSID

Shell.Explorer.2

8856F961-340A-11D0-A96B-00C04FD705A2

Htmlfile

25336920-03F9-11CF-8FD0-00AAA00686F13

Documento HTML da Microsoft para janela pop-up

3050F67D-98B5-11CF-BB82-00AAA00BDCE0B

            Observação:Essa lista é um instantâneo dos controles bloqueados e está sujeita a alterações

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade da tradução?
O que afetou sua experiência?

Obrigado por seus comentários!

×