Atenção: Este artigo contém informações que mostram como controlar as definições de segurança do Office. Pode esprodução destas definições de segurança para aumentar ou baixar a sua postura de segurança. Antes de escoar estas alterações, recomendamos que avalie os riscos associados a quaisquer alterações que faça para configurar esta definição.
INTRODUÇÃO
Este artigo descreve as definições disponíveis para utilizadores e administradores de TI para controlar se e como os objetos COM carregam por ter uma lista de bits do Microsoft Office.
Para obter mais informações sobre o comportamento do Windows Internet Explorer kill bit em que esta funcionalidade se baseia, incluindo como definir Os SuplentesCLSIDs que permitem carregar os controlos ActiveX atualizados, consulte Como impedir que um controlo ActiveX seja funcionado no Internet Explorer.
Esta orientação aplica-se ao Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher e Microsoft Visio.
Parte de morte do Office COM
O bit de kill do Office COM foi introduzido na atualização de segurança MS10-036 para evitar que objetos COM específicos sejam em funcionamento quando incorporados ou ligados a partir de documentos do Office.
A funcionalidade bit COM Kill foi atualizada em KB3178703 para bloquear completamente os objetos COM de serem ativados em processo pelo Office. Esta atualização é um superconjunto do comportamento original em que, além de bloquear objetos COM incorporados ou ligados em documentos do Office, isto irá bloquear quaisquer casos de objetos COM que estão a ser carregados dentro do processo do Office através de outros meios como Add-Ins.
Estes objetos COM específicos incluem controlos ActiveX e objetos OLE. Através do registo, pode controlar independentemente quais os objetos COM bloqueados quando utilizar o Office.
Nota:Não recomendamos que remova a parte de morte que está definida para um objeto COM. Se fizer isto, pode criar vulnerabilidades de segurança. A parte da morte é tipicamente definida por uma razão que pode ser crítica. Por isso, deve ter muito cuidado ao desativá-lo com um controlo ActiveX.
Pode adicionar um AlternateCLSID (também conhecido como "Bit Phoenix") quando tiver de relacionar o CLSID de um novo controlo ActiveX (e este controlo ActiveX foi modificado para reduzir a ameaça de segurança), ao CLSID do controlo ActiveX ao qual foi aplicado o bit de kill do Office COM. O Office suporta o AlternateCLSID apenas quando são utilizados objetos COM de controlo ActiveX.
Nota: A lista de bits de morte para o Office tem precedência sobre a lista de bits de morte para o Internet Explorer. Por exemplo, o bit de kill do Office COM e o bit de morte do Internet Explorer ActiveX podem ser definidos para o mesmo controlo ActiveX. Mas o AlternateCLSID está definido apenas na lista para o Internet Explorer. Neste cenário, existe um conflito entre os dois cenários. Nestes casos, as definições de bits de eliminação do Office COM têm precedência e o controlo não está carregado.
Definição da parte de morte do Office COM
Importante:
-
Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorreta. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para maior segurança, faça uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como fazer uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para ver o artigo na Base de Dados de Conhecimento Microsoft:
-
322756Como fazer uma cópia de segurança e restaurar o registo no Windows
O local para a definição da parte de morte do Office COM no registo é o seguinte:
Para o Office 2013 e Office 2010:
-
Para o Office de 64 bits no Windows de 64 bits (ou 32 bits Office em Windows de 32 bits).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Para o Office de 32 bits em Windows de 64 bits:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Para o Office 2016:
-
Para o Office de 64 bits em Windows de 64 bits (ou 32 bits Office em Windows de 32 bits):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Para o Office de 32 bits em Windows de 64 bits:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
Neste caso, o CLSID é o identificador de classe do objeto COM.
Para ativar a parte de morte do Office COM, siga estes passos:
-
Adicione o sub-chave de registo juntamente com o CLSID do controlo ActiveX ou o objeto OLE que pretende bloquear do carregamento.
-
Adicione uma REG_DWORD a esta sub-chave chamada Bandeiras de Compatibilidade e deslo valorize o seu valor para 0x00000400.
Por exemplo, para definir a parte de kill do Office COM para um objeto que tenha CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} no Office 2016, siga estes passos:
-
Localizar o seguinte sub-chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Adicione uma subkey com o valor {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Neste caso, o caminho resultante é o seguinte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Adicione um REG_DWORD a esta sub-chave chamada Bandeiras de Compatibilidade,e desempate o seu valor para 0x00000400.
A parte de morte do Office COM está agora definida para impedir que este objeto seja ativado dentro do Office.
Como bloquear apenas a COM em cenários de ligação e incorporação
Como mencionado, a funcionalidade de bit de kill bit COM foi atualizada para bloquear toda a ativação de objetos COM especificados a partir de dentro do Office.
Para bloquear apenas os objetos COM que estão incorporados ou ligados a partir de documentos do Office, siga estes passos:
-
Adicione o CLSID à parte de morte COM de acordo com as instruções em "Definição do Bit de Morte do Office" (se já não estiver na lista)
-
Sob a sub-chave para o CLSID que está bloqueado, adicione um valor REG_DWORD que se chama ActivationFilterOverride, e dedipa o seu valor para 0x00000001.
Por exemplo, para configurar a parte de morte COM para bloquear apenas em cenários de ligação e incorporação para um objeto que tenha CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} no Office 2016, siga estes passos:
-
Localizar o seguinte sub-chave de registo:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Adicione uma subkey que tem o valor {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Neste caso, o caminho resultante é o seguinte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Adicione um valor REG_DWORD a esta sub-chave chamada Bandeiras de Compatibilidade,e deslo valorize o seu valor para 0x00000400.
-
Adicione uma REG_DWORD a esta sub-chave chamada ActivationFilterOverride, e deslome o seu valor para 0x00000001.
A parte de kill do Office COM está agora definida para bloquear este objeto COM apenas se estiver ligado ou incorporado em documentos do Office.
Controlos que são bloqueados da Ativação por defeito
Controlo |
CLSID |
Scriptmoniker |
06290bD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplicação |
3050F4D8-98B5-11CF-BB82-00A00BDCE0B |
ScripletContext |
06290bD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructr |
06290BD1-48AA-11D2-8432-006008C3FBFC |
EscripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290bD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290bDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00A00BDCE0B |
Documento Microsoft HTA 6.0 |
3050F5C8-98B5-11CF-BB82-00A00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
Idioma do guião VB |
B54F3741-5B07-11cf-A4B0-00A004A55E8 |
Autoria de idioma do guião VB |
B54F3742-5B07-11cf-A4B0-00A004A55E8 |
Codificação de linguagem VBScript |
B54F3743-5B07-11cf-A4B0-00A004A55E8 |
Codificação do anfitrião VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
Objeto flash de onda de choque |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Objeto de fábrica de flash macromedia |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Controlo de python |
DF630910-1C1D-11D0-AE36-8C0F5E0000000 |
Controlos que são bloqueados de Incorporação por padrão
Controlo |
CLSID |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A |
Ficheiro html |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Documento HTML do Microsoft para a janela Popup |
3050F67D-98B5-11CF-BB82-00A00BDCE0B |
Nota:Esta lista é um instantâneo de controlos que estão bloqueados, e está sujeito a alterações