Precauție: Acest articol conține informații care vă arată cum să controlați setările de securitate pentru Office. Puteți efectua modificări ale acestor setări de securitate pentru a mări sau a micșora postura de securitate. Înainte de a efectua aceste modificări, vă recomandăm să evaluați riscurile asociate cu modificările pe care le efectuați pentru a configura această setare.
INTRODUCERE
Acest articol descrie setările disponibile pentru utilizatori și administratori IT pentru a controla dacă și modul în care se încarcă obiectele COM dacă aveți o listă de biți Microsoft Office Kill.
Pentru mai multe informații despre comportamentul Windows Internet Explorer kill bit pe care se bazează această caracteristică, inclusiv cum să setați AlternateCLSIDs care permit controalele ActiveX actualizate să se încarce, consultați cum se oprește executarea unui control ActiveX în Internet Explorer.
Această orientare se aplică la Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher și Microsoft Visio.
Office COM kill bit
Bitul Office COM Kill a fost introdus în actualizarea de securitate MS10-036 pentru a împiedica executarea anumitor obiecte COM atunci când sunt încorporate sau legate din documentele Office.
Funcționalitatea COM kill bit a fost actualizată în KB3178703 pentru a bloca complet obiectele com de la a fi activate în timpul procesului de către Office. Această actualizare este o superset a comportamentului inițial în care, în plus față de blocarea obiectelor COM încorporate sau legate în documente Office, aceasta va bloca toate instanțele de obiecte COM încărcate în procesul Office prin alte mijloace, cum ar fi programe de completare.
Aceste obiecte COM specifice includ controale ActiveX și obiecte OLE. Prin registry, puteți să controlați în mod independent ce obiecte COM sunt blocate atunci când utilizați Office.
NotăNu recomandăm să eliminați bitul de ucidere setat pentru un obiect COM. Dacă procedați astfel, este posibil să creați vulnerabilități de securitate. Bitul de ucidere este setat de obicei pentru un motiv care poate fi critic. Prin urmare, trebuie să fiți foarte atent atunci când deucideți un control ActiveX.
Puteți să adăugați un AlternateCLSID (denumit și "bit Phoenix") atunci când trebuie să raportați CLSID-ul unui nou control ActiveX (iar acest control ActiveX a fost modificat pentru a reduce amenințarea de securitate), la CLSID-ul controlului ActiveX la care s-a aplicat bitul Office COM Kill. Office acceptă AlternateCLSID numai atunci când se utilizează obiecte COM control ActiveX.
Notă: Lista biți de ucidere pentru Office are prioritate față de lista de biți Kill pentru Internet Explorer. De exemplu, bitul Office COM kill bit și Internet Explorer ActiveX kill bit pot fi setate pentru același control ActiveX. Dar AlternateCLSID este setat doar pe lista pentru Internet Explorer. În acest scenariu, există un conflict între cele două setări. În asemenea situații, setările de biți Office COM Kill sunt prioritare și controlul nu este încărcat.
Setarea bit Office COM Kill
Important:
-
Această secțiune, metodă sau activitate conține pași care vă indică modalități de modificare a registry. Totuși, dacă modificați incorect sistemul registry, pot apărea probleme serioase. De aceea, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru o protecție mai bună, înainte de a face modificări, realizați o copie de rezervă a sistemului registry. După aceea, sistemul registry poate fi restaurat dacă apare o problemă. Pentru informații suplimentare despre copierea de rezervă și restaurarea sistemului registry, faceți clic pe următorul număr de articol din Baza de cunoștințe Microsoft:
-
322756Cum se creează copii de rezervă și cum se pot restaura cheile de registry în Windows
Locația pentru a seta bitul Office COM Kill în registry este următorul:
Pentru Office 2013 și Office 2010:
-
Pentru Office pe 64 de biți pe Windows 64 pe biți (sau pe 32-bit Office pe 32-bit Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Pentru Office 32 pe 64-bit Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Pentru Office 2016:
-
Pentru Office pe 64 de biți pe Windows 64 pe biți (sau pe 32-bit Office pe 32-bit Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
Pentru Office 32 pe 64-bit Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
În acest caz, CLSID este identificatorul clasei pentru obiectul COM.
Pentru a activa bitul Office COM Kill, urmați acești pași:
-
Adăugați subcheia de registry împreună cu CLSID-ul controlului ActiveX sau al obiectului OLE pe care doriți să-l blocați de la încărcare.
-
Adăugați un REG_DWORD la această subcheie numită steaguri de compatibilitate și setați valoarea sa la 0x00000400.
De exemplu, pentru a seta bitul Office COM Kill pentru un obiect care are CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} în Office 2016, urmați acești pași:
-
Găsiți următoarea subcheie de registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Adăugați o subcheie cu valoarea {77061A9C-2F18-4f38-B294-F6BCC8443D24}. În acest caz, calea rezultată este următoarea:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Adăugați un REG_DWORD la această subcheie care numește steaguri de compatibilitateși setați valoarea sa la 0x00000400.
Bitul Office COM Kill este acum setat pentru a bloca ca acest obiect să fie activat în Office.
Cum se blochează doar COM în scenariile de legare și încorporare
Așa cum s-a menționat, funcționalitatea COM kill bit a fost actualizată pentru a bloca toate activarea obiectelor COM specificate din interiorul Office.
Pentru a bloca doar obiectele COM care sunt încorporate sau legate din documentele Office, urmați acești pași:
-
Adăugați CLSID la bitul COM Kill per instrucțiunile de sub "Setarea Biții de Office Kill" (dacă nu se află deja pe listă)
-
Sub subcheia pentru CLSID blocată, adăugați o valoare REG_DWORD denumită ActivationFilterOverrideși setați valoarea sa la 0x00000001.
De exemplu, pentru a configura bitul COM Kill pentru a bloca doar în scenariile de legare și încorporare pentru un obiect care are CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} în Office 2016, urmați acești pași:
-
Găsiți următoarea subcheie de registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Adăugați o subcheie care are valoarea {77061A9C-2F18-4f38-B294-F6BCC8443D24}. În acest caz, calea rezultată este următoarea:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Adăugați o valoare REG_DWORD la această subcheie care numește steaguri de compatibilitateși setați valoarea sa la 0x00000400.
-
Adăugați un REG_DWORD la această subcheie numită ActivationFilterOverrideși setați valoarea sa la 0x00000001.
Bitul Office COM Kill este acum setat să blocheze acest obiect COM numai dacă este legat sau încorporat în documente Office.
Controalele care sunt blocate de la activare în mod implicit
Control |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Document Microsoft HTA 6,0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit. DHTMLEdit. 1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe. DHTMLSafe. 1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
Limbaj de script VB |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
Elaborarea în comun a limbajului VB Script |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Codarea limbii VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Codifica gazdă VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
Obiect flash Shockwave |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Obiect din fabrica Macromedia Flash |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Control Python |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Controalele care sunt blocate de la încorporare în mod implicit
Control |
CLSID |
Shell. Explorer. 2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Document HTML Microsoft pentru fereastra popup |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Notă: această listă este un instantaneu al controalelor blocate și se poate modifica