Setările de securitate pentru obiectele COM din Office

Precauție: Acest articol conține informații care vă arată cum să controlați setările de securitate pentru Office. Puteți efectua modificări ale acestor setări de securitate pentru a mări sau a micșora postura de securitate. Înainte de a efectua aceste modificări, vă recomandăm să evaluați riscurile asociate cu modificările pe care le efectuați pentru a configura această setare. 

INTRODUCERE

Acest articol descrie setările disponibile pentru utilizatori și administratori IT pentru a controla dacă și modul în care se încarcă obiectele COM dacă aveți o listă de biți Microsoft Office Kill.  

Pentru mai multe informații despre comportamentul Windows Internet Explorer kill bit pe care se bazează această caracteristică, inclusiv cum să setați AlternateCLSIDs care permit controalele ActiveX actualizate să se încarce, consultați cum se oprește executarea unui control ActiveX în Internet Explorer
 
Această orientare se aplică la Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher și Microsoft Visio.  

Office COM kill bit 

Bitul Office COM Kill a fost introdus în actualizarea de securitate MS10-036 pentru a împiedica executarea anumitor obiecte COM atunci când sunt încorporate sau legate din documentele Office.  

Funcționalitatea COM kill bit a fost actualizată în KB3178703 pentru a bloca complet obiectele com de la a fi activate în timpul procesului de către Office. Această actualizare este o superset a comportamentului inițial în care, în plus față de blocarea obiectelor COM încorporate sau legate în documente Office, aceasta va bloca toate instanțele de obiecte COM încărcate în procesul Office prin alte mijloace, cum ar fi programe de completare. 

Aceste obiecte COM specifice includ controale ActiveX și obiecte OLE. Prin registry, puteți să controlați în mod independent ce obiecte COM sunt blocate atunci când utilizați Office. 

NotăNu recomandăm să eliminați bitul de ucidere setat pentru un obiect COM. Dacă procedați astfel, este posibil să creați vulnerabilități de securitate. Bitul de ucidere este setat de obicei pentru un motiv care poate fi critic. Prin urmare, trebuie să fiți foarte atent atunci când deucideți un control ActiveX.  
 
Puteți să adăugați un AlternateCLSID (denumit și "bit Phoenix") atunci când trebuie să raportați CLSID-ul unui nou control ActiveX (iar acest control ActiveX a fost modificat pentru a reduce amenințarea de securitate), la CLSID-ul controlului ActiveX la care s-a aplicat bitul Office COM Kill. Office acceptă AlternateCLSID numai atunci când se utilizează obiecte COM control ActiveX.  
 
Notă: Lista biți de ucidere pentru Office are prioritate față de lista de biți Kill pentru Internet Explorer. De exemplu, bitul Office COM kill bit și Internet Explorer ActiveX kill bit pot fi setate pentru același control ActiveX. Dar AlternateCLSID este setat doar pe lista pentru Internet Explorer. În acest scenariu, există un conflict între cele două setări. În asemenea situații, setările de biți Office COM Kill sunt prioritare și controlul nu este încărcat. 

Setarea bit Office COM Kill

Important: 

  • Această secțiune, metodă sau activitate conține pași care vă indică modalități de modificare a registry. Totuși, dacă modificați incorect sistemul registry, pot apărea probleme serioase. De aceea, asiguraţi-vă că urmaţi aceşti paşi cu atenţie. Pentru o protecție mai bună, înainte de a face modificări, realizați o copie de rezervă a sistemului registry. După aceea, sistemul registry poate fi restaurat dacă apare o problemă. Pentru informații suplimentare despre copierea de rezervă și restaurarea sistemului registry, faceți clic pe următorul număr de articol din Baza de cunoștințe Microsoft:  

  • 322756Cum se creează copii de rezervă și cum se pot restaura cheile de registry în Windows  

Locația pentru a seta bitul Office COM Kill în registry este următorul:  

Pentru Office 2013 și Office 2010:

  • Pentru Office pe 64 de biți pe Windows 64 pe biți (sau pe 32-bit Office pe 32-bit Windows).

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}

Pentru Office 32 pe 64-bit Windows:

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}

Pentru Office 2016:

  • Pentru Office pe 64 de biți pe Windows 64 pe biți (sau pe 32-bit Office pe 32-bit Windows):

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}

  • Pentru Office 32 pe 64-bit Windows:

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}

În acest caz, CLSID este identificatorul clasei pentru obiectul COM.  

Pentru a activa bitul Office COM Kill, urmați acești pași:

  1. Adăugați subcheia de registry împreună cu CLSID-ul controlului ActiveX sau al obiectului OLE pe care doriți să-l blocați de la încărcare.

  2. Adăugați un REG_DWORD la această subcheie numită steaguri de compatibilitate și setați valoarea sa la 0x00000400.

De exemplu, pentru a seta bitul Office COM Kill pentru un obiect care are CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} în Office 2016, urmați acești pași: 

  1. Găsiți următoarea subcheie de registry:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Adăugați o subcheie cu valoarea {77061A9C-2F18-4f38-B294-F6BCC8443D24}. În acest caz, calea rezultată este următoarea:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Adăugați un REG_DWORD la această subcheie care numește steaguri de compatibilitateși setați valoarea sa la 0x00000400.

Bitul Office COM Kill este acum setat pentru a bloca ca acest obiect să fie activat în Office. 

Cum se blochează doar COM în scenariile de legare și încorporare 

Așa cum s-a menționat, funcționalitatea COM kill bit a fost actualizată pentru a bloca toate activarea obiectelor COM specificate din interiorul Office.  

Pentru a bloca doar obiectele COM care sunt încorporate sau legate din documentele Office, urmați acești pași:  

  1. Adăugați CLSID la bitul COM Kill per instrucțiunile de sub "Setarea Biții de Office Kill" (dacă nu se află deja pe listă)

  2. Sub subcheia pentru CLSID blocată, adăugați o valoare REG_DWORD denumită ActivationFilterOverrideși setați valoarea sa la 0x00000001.

De exemplu, pentru a configura bitul COM Kill pentru a bloca doar în scenariile de legare și încorporare pentru un obiect care are CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} în Office 2016, urmați acești pași:

  1. Găsiți următoarea subcheie de registry:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Adăugați o subcheie care are valoarea {77061A9C-2F18-4f38-B294-F6BCC8443D24}. În acest caz, calea rezultată este următoarea:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Adăugați o valoare REG_DWORD la această subcheie care numește steaguri de compatibilitateși setați valoarea sa la 0x00000400

  4. Adăugați un REG_DWORD la această subcheie numită ActivationFilterOverrideși setați valoarea sa la 0x00000001

Bitul Office COM Kill este acum setat să blocheze acest obiect COM numai dacă este legat sau încorporat în documente Office. 

Controalele care sunt blocate de la activare în mod implicit

Control

CLSID

ScriptMoniker

06290BD3-48AA-11D2-8432-006008C3FBFC

SoapActivator

ECABAFD0-7F19-11D2-978E-0000F8757E2A

SoapMoniker

ECABB0C7-7F19-11D2-978E-0000F8757E2A

PartitionMoniker

ECABB0C5-7F19-11D2-978E-0000F8757E2A

QueueMoniker

ECABAFC7-7F19-11D2-978E-0000F8757E2A

HTMLApplication

3050F4D8-98B5-11CF-BB82-00AA00BDCE0B

ScripletContext

06290BD0-48AA-11D2-8432-006008C3FBFC

ScripletConstructor

06290BD1-48AA-11D2-8432-006008C3FBFC

ScripletFactory

06290BD2-48AA-11D2-8432-006008C3FBFC

ScripletHostEncode

06290BD4-48AA-11D2-8432-006008C3FBFC

ScripletTypeLib

06290BD5-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Automation

06290BD8-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Event

06290BD9-48AA-11D2-8432-006008C3FBFC

ScripletHandler_ASP

06290BDA-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Behavior

06290BDB-48AA-11D2-8432-006008C3FBFC

XMLFeed

528D46B3-3A4B-4B13-BF74-D9CBD7306E07

Scriptlet

AE24FDAE-03C6-11D1-8B76-0080C744F389

HtmlFile_FullWindowEmbed

25336921-03F9-11CF-8FD0-00AA00686F13

Mhtmlfile

3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Document Microsoft HTA 6,0

3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

DHTMLEdit. DHTMLEdit. 1

2D360200-FFF5-11D1-8D03-00A0C959BC0A

DHTMLSafe. DHTMLSafe. 1

2D360201-FFF5-11D1-8D03-00A0C959BC0A

Limbaj de script VB

B54F3741-5B07-11cf-A4B0-00AA004A55E8

Elaborarea în comun a limbajului VB Script

B54F3742-5B07-11cf-A4B0-00AA004A55E8

Codarea limbii VBScript

B54F3743-5B07-11cf-A4B0-00AA004A55E8

Codifica gazdă VBScript

85131631-480C-11D2-B1F9-00C04F86C324

Obiect flash Shockwave

D27CDB6E-AE6D-11cf-96B8-444553540000

Obiect din fabrica Macromedia Flash

D27CDB70-AE6D-11cf-96B8-444553540000

Microsoft Silverlight

DFEAF541-F3E1-4c24-ACAC-99C30715084A

Adobe Shockwave Player

233C1507-6A77-46A4-9443-F871F945D258

IE4Protocol

9D148291-B9C8-11d0-A4CC-0000f80149f6

ParseURL

9D148290-B9C8-11Dv0-A4CC-0000f80149f6

IFSStorage

D54EEE56-AAAB-11D0-9E1D-00A0C922E6EC

ITstorage

5D02926A-212E-11D0-9DF9-00A0C922E6EC

Controalele care sunt blocate de la încorporare în mod implicit

Control

CLSID

Shell. Explorer. 2

8856F961-340A-11D0-A96B-00C04FD705A2

Htmlfile

25336920-03F9-11CF-8FD0-00AA00686F13

Document HTML Microsoft pentru fereastra popup

3050F67D-98B5-11CF-BB82-00AA00BDCE0B

Notă: această listă este un instantaneu al controalelor blocate și se poate modifica 

Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă la Microsoft Insider

V-a fost de ajutor această informație?

Vă mulțumim pentru feedback!

Vă mulțumim pentru feedback! Se pare că ar fi util să luați legătura cu unul dintre agenții noștri de asistență Office.

×