ВНИМАНИЕ! Данная статья содержит инструкции по отключению параметров безопасности либо снижению уровня безопасности. Эти изменения можно произвести для обхода определенных проблем, Однако предварительно рекомендуется оценить связанные с ними риски в конкретной среде. Перед использованием этого обходного способа решения проблемы следует предпринять дополнительные меры для защиты компьютера.
ВВЕДЕНИЕ
В этой статье содержится предварительная версия сведений, которые могут быть изменены в последующих выпусках. Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer. В указанной ниже рекомендательной статье описываются уязвимости в библиотеке шаблонных классов ATL, которые делают возможным удаленное выполнение кода.
Это обновление для системы безопасности позволяет управлять загрузкой элементов ActiveX и объектов OLE с помощью списка битов аннулирования Microsoft Office. Дополнительные сведения о поведении бита аннулирования Windows Internet Explorer, который требуется для этой функции, а также об установке идентификаторов AlternateCLSID, позволяющих загружать обновленные элементы ActiveX, см. в следующей статье:973882 Советы корпорации Майкрософт по безопасности: уязвимости в библиотеке шаблонных классов ATL делают возможным удаленное выполнение кода (Эта ссылка может указывать на содержимое полностью или частично на английском языке.) Все приведенные в ней способы можно использовать для снижения опасности уязвимостей в библиотеке ATL. Кроме того, в это обновление для системы безопасности входит защита библиотеки ATL. Это обновление для системы безопасности применимо к приложениям Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher и Microsoft Visio.
Бит аннулирования Office COM
Бит аннулирования Office COM, представленный в обновлении для системы безопасности в составе бюллетеня по безопасности MS10-036, можно использовать для предотвращения запуска COM-объектов в приложениях Office. К COM-объектам относятся элементы ActiveX и объекты OLE. Теперь в реестре можно по отдельности управлять элементами ActiveX и объектами OLE, заблокированными для работы в приложениях Office.
Важные замечания.-
Если в реестре для объекта OLE установлен бит аннулирования Office COM, его не удастся загрузить ни при каких обстоятельствах.
-
В Office 2007 появляется следующее сообщение об ошибке:
-
В Office 2003 появляется следующее сообщение об ошибке:
"Ошибка при попытке создания объекта, принадлежащего классу". Отказано в доступе".
Process Monitor, предварительно загрузив ее с веб-сайта TechNet. Настройки бита аннулирования Internet Explorer находятся в файле журнала Process Monitor.
Чтобы определить, какой идентификатор CLSID не удалось загрузить, запустите программуHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
Примечание. Не рекомендуется удалять бит аннулирования, установленный для COM-объекта. В противном случае возможно появление уязвимостей в системе безопасности. Как правило, бит аннулирования устанавливается в критической ситуации, поэтому при его отмене необходимо соблюдать крайнюю осторожность. При присвоении идентификатора CLSID новому элементу ActiveX, который был изменен для снижения угрозы в системе безопасности, альтернативный идентификатор CLSID (бит Phoenix) можно добавить к идентификатору CLSID элемента ActiveX, к которому был применен бит аннулирования Office COM. Идентификатор AlternateCLSID поддерживается в приложениях Office только при использовании COM-объектов элемента ActiveX. Примечание. Список битов аннулирования для Office имеет приоритет над списком битов аннулирования для Internet Explorer. Например, бит аннулирования Office COM и бит аннулирования Internet Explorer ActiveX можно установить для одного и того же элемента ActiveX, а альтернативный идентификатор CLSID можно установить только для списка Internet Explorer. В этом случае возникает конфликт между двумя параметрами. Параметры бита аннулирования Office COM обладают преимуществом, поэтому элемент не загрузится.Настройка бита аннулирования Office COM
Важно! В данный раздел, описание метода или задачи включены сведения об изменении параметров реестра. Однако их неправильное изменение может привести к возникновению серьезных проблем, поэтому при выполнении этих действий строго соблюдайте инструкции. Чтобы обеспечить дополнительную защиту, создайте резервную копию реестра. В этом случае при возникновении неполадок реестр можно будет восстановить. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756Создание резервной копии и восстановление реестра WindowsРасположение настроек бита аннулирования Office COM в реестре:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}В этом случае заполнитель CLSID является идентификатором класса COM-объекта. Чтобы включить бит аннулирования Office COM, добавьте подраздел реестра и идентификатор CLSID элемента ActiveX или объекта OLE, загрузку которого необходимо заблокировать. Кроме того, необходимо установить значение 0x00000400 для параметра Compatibility Flag типа REG_DWORD.
Например, чтобы установить бит аннулирования Office COM для объекта с идентификатором CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, найдите следующий подраздел реестра и добавьте в него параметр типа REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24}:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM CompatibilityВ этом случае путь будет иметь следующий вид:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} Добавление подраздела реестра со значением 0x00000400 в разделе {CLSID} устанавливает бит аннулирования Office COM. 64- и 32-разрядные объекты и их биты аннулирования находятся в других разделах реестра.
Дополнительные сведения см. на следующей веб-странице корпорации Майкрософт:Вопросы и ответы о битах аннулирования: Часть 1 из 3-х. (Эта ссылка может указывать на содержимое полностью или частично на английском языке.)
Переопределение списка бита аннулирования Internet Explorer для объектов OLE
Параметр переопределения позволяет включить в список бита аннулирования Internet Explorer те объекты OLE, которые разрешено загружать в приложениях Office. Рекомендуется использовать только безопасные объекты OLE. Обратите внимание: в приложении Office одновременно выполняется проверка параметра переопределения и работы бита аннулирования Office COM. При включенном бите аннулирования Office COM объект OLE не загружается.
Чтобы включить параметр переопределения, необходимо правильно классифицировать объект OLE. В реестре добавьте подраздел Implemented Categories в раздел CLSID для объекта COM. Затем добавьте подраздел, содержащий идентификатор категории (CATID) {F3E0281E-C257-444E-87E7-F3DC29B62BBD} для объектов OLE, в раздел Implemented Categories. Например, объект OLE заблокирован в браузере Internet Explorer, но его необходимо использовать в приложениях Office. В этом случае прежде всего необходимо найти идентификатор CLSID для объекта OLE в следующем разделе реестра:HKEY_CLASSES_ROOT\CLSID Например, идентификатором CLSID для диаграммы Microsoft Graph является {00020803-0000-0000-C000-000000000046}. Затем найдите раздел Implemented Categories. Если он не существует, создайте его. Пример пути:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories Затем добавьте новый подраздел для идентификатора CATID объекта OLE в раздел Implemented Categories. Пример пути:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
Примечание. Идентификатором категории (CATID) для объектов OLE является {F3E0281E-C257-444E-87E7-F3DC29B62BBD}. Фигурные скобки ({}) должны быть включены.Отключение защиты библиотеки ATL
Включенная защита библиотеки ATL предотвращает работу элементов управления, использующих параметр OleLoadFromStreamsuch, и приводит к потере сведений об управлении. Например, эта проблема влияет на общие элементы управления Visual Basic 6.0 для Windows.
Предупреждение. Выполнение описанных ниже действий может повысить уязвимость компьютера или сети для вредоносных программ и атак злоумышленников. Корпорация Майкрософт не рекомендует использовать этот способ, но в случае необходимости его можно применить на свой страх и риск. В случае использования данного способа решения проблемы полагайтесь на свой опыт и знания. Не рекомендуется отключать защиту библиотеки ATL без крайней необходимости, т. к. она охватывает широкую область. Отключение защиты библиотеки ATL может привести к возникновению уязвимостей в системе безопасности. При отключенной защите библиотеки ATL не рекомендуется открывать файлы Microsoft Office, полученные из непроверенных источников или неожиданно отправленные из надежных источников. Чтобы отключить защиту от уязвимостей в библиотеке ATL, установите значение 00000001 для параметра NoOLELoadFromStreamChecks типа REG_DWORD в следующем подразделе реестра:HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
Примечание. Если этот подраздел не существует, создайте его.Отключение элементов управления сценариями для приложений Office
После установки этого обновления для системы безопасности можно отключить сценарии для приложений Office. При этом поведение Internet Explorer не изменится.
Чтобы отключить сценарии для приложений Office, установите значение 00000400 для параметра Compatibility Flag типа REG_DWORD в следующем подразделе реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
Ниже перечислены элементы управления, которые может потребоваться добавить в список запрещенных элементов управления Office.
Элемент управления |
CLISD |
---|---|
Microsoft HTA Document 6.0 |
{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B} |
htmlfile |
{25336920-03F9-11CF-8FD0-00AA00686F13} |
htmlfile_FullWindowEmbed |
{25336921-03F9-11CF-8FD0-00AA00686F13} |
mhtmlfile |
{3050F3D9-98B5-11CF-BB82-00AA00BDCE0B} |
Элемент управления веб-браузером |
{8856F961-340A-11D0-A96B-00C04FD705A2} |
DHTMLEdit |
{2D360200-FFF5-11D1-8D03-00A0C959BC0A} |