Внимание: В этой статье содержатся сведения о том, как управлять настройками безопасности Office. Вы можете внести изменения в эти параметры безопасности, чтобы повысить или понизить уровень безопасности. Прежде чем вносить эти изменения, мы рекомендуем оценить риски, связанные с любыми изменениями, внесенными вами для настройки этого параметра.
ВВЕДЕНИЕ
В этой статье описаны параметры, доступные для пользователей и ИТ-администраторов, которые могут управлять загрузкой com-объектов с помощью Microsoft Office списков "kill bit".
Дополнительные сведения о том, на чем работает эта функция, в том числе о том, как настроить alternateCLSID, позволяющие загружать обновленные элементы управления ActiveX, см. в ActiveX.
Это руководство относится к Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher и Microsoft Visio.
Office COM kill bit
В обновлении системы безопасности MS10-036 впервые был представлен элемент "Office COM kill" для предотвращения запуска определенных COM-объектов при внедрении или связи с документами Office.
Функция блокировки COM была обновлена в KB3178703, чтобы полностью заблокировать активацию объектов COM в процессе office. Это обновление является более частью исходного поведения, в котором блокирование внедренных или связанных com-объектов в документах Office блокирует любые экземпляры COM-объектов, которые загружаются в процессе Office другими способами, например с помощью надстройок.
К таким объектам COM относятся ActiveX и объекты OLE. С помощью реестра вы можете независимо контролировать, какие объекты COM блокируются при использовании Office.
Примечание. Мы не рекомендуем удалять бит для обоймы, установленный для COM-объекта. Это может привести к уязвимостям в системе безопасности. Этот бит обычно устанавливается по причине, которая может быть критической. Поэтому будьте очень внимательны, если вы не можете сделать ActiveX контроля.
Если нужно связать CLSID нового управления ActiveX (и этот ActiveX был изменен для снижения угрозы безопасности), его можно добавить в CLSID этого ActiveX-бита. Office поддерживает AlternateCLSID только при ActiveX управления COM-объектами.
Примечание. Этот список имеет приоритет над списком kill bit для Internet Explorer. Например, в Office COM может быть установлен ActiveX для того же ActiveX. Но альтернативныйCLSID задан только для списка Internet Explorer. В этом сценарии между этими двумя настройками возник конфликт. В таких случаях параметры office COM предшествуют приоритету, а управление не загружается.
Настройка параметра "Office COM kill bit"
Важно:
-
В этом разделе, описании метода или задачи содержатся сведения о внесении изменений в реестр. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует точно выполнять приведенные инструкции. В качестве дополнительной защитной меры перед изменением реестра необходимо создать его резервную копию. Это позволит восстановить реестр в случае возникновения проблем. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
-
322756Как создать резервную копию и восстановить реестр в Windows
Параметр "Office COM kill bit" в реестре может быть следующим:
Для Office 2013 и Office 2010:
-
Для 64-битной версии Office в 64-битной версии Windows (или 32-битной версии Office в 32-битной версии Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Для 32-битной версии Office в 64-битной версии Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
Для Office 2016:
-
Для 64-битной версии Office в 64-битной версии Windows (или 32-битной версии Office в 32-битной версии Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Для 32-битной версии Office в 64-битной версии Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
В данном случае CLSID — это идентификатор класса объекта COM.
Чтобы включить office COM kill bit, выполните следующие действия:
-
Добавьте подразряд реестра вместе с CLSID ActiveX или объектом OLE, который вы хотите заблокировать для загрузки.
-
Добавьте в подменю REG_DWORD под названием "Флаги совместимости" и установите для его значения значение 0x00000400.
Например, чтобы настроить в Office 2016 метку kill для объекта с CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} в Office 2016, выполните указанные здесь действия.
-
Найдите следующий подкомай реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Добавьте подменю со значением {77061A9C-2F18-4f38-B294-F6BCC8443D24}. В этом случае путь будет следующим:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Добавьте в REG_DWORD подменю с именем "Флагисовместимости" и установите для него значение 0x00000400.
Блокировка com Office теперь блокирует активацию этого объекта в Office.
Блокировка COM только в сценариях связывания и embedding
Как уже было указано, обновленные функции блокировки com были обновлены, чтобы заблокировать все активации определенных объектов COM в Office.
Чтобы заблокировать только объекты COM, внедренные в документы Office или связанные с ними, выполните следующие действия:
-
Добавьте CLSID в бит для управления COM согласно инструкциям в статье "Настройкаoffice Kill Bit"(если его еще нет в списке)
-
Под подкодомом заблокированного CLSID добавьте значение REG_DWORD ActivationFilterOverrideи задайте для него значение 0x00000001.
Например, чтобы настроить блокировку блокировки COM только при связывания и встраии объектов с CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} в Office 2016, выполните следующие действия:
-
Найдите следующий подменю реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Добавьте подзагрузку со значением {77061A9C-2F18-4f38-B294-F6BCC8443D24}. В этом случае путь будет следующим:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Добавьте значение REG_DWORD для этого подменю с именем "Флаги совместимости" и установите для него значение 0x00000400.
-
Добавьте в REG_DWORD подменю ActivationFilterOverrideи задайте для нее значение 0x00000001.
Элемент блокировки COM Office теперь блокирует этот COM-объект только в том случае, если он связан или внедрен в документы Office.
Элементы управления, которые по умолчанию заблокированы при активации
Управление |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Документ Microsoft HTA 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
Язык скриптов VB |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
VB Script Language Authoring |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Кодивка языка VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Кодировки хоста VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
Объект Shockwave Flash |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Объект Macromedia Flash Factory |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Python control |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Элементы управления, которые по умолчанию заблокированы при встраии
Управление |
CLSID |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
HTMLFILE |
25336920-03F9-11CF-8FD0-00AA00686F13 |
HtmL-документ Майкрософт для всплывающее окно |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Примечание.Этот список является моментальный снимок заблокированных элементов управления, который может изменяться