Upozornenie: Tento článok obsahuje informácie, v ktorých sa dozviete, ako môžete ovládať nastavenia zabezpečenia balíka Office. Zmeny v týchto nastaveniach zabezpečenia môžete zmeniť na zväčšenie alebo zníženie polohy zabezpečenia. Pred vykonaním týchto zmien odporúčame, aby ste vyhodnotili riziká spojené s akýmikoľvek zmenami, ktoré urobíte pri konfigurácii tohto nastavenia.
ÚVOD
V tomto článku sú popísané nastavenia, ktoré sú k dispozícii pre používateľov a správcov IT na ovládanie toho, či a ako sa objekty COM načítajú pomocou zoznamu bitu balíka Microsoft Office.
Ďalšie informácie o tom, ako v programe Windows Internet Explorer zabiť bitové správanie, na základe ktorého je táto funkcia založená, vrátane toho, ako nastaviť AlternateCLSIDs, ktoré umožňujú aktualizovať ovládacie prvky ActiveX na načítanie, nájdete v téme zastavenie spustenia ovládacieho prvku ActiveX v Internet Exploreri.
Toto usmernenie sa vzťahuje na Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher a Microsoft Visio.
Bit ukončenia balíka Office COM
Bit ukončenia Office COM bol predstavený v aktualizácii zabezpečenia MS10-036, aby sa zabránilo spusteniu konkrétnych objektov COM pri vložení alebo prepojení z dokumentov balíka Office.
Funkcia COM Kill bit bola v KB3178703 aktualizovaná tak, aby úplne blokovala objekty com pred aktiváciou v procese v rámci balíka Office. Táto aktualizácia je nadradeným pôvodným správaním, pričom okrem blokovania objektov COM vložených alebo prepojených v dokumentoch balíka Office blokuje všetky inštancie objektov COM naložené v procese balíka Office prostredníctvom iných prostriedkov, akými sú napríklad doplnky.
Tieto konkrétne objekty COM zahŕňajú ovládacie prvky ActiveX a objekty OLE. Prostredníctvom databázy Registry môžete nezávisle ovládať, ktoré objekty COM sú blokované pri používaní balíka Office.
PoznámkaNeodporúčame odstrániť bitu bitu, ktorý je nastavený pre objekt COM. Ak to urobíte, môžete vytvoriť chyby zabezpečenia. Bit ukončenia je zvyčajne nastavený z dôvodu, ktorý môže byť kritický. Pri odzabíjaní ovládacieho prvku ActiveX musí byť preto veľmi opatrný.
Môžete pridať AlternateCLSID (známe aj ako "Phoenix bit"), keď budete musieť použiť identifikátor CLSID nového ovládacieho prvku ActiveX (a tento ovládací prvok ActiveX bol upravený tak, aby sa znížila hrozba zabezpečenia), na identifikátor CLSID ovládacieho prvku ActiveX, na ktorý sa použil bit bitu balíka Office. Balík Office podporuje AlternateCLSID iba vtedy, keď sa používajú objekty COM ovládacieho prvku ActiveX.
Poznámka: Zoznam bitu bitu pre Office má prednosť pred zoznamom bitu bitu pre Internet Explorer. Pre rovnaký ovládací prvok ActiveX môže byť napríklad nastavený bit bitu Office COM a bit bitu ActiveX programu Internet Explorer. AlternateCLSID sa však nastavuje len v zozname pre Internet Explorer. V tomto scenári dochádza k konfliktu medzi týmito dvoma nastaveniami. V takýchto prípadoch majú nastavenia bitu v Office COM prednosť a ovládací prvok nie je načítaný.
Nastavenie bitu bitu balíka Office
Dôležité:
-
Táto časť, postup alebo úloha obsahuje kroky na vykonanie úprav v databáze Registry. Ak však databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Preto dávajte pozor a postupujte presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je vhodné pred úpravou databázu Registry zálohovať. To vám umožní obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry sa nachádzajú v nasledujúcom článku databázy Microsoft Knowledge Base:
-
322756Zálohovanie a obnovovanie databázy Registry v systéme Windows
Umiestnenie na nastavenie bitu bitu balíka Office v databáze Registry je nasledovné:
Pre Office 2013 a Office 2010:
-
Pre 64-bitovú verziu balíka Office v 64-bitovom systéme Windows (alebo 32-bitovú verziu balíka Office vo Windowse 32-bitová verzia).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Pre 32-bitovú verziu balíka Office v 64-bitovom systéme Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Pre Office 2016:
-
Pre 64-bitovú verziu balíka Office v 64-bitovom systéme Windows (alebo 32-bitová verzia balíka Office v 32-bitovom systéme Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
Pre 32-bitovú verziu balíka Office v 64-bitovom systéme Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
V tomto prípade je identifikátor CLSID identifikátorom triedy objektu COM.
Ak chcete povoliť bitovú verziu balíka Office COM, postupujte podľa týchto krokov:
-
Pridajte podkľúč databázy Registry spolu s identifikátorom CLSID ovládacieho prvku ActiveX alebo objektom OLE, ktorý chcete blokovať pri načítaní.
-
Pridajte REG_DWORD do tohto podkľúča nazývaného príznaky kompatibility a nastavte jej hodnotu na 0x00000400.
Ak chcete napríklad nastaviť bitovú verziu balíka Office COM pre objekt s identifikátorom CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} na lokalite Office 2016, postupujte podľa týchto krokov:
-
Vyhľadajte nasledujúci podkľúč databázy Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Pridajte podkľúč s hodnotou {77061A9C-2F18-4f38-B294-F6BCC8443D24}. V tomto prípade je výsledná cesta nasledujúca:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Pridajte REG_DWORD do tohto podkľúča s názvom príznaky kompatibilitya nastavte jej hodnotu na 0x00000400.
Bit ukončenia balíka Office COM je teraz nastavený tak, aby blokoval tento objekt pred aktiváciou v rámci balíka Office.
Blokovanie COM v scenároch prepojenia a vkladania
Ako už bolo spomenuté, funkcia COM Kill bit bola aktualizovaná tak, aby blokovala všetky aktivácie zadaných objektov COM v rámci balíka Office.
Ak chcete iba blokovať objekty COM, ktoré sú vložené alebo prepojené v dokumentoch balíka Office, postupujte podľa týchto krokov:
-
Pridajte identifikátor CLSID do bitu bitu na základe pokynov v častiNastavenie bitu bitu balíka Office(ak sa už nenachádza v zozname)
-
Pod podkľúčom pre identifikátor CLSID, ktorý je blokovaný, pridajte REG_DWORD hodnotu s názvom ActivationFilterOverridea nastavte jej hodnotu na 0x00000001.
Ak chcete napríklad nakonfigurovať bitovú verziu COM bitu na blokovanie iba v prípade objektov s identifikátorom CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} na lokalite Office 2016, použite tento postup:
-
Vyhľadajte nasledujúci podkľúč databázy Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Pridajte podkľúč s hodnotou {77061A9C-2F18-4f38-B294-F6BCC8443D24}. V tomto prípade je výsledná cesta nasledujúca:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Pridajte do tohto podkľúča hodnotu REG_DWORD, ktorá sa nazýva príznaky kompatibility, a nastavte jej hodnotu na 0x00000400.
-
Pridajte REG_DWORD do tohto podkľúča s názvom ActivationFilterOverridea nastavte jeho hodnotu na 0x00000001.
Bit ukončenia balíka Office COM je teraz nastavený tak, aby blokoval tento objekt COM iba v prípade, že je prepojený alebo vložený v dokumentoch balíka Office.
Ovládacie prvky, ktoré sú predvolene blokované v aktivácii
Kontrolu |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA dokument 6,0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit. DHTMLEdit. 1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe. DHTMLSafe. 1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
Jazyk skriptu VB |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
Autorské písmo v jazyku VB |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Kódovanie jazyka VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Kódovanie hostiteľa v jazyku VBScript |
85131631-480C-11D2-B1F9-00C04F86C324 |
Ovládací prvok Shockwave Flash Object |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Objekt výrobcu Macromedia Flash |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Doplnok Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Ovládací prvok Pythonu |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Ovládacie prvky, ktoré sú predvolene blokované na vkladanie
Kontrolu |
CLSID |
Shell. Explorer. 2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Dokument programu Microsoft HTML pre kontextové okno |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Poznámka: Tento zoznam je snímka blokovaných ovládacích prvkov a môže sa zmeniť