Kako kontrolniku ActiveX preprečiti, da bi se zagnal v Internet Explorerju

P O V Z E T E K

V tem članku je opisano, kako kontrolniku ActiveX preprečiti, da bi se zagnal v Microsoft Internet Explorerju in Windows Internet Explorerju. To lahko naredite tako, da spremenite vrednost podatkov v vrednosti zastavic združljivosti DWORD za identifikatorja razreda (CLSID) kontrolnika ActiveX.

Opomba V računalnikih z operacijskima sistemoma Microsoft Windows XP in Windows Server 2003 lahko skrbniki uporabijo pravilnike za omejitev programske opreme, če želijo preprečiti zagon kontrolnika ActiveX v katerem koli programu v računalnikih, ki so v okolju domene Active Directory. Več informacij o pravilnikih za omejitev programske opreme najdete na tem Microsoftovem spletnem mestu:

D O D A T N E I N F O R M A C I J E

Pomembno V tem razdelku, načinu ali opravilu so navodila za spreminjanje registra. Če nepravilno spremenite register, lahko pride do resnih težav. Zato natančno sledite navodilom. Za dodatno zaščito varnostno kopirajte register, preden ga spremenite. Če pride do težav, ga bo tako mogoče obnoviti. Če želite več informacij o varnostnem kopiranju in obnavljanju registra, kliknite to številko članka iz Microsoftove zbirke znanja:
322756 Varnostno kopiranje in obnovitev registra v sistemu Windows (Ta povezava lahko vodi k besedilu, ki je delno ali v celoti v angleščini)


Opozorilo Microsoft ne priporoča razveljavitve odstranjevanja kontrolnika ActiveX. Če to naredite, lahko varnost postane ogrožena. Odstranitev bita je po navadi nastavljena zaradi kritičnega razloga, zato morate zelo paziti, ko razveljavljate odstranjevanje kontrolnika ActiveX. Ker je postopek izrazito tehničen, ne nadaljujte, če ga ne poznate dobro; preden začnete, najprej preberite celoten postopek.

CLSID za kontrolnik ActiveX je GUID za ta kontrolnik. Zagon kontrolnika ActiveX v Internet Explorerju lahko preprečite, če odstranitev bita nastavite tako, da Internet Explorer ne bo nikoli poklical kontrolnika, ko bodo uporabljene privzete nastavitve.

Odstranitev bita je določena vrednost v vrednosti zastavic združljivosti DWORD za kontrolnik ActiveX v registru. To se razlikuje od preklica možnosti »varno za skriptno izvajanje« v kontrolniku ActiveX. Ko je možnost »varno za skriptno izvajanje« preklicana, Internet Explorer še vedno kliče kontrolnik in prikaže sporočilo, da kontrolnik ActiveX mogoče ni varen. Glede na izbrano možnost se kontrolnik lahko zažene. Ko pa je odstranitev bita nastavljena za kontrolnik ActiveX, tega kontrolnika Internet Explorer sploh ne pokliče, razen če je v Internet Explorerju omogočena možnost Initialize and script ActiveX controls not marked as safe (Inicializiraj in skriptno izvajaj kontrolnike ActiveX, ki niso označeni kot varni). Odstranitev bita nastavite tako:


 1. Določite CLSID za kontrolnik ActiveX, ki ga želite onemogočiti. Če niste prepričani, da je CLSID kontrolnika pravi, se obrnite na izdelovalca. Če je kontrolnik nameščen, boste mogoče lahko določiti njegov CLSID, če poznate njegovo prijazno ime. To naredite tako, da pregledate privzeto vrednost niza ključa ProgID za vse ključe CLSID v HKEY_CLASSES_ROOT\CLSID. Mogoče boste morali odstraniti vse kontrolnike ActiveX razen tistega, ki ga želite onemogočiti, da bo lažje ugotoviti ustrezen CLSID.
  Če želite več informacij o tem, kako odstranite kontrolnike ActiveX, kliknite to številko članka iz Microsoftove zbirke znanja:

  154850 Kako odstraniti kontrolnik ActiveX v sistemu Windows (Ta povezava lahko vodi k besedilu, ki je delno ali v celoti v angleščini)
 2. Z urejevalnikom registra si oglejte vrednost podatkov v vrednosti zastavic združljivosti DWORD za CLSID predmeta ActiveX v tem registrskem ključu
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\CLSID kontrolnika ActiveX
  , kjer je CLSID kontrolnika ActiveX identifikator razreda ustreznega kontrolnika ActiveX.

  Opomba Navadno morate ta registrski ključ ustvariti ročno.
 3. Vrednost zastavic združljivosti DWORD nastavite na 0x00000400.
Če je odstranitev bita nastavljena za kontrolnik ActiveX, izdana pa je nova različica kontrolnika ActiveX z drugačnim CLSID-om, lahko nastavite spletna mesta, ki uporabljajo stari CLSID, tako, da delujejo po načrtu. To naredite tako, da dodate novo vrednost na isto raven, kot je vrednost zastavic združljivosti v registru. Ta vrednost mora biti niz REG_SZ, ki je poimenovan kot »AlternateCLSID«. Vrednost niza »AlternateCLSID« bo prikazana v oklepajih. Vrednost bo na primer videti tako:
{ABCDEF12-ABCD-ABCD-ABCD-ABCDEF123456}
Primer:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
{CLSID onemogočenega kontrolnika ActiveX}, zastavice združljivosti, 0x0400


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
{CLSID onemogočenega kontrolnika ActiveX}, AlternateCLSID, »{CLSID drugega kontrolnika ActiveX}«
Internet Explorer bo obravnaval to vrednost in ustvaril primerek kontrolnika ActiveX, katere sklic je v vrednosti »AlternateCLSID« in ne v tisti vrednosti, ki je prejela odstranitev bita.

Opomba Da bi bila vrednost »AlternateCLSID« učinkovita, mora biti odtrsnitev bita nastavljena na prvotni CLSID.
Razvijalci kontrolnikov ActiveX lahko uporabijo vrednosti registra TreatAs ali AlternateCLSID z »odstranitvijo bita«, če želijo, da Internet Explorer preveri, ali je za uporabo na voljo posodobljen kontrolnik ActiveX namesto onemogočenega kontrolnika ActiveX. Če želite več informacij o uporabi vrednosti TreatAs, obiščite to Microsoftovo spletno mesto: Če želite nastaviti vrednost »AlternateCLSID«, naredite naslednje:


 1. Uporabite urejevalnik registra, če želite najti onemogočen CLSID predmeta ActiveX v tem registrskem ključu:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\CLSID kontrolnika ActiveX
  Kjer je CLSID kontrolnika ActiveX identifikator razreda ustreznega kontrolnika ActiveX.

  Vidite lahko, da je vrednost zastavic združljivosti nastavljena na DWORD 00000400.
 2. Ključu CLSID dodajte vrednost niza AlternateCLSID.
 3. Podatke vrednosti niza AlternateCLSID nastavite na {CLSID nadomestnega kontrolnika ActiveX}, kjer je {CLSID kontrolnika ActiveX} identifikator razreda posodobljenega kontrolnika ActiveX.
Vrednost AlternateCLSID ukazuje Internet Explorerju, naj preusmeri na CLSID posodobljenega kontrolnika ActiveX. Preusmeritve lahko povežete v verigo do deset ravni globoko.

Vrednost AlternateCLSID podpirajo te različice Internet Explorerja.


 • Internet Explorer 5.01 s servisnim paketom SP2 ali novejši za Windows 2000 s posodobitvijo MS03-004 ali novejšo različico
 • Internet Explorer 5.5 s servisnim paketom SP2 s posodobitvijo MS02-068 ali novejšo različico
 • Internet Explorer s servisnim paketom SP1
 • Internet Explorer 6 za Windows XP s posodobitvijo MS02-068 ali novejšo različico
 • Internet Explorer 6 za Windows Server 2003
 • Windows Internet Explorer 7 za Windows Server 2003 IA64
 • Windows Internet Explorer 7 za Windows XP
 • Windows Internet Explorer 7.0 za Windows Server 2003
 • Windows Internet Explorer 7.0 za Windows Vista
Opomba Različice Internet Explorerja, ki niso naštete v tem članku, so v podaljšani fazi življenjskega cikla izdelka ali niso več podprte. Čeprav lahko odstranitev bita nastavite tudi v teh različicah sistema Windows in Internet Explorerja, Microsoft priporoča, da nadgradite v podprto različico Internet Explorerja in uporabite vse ustrezne posodobitve.Če želite več informacij o tem, kako ugotoviti, katera različica Internet Explorerja je nameščena, kliknite to številko članka iz Microsoftove zbirke znanja:

164539 Kako ugotoviti, katera različica Internet Explorerja je nameščena

Če želite dodatne informacije o odstranitvenem bitu za kontrolnike ActiveX, si oglejte naslednje objave v študijah varnostnih ranljivosti izdelkov Microsoft in spletnih dnevnikih o zaščiti:

Informacije za razvijalce programov

Razvijalci programov, ki imajo varnostne težave s svojim kontrolnikom ActiveX, lahko od Microsofta zahtevajo, da izda odstranitveni bit, ki bo njihovemu kontrolniku ActiveX onemogočil izvajanje v Internet Explorerju. Odobrene zahteve bodo obdelane v naslednji izdaji paketa posodobitev varnostnega svetovalca za odstranitvene bite kontrolnikov ActiveX. Microsoft bo izdal odstranitveni bit samo za tiste kontrolnike ActiveX, ki imajo dokazano ranljivost, in le v primeru, če bo neodvisni razvijalec programske opreme (ISV), ki je lastnik kontrolnika, že izdal posodobljeno različico le-tega. Neodvisni razvijalci programske opreme z ranljivimi kontrolniki ActiveX lahko na naslov msvr@microsoft.com pošljejo zahtevo za odstranitveni bit in naslednje podatke:


 • Navedite javni URL posodobljenega kontrolnika ActiveX.
 • Navedite CLSID kontrolnika ActiveX, ki bo v Internet Explorerju prejel odstranitveni bit.
 • Ali je ta posodobljeni kontrolnik ActiveX prejel novi CLSID, ki pošlje odstranitveni bit ranljivemu CLSID v izvajanju? Postopek iskanja teh podatkov je opisan v tem članku zbirke znanja.
 • Ali je kontrolnik ActiveX, za katerega velja ta zahteva, označen kot varen za skriptno izvajanje ali varen za inicializacijo?
 • Ali obstajajo starejše različice kontrolnika ActiveX, za katerega velja zahteva? Če obstajajo, navedite njihove vrednosti CLSID.
 • Kateri je osnovni mehanizem prikaza zahtevanega kontrolnika ActiveX uporabnikom?
 • Navedite javni URL svetovalca za neodvisne razvijalce programske opreme, ki odkrije ranljivost.
Lastnosti

ID članka: 240797 – Zadnji pregled: 29. apr. 2010 – Revizija: 1

Povratne informacije