Pozor: V tem članku so informacije, ki prikazujejo, kako nadzirate varnostne nastavitve za Office. Te varnostne nastavitve lahko spremenite tako, da povečate ali zmanjšate varnostno držo. Preden izvedete te spremembe, vam priporočamo, da ocenite tveganja, povezana s spremembami, ki jih naredite, da konfigurirate to nastavitev.
UVOD
V tem članku so opisane nastavitve, ki so na voljo za uporabnike in skrbnike IT, da nadzorujejo, ali in kako se predmeti COM naložijo s seznamom Microsoft Office Kill bit.
Če želite več informacij o tem, kako naj Windows Internet Explorer ubije bitno obnašanje, ki temelji na tej funkciji, vključno s tem, kako nastavite AlternateCLSIDs, ki dovolijo posodobitev kontrolnikov ActiveX, si oglejte, Kako preprečite izvajanje kontrolnika ActiveX v Internet Explorerju. Ta navodila veljajo za Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher in Microsoft Visio.
Office COM Kill bit
Office COM Kill bit je bil uveden v varnostni posodobitvi MS10-036, da preprečite, da bi se določeni predmeti COM zagnali, ko so vdelani ali povezani iz Officeovih dokumentov.
Funkcionalnost COM Kill bitne različice je bila posodobljena v KB3178703 , da popolnoma BLOKIRA predmete com iz sistema Office. Ta posodobitev je nadgradnja prvotnega vedenja, v katerem je poleg blokiranja COM predmetov, vdelanih ali povezanih v Officeovih dokumentih, to blokira vse primerke predmetov COM, ki se naložijo v Officeov proces prek drugih načinov, kot so dodatki.
Ti določeni predmeti COM vključujejo kontrolnike ActiveX in predmete OLE. V registru lahko neodvisno nadzorujete, kateri predmeti COM so blokirani, ko uporabljate Office.
OpombaPriporočamo vam, da odstranite bitno različico, ki je nastavljena za predmet COM. Če to naredite, lahko ustvarite varnostne ranljivosti. Morilec bit je običajno nastavljen zaradi razloga, ki je morda kritičen. Zato morate biti zelo previdni, ko odbijete kontrolnik ActiveX.
Dodate lahko vrednost AlternateCLSID (imenovano tudi» bit Phoenix «), ko se morate povezati z CLSID-jem novega kontrolnika ActiveX (in je bil ta kontrolnik ActiveX spremenjen, da zmanjšate varnostno grožnjo), v CLSID kontrolnika ActiveX, na katerega je bil uporabljen Office COM Kill bit. Office podpira funkcijo AlternateCLSID le, ko so uporabljeni predmeti COM za kontrolnik ActiveX. Opomba: Seznam Kill bitni za Office ima prednost pred seznamom Kill bitni za Internet Explorer. Na primer, Office COM Kill bit in Internet Explorer ActiveX Kill bit lahko nastavite za isti kontrolnik ActiveX. Vendar je AlternateCLSID nastavljena le na seznamu za Internet Explorer. V tem primeru je prišlo do spora med obema nastavitvama. V teh primerih je prednost nastavitev funkcije Office COM Kill bitna različica in kontrolnik ni naložen.Nastavitev funkcije Office COM Kill bit
Pomembno:
-
V tem razdelku, načinu ali opravilu so koraki, s katerimi lahko poveste, kako spremenite register. Vendar pa lahko pride do resnih težav, če nepravilno spremenite register. Zato se prepričajte, da natančno sledite tem korakom. Za dodatno zaščito znova namestite register pred spreminjanjem. Nato lahko register obnovite, če pride do težave. Če želite več informacij o tem, kako varnostno kopirate in obnovite register, kliknite to številko članka iz Microsoftove zbirke znanja:
-
322756Varnostno kopiranje in obnovitev registra v sistemu Windows
Lokacija za nastavitev funkcije Office COM Kill bit v registru je takšna:
Za Office 2013 in Office 2010:
-
Za 64-bitni Office v 64-bitni različici sistema Windows (ali 32-bitni Office v sistemu 32-bitna različica sistema Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Za 32-bitni Office v 64-bitni različici sistema Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Za Office 2016:
-
Za 64-bitni Office v 64-bitni različici sistema Windows (ali 32-bitni Office v sistemu 32-bitna različica sistema Windows):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
Za 32-bitni Office v 64-bitni različici sistema Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
V tem primeru je CLSID identifikator razreda COM predmeta.
Če želite omogočiti bitno različico Office COM Kill, upoštevajte ta navodila:
-
Dodajte registrski podključ skupaj z CLSID kontrolnika ActiveX ali predmeta OLE, ki ga želite blokirati pred nakladanjem.
-
Dodajte REG_DWORD v ta podključ, ki se imenuje zastavice združljivosti , in nastavite njeno vrednost na 0x00000400.
Če želite na primer nastaviti Office COM Kill bit za predmet, ki ima CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} na spletnem mestu Office 2016, upoštevajte ta navodila:
-
Poiščite ta registrski podključ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Dodajte podključ z vrednostjo {77061A9C-2F18-4f38-B294-F6BCC8443D24}. V tem primeru je pot, ki izhaja, na naslednji način:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Dodajte REG_DWORD v ta podključ, ki je imenovan zastavice združljivosti, in nastavite njeno vrednost na 0x00000400.
Office COM Kill bit je zdaj nastavljen tako, da blokira ta predmet pred aktiviranjem v Officeu.
Kako blokirati le v scenarijih povezovanja in vdelave
Kot je navedeno, je bila posodobitev funkcije COM Kill, posodobljena, da blokira vse aktivacije določenih predmetov COM iz Officea.
Če želite blokirati le predmete COM, ki so vdelani ali povezani v Officeovih dokumentih, upoštevajte ta navodila:
-
Dodajte CLSID v COM Kill bit na navodila v razdelku»Nastavitev Officea Kill bit«(če ni na seznamu že)
-
V podključu za CLSID, ki je blokiran, dodajte REG_DWORD vrednost, ki je imenovana ActivationFilterOverride, in nastavite njeno vrednost na 0x00000001.
Če želite na primer konfigurirati bitno različico COM, če želite blokirati le v scenarijih povezovanja in vdelave predmeta, ki ima CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} na spletnem mestu Office 2016, upoštevajte ta navodila:
-
Poiščite ta registrski podključ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Dodajte podključ z vrednostjo {77061A9C-2F18-4f38-B294-F6BCC8443D24}. V tem primeru je pot, ki izhaja, na naslednji način:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
V ta podključ dodajte REG_DWORD vrednost, ki je imenovana zastavice združljivosti, in nastavite vrednost na 0x00000400.
-
Dodajte REG_DWORD do tega podključa, imenovanega ActivationFilterOverride, in nastavite njeno vrednost na 0x00000001.
Office COM Kill bit je zdaj nastavljen za blokiranje tega COM predmeta le, če je povezan ali vdelan v Officeove dokumente.
Kontrolniki, ki so privzeto blokirani iz aktivacije
Kontrolnik |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA Document 6,0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit. DHTMLEdit. 1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe. DHTMLSafe. 1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
Jezik skriptov VB |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
Avtorstvo skriptnega jezika VB |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Kodiranje jezika VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Kodiranje VBScript Host |
85131631-480C-11D2-B1F9-00C04F86C324 |
Predmet Shockwave Flash |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Predmet» Macromedia Flash Factory « |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
Kontrolnik Python |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Kontrolniki, ki so privzeto blokirani iz vdelave
Kontrolnik |
CLSID |
Shell. Explorer. 2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Microsoft HTML dokument za pojavno okno |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Opomba: ta seznam je posnetek blokiranih kontrolnikov, ki jih je treba spremeniti.