Säkerhetsinställningar för ActiveX-kontroller och OLE-objekt i Office 2003 och Office 2007

Viktigt! Den här artikeln innehåller information om hur du sänker säkerhetsnivån eller stänger av säkerhetsfunktioner på en dator. Du kan göra sådana ändringar för att undvika ett visst problem. Innan du gör ändringarna rekommenderar vi att du utvärderar vilka risker de medför i din miljö. Om du använder den här tillfälliga lösningen bör du vidta lämpliga ytterligare åtgärder för att skydda datorn.

INLEDNING

Artikeln innehåller förhandsdokumentation och kan komma att ändras i framtiden.

Med den här säkerhetsuppdateringen kan användare styra om och hur ActiveX-kontroller och OLE-objekt ska läsas in med en Microsoft Office-stoppbitlista. Mer information om Windows Internet Explorer-stoppbitfunktionen som den här funktionen är baserad på, bland annat hur du konfigurerar alternativa ActiveX-kontroller (AlternateCLSID) så att uppdaterade ActiveX-kontroller kan läsas in, finns i Hindra en ActiveX-kontroll från att köras i Internet Explorer.

Följande artikel innehåller information om sårbarheter i ATL (Active Template Library) som kan möjliggöra fjärrkörning av kod.
973882 Microsoft-säkerhetsmeddelande: Säkerhetsluckor i Microsoft Active Template Library (ATL) kan möjliggöra fjärrkörning av kod

Alla funktioner i artikeln kan användas för att åtgärda ATL-säkerhetsluckorna. Säkerhetsuppdateringen beskriver även särskilda begränsande faktorer för ATL.

Säkerhetsuppdateringen avser Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher och Microsoft Visio.

Office COM-stoppbit

Du kan även använda Office COM-stoppbiten i säkerhetsuppdateringen i MS10-036 för att förhindra att vissa COM-objekt körs i Office-program. De här COM-objekten innehåller ActiveX-kontroller och OLE-objekt. Nu kan du via registret själv styra vilka ActiveX- och OLE-objekt som ska blockeras när du använder Office.

Viktigt!
  • Om Office COM-stoppbiten har konfigurerats för ett OLE-objekt i registret, läses objektet inte in och kan inte läsas in under några omständigheter.
  • I Office 2007 visas följande felmeddelande:

    Referenser till externt länkade OLE-filer har blockerats.
  • I Office 2003 visas följande felmeddelande:
    Ett försök att skapa ett klassobjekt misslyckades. Åtkomst nekad.


Du kan använda Process Monitor från TechNet för att se vilket CLSID som inte läses in. Sök efter Internet Explorers stoppbitsinställning i Process Monitor-loggfilen.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>

Obs! Ta inte bort stoppbiten som har konfigurerats för ett COM-objekt. Detta kan leda till säkerhetsproblem. Det finns oftast starka skäl till att konfigurera en stoppbit och därför bör du vara mycket försiktig när du tar bort stoppbiten för en ActiveX-kontroll.

Du kan lägga till ett AlternateCLSID (även kallat "Phoenix-bit") när du ska koppla CLSID:t för en ny ActiveX-kontroll (och den ActiveX-kontrollen ändrats för att minska säkerhetshotet) till CLSID:t för den ActiveX-kontroll som Office COM-stoppbiten används för. Office stöder bara AlternateCLSID:t när COM-objekt för ActiveX-kontroller används.

Obs! Stoppbitlistan för Office har företräde framför stoppbitlistan för Internet Explorer. COM-stoppbiten för Office och Internet Explorers ActiveX-stoppbit kan exempelvis vara konfigurerade för samma ActiveX-kontroll. Men AlternateCLSID:t är bara angett i Internet Explorer-listan. En konflikt uppstår då mellan de båda inställningarna. I sådana fall har Office COM-stoppbitinställningen företräde, och kontrollen läsas inte in.

Ställa in Office COM-stoppbiten

Viktigt! Den här artikeln innehåller information om hur du redigerar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
322756 Säkerhetskopiera och återställa registret i Windows
På följande plats i registret ställer du in Office COM-stoppbiten:
HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}
I det här fallet är CLSID klassidentifieraren för COM-objektet. Du aktiverar Office COM-stoppbiten genom att lägga till registerundernyckeln tillsammans med CLSID:t för den ActiveX-kontroll eller det OLE-objekt som du vill blockera från att läsas in. Du måste också ställa in REG_DWORD-värdet för kompatibilitetsflaggan på 0x00000400.

Om du exempelvis ska ange Office COM-stoppbiten för ett objekt som har CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24}, letar du reda på följande undernyckel och lägger till REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} i undernyckeln:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility
Sökvägen är i detta fall:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}
När du lägger till en undernyckel som innehåller värdet 0x00000400 i {CLSID}-nyckeln, har Office COM-stoppbiten ställts in. 64- och 32-bitarsobjekt och deras stoppbitar finns på olika platser i registret.

Mer information finns i Vanliga frågor om stoppbitar på följande Microsoft-webbsida:

Åsidosätta Internet Explorer-stoppbitlistan för OLE-objekt

Med alternativet för att åsidosätta IE-stoppbitlistan kan du lista vilka OLE-objekt i Internet Explorer-stoppbitlistan som ska läsas in i Office. Använd bara alternativet om du vet att det är säkert att läsa in OLE-objektet i Office. Tänk på att när Office kontrollerar inställningen i alternativet kontrolleras även att Office COM-stoppbiten är aktiverad. Om Office COM-stoppbiten är aktiverad läsas inte OLE-objektet in.

För att aktivera alternativet för att åsidosätta IE-stoppbitlistan måste du kategorisera OLE-objektet på rätt sätt. I registret lägger du till en undernyckel, om den inte redan finns, med namnet Implemented Categories i COM-objektets CLSID. Lägg sedan till en undernyckel som innehåller CATID:t (kategori-ID) för OLE-objekt, {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, i nyckeln Implemented Categories.

Internet Explorer kan exempelvis vara konfigurerat för att stoppa ett OLE-objekt som du ändå vill använda i Office. I det fallet måste du först titta efter CLSID:t för OLE-objektet på följande plats i registret:
HKEY_CLASSES_ROOT\CLSID
Låt säga att CLSID:t för Microsoft Graph-diagrammet är {00020803-0000-0000-C000-000000000046}. Då måste du ta reda på om nyckeln, Implemented Categories, redan finns eller skapa den om den inte finns. Sökvägen är följande:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories
Lägg slutligen till en ny undernyckel för OLE-objektets CATID i nyckeln Implemented Categories. Sökvägen i det här exemplet är:
HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Obs! CATID:t (kategori-ID) för OLE-objekt är {F3E0281E-C257-444E-87E7-F3DC29B62BBD}, och hakparenteserna måste vara med ( { } ).

Inaktivera begränsande faktorer för ATL

När begränsande faktorer för ATL är aktiverade kan inte kontroller som använder OleLoadFromStreamsuch fungera, och kontrollinformationen går förlorad. Gemensamma VB6/Windows-kontroller påverkas exempelvis av det här problemet.

Varning! Den här tillfälliga lösningen kan göra datorn eller nätverket mer sårbart för angripare eller skadliga program som virus. Vi rekommenderar inte den här lösningen, men vi lämnar information så att du kan välja den om du så önskar. Använd detta alternativ på egen risk.

Vi rekommenderar inte att du inaktiverar de begränsande faktorerna för ATL såvida det inte är absolut nödvändigt eftersom de täcker ett brett fält. Om du inaktiverar dem kan du skapa säkerhetsluckor. Om du inaktiverar begränsande faktorer för ATL ändå, rekommenderar vi att du inte öppnar Microsoft Office-filer som du får från icke tillförlitliga källor eller som du får oväntat från tillförlitliga källor.

Om du vill inaktivera begränsande faktorer som hänvisar till säkerhetsproblem i ATL ställer du in NoOLELoadFromStreamChecks REG_DWORD till 00000001 i följande registerundernyckel:

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security

Obs! Om registerundernyckeln inte finns måste du skapa den som en REG_DWORD-typ.

Inaktivera skriptlet-kontroller för Office-program

När den här säkerhetsuppdateringen är installerad kan du inaktivera skriptlet för Office-program utan att Internet Explorer-funktionen ändras.

Du inaktiverar skriptlet för Office-program genom att ge REG_DWORD för kompatibilitetsflaggan värdet 00000400 i följande registerundernyckel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}

Här följer en lista över andra kontroller som du kan lägga till i Office-spärrlistan:
KontrollCLISD
Microsoft HTA Document 6.0{3050F5C8-98B5-11CF-BB82-00AA00BDCE0B}
htmlfile {25336920-03F9-11CF-8FD0-00AA00686F13}
htmlfile_FullWindowEmbed {25336921-03F9-11CF-8FD0-00AA00686F13}
mhtmlfile {3050F3D9-98B5-11CF-BB82-00AA00BDCE0B}
WebBrowser-kontroll {8856F961-340A-11D0-A96B-00C04FD705A2}
DHTMLEdit {2D360200-FFF5-11D1-8D03-00A0C959BC0A}
Egenskaper

Artikel-id: 2252664 – senaste granskning 24 aug. 2010 – revision: 1

Feedback