การตั้งค่าความปลอดภัยวัตถุ COM ใน Office

Office COM kill bit 

Office COM kill bit ถูกเริ่มใช้งานในการอัปเดตความปลอดภัย MS10-036 เพื่อป้องกันไม่ให้วัตถุ COM บางอย่างถูกเรียกใช้เมื่อฝังหรือลิงก์จากเอกสาร Office  

ฟังก์ชันการทํางานของ COM Kill Bit ได้รับการอัปเดตในKB3178703เพื่อบล็อกวัตถุ COM ไม่ให้ถูกเปิดใช้งานในกระบวนการโดย Office การอัปเดตนี้เป็นการ superset of the original behavior wherein, in addition to blocking COM objects embedded or linked in Office documents, this will block any instances of COM objects being loaded within the Office process through other means like Add-ins. 

วัตถุ COM เหล่านี้มีตัวควบคุม ActiveX และวัตถุ OLE คุณสามารถควบคุมวัตถุ COM ที่ถูกบล็อกเมื่อคุณใช้ Office ได้อย่างอิสระผ่านรีจิสทรี 

หมายเหตุ:เราไม่แนะนนะให้คุณลบ Kill Bit ที่ตั้งค่าไว้เป็นวัตถุ COM ออก ถ้าคุณแก้ไข คุณอาจสร้างช่องโหว่ด้านความปลอดภัย โดยทั่วไปแล้ว Kill Bit จะถูกตั้งขึ้นด้วยเหตุผลที่อาจวิกฤต ดังนั้น คุณต้องระมัดระวังอย่างมากเมื่อคุณยกเลิกการติดตั้งตัวควบคุม ActiveX  
 
คุณสามารถเพิ่ม AlternateCLSID (หรือที่เรียกว่า "บิตฟินิกซ์") เมื่อคุณต้องเชื่อมโยง CLSID ของตัวควบคุม ActiveX ใหม่ (และตัวควบคุม ActiveX นี้ถูกปรับเปลี่ยนเพื่อลดภัยคุกคามความปลอดภัย) กับ CLSID ของตัวควบคุม ActiveX ที่บิตการฆ่าของ Office COM ถูกใช้งาน Office สนับสนุน AlternateCLSID เฉพาะเมื่อมีการใช้วัตถุ ActiveX CONTROL COM เท่านั้น  
 
หมายเหตุ: รายการ Kill Bit ของ Office จะมาก่อนรายการ Kill Bit ของ Internet Explorer ตัวอย่างเช่น Office COM Kill Bit และ Internet Explorer ActiveX Kill Bit อาจถูกตั้งค่าไว้เป็นตัวควบคุม ActiveX เดียวกัน แต่ AlternateCLSID จะถูกตั้งค่าบนรายการเท่านั้นใน Internet Explorer ในสถานการณ์นี้ มีข้อขัดแย้งระหว่างการตั้งค่าทั้งสองนี้ ในกรณีดังกล่าว การตั้งค่า Office COM Kill Bit จะมาก่อน และไม่โหลดตัวควบคุม 

การตั้งค่า Office COM Kill Bit

สถานที่ในการตั้งค่า Office COM Kill Bit ในรีจิสทรีมีดังนี้:  

For Office 2013 and Office 2010:

• Office รุ่น 64 บิตบน Windows 64 บิต (หรือ Office แบบ 32 บิตบน Windows แบบ 32 บิต)

  HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}

Office รุ่น 32 บิตบน Windows แบบ 64 บิต:

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}

For Office 2016:

• Office รุ่น 64 บิตบน Windows แบบ 64 บิต (หรือ Office แบบ 32 บิตบน Windows แบบ 32 บิต):

  HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

• Office รุ่น 32 บิตบน Windows แบบ 64 บิต:

  HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}

ในกรณีนี้ CLSID คือตัวระบุคลาสของวัตถุ COM  

เมื่อต้องการเปิดใช้งาน Office COM Kill Bit ให้ปฏิบัติตามขั้นตอนเหล่านี้:

1. เพิ่มซับคีย์รีจิสทรีพร้อมกับ CLSID ของตัวควบคุม ActiveX หรือวัตถุ OLE ที่คุณต้องการบล็อกไม่ให้โหลด

2. เพิ่มคีย์REG_DWORDย่อยนี้ที่เรียกว่า ค่าสถานะความเข้ากันได้ และตั้งค่าเป็น0x00000400

ตัวอย่างเช่น เมื่อต้องการตั้งค่า Office COM Kill Bit ให้กับวัตถุที่มี CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} บน Office 2016 ให้ปฏิบัติตามขั้นตอนต่อไปนี้: 

1. ค้นหาซับคีย์รีจิสทรีต่อไปนี้:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

2. เพิ่มซับคีย์ด้วยค่า {77061A9C-2F18-4f38-B294-F6BCC8443D24} ในกรณีนี้ เส้นทางผลลัพธ์จะเป็นดังนี้:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

3. เพิ่มREG_DWORDย่อยนี้ที่มีชื่อว่าค่าสถานะความเข้ากันได้ และตั้งค่าของค่าสถานะ 0x00000400ค่า

ขณะนี้ Office COM Kill Bit ได้รับการตั้งค่าให้บล็อกวัตถุนี้จากการเปิดใช้งานภายใน Office 

วิธีบล็อก COM ในสถานการณ์การลิงก์และการฝังเท่านั้น 

ตามที่กล่าวถึง ฟังก์ชันการใช้ฟังก์ชัน COM kill bit ได้รับการอัปเดตเพื่อบล็อกการเปิดใช้งานทั้งหมดของวัตถุ COM ที่ระบุจากภายใน Office  

เมื่อต้องการบล็อกเฉพาะวัตถุ COM ที่ฝังหรือลิงก์จากภายในเอกสาร Office ให้ปฏิบัติตามขั้นตอนเหล่านี้:  

1. เพิ่ม CLSID ไปยัง COM kill bit ตามคําแนะนําภายใต้ "การตั้งค่า Office Kill Bit" (ถ้ายังไม่ได้อยู่ในรายการ)

2. ภายใต้ซับคีย์ของ CLSID ที่ถูกบล็อก ให้เพิ่มREG_DWORDชื่อActivationFilterOverrideและตั้งค่าเป็น0x00000001

ตัวอย่างเช่น เมื่อต้องการกําหนดค่า COM Kill Bit เพื่อบล็อกเฉพาะในสถานการณ์การลิงก์และการฝังวัตถุที่มี CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} บน Office 2016 ให้ปฏิบัติตามขั้นตอนต่อไปนี้:

1. ค้นหาซับคีย์รีจิสทรีต่อไปนี้:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

2. เพิ่มซับคีย์ที่มีค่า {77061A9C-2F18-4f38-B294-F6BCC8443D24} ในกรณีนี้ เส้นทางผลลัพธ์จะเป็นดังนี้:
   
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

3. เพิ่มREG_DWORDให้กับซับคีย์นี้ที่ชื่อว่าค่าสถานะความเข้ากันได้ และตั้งค่าเป็น0x00000400 

4. เพิ่มชื่อREG_DWORDย่อยนี้ที่เรียกว่าActivationFilterOverrideและตั้งค่าเป็น0x00000001 

ขณะนี้ Office COM Kill Bit ถูกตั้งค่าให้บล็อกวัตถุ COM นี้เฉพาะเมื่อถูกลิงก์หรือฝังในเอกสาร Office เท่านั้น