ข้อควรระวัง: บทความนี้มีข้อมูลที่แสดงวิธีการควบคุมการตั้งค่าความปลอดภัย Office คุณสามารถเปลี่ยนแปลงการตั้งค่าความปลอดภัยเหล่านี้เพื่อเพิ่มหรือลดท่าทางด้านความปลอดภัยของคุณ ก่อนที่คุณจะเปลี่ยนแปลงเหล่านี้ เราขอแนะนนะให้คุณประเมินความเสี่ยงที่เกี่ยวข้องกับการเปลี่ยนแปลงที่คุณเปลี่ยนแปลงเพื่อกําหนดค่าการตั้งค่านี้
ข้อความนำ
บทความนี้จะอธิบายการตั้งค่าที่พร้อมใช้งานของผู้ใช้และผู้ดูแลระบบ IT เพื่อควบคุมว่าวัตถุ COM โหลดอย่างไรโดยการมีรายการ Microsoft Office Kill Bit
For more information about the Windows Internet Explorer kill bit behavior that this feature is based, including how to set AlternateCLSIDs that allow updated ActiveX controls to load, see how to stop an ActiveX control from running in Internet Explorer.
แนวทางนี้นําไปใช้กับ Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher และ Microsoft Visio
Office COM kill bit
Office COM kill bit ถูกเริ่มใช้งานในการอัปเดตความปลอดภัย MS10-036 เพื่อป้องกันไม่ให้วัตถุ COM บางอย่างถูกเรียกใช้เมื่อฝังหรือลิงก์จากเอกสาร Office
ฟังก์ชันการทํางานของ COM Kill Bit ได้รับการอัปเดตในKB3178703เพื่อบล็อกวัตถุ COM ไม่ให้ถูกเปิดใช้งานในกระบวนการโดย Office การอัปเดตนี้เป็นการ superset of the original behavior wherein, in addition to blocking COM objects embedded or linked in Office documents, this will block any instances of COM objects being loaded within the Office process through other means like Add-ins.
วัตถุ COM เหล่านี้มีตัวควบคุม ActiveX และวัตถุ OLE คุณสามารถควบคุมวัตถุ COM ที่ถูกบล็อกเมื่อคุณใช้ Office ได้อย่างอิสระผ่านรีจิสทรี
หมายเหตุ:เราไม่แนะนนะให้คุณลบ Kill Bit ที่ตั้งค่าไว้เป็นวัตถุ COM ออก ถ้าคุณแก้ไข คุณอาจสร้างช่องโหว่ด้านความปลอดภัย โดยทั่วไปแล้ว Kill Bit จะถูกตั้งขึ้นด้วยเหตุผลที่อาจวิกฤต ดังนั้น คุณต้องระมัดระวังอย่างมากเมื่อคุณยกเลิกการติดตั้งตัวควบคุม ActiveX
คุณสามารถเพิ่ม AlternateCLSID (หรือที่เรียกว่า "บิตฟินิกซ์") เมื่อคุณต้องเชื่อมโยง CLSID ของตัวควบคุม ActiveX ใหม่ (และตัวควบคุม ActiveX นี้ถูกปรับเปลี่ยนเพื่อลดภัยคุกคามความปลอดภัย) กับ CLSID ของตัวควบคุม ActiveX ที่บิตการฆ่าของ Office COM ถูกใช้งาน Office สนับสนุน AlternateCLSID เฉพาะเมื่อมีการใช้วัตถุ ActiveX CONTROL COM เท่านั้น
หมายเหตุ: รายการ Kill Bit ของ Office จะมาก่อนรายการ Kill Bit ของ Internet Explorer ตัวอย่างเช่น Office COM Kill Bit และ Internet Explorer ActiveX Kill Bit อาจถูกตั้งค่าไว้เป็นตัวควบคุม ActiveX เดียวกัน แต่ AlternateCLSID จะถูกตั้งค่าบนรายการเท่านั้นใน Internet Explorer ในสถานการณ์นี้ มีข้อขัดแย้งระหว่างการตั้งค่าทั้งสองนี้ ในกรณีดังกล่าว การตั้งค่า Office COM Kill Bit จะมาก่อน และไม่โหลดตัวควบคุม
การตั้งค่า Office COM Kill Bit
สิ่งสำคัญ:
-
ส่วน วิธีการ หรืองานนี้มีขั้นตอนที่บอกวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นถ้าคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้น ตรวจสอบให้แน่ใจว่าคุณได้ปฏิบัติตามขั้นตอนเหล่านี้อย่างระมัดระวัง เมื่อต้องการป้องกันเพิ่มเติม ให้ย้อนกลับรีจิสทรีก่อนที่คุณจะปรับเปลี่ยน จากนั้นคุณสามารถคืนค่ารีจิสทรีถ้ามีปัญหาเกิดขึ้น For more information about how to back up and restore the registry, click the following article number to view the article in the Microsoft Knowledge Base:
-
322756วิธีการย้อนกลับและคืนค่ารีจิสทรีใน Windows
สถานที่ในการตั้งค่า Office COM Kill Bit ในรีจิสทรีมีดังนี้:
For Office 2013 and Office 2010:
-
Office รุ่น 64 บิตบน Windows 64 บิต (หรือ Office แบบ 32 บิตบน Windows แบบ 32 บิต)
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\{CLSID}
Office รุ่น 32 บิตบน Windows แบบ 64 บิต:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\{CLSID}
For Office 2016:
-
Office รุ่น 64 บิตบน Windows แบบ 64 บิต (หรือ Office แบบ 32 บิตบน Windows แบบ 32 บิต):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
-
Office รุ่น 32 บิตบน Windows แบบ 64 บิต:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\{CLSID}
ในกรณีนี้ CLSID คือตัวระบุคลาสของวัตถุ COM
เมื่อต้องการเปิดใช้งาน Office COM Kill Bit ให้ปฏิบัติตามขั้นตอนเหล่านี้:
-
เพิ่มซับคีย์รีจิสทรีพร้อมกับ CLSID ของตัวควบคุม ActiveX หรือวัตถุ OLE ที่คุณต้องการบล็อกไม่ให้โหลด
-
เพิ่มคีย์REG_DWORDย่อยนี้ที่เรียกว่า ค่าสถานะความเข้ากันได้ และตั้งค่าเป็น0x00000400
ตัวอย่างเช่น เมื่อต้องการตั้งค่า Office COM Kill Bit ให้กับวัตถุที่มี CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} บน Office 2016 ให้ปฏิบัติตามขั้นตอนต่อไปนี้:
-
ค้นหาซับคีย์รีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
เพิ่มซับคีย์ด้วยค่า {77061A9C-2F18-4f38-B294-F6BCC8443D24} ในกรณีนี้ เส้นทางผลลัพธ์จะเป็นดังนี้:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
เพิ่มREG_DWORDย่อยนี้ที่มีชื่อว่าค่าสถานะความเข้ากันได้ และตั้งค่าของค่าสถานะ 0x00000400ค่า
ขณะนี้ Office COM Kill Bit ได้รับการตั้งค่าให้บล็อกวัตถุนี้จากการเปิดใช้งานภายใน Office
วิธีบล็อก COM ในสถานการณ์การลิงก์และการฝังเท่านั้น
ตามที่กล่าวถึง ฟังก์ชันการใช้ฟังก์ชัน COM kill bit ได้รับการอัปเดตเพื่อบล็อกการเปิดใช้งานทั้งหมดของวัตถุ COM ที่ระบุจากภายใน Office
เมื่อต้องการบล็อกเฉพาะวัตถุ COM ที่ฝังหรือลิงก์จากภายในเอกสาร Office ให้ปฏิบัติตามขั้นตอนเหล่านี้:
-
เพิ่ม CLSID ไปยัง COM kill bit ตามคําแนะนําภายใต้ "การตั้งค่า Office Kill Bit" (ถ้ายังไม่ได้อยู่ในรายการ)
-
ภายใต้ซับคีย์ของ CLSID ที่ถูกบล็อก ให้เพิ่มREG_DWORDชื่อActivationFilterOverrideและตั้งค่าเป็น0x00000001
ตัวอย่างเช่น เมื่อต้องการกําหนดค่า COM Kill Bit เพื่อบล็อกเฉพาะในสถานการณ์การลิงก์และการฝังวัตถุที่มี CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} บน Office 2016 ให้ปฏิบัติตามขั้นตอนต่อไปนี้:
-
ค้นหาซับคีย์รีจิสทรีต่อไปนี้:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
เพิ่มซับคีย์ที่มีค่า {77061A9C-2F18-4f38-B294-F6BCC8443D24} ในกรณีนี้ เส้นทางผลลัพธ์จะเป็นดังนี้:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
เพิ่มREG_DWORDให้กับซับคีย์นี้ที่ชื่อว่าค่าสถานะความเข้ากันได้ และตั้งค่าเป็น0x00000400
-
เพิ่มชื่อREG_DWORDย่อยนี้ที่เรียกว่าActivationFilterOverrideและตั้งค่าเป็น0x00000001
ขณะนี้ Office COM Kill Bit ถูกตั้งค่าให้บล็อกวัตถุ COM นี้เฉพาะเมื่อถูกลิงก์หรือฝังในเอกสาร Office เท่านั้น
ตัวควบคุมที่ถูกบล็อกจากการเปิดใช้งานตามค่าเริ่มต้น
ตัวควบคุม |
CLSID |
ScriptMoniker |
06290BD3-48AA-11D2-8432-006008C3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978S-0000F8757A |
SoapMoniker |
ECABB0C7-7F19-11D2-978 E-0000F8757 E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978 E-0000F8757 E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978S-0000F8757A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008C3FBFC |
ScripletConstructor |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B-4B13-BF74-D9CBD7306A07 |
Scriptlet |
A124FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA Document 6.0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
DHTMLEdit.DHTMLEdit.1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe.DHTMLSafe.1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
ภาษาสคริปต์ VB |
B54F3741-5B07-11cf-A4B0-00AA004A55A8 |
การเขียนภาษาสคริปต์ VB |
B54F3742-5B07-11cf-A4B0-00AA004A55A8 |
การเข้ารหัสภาษา VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55A8 |
VBScript Host Encode |
85131631-480C-11D2-B1F9-00C04F86C324 |
Shockwave Flash Object |
D27CDB61-AS6D-11cf-96B8-444553540000 |
Macromedia Flash Factory Object |
D27CDB70-AS6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3A1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233C1507-6A77-46A4-9443-F871F945D258 |
การควบคุม Python |
DF630910-1C1D-11D0-A136-8C0F5S000000 |
ตัวควบคุมที่ถูกบล็อกจากการฝังตามค่าเริ่มต้น
ตัวควบคุม |
CLSID |
Shell.Explorer.2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
เอกสาร MICROSOFT HTML ของหน้าต่างแบบป็อปอัพ |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
หมายเหตุ: รายการนี้คือสแนปช็อตของตัวควบคุมที่ถูกบล็อก และอาจมีการเปลี่ยนแปลง