Параметри безпеки для Office COM об'єктів

Застосовується до: Office 365 ProPlusMicrosoft Office 2013 Service Pack 1Microsoft Office 2010 Service Pack 2

Увага!Ця стаття містить відомості вам контроль параметри безпеки для Office. Зроблені зміни ці параметри безпеки, щоб збільшити або зменшити вашої безпеки поза. Перш ніж виконувати зазначені дії, рекомендовано оцінити ризики, пов'язані з будь-які зміни для настроювання цього параметра.  

ОСНОВНІ ВІДОМОСТІ


У цій статті описано параметри для кінцевих користувачів і його, адміністратори можуть керувати, якщо і COM об'єктів, як завантажити список біт анулювання Microsoft Office.

Щоб отримати додаткові відомості про веб-браузер Windows Internet Explorer біт анулювання, поведінка на основі цієї функції та маються на те, як встановити AlternateCLSIDs, які дозволяють оновлений ActiveX елементів керування для завантаження, перегляньте , як зупинити елемент керування ActiveX у браузері Internet Explorer.  Цей посібник, застосовується до Microsoft Word, Microsoft Excel, Microsoft PowerPoint Microsoft Publisher і Microsoft Visio.  

COM-анулювання-розрядна офіс

Біт анулювання Office COM міститься в поновленні безпеки MS10 036, щоб запобігти певні об'єкти в COM працює під час вбудовані або зв'язані документи Office.

COM-анулювання бітної функціональність було оновлено в KB3178703 повністю блокувати об'єкти COM не активовано, у процесі системи Office. Це оновлення є в розширений набір знову, якому, крім блокування об'єкти COM, вбудовані або зв'язані в документах Office, це буде блокувати копій COM об'єктів, що завантажується у процесі Office іншими засобами, як надбудови. 

Конкретні COM об'єктів передбачає, що кількість об'єктів OLE, елементів керування ActiveX і. До реєстру можна самостійно керувати, які COM-об'єкти заблоковано під час використання Office.

Примітка. Не рекомендовано видалити біт анулювання, яку настроєно на COM-об'єкт. Якщо у цьому випадку можна створити потенційних загроз. Тому, що може бути критично зазвичай встановлено біт анулювання, а у зв'язку з цим надзвичайно допомоги має використовуватися, коли ви unkill елемента керування ActiveX.   Можна додати до керування (також відомий як "Фенікс трохи") коли потрібно зв'язати CLSID нового елемента керування ActiveX (і змінення цього елемента керування ActiveX для зменшення загрози безпеці), щоб CLSID, до якого було застосовано Office COM біт анулювання елемента керування ActiveX. Відділ підтримує в AlternateCLSID, лише тоді, коли елементи керування ActiveX керування COM-об'єктів, які використовуються.   Примітка. Список біт анулювання для Office має пріоритет над списку біт анулювання, для Internet Explorer. Наприклад, Office COM-біт анулювання а також біт анулювання в ActiveX для Internet Explorer може встановити однакові елемента керування ActiveX. Але до керування лише встановлений у списку, для Internet Explorer. У цьому випадку існує конфлікт між двох параметрів. У таких випадках настройки Office COM біт анулювання, вищий пріоритет і елемент керування не завантажується. 

Установивши біт анулювання для COM "Office"

Увага!У цьому розділі, способі або завданні описано процедуру змінення реєстру. Неправильне змінення реєстру може призвести до серйозних проблем. Тому будьте уважні, виконуючи ці кроки. Для додаткового захисту, перш ніж вносити зміни, обов’язково створіть резервну копію реєстру. Якщо виникне проблема, реєстр можна буде відновити. Для отримання додаткових відомостей про створення резервної копії та відновлення реєстру клацніть цей номер статті, щоб переглянути її в базі знань Microsoft:  

322756 Створення резервної копії та відновлення реєстру у Windows

Розташування для установки Office COM-анулювання біт в реєстрі є наступним:

Для пакета Office 2013 та Office 2010.

  1. Для 64-розрядної версії системи Office у 64-розрядної версії Windows (або 32-розрядний системи Office у 32-розрядному випуску ОС Windows).

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM-Compatibility\ {CLSID}

  2. 32-розрядна версія системи Office у 64-розрядної версії Windows.

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM-Compatibility\ {CLSID}

Для офісу 2016:

  1. Для 64-розрядної версії системи Office у 64-розрядної версії Windows (або 32-розрядний системи Office у 32-розрядному випуску ОС Windows). HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM-Compatibility\ {CLSID}
  2. 32-розрядна версія системи Office у 64-розрядної версії Windows. HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM-Compatibility\ {CLSID}

У цьому випадку CLSID – це ідентифікатор класу COM-об'єкта.

Щоб увімкнути Office COM біт анулювання, виконайте такі дії

  1. Додати підрозділ реєстру, разом із CLSID елемента керування ActiveX або об'єкт OLE, який потрібно заблокувати завантаження.

  1. Додати до REG_DWORD цей підрозділ, який називається Compatibility Flags і встановити для нього значення 0x00000400.  

Наприклад, щоб встановити Office COM-анулювання біт для об'єктів, які CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} на Office 2016;

  1. Знайдіть такий розділ реєстру: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM сумісності

  1. Додати підрозділ реєстру на значення {77061A9C-2F18-4f38-B294-F6BCC8443D24}. У цьому випадку шляху в результаті буде таким: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM-Compatibility\ {77061A9C-2F18-4f38-B294-F6BCC8443D24}

  2. Додати до REG_DWORD цей підрозділ, який називається Compatibility Flags і встановити для нього значення 0x00000400

Блокування цього об'єкта з активовано в Office зараз встановлено біт анулювання Office COM.

Як тільки у зв'язування та впровадження сценарії блок

Як зазначалося вище, функції біт анулювання COM оновлено для блокування всіх активації вказаний COM об'єктів в Office.

Для лише блокування, COM об'єктів, які вбудовані або посилання в документах Office, виконайте такі дії:

  1. Додати CLSID біт анулювання COM / інструкцій у розділі ",налаштування біт анулювання Office" (якщо його немає у списку) 

  1. Підрозділі за ідентифікатором CLSID, який блокується додайте REG_DWORD, називається ActivationFilterOverride і встановити для нього значення 0x00000001

Наприклад, налаштування COM біт анулювання лише блокування у зв'язування та впровадження сценарії для об'єктів, що має CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} на Office 2016,

  1. Знайдіть такий розділ реєстру: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM сумісності

  2. Додати підрозділ реєстру на значення {77061A9C-2F18-4f38-B294-F6BCC8443D24}. У цьому випадку шляху в результаті буде таким: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM-Compatibility\ {77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Додати до REG_DWORD цей підрозділ, який називається Compatibility Flags і встановити для нього значення 0x00000400

  4. Додати до REG_DWORD цей підрозділ, який називається ActivationFilterOverride і встановити для нього значення 0x00000001

Зараз Office COM біт анулювання встановлюється блокує COM-об'єкт, лише тоді, коли це пов'язано або вбудовано в документах Office.

Елементи керування, які блокуються після активації, за промовчанням


Елемент керування

CLSID

ScriptMoniker

06290BD3-48AA-11D2-8432-006008C3FBFC

SoapActivator

ECABAFD0-7F19-11D2-978E-0000F8757E2A

SoapMoniker

ECABB0C7-7F19-11D2-978E-0000F8757E2A

PartitionMoniker

ECABB0C5-7F19-11D2-978E-0000F8757E2A

QueueMoniker

ECABAFC7-7F19-11D2-978E-0000F8757E2A

HTMLApplication

3050F4D8-98B5-11CF-BB82-00AA00BDCE0B

ScripletContext

06290BD0-48AA-11D2-8432-006008C3FBFC

ScripletConstructor

06290BD1-48AA-11D2-8432-006008C3FBFC

ScripletFactory

06290BD2-48AA-11D2-8432-006008C3FBFC

ScripletHostEncode

06290BD4-48AA-11D2-8432-006008C3FBFC

ScripletTypeLib

06290BD5-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Automation

06290BD8-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Event

06290BD9-48AA-11D2-8432-006008C3FBFC

ScripletHandler_ASP

06290BDA-48AA-11D2-8432-006008C3FBFC

ScripletHandler_Behavior

06290BDB-48AA-11D2-8432-006008C3FBFC

XMLFeed

528D46B3-3A4B-4B13-BF74-D9CBD7306E07

Scriptlet

AE24FDAE-03C6-11D1-8B76-0080C744F389

HtmlFile_FullWindowEmbed

25336921-03F9-11CF-8FD0-00AA00686F13

Mhtmlfile

3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Корпорація Майкрософт HTA документа, 6.0

3050F5C8-98B5-11CF-BB82-00AA00BDCE0B

DHTMLEdit.DHTMLEdit.1

2D360200-FFF5-11D1-8D03-00A0C959BC0A

DHTMLSafe.DHTMLSafe.1

2D360201-FFF5-11D1-8D03-00A0C959BC0A

VB сценаріїв мови

B54F3741-5B07-11cf-A4B0-00AA004A55E8

VB Script, мови, створення

B54F3742-5B07-11cf-A4B0-00AA004A55E8

Мова VBScript, кодування

B54F3743-5B07-11cf-A4B0-00AA004A55E8

Хост-VBScript кодування.

85131631-480C-11D2-B1F9-00C04F86C324

Shockwave Flash Object.

D27CDB6E-AE6D-11cf-96B8-444553540000

Macromedia Flash-Factory об'єкт

D27CDB70-AE6D-11cf-96B8-444553540000

Microsoft Silverlight

DFEAF541-F3E1-4c24-ACAC-99C30715084A

Adobe Shockwave гравця

233C1507-6A77-46A4-9443-F871F945D258

Елементи керування, блокування вкладення за промовчанням


Елемент керування

CLSID

Shell.Explorer.2

8856F961-340A-11D0-A96B-00C04FD705A2

Htmlfile

25336920-03F9-11CF-8FD0-00AA00686F13

Корпорація Майкрософт HTML-документ спливне вікно

3050F67D-98B5-11CF-BB82-00AA00BDCE0B

 

Зверніть увагу: цей список, – це знімок елементи керування, які блокуються та можуть змінюватися