Увага!: У цій статті наведено відомості про те, як керувати настройками безпеки для Office. Ви можете вносити зміни до цих параметрів безпеки, щоб збільшити або зменшити рівень безпеки. Перш ніж вносити ці зміни, радимо оцінити ризики, пов'язані з будь-якими змінами, які ви вносите до настроювання цього параметра.
ОСНОВНІ ВІДОМОСТІ
У цій статті описано параметри, доступні для користувачів і ІТ-адміністраторів, щоб контролювати, чи і як завантажувати об'єкти COM, використовуючи список біт Microsoft Office Kill.
Щоб отримати докладніші відомості про проблему з розрядністю Windows Internet Explorer на основі цієї функції, зокрема про те, як настроїти елементи керування ActiveX, які дають змогу завантажувати оновлення даних, Дізнайтеся, як зупинити керування ActiveX у браузері Internet Explorer.
Ці вказівки стосуються Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher і Microsoft Visio.
"Office COM Kill bit"
В оновленні MS10-036 для певних об'єктів COM, які не виконуються під час вбудовування або зв'язування з документів Office, запроваджено пакет "Kill COM".
Функціональні можливості COM Kill оновлено в KB3178703 , щоб повністю заблокувати com-об'єкти, які можна активувати в процесі роботи в Office. Це оновлення – це надмножина оригінальної поведінки, крім блокування об'єктів COM, вбудованих або зв'язаних у документах Office, це блокує будь-які екземпляри COM-об'єктів, які завантажуються в процесі Office за допомогою інших засобів, наприклад надбудов.
Ці об'єкти COM містять елементи керування ActiveX і об'єкти OLE. За допомогою реєстру можна самостійно керувати тим, які об'єкти COM блокуються під час використання Office.
НотаткиМи не радимо видалити біт анулювання, встановлений для об'єкта COM. Якщо ви це зробите, ви можете створити вразливість системи безпеки. Цей біт зазвичай настроєно на причину причини, яка може бути критичною. Тому, якщо ви не вбиваєте елемент керування ActiveX, потрібно бути дуже обережним.
Ви можете додати параметр Alicnateclsid (також відомий як "" Phoenix bit "), якщо потрібно пов'язати ідентифікатор класу для нового елемента керування ActiveX (і цей елемент керування ActiveX було змінено для зменшення загрози системи безпеки), до CLSID елемента керування ActiveX, до якого застосовано біт Office COM. Служба Office підтримує засіб Alicnateclsid, лише якщо використовуються об'єкти COM для керування ActiveX.
Примітка. Список "вбити біт" для Office має перевагу над списком "вбити біт" для браузера Internet Explorer. Наприклад, для одного елемента керування ActiveX може бути встановлено біт Office COM, а також програма Internet Explorer для елемента керування ActiveX. Але функція Alnenateclsid встановлюється лише в списку для браузера Internet Explorer. У цьому сценарії виникає конфлікт між двома параметрами. У таких випадках настройки параметрів Office COM для біта мають пріоритет, а елемент керування не завантажується.
Установлення розрядної версії Office COM
Увага!:
-
У цьому розділі, способі або завданні описано процедуру змінення реєстру. Неправильне змінення реєстру може призвести до серйозних проблем. Тому будьте уважні, виконуючи ці кроки. Для додаткового захисту, перш ніж вносити зміни, обов’язково створіть резервну копію реєстру. Якщо виникне проблема, реєстр можна буде відновити. Для отримання додаткових відомостей про створення резервної копії та відновлення реєстру клацніть цей номер статті, щоб переглянути її в базі знань Microsoft:
-
322756Створення резервної копії та відновлення реєстру у Windows
Розташування для налаштування біта Office COM в реєстрі має такий вигляд:
Для Office 2013 і Office 2010:
-
Для 64-розрядної версії Office у 64-розрядній ОС Windows (або 32-розрядній системі Office у 32-розрядній версії Windows).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Для 32-розрядної версії Office на 64-розрядних вікнах:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Для Office 2016:
-
Для 64-розрядної версії Office у 64-розрядній ОС Windows (або 32-розрядній версії Office у 32-розрядних вікнах):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
Для 32-розрядної версії Office на 64-розрядних вікнах:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
У цьому випадку CLSID – це ідентифікатор класу для об'єкта COM.
Щоб увімкнути біт Office, виконайте наведені нижче дії.
-
Додайте підрозділ реєстру разом із CLSID для елемента керування ActiveX або об'єкта OLE, який потрібно заблокувати для завантаження.
-
Додавання REG_DWORD до цього підрозділу під назвою " позначки сумісності " та встановлення його значення на 0x00000400.
Наприклад, щоб установити для об'єкта пакет Office, який має CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} в Office 2016, виконайте наведені нижче дії.
-
Знайдіть наведений нижче підрозділ реєстру:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Додайте підрозділ зі значенням {77061A9C-2F18-4f38-B294-F6BCC8443D24}. У цьому випадку отриманий шлях має такий вигляд:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Додайте REG_DWORD до цього підрозділу, на якому призначено позначки сумісності, і встановіть його значення на 0x00000400.
У програмі Office COM bit тепер настроєно блокування цього об'єкта.
Лише блокувати COM-сценарії для зв'язування та вбудовування
Як уже згадувалося, функціональні можливості COM Kill оновлено, щоб блокувати всі активації вказаних об'єктів COM у програмі Office.
Щоб заблокувати об'єкти COM, вбудовані або зв'язані з ними в документах Office, виконайте наведені нижче дії.
-
Додайте CLSID до біта Kill, що відповідно до інструкцій у розділі "установлення біта Office Kill" (якщо його немає в списку)
-
У розділі, що відповідно до розділу для ідентифікатора CLSID, додайте REG_DWORD значення, яке називається ActivationFilterOverride, і встановіть його значення на 0x00000001.
Наприклад, щоб настроїти біт "для біта", щоб блокувати лише сценарії зв'язування та вбудовування для об'єкта, який має CLSID {77061A9c-2f18-48-b294-f6bcc8443d24} в Office 2016, виконайте наведені нижче дії.
-
Знайдіть наведений нижче підрозділ реєстру:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Додайте підрозділ, який має значення {77061A9c-2f18-48-b294-f6bcc84943d24}. У цьому випадку отриманий шлях має такий вигляд:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Додайте REG_DWORD значення до цього підрозділу, на якому призначено позначки сумісності, і встановіть його значення на 0x00000400.
-
Додайте REG_DWORD до цього підрозділу, який називається ActivationFilterOverride, і встановіть його значення на 0x00000001.
У програмі Office COM bit тепер настроєно блокування цього об'єкта, лише якщо його зв'язано або вбудовано в документах Office.
Елементи керування, заблоковані від активації за замовчуванням
Керування |
CLSID |
Scriscripкличка |
06290BD3-48AA-11D2-8432-006008C3FBFC |
So"активатор" |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
«So"Кличка» |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
Додавання програми |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
Контекстний контекст |
06290BD0-48AA-11D2-8432-006008C3FBFC |
Конструктор |
06290BD1-48AA-11D2-8432-006008C3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008C3FBFC |
ScripletHostEncode |
06290BD4-48AA-11D2-8432-006008C3FBFC |
"Scripettylib" |
06290BD5-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008C3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008C3FBFC |
XMLFeed |
528D46B3-3A4B4-B13-BF74D9CBD7306E07 |
Scriscripнехай |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Файл mhtmlfile |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Microsoft HTA Document 6,0 |
3050F5C8-98B5-11CF-BB82-00AA00BDCE0B |
Дата _ доставки. Dhtmмта. 1 |
2D360200-FFF5-11D1-8D03-00A0C959BC0A |
DHTMLSafe. DHTMLSafe. 1 |
2D360201-FFF5-11D1-8D03-00A0C959BC0A |
Мова сценаріїв в VB |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
Мова сценаріїв у програмі VB Script |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Кодування мови з VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Кодування хоста в VBScript |
85131631-480B-12D2-B1F2900C 04F86C 324 |
Shockwave Flash Object |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Об'єкт Macromedia Flash Factory |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Microsoft Silverlight |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Програвач Adobe Shockwave |
233C1507-6A77-46A4-9443-F871F945D258 |
Елемент керування "Python" |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Елементи керування, які заблоковано в разі вбудовування за замовчуванням
Керування |
CLSID |
Оболонка. провідник. 2 |
8856F961-340A-11D0-A96B-00C04FD705A2 |
Файл htmlfile |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Документ Microsoft HTML для спливаючого вікна |
3050F67D-98B5-11CF-BB82-00AA00BDCE0B |
Примітка. Цей список являє собою знімок елемента керування, який заблоковано, і підлягає зміні