Làm thế nào để ngăn chặn điều khiển ActiveX từ chạy trong Internet Explorer

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 240797
Tóm tắt
Bài viết này mô tả làm thế nào để ngăn chặn điều khiển ActiveX từ chạy trong Microsoft Internet Explorer và Windows Internet Explorer. Bạn có thể làm điều này bằng cách sửa đổi dữ liệu giá trị của khả năng tương hợp về sau cờ DWORD giá trị cho các bộ nhận diện lớp (CLSID) của điều khiển ActiveX.

Lưu ý Dựa trên Microsoft Windows XP và Windows Server 2003 dựa trên máy tính, quản trị viên có thể sử dụng chính sách hạn chế phần mềm để ngăn chặn điều khiển ActiveX từ chạy trong mọi chương trình trên máy tính trong một hoạt động mục tin thư thoại tên miền môi trường. Để biết thêm chi tiết về chính sách hạn chế phần mềm, ghé thăm Web site sau của Microsoft:
Thông tin thêm
Quan trọng Phần, phương pháp, hoặc công việc có bước mà cho bạn biết làm thế nào để sửa đổi sổ kiểm nhập. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi registry không chính xác. Vì vậy, hãy chắc chắn rằng bạn làm theo các bước sau một cách cẩn thận. Để bảo vệ bổ sung, sao lưu sổ kiểm nhập trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ kiểm nhập nếu một vấn đề xảy ra. Để biết thêm chi tiết về làm thế nào để sao lưu và khôi phục sổ kiểm nhập, hãy nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
322756 Làm thế nào để sao lưu và khôi phục sổ kiểm nhập trong Windows


Cảnh báo Microsoft không khuyên bạn nên unkilling (hoàn tác hành động giết ngày) điều khiển ActiveX. Nếu bạn làm như vậy, bạn có thể tạo ra lỗ hổng bảo mật. Bit giết thường được thiết lập cho một lý do có thể là quan trọng, và bởi vì điều này, cực chăm sóc phải được sử dụng khi bạn unkill một điều khiển ActiveX. Ngoài ra, bởi vì thủ tục sau đây là kỹ thuật cao, không tiếp tục trừ khi bạn rất thoải mái với các thủ tục và bạn đó là một ý tưởng tốt để đọc toàn bộ thủ tục trước khi bạn Bắt đầu.

CLSID cho một điều khiển ActiveX là một GUID cho rằng kiểm soát. Bạn có thể ngăn chặn điều khiển ActiveX từ chạy trong Internet Explorer bởi thiết lập giết chút để cho sự kiểm soát không bao giờ được gọi là bởi Internet Explorer khi thiết đặt mặc định được sử dụng.

Bit giết là một giá trị cụ thể cho khả năng tương hợp về sau cờ DWORD giá trị cho điều khiển ActiveX trong sổ kiểm nhập. Điều này là khác nhau từ thu hồi "an toàn cho kịch bản" tùy chọn trong điều khiển ActiveX. Khi "an toàn cho kịch bản" tùy chọn bị thu hồi, Internet Explorer vẫn còn gọi cho điều khiển và sau đó sẽ nhắc bạn với một thông báo cảnh báo rằng điều khiển ActiveX có thể không an toàn. Tùy thuộc vào sự lựa chọn bạn thực hiện, bộ điều khiển có thể được chạy. Tuy nhiên, sau khi giết bit được thiết lập cho một điều khiển ActiveX, rằng điều khiển không được gọi bằng Internet Explorer ở tất cả trừ khi các khởi tạo và script các điều khiển ActiveX không được đánh dấu kiểm là an toàn tùy chọn được kích hoạt trong Internet Explorer. Để đặt các bit giết, làm theo các bước sau:
  1. Xác định CLSID cho điều khiển ActiveX mà bạn muốn vô hiệu hóa. Nếu bạn không chắc chắn của CLSID cho sự kiểm soát, liên hệ với các nhà sản xuất. Nếu điều khiển được cài đặt chuyên biệt, bạn có thể xác định của nó CLSID nếu bạn biết tên thân thiện của nó. Để thực hiện việc này, kiểm tra mặc định chuỗi giá trị cho phím ProgID cho mỗi phím CLSID trong
    HKEY_CLASSES_ROOT\CLSID
    . Bạn có thể phải loại bỏ điều khiển ActiveX càng nhiều càng tốt, ngoại trừ một mà bạn muốn để vô hiệu hóa, để làm cho nó dễ dàng hơn để xác định CLSID thích hợp. Để biết thêm chi tiết về làm thế nào để loại bỏ điều khiển ActiveX, bấm số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    154850Làm thế nào để loại bỏ điều khiển ActiveX trong Windows
  2. Sử dụng Registry Editor để xem giá trị dữ liệu khả năng tương hợp về sau cờ DWORD giá trị của các đối tượng ActiveX CLSID trong khoá kiểm nhập sau
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
    CLSID của điều khiển ActiveX
    nơi CLSID của điều khiển ActiveX là các bộ nhận diện lớp của thích hợp ActiveX kiểm soát.

    Lưu ý Thông thường, bạn sẽ phải tự tạo khóa kiểm nhập này.
  3. Thay đổi giá trị của giá trị tương hợp về sau cờ DWORD để 0x00000400.
Nếu killbit một được thiết lập cho một điều khiển ActiveX và một phiên bản mới của điều khiển ActiveX được phát hành với một CLSID khác nhau, bạn có thể cho phép các web site mà sử dụng CLSID cũ để tiếp tục làm việc như dự định. Bạn làm điều này bằng cách thêm giá trị mới ở mức độ tương tự như giá trị tương hợp về sau cờ trong sổ kiểm nhập. Giá trị này nên là một chuỗi REG_SZ được đặt tên "AlternateCLSID." Giá trị AlternateCLSID sẽ xuất hiện kín trong niềng răng. Ví dụ, nó sẽ giống như sau:
{ABCDEF12-ABCD-ABCD-ABCD-ABCDEF123456}
Ví dụ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\

{CLSID thiệt mạng điều khiển ActiveX}, Khả năng tương hợp về sau cờ, 0x0400

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\

{CLSID thiệt mạng điều khiển ActiveX}, AlternateCLSID, "{CLSID của điều khiển ActiveX thay thế}"
Internet Explorer sẽ giải thích giá trị này và tạo một thể hiện của điều khiển ActiveX được tham chiếu trong giá trị AlternateCLSID thay vì một trong đó đã nhận được một killbit.

Lưu ý Đối với giá trị AlternateCLSID là có hiệu quả, killbit phải được đặt trên CLSID ban đầu.
Nhà phát triển điều khiển ActiveX có thể sử dụng các TreatAs hoặc AlternateCLSID giá trị đãng ký với "giết chút" có Internet Explorer kiểm tra để xem nếu Cập Nhật điều khiển ActiveX đã được cung cấp để sử dụng thay vì một điều khiển ActiveX Khuyết tật. Để biết thông tin về làm thế nào để sử dụng giá trị TreatAs, ghé thăm Web site sau của Microsoft: Để thiết lập giá trị AlternateCLSID, hãy làm theo các bước sau:
  1. Sử dụng Registry Editor để xác định vị trí đối tượng ActiveX Khuyết tật CLSID trong khoá kiểm nhập sau:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\
    CLSID của điều khiển ActiveX
    Nơi CLSID của điều khiển ActiveX là các bộ nhận diện lớp của thích hợp ActiveX kiểm soát.

    Bạn có thể thấy giá trị của những lá cờ khả năng tương hợp về sau được thiết lập để DWORD 00000400.
  2. Thêm một AlternateCLSID chuỗi giá trị để CLSID phím.
  3. Thiết lập dữ liệu AlternateCLSID chuỗi giá trị để {CLSID của điều khiển ActiveX thay thế}, nơi {CLSID của điều khiển ActiveX} là các bộ nhận diện lớp của điều khiển ActiveX Cập Nhật.
Giá trị AlternateCLSID chỉ thị Internet Explorer để chuyển hướng đến CLSID cho điều khiển ActiveX Cập Nhật. Bạn có thể chuỗi chuyển hướng đến 10 cấp độ sâu.

AlternateCLSID giá trị được hỗ trợ trên các phiên bản sau của Internet Explorer.
  • Internet Explorer 5.01 Service Pack 2 hoặc mới hơn cho Windows năm 2000 với MS03-004 hoặc mới hơn
  • Internet Explorer 5.5 Service Pack 2 với MS02-068 hoặc sau này
  • Internet Explorer 6 gói bản ghi dịch vụ 1
  • Internet Explorer 6 cho Windows XP với MS02-068 hoặc sau này
  • Internet Explorer 6 cho Windows Server 2003
  • Windows Internet Explorer 7 cho Windows Server 2003 trên IA64
  • Windows Internet Explorer 7 cho Windows XP
  • Windows Internet Explorer 7.0 cho Windows Server 2003
  • Windows Internet Explorer 7,0 trong Windows Vista
Lưu ý Phiên bản của Internet Explorer mà không được liệt kê trong bài viết này là một trong hai trong giai đoạn mở rộng vòng đời sản phẩm hoặc không còn được hỗ trợ. Mặc dù bạn có thể thiết lập giết chút về các phiên bản của Windows và Internet Explorer, Microsoft khuyến cáo rằng bạn cũng nâng cấp lên một phiên bản được hỗ trợ của Internet Explorer và áp dụng tất cả các Cập Nhật phù hợp.Để biết thêm chi tiết về làm thế nào để xác định phiên bản của Internet Explorer, nhấp vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
969393Thông tin về Internet Explorer phiên bản
Để biết thêm chi tiết về các bit giết cho điều khiển ActiveX, xem bài viết Microsoft Security Vulnerability nghiên cứu & quốc phòng Blog sau đây:
Thông tin cho nhà cung cấp ứng dụng
Nhà cung cấp ứng dụng mà có vấn đề bảo mật với một điều khiển ActiveX mà họ riêng có thể yêu cầu rằng Microsoft phát hành một chút giết để ngăn chặn của điều khiển ActiveX từ chạy trong Internet Explorer. Yêu cầu được chấp thuận sẽ được xử lý trong một bản Cập Nhật Rollup trong tương lai cho ActiveX giết bit Security Advisory. Microsoft sẽ phát hành một chút giết chỉ cho điều khiển ActiveX được tìm thấy có một lỗ hổng, và chỉ khi đại lý owning phần mềm độc lập (ISV) đã sản xuất một phiên bản Cập Nhật của điều khiển ActiveX. ISV có điều khiển ActiveX dễ bị tổn thương có thể e-mail yêu cầu để msvr@microsoft.com cùng với câu trả lời cho các câu hỏi sau đây:
  • URL công cộng cho điều khiển ActiveX Cập Nhật là gì?
  • CLSID của điều khiển ActiveX được yêu cầu để nhận một chút giết trong Internet Explorer là gì?
  • điều khiển ActiveX Cập nhật này đã nhận được một CLSID mới mà đặt một chút giết để CLSID dễ bị tổn thương trong quá trình? Quá trình thực hiện việc này là tài liệu trong bài viết cơ sở kiến thức này.
  • điều khiển ActiveX được yêu cầu được đánh dấu kiểm như Két an toàn cho script hoặc Két an toàn cho khởi tạo?
  • Có các phiên bản cũ của điều khiển ActiveX được yêu cầu? Nếu câu trả lời là "có", CLSID của họ là gì?
  • Cơ chế chính cung cấp cho người tiêu dùng cho điều khiển ActiveX được yêu cầu là gì?
  • URL công cộng cho các tư vấn ISV tiết lộ các lỗ hổng là gì?

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 240797 - Xem lại Lần cuối: 01/09/2014 16:55:00 - Bản sửa đổi: 3.0

Microsoft Internet Explorer 5.5, Microsoft Internet Explorer 6.0, Windows Internet Explorer 7 for Windows XP, Windows Internet Explorer 7 for Windows Server 2003, Windows Internet Explorer 7 in Windows Vista, Windows Internet Explorer 8, Windows Internet Explorer 9

  • kbenv kbhowto kbmt KB240797 KbMtvi
Phản hồi