Thận trọng: Bài viết này chứa thông tin cho bạn biết cách điều khiển thiết đặt bảo mật cho Office. Bạn có thể thực hiện thay đổi các thiết đặt bảo mật này để tăng hoặc giảm tư thế bảo mật của bạn. Trước khi bạn thực hiện những thay đổi này, chúng tôi khuyên bạn nên đánh giá những rủi ro liên kết với bất kỳ thay đổi nào bạn đã thực hiện để cấu hình thiết đặt này. 

GIỚI THIỆU

Bài viết này mô tả các cài đặt sẵn dùng cho người dùng và người quản trị CNTT để kiểm soát việc liệu và làm thế nào để tải các đối tượng COM bằng cách có một danh sách Microsoft Office Kill bit.  

Để biết thêm thông tin về hành vi của Windows Internet Explorer sẽ giết bit mà tính năng này dựa trên, bao gồm cách đặt Teclsids Alternacho phép cập nhật các điều khiển ActiveX để tải, hãy xem cách dừng điều khiển ActiveX khỏi chạy trong Internet Explorer
 
Hướng dẫn này áp dụng cho Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher và Microsoft Visio.  

Bit của Office COM Kill 

Tài khoản Office COM Kill bit được giới thiệu trong bản Cập Nhật bảo mật MS10-036 để ngăn các đối tượng COM cụ thể chạy khi nhúng hoặc nối kết từ các tài liệu Office.  

Chức năng bit Kill COM đã được Cập Nhật trong KB3178703 để hoàn toàn chặn các đối tượng com không được kích hoạt trong quá trình xử lý bằng Office. Bản cập nhật này là một siêu tập hợp các hành vi ban đầu trong đó, ngoài việc chặn COM đối tượng được nhúng hoặc nối kết trong tài liệu Office, thao này sẽ chặn bất kỳ phiên bản nào của các đối tượng COM được tải trong quy trình Office thông qua các phần bổ trợ khác. 

Những đối tượng COM cụ thể này bao gồm các điều khiển ActiveX và các đối tượng OLE. Thông qua sổ đăng ký, bạn có thể kiểm soát độc lập đối tượng COM nào khi bạn sử dụng Office. 

Chúng tôi không khuyên bạn nên loại bỏ bit giết được đặt cho đối tượng COM. Nếu bạn thực hiện điều này, bạn có thể tạo các lỗ hổng bảo mật. Bit Kill thường được đặt cho một lý do có thể quan trọng. Vì vậy, bạn phải rất cẩn thận khi bạn bỏ giết một điều khiển ActiveX.  
 
Bạn có thể thêm giá trị AlternateCLSID (còn được gọi là "Phoenix bit") khi bạn phải liên quan đến CLSID của điều khiển ActiveX mới (và điều khiển ActiveX này đã được sửa đổi để giảm thiểu mối đe dọa bảo mật), đến CLSID của điều khiển ActiveX mà Office COM Kill bit đã được áp dụng. Office chỉ hỗ trợ các đối tượng AlternateCLSID khi sử dụng các đối tượng COM.  
 
Lưu ý: Danh sách Kill bit cho Office sẽ ưu tiên trong danh sách Kill bit cho Internet Explorer. Ví dụ: người dùng Office COM Kill bit và Internet Explorer ActiveX Kill bit có thể được đặt cho cùng một điều khiển ActiveX. Tuy nhiên, nút AlternateCLSID được đặt chỉ trên danh sách dành cho Internet Explorer. Trong trường hợp này, có một xung đột giữa hai thiết đặt. Trong các trường hợp như vậy, các thiết đặt bit của Office COM sẽ giết được ưu tiên và điều khiển không được tải. 

Thiết đặt bit của Office COM Kill

Quan trọng: 

  • Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Do đó, hãy đảm bảo rằng bạn làm theo các bước này cẩn thận. Để bảo vệ tốt hơn, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm số bài viết sau để xem bài viết trong Cơ sở kiến thức Microsoft:  

  • 322756Cách sao lưu và khôi phục sổ đăng ký trong Windows  

Vị trí để đặt bit của Office COM Kill trong sổ đăng ký là như sau:  

Đối với Office 2013 và Office 2010:

  • Đối với Office 64-bit 64 trên Windows bit Windows (hoặc Office 32-bit 32 trên Windows bit).

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}

Đối với Office 32 bit 64 trên Windows bit Windows:

HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}

Đối với Office 2016:

  • Đối với Office 64 bit 64 trên Windows bit Windows (hoặc Office 32-bit 32 trên Windows bit):

    HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}

  • Đối với Office 32 bit 64 trên Windows bit Windows:

    HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}

Trong trường hợp này, CLSID là mã định danh Class của đối tượng COM.  

Để bật bit của Office COM Kill, hãy làm theo các bước sau đây:

  1. Thêm khóa phụ của sổ đăng ký cùng với CLSID của điều khiển ActiveX hoặc đối tượng OLE mà bạn muốn chặn khi đang tải.

  2. Thêm REG_DWORD vào subkey này có tên là cờ tương thích và đặt giá trị của nó thành 0x00000400.

Ví dụ: để đặt bit của Office COM Kill cho một đối tượng có CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} trên Office 2016, hãy làm theo các bước sau đây: 

  1. Xác định vị trí khóa đăng ký sau đây:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Thêm khóa phụ với giá trị {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Trong trường hợp này, đường dẫn kết quả là như sau:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Thêm REG_DWORD vào khóa phụ được đặt tên là cờ tương thíchvà đặt giá trị của nó thành 0x00000400.

Giờ đây, Office COM Kill sẽ được đặt để chặn đối tượng này không được kích hoạt trong Office. 

Làm thế nào để chỉ chặn COM trong các kịch bản liên kết và nhúng 

Như đã đề cập, chức năng bit Kill COM đã được Cập Nhật để chặn tất cả các đối tượng COM được chỉ định từ bên trong Office.  

Để chỉ chặn các đối tượng COM được nhúng hoặc nối kết từ bên trong tài liệu Office, hãy làm theo các bước sau đây:  

  1. Thêm CLSID vào bit COM Kill cho mỗi hướng dẫn bên dưới "đặt bit của Office Kill" (nếu nó không có trong danh sách đã có)

  2. Bên dưới subkey cho CLSID đã chặn, hãy thêm giá trị REG_DWORD được đặt tên là ActivationFilterOverridevà đặt giá trị của nó thành 0x00000001.

Ví dụ: để cấu hình bit giết COM để chặn chỉ trong các kịch bản liên kết và nhúng cho một đối tượng có CLSID {77061A9c-2618-4f38-B294-f6bcc8443d24} trên Office 2016, hãy làm theo các bước sau đây:

  1. Xác định vị trí khóa đăng ký sau đây:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility

  2. Thêm khóa phụ có giá trị {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Trong trường hợp này, đường dẫn kết quả là như sau:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24}

  3. Thêm giá trị REG_DWORD vào khóa phụ này có gắn cờ tương thích, và đặt giá trị của nó thành 0x00000400

  4. Thêm REG_DWORD vào khóa con này có tên là ActivationFilterOverridevà đặt giá trị của nó thành 0x00000001

Giờ đây, Office COM Kill sẽ được đặt là chặn đối tượng COM này chỉ khi nó được liên kết hoặc nhúng trong tài liệu Office. 

Các điều khiển bị chặn khỏi kích hoạt theo mặc định

Nen

CLSID

ScriptMoniker

06290BD3-48AA/20D2-8432-006008X3FBFC

SoapActivator

ECABAFD0-7F19-11D2-978E-0000F8757E2A

SoapMoniker

ECABB0C7-7F19-11D2-978E-0000F8757E2A

PartitionMoniker

ECABB0C5-7F19-11D2-978E-0000F8757E2A

QueueMoniker

ECABAFC7-7F19-11D2-978E-0000F8757E2A

HTMLApplication

3050F4D8-98B5-11CF-BB82-00AA00BDCE0B

ScripletContext

06290BD0-48AA-11D2-8432-006008X3FBFC

ScripletConstructor

06290BD1-48AA11D2-8432-006008X3FBFC

ScripletFactory

06290BD2-48AA-11D2-8432-006008X3FBFC

Mã Scriplethostenby

06290BD4-48AA-11D2-8432-006008X3FBFC

ScripletTypeLib

06290BD5-48AA-11D2-8432-006008X3FBFC

ScripletHandler_Automation

06290BD8-48AA-11D2-8432-006008X3FBFC

ScripletHandler_Event

06290BD9-48AA-11D2-8432-006008X3FBFC

ScripletHandler_ASP

06290BDA-48AA-11D2-8432-006008X3FBFC

ScripletHandler_Behavior

06290BDB-48AA-11D2-8432-006008X3FBFC

Nguồn cấp XML

528D46B3-3A4B-4B132-BF74-D9CBD7306E07

Scriptlet

AE24FDAE-03C6-11D1-8B76-0080C744F389

HtmlFile_FullWindowEmbed

25336921-03F9-11CF-8FD0-00AA00686F13

Tệp MHTML

3050F3D9-98B5-11CF-BB82-00AA00BDCE0B

Tài liệu Microsoft HTA 6,0

3050F548-98B5-11CF-BB82-00AA00BDCE0B

Hàm Thtmledit. Thtmledit. 1

2D360200-FFF5/20D1-8D03-00NG0B959BC0A

Hàm Ihtmlsafe. Thtmlsafe. 1

2D360201-FFF5-11D1-8D03-00NG04959BC0A

Ngôn ngữ của BB script

B54F3741-5B07-11cf-A4B0-00AA004A55E8

Tác giả ngôn ngữ của BB script

B54F3742-5B07-11cf-A4B0-00AA004A55E8

Mã hóa ngôn ngữ VBScript

B54F3743-5B07-11cf-A4B0-00AA004A55E8

Mã hóa máy chủ VBScript

85131631-480C/_2-B1F9-00404F864324

Shockwave Flash Object

D27CDB6E-AE6D-11cf-96B8-444553540000

Đối tượng nhà máy Macromedia Flash

D27CDB70-AE6D-11cf-96B8-444553540000

Silverlight của Microsoft

DFEAF541-F3E1-4c24-ACAC-99C30715084A

Adobe Shockwave Player

233M1520096A77-46A4-9443-F871F945T258

Điều khiển Python

DF630910-1C1D-11D0-AE36-8C0F5E000000

Các điều khiển bị chặn từ nhúng theo mặc định

Nen

CLSID

Shell. Explorer. 2

8856F961-340AHA D0-L96B-00B04FD705A 2

Tệp HTML

25336920-03F9-11CF-8FD0-00AA00686F13

Tài liệu Microsoft HTML cho cửa sổ bật lên

3050F67D-98B5/20CF-BB82-00AA00BDCE0B

Lưu ý: danh sách này là một bản chụp nhanh của các điều khiển bị chặn và có thể thay đổi 

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?

Cảm ơn phản hồi của bạn!

×