Thận trọng: Bài viết này chứa thông tin cho bạn biết cách điều khiển thiết đặt bảo mật cho Office. Bạn có thể thực hiện thay đổi các thiết đặt bảo mật này để tăng hoặc giảm tư thế bảo mật của bạn. Trước khi bạn thực hiện những thay đổi này, chúng tôi khuyên bạn nên đánh giá những rủi ro liên kết với bất kỳ thay đổi nào bạn đã thực hiện để cấu hình thiết đặt này.
GIỚI THIỆU
Bài viết này mô tả các cài đặt sẵn dùng cho người dùng và người quản trị CNTT để kiểm soát việc liệu và làm thế nào để tải các đối tượng COM bằng cách có một danh sách Microsoft Office Kill bit.
Để biết thêm thông tin về hành vi của Windows Internet Explorer sẽ giết bit mà tính năng này dựa trên, bao gồm cách đặt Teclsids Alternacho phép cập nhật các điều khiển ActiveX để tải, hãy xem cách dừng điều khiển ActiveX khỏi chạy trong Internet Explorer.
Hướng dẫn này áp dụng cho Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Publisher và Microsoft Visio.
Bit của Office COM Kill
Tài khoản Office COM Kill bit được giới thiệu trong bản Cập Nhật bảo mật MS10-036 để ngăn các đối tượng COM cụ thể chạy khi nhúng hoặc nối kết từ các tài liệu Office.
Chức năng bit Kill COM đã được Cập Nhật trong KB3178703 để hoàn toàn chặn các đối tượng com không được kích hoạt trong quá trình xử lý bằng Office. Bản cập nhật này là một siêu tập hợp các hành vi ban đầu trong đó, ngoài việc chặn COM đối tượng được nhúng hoặc nối kết trong tài liệu Office, thao này sẽ chặn bất kỳ phiên bản nào của các đối tượng COM được tải trong quy trình Office thông qua các phần bổ trợ khác.
Những đối tượng COM cụ thể này bao gồm các điều khiển ActiveX và các đối tượng OLE. Thông qua sổ đăng ký, bạn có thể kiểm soát độc lập đối tượng COM nào khi bạn sử dụng Office.
YùChúng tôi không khuyên bạn nên loại bỏ bit giết được đặt cho đối tượng COM. Nếu bạn thực hiện điều này, bạn có thể tạo các lỗ hổng bảo mật. Bit Kill thường được đặt cho một lý do có thể quan trọng. Vì vậy, bạn phải rất cẩn thận khi bạn bỏ giết một điều khiển ActiveX.
Bạn có thể thêm giá trị AlternateCLSID (còn được gọi là "Phoenix bit") khi bạn phải liên quan đến CLSID của điều khiển ActiveX mới (và điều khiển ActiveX này đã được sửa đổi để giảm thiểu mối đe dọa bảo mật), đến CLSID của điều khiển ActiveX mà Office COM Kill bit đã được áp dụng. Office chỉ hỗ trợ các đối tượng AlternateCLSID khi sử dụng các đối tượng COM.
Lưu ý: Danh sách Kill bit cho Office sẽ ưu tiên trong danh sách Kill bit cho Internet Explorer. Ví dụ: người dùng Office COM Kill bit và Internet Explorer ActiveX Kill bit có thể được đặt cho cùng một điều khiển ActiveX. Tuy nhiên, nút AlternateCLSID được đặt chỉ trên danh sách dành cho Internet Explorer. Trong trường hợp này, có một xung đột giữa hai thiết đặt. Trong các trường hợp như vậy, các thiết đặt bit của Office COM sẽ giết được ưu tiên và điều khiển không được tải.
Thiết đặt bit của Office COM Kill
Quan trọng:
-
Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Do đó, hãy đảm bảo rằng bạn làm theo các bước này cẩn thận. Để bảo vệ tốt hơn, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy bấm số bài viết sau để xem bài viết trong Cơ sở kiến thức Microsoft:
-
322756Cách sao lưu và khôi phục sổ đăng ký trong Windows
Vị trí để đặt bit của Office COM Kill trong sổ đăng ký là như sau:
Đối với Office 2013 và Office 2010:
-
Đối với Office 64-bit 64 trên Windows bit Windows (hoặc Office 32-bit 32 trên Windows bit).
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Đối với Office 32 bit 64 trên Windows bit Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\Common\COM Compatibility\ {CLSID}
Đối với Office 2016:
-
Đối với Office 64 bit 64 trên Windows bit Windows (hoặc Office 32-bit 32 trên Windows bit):
HKEY_LOCAL_MACHINE\Software\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
-
Đối với Office 32 bit 64 trên Windows bit Windows:
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Office\16.0\Common\COM Compatibility\ {CLSID}
Trong trường hợp này, CLSID là mã định danh Class của đối tượng COM.
Để bật bit của Office COM Kill, hãy làm theo các bước sau đây:
-
Thêm khóa phụ của sổ đăng ký cùng với CLSID của điều khiển ActiveX hoặc đối tượng OLE mà bạn muốn chặn khi đang tải.
-
Thêm REG_DWORD vào subkey này có tên là cờ tương thích và đặt giá trị của nó thành 0x00000400.
Ví dụ: để đặt bit của Office COM Kill cho một đối tượng có CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} trên Office 2016, hãy làm theo các bước sau đây:
-
Xác định vị trí khóa đăng ký sau đây:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Thêm khóa phụ với giá trị {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Trong trường hợp này, đường dẫn kết quả là như sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Thêm REG_DWORD vào khóa phụ được đặt tên là cờ tương thíchvà đặt giá trị của nó thành 0x00000400.
Giờ đây, Office COM Kill sẽ được đặt để chặn đối tượng này không được kích hoạt trong Office.
Làm thế nào để chỉ chặn COM trong các kịch bản liên kết và nhúng
Như đã đề cập, chức năng bit Kill COM đã được Cập Nhật để chặn tất cả các đối tượng COM được chỉ định từ bên trong Office.
Để chỉ chặn các đối tượng COM được nhúng hoặc nối kết từ bên trong tài liệu Office, hãy làm theo các bước sau đây:
-
Thêm CLSID vào bit COM Kill cho mỗi hướng dẫn bên dưới "đặt bit của Office Kill" (nếu nó không có trong danh sách đã có)
-
Bên dưới subkey cho CLSID đã chặn, hãy thêm giá trị REG_DWORD được đặt tên là ActivationFilterOverridevà đặt giá trị của nó thành 0x00000001.
Ví dụ: để cấu hình bit giết COM để chặn chỉ trong các kịch bản liên kết và nhúng cho một đối tượng có CLSID {77061A9c-2618-4f38-B294-f6bcc8443d24} trên Office 2016, hãy làm theo các bước sau đây:
-
Xác định vị trí khóa đăng ký sau đây:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility -
Thêm khóa phụ có giá trị {77061A9C-2F18-4f38-B294-F6BCC8443D24}. Trong trường hợp này, đường dẫn kết quả là như sau:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} -
Thêm giá trị REG_DWORD vào khóa phụ này có gắn cờ tương thích, và đặt giá trị của nó thành 0x00000400.
-
Thêm REG_DWORD vào khóa con này có tên là ActivationFilterOverridevà đặt giá trị của nó thành 0x00000001.
Giờ đây, Office COM Kill sẽ được đặt là chặn đối tượng COM này chỉ khi nó được liên kết hoặc nhúng trong tài liệu Office.
Các điều khiển bị chặn khỏi kích hoạt theo mặc định
Nen |
CLSID |
ScriptMoniker |
06290BD3-48AA/20D2-8432-006008X3FBFC |
SoapActivator |
ECABAFD0-7F19-11D2-978E-0000F8757E2A |
SoapMoniker |
ECABB0C7-7F19-11D2-978E-0000F8757E2A |
PartitionMoniker |
ECABB0C5-7F19-11D2-978E-0000F8757E2A |
QueueMoniker |
ECABAFC7-7F19-11D2-978E-0000F8757E2A |
HTMLApplication |
3050F4D8-98B5-11CF-BB82-00AA00BDCE0B |
ScripletContext |
06290BD0-48AA-11D2-8432-006008X3FBFC |
ScripletConstructor |
06290BD1-48AA11D2-8432-006008X3FBFC |
ScripletFactory |
06290BD2-48AA-11D2-8432-006008X3FBFC |
Mã Scriplethostenby |
06290BD4-48AA-11D2-8432-006008X3FBFC |
ScripletTypeLib |
06290BD5-48AA-11D2-8432-006008X3FBFC |
ScripletHandler_Automation |
06290BD8-48AA-11D2-8432-006008X3FBFC |
ScripletHandler_Event |
06290BD9-48AA-11D2-8432-006008X3FBFC |
ScripletHandler_ASP |
06290BDA-48AA-11D2-8432-006008X3FBFC |
ScripletHandler_Behavior |
06290BDB-48AA-11D2-8432-006008X3FBFC |
Nguồn cấp XML |
528D46B3-3A4B-4B132-BF74-D9CBD7306E07 |
Scriptlet |
AE24FDAE-03C6-11D1-8B76-0080C744F389 |
HtmlFile_FullWindowEmbed |
25336921-03F9-11CF-8FD0-00AA00686F13 |
Tệp MHTML |
3050F3D9-98B5-11CF-BB82-00AA00BDCE0B |
Tài liệu Microsoft HTA 6,0 |
3050F548-98B5-11CF-BB82-00AA00BDCE0B |
Hàm Thtmledit. Thtmledit. 1 |
2D360200-FFF5/20D1-8D03-00NG0B959BC0A |
Hàm Ihtmlsafe. Thtmlsafe. 1 |
2D360201-FFF5-11D1-8D03-00NG04959BC0A |
Ngôn ngữ của BB script |
B54F3741-5B07-11cf-A4B0-00AA004A55E8 |
Tác giả ngôn ngữ của BB script |
B54F3742-5B07-11cf-A4B0-00AA004A55E8 |
Mã hóa ngôn ngữ VBScript |
B54F3743-5B07-11cf-A4B0-00AA004A55E8 |
Mã hóa máy chủ VBScript |
85131631-480C/_2-B1F9-00404F864324 |
Shockwave Flash Object |
D27CDB6E-AE6D-11cf-96B8-444553540000 |
Đối tượng nhà máy Macromedia Flash |
D27CDB70-AE6D-11cf-96B8-444553540000 |
Silverlight của Microsoft |
DFEAF541-F3E1-4c24-ACAC-99C30715084A |
Adobe Shockwave Player |
233M1520096A77-46A4-9443-F871F945T258 |
Điều khiển Python |
DF630910-1C1D-11D0-AE36-8C0F5E000000 |
Các điều khiển bị chặn từ nhúng theo mặc định
Nen |
CLSID |
Shell. Explorer. 2 |
8856F961-340AHA D0-L96B-00B04FD705A 2 |
Tệp HTML |
25336920-03F9-11CF-8FD0-00AA00686F13 |
Tài liệu Microsoft HTML cho cửa sổ bật lên |
3050F67D-98B5/20CF-BB82-00AA00BDCE0B |
Lưu ý: danh sách này là một bản chụp nhanh của các điều khiển bị chặn và có thể thay đổi