Office 2003 和 2007 Office 套件中 ActiveX 控件和 OLE 对象的安全设置

Office COM 终止位

您也可以使用 MS10-036 安全更新中引入的 Office COM 终止位来阻止特定的 COM 对象在 Office 应用程序内运行。这些特定的 COM 对象包括 ActiveX 控件和 OLE 对象。现在，通过注册表，您可以独立控制使用 Office 时阻止哪个 ActiveX 或 OLE 对象运行。

重要说明

• 如果在注册表中设置了 OLE 对象的 Office COM 终止位，则不会加载该对象，并且在任何情况下都无法加载该对象。

• 在 Office 2007 中，用户会收到以下错误消息：
  

  
  外部链接的 OLE 文件的引用已被阻止。
  

• 在 Office 2003 中，用户会收到以下错误消息：
  

  尝试创建类对象失败。拒绝访问。
  

  
  

若要确定哪个 CLSID 加载失败，请使用 TechNet 中的进程监视器。在进程监视器日志文件中查找 Internet Explorer 删除位设置。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\<CLSID>
注意我们不建议您删除为 COM 对象设置的终止位。如果这样做，则可能创建安全漏洞。人们通常是出于某种十分重要的考虑才设置终止位，因此在取消对 ActiveX 控件的 Kill 操作时必须格外小心。

如果必须关联新 ActiveX 控件（已修改此 ActiveX 控件来减少安全威胁）的 CLSID，则可以将 AlternateCLSID（也称为“Phoenix 位”）添加到 Office COM 终止位应用到的 ActiveX 控件的 CLSID。仅当使用 ActiveX 控件 COM 对象时，Office 才支持 AlternateCLSID。

注意 Office 的终止位列表优先于 Internet Explorer 的终止位列表。例如，可能为同一个 ActiveX 控件设置 Office COM 终止位和 Internet Explorer ActiveX 终止位。但是 AlternateCLSID 只在 Internet Explorer 列表上设置。在这种情况下，两个设置之间存在冲突。在这个实例中，Office COM 终止位设置优先，并且不会加载控件。

设置 Office COM 终止位

重要说明：此部分、方法或任务包含有关如何修改注册表的步骤。但是，注册表修改不当可能会出现严重问题。因此，请一定严格按照下列步骤操作。为了获得进一步保护，请在修改注册表之前对其进行备份。这样就可以在出现问题时还原注册表。有关如何备份和还原注册表的更多信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：

322756如何在 Windows 中备份和还原注册表在注册表中设置 Office COM 终止位的位置如下所示：

HKEY_LOCAL_MACHINE/Software/Microsoft/Office/Common/COM Compatibility/{CLSID}在本例中，CLSID 是 COM 对象的类标识符。若要启用 Office COM 终止位，则必须将注册表子项与希望从加载中阻止的 ActiveX 控件或 OLE 对象的 CLSID 一起添加。同时，必须将 Compatibility Flag's REG_DWORD 值设置为 0x00000400。

例如，若要为具有 CLSID {77061A9C-2F18-4f38-B294-F6BCC8443D24} 的对象设置 Office COM 终止位，则查找以下子项，并将 REG_SZ {77061A9C-2F18-4f38-B294-F6BCC8443D24} 添加到该子项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility在本例中，路径如下所示：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{77061A9C-2F18-4f38-B294-F6BCC8443D24} 如果将包含 0x00000400 值的子项添加到 {CLSID} 项，则会设置 Office COM 终止位。64 位和 32 位的对象及其终止位位于不同的注册表位置。

有关详细信息，请访问下面的 Microsoft 网页以查看终止位常见问题：

终止位常见问题：3 的第 1 部分

如何覆盖 OLE 对象的 Internet Explorer 终止位

覆盖 IE 终止位列表选项允许您具体列出允许在 Office 中加载 Internet Explorer 终止位列表上的哪个 OLE 对象。仅当您知道 OLE 对象在 Office 中可以安全下载时才使用覆盖 IE 终止位列表。请注意，当 Office 检查覆盖 IE 终止位列表设置时，Office 还检查是否启用了 Office COM 终止位。如果启用了 Office COM 终止位，则不会加载 OLE 对象。

要启用覆盖 IE 终止位列表选项，则必须将 OLE 对象进行正确分类。在此注册表中，如果该子项不存在，则将称为“实现的类别”的子项添加到 COM 对象的 CLSID。然后，将包含 OLE 对象、{F3E0281E-C257-444E-87E7-F3DC29B62BBD} 的类别 ID (CATID) 的子项添加到“实现的类别”项。

例如，Internet Explorer 可能设置为取消 OLE 对象，但是您仍然希望在 Office 中使用此对象。在这种情况下，您必须首先在注册表的以下位置查找 OLE 对象的 CLSID：

HKEY_CLASSES_ROOT\CLSID 例如，Microsoft Graph 图表的 CLSID 为 {00020803-0000-0000-C000-000000000046}。其次，您必须确定该项、实现的类别是否已经存在，如果不存在，则必须创建该项。在本例中，路径如下所示：

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories 最后，将 CATID OLE 对象的新子项添加到“实现的类别”项。下面是本例的路径：

HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}
注意：OLE 对象的类别 ID (CATID) 为 {F3E0281E-C257-444E-87E7-F3DC29B62BBD}，并且必须包含大括号 ( { } )。

如何禁用 ATL 缓解

启用 ATL 缓解时，将阻止使用 OleLoadFromStreamsuch 的控件运行，并且控制信息将丢失。例如，VB6/Windows 公共控件会受到此问题的影响。

警告 此替代方法可能使计算机或网络更容易受到恶意用户或恶意软件（如病毒）的攻击。我们不建议使用此替代方法，只是提供此信息，以便于您能够自行判断是否使用此替代方法。使用此替代方法需要您自担风险。

由于这些 ATL 缓解覆盖范围广泛，因此我们不建议您禁用 ATL 缓解，除非绝对有必要这样做。如果您禁用 ATL 缓解，则可能创建安全漏洞。如果您确实需要禁用 ATL 缓解，我们建议您不要打开来自不受信任的来源或从受信任来源意外收到的 Microsoft Office 文件。

要禁用引用 ATL 漏洞的缓解，请在下面的注册表子项中将 NoOLELoadFromStreamChecks REG_DWORD 设置为 00000001 值。

HKEY_CURRENT_USER/Software/Microsoft/Office/Common/Security
注意如果此注册表子项不存在，则您必须将此注册表子项作为 REG_DWORD 类型创建。

禁用 Office 应用程序的 scriplet 控件

安装此安全更新之后，您可以禁用 Office 应用程序的 scriptlet 并且不会更改 Internet Explorer 行为。

要禁用 Office 应用程序的 scriptlet，请在下面的注册表子项中将 Compatibility 标志的 REG_DWORD 值设置为 00000400。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{AE24FDAE-03C6-11D1-8B76-0080C744F389}
以下是您可能考虑将其加入到 Office 拒绝列表的其他控件的列表：