Поделиться через


Планирование параметров категоризации объектов COM для Office 2013

 

Применимо к: Office 365 ProPlus

Последнее изменение раздела: 2016-12-16

Сводка Сведения об использовании категоризации COM-объектов для управления поведением определенных COM-объектов в Office 2013.

Аудитория: ИТ-специалисты

Объектами COM могут являться элементы ActiveX, объекты OLE, серверы Excel RealTimeData (RTD), а также поставщики источников данных для веб-компонентов Office (OWC). Управлять поведением определенных объектов COM в Office 2013 можно с помощью категоризации. Например, можно создать список разрешенных объектов, который будет разрешать загрузку только определенных объектов COM, или переопределить бит аннулирования Internet Explorer.

Указатель для справочника по безопасности Office.

Эта статья входит в состав набора Руководство по безопасности Office 2013. Используйте этот обзор в качестве начального этапа для поиска статей, загружаемых файлов, примеров и видеозаписей, помогающих оценить совместимость Office 2013.

Вы ищете информацию о безопасности отдельных приложений Office 2013? Для этого можно выполнить поиск по словам "2013 security" (безопасность 2013) на сайте Office.com.

В этой статье:

  • Сведения о категоризации объектов COM

  • Настройка параметров групповой политики для категоризации объектов COM

  • Добавление категоризации объектов COM в реестре

Сведения о категоризации объектов COM

Office 2013 вначале проверяет, настроены ли параметры групповой политики для категоризации объектов COM. Если параметры предусматривают использование категоризации объектов COM, то Office 2013 проверяет правильность категоризации указанных объектов COM в реестре.

Чтобы включить категоризацию объектов COM в организации, необходимо вначале определить оптимальный способ настройки параметров безопасности групповой политики в соответствии с потребностями организации. Затем следует добавить идентификатор категории для соответствующих объектов COM в реестре.

Настройка параметров безопасности групповой политики для категоризации объектов COM

Существует четыре параметра групповой политики для категоризации объектов COM:

  • Проверять поставщики источников данных OWC

  • Проверить серверы RTD Excel

  • Проверять объекты OLE

  • Проверять объекты ActiveX

Параметры Проверять поставщики источников данных OWC и Проверить серверы RTD Excel можно включить или отключить. При включении этих параметров Office 2013 будет загружать только корректно категоризованные объекты COM.

Если выбрать значение Включен, для параметров Проверять объекты OLE и Проверять объекты ActiveX будут доступны дополнительные значения. Эти значения перечислены в следующей таблице.

Значения параметров «Проверить объекты OLE» и «Проверить параметры ActiveX»

Значение

Описание

Не проверять

Office загружает объекты OLE/ActiveX без предварительной проверки корректности категоризации.

Переопределить список битов аннулирования Internet Explorer (поведение по умолчанию)

Office использует список категорий для переопределения проверки битов аннулирования Internet Explorer.

Только утверждённый список

Office загружает только активные и корректно категоризованные объекты Active X.

Параметр Переопределить список битов аннулирования Internet Explorer позволяет перечислить элементы OLE или ActiveX, загрузка которых будет разрешена в Office 2013 при корректной категоризации, даже если они указаны в списке битов аннулирования Internet Explorer. Используйте этот элемент управления, чтобы разрешить COM-объект, определенный в качестве небезопасного для загрузки в Internet Explorer, но заведомо безопасный для загрузки в Office. Office также проверяет, включен ли бит аннулирования модели COM Office. Дополнительные сведения об этом бите аннулирования и о том, как он влияет на параметры элемента ActiveX, см. в статье Планирование параметров безопасности для элементов ActiveX в Office 2013. Если бит аннулирования модели COM Office включен, а альтернативного идентификатора CLSID (бита Phoenix) не существует, то COM-объект не будет загружен. Дополнительные сведения о поведении битов аннулирования см. в статье Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer.

Используйте параметр Только список разрешений, чтобы создать список разрешений безопасности, разрешающий загрузку только определенных элементов управления и запрещающий остальные объекты OLE или ActiveX, не входящие в список.

После включения любых параметров категоризации объектов COM в групповой политике необходимо добавить категоризацию объектов в реестр.

Добавление категоризации объектов COM в реестр

Каждому параметру групповой политики в реестре соответствует категоризация объекта COM. Эти соответствия перечислены в следующей таблице.

параметры групповой политики и идентификаторы категорий

Параметр групповой политики

Идентификатор категории (CATID)

Проверять поставщики источников данных OWC

{A67A20DD-16B0-4831-9A66-045408E51786}

Проверить серверы RTD Excel

{8F3844F5-0AF6-45C6-99C9-04BF54F620DA}

Проверять объекты OLE

{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Проверять объекты ActiveX

{4FED769C-D8DB-44EA-99EA-65135757C156}

Добавление идентификатора категории соответствующего объекта COM в реестр

  1. Добавьте правильный идентификатор CATID для соответствующих объектов COM, если для параметра групповой политики не задано значение Отключен или Включен | Не проверять. Найдите в реестре ключ Implemented Categories. Если он еще не существует, добавьте его к CLSID объекта COM. Затем добавьте дочерний ключ, который содержит CATID ключа Implemented Categories.

    Например, при создании белого списка, разрешающего для использования в Office только объект OLE, следует вначале найти идентификатор CLSID этого объекта COM в следующем разделе реестра:

    HKEY_CLASSES_ROOT\CLSID

    Затем, если вы ищете объект OLE Microsoft Graph Chart, CLSID должен быть равен {00020803-0000-0000-C000-000000000046}. Обнаружив его, убедитесь, что ключ Implemented Categories уже существует, или создайте его, если это не так. В этом примере используется следующий путь:

    HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories

  2. Затем необходимо добавить новый подраздел для идентификатора CATID, соответствующего параметру групповой политики "Проверить объекты OLE" раздела Implemented Categories. В этом примере используются следующие значение и путь:

    Конечные путь и значения для этого примера: HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

ПримечаниеПримечание
Дополнительные сведения см. в статье TechNet Файлы административных шаблонов Office 2013 (ADMX, ADML) и центр развертывания Office.

См. также

Руководство по безопасности Office 2013
Обзор безопасности в Office 2013
Параметры групповой политики и центра развертывания Office в Office 2013 для форматов OpenDocument и Office Open XML

Как отключить запуск элемента управления ActiveX в обозревателе Internet Explorer
Файлы административных шаблонов Office 2013 (ADMX, ADML) и центр развертывания Office