Office 2013에 대해 COM 개체 분류 설정 계획

 

적용 대상: Office 365 ProPlus

마지막으로 수정된 항목: 2016-12-16

요약 Office 2013에서 COM 개체 분류를 사용하여 특정 COM 개체의 동작을 제어하는 방법에 대해 설명합니다.

대상: IT 전문가

COM 개체에는 ActiveX, OLE(개체 연결 및 포함), Excel RTD(RealTimeData) 서버, OWC(Office Web Components) 데이터 원본 공급자가 포함될 수 있습니다. COM 개체 분류를 사용하여 Office 2013에서 특정 COM 개체의 동작을 제어할 수 있습니다. 예를 들어 지정된 COM 개체만 로드되도록 할 보안 허용 목록을 만들거나 Internet Explorer kill bit를 무시하도록 선택할 수 있습니다.

Office 보안을 안내하기 위한 로드맵 화살표

이 문서는 Office 2013 보안 가이드의 일부입니다. 이 로드맵을 Office 2013 보안 평가를 위한 문서, 다운로드, 포스터 및 비디오의 시작 지점으로 활용하십시오.

개별 Office 2013 응용 프로그램에 대한 보안 정보가 필요하십니까? Office.com에서 "2013 보안"으로 검색하면 필요한 정보를 확인하실 수 있습니다.

이 문서의 내용

  • COM 개체 분류 정보

  • COM 개체 분류에 대한 그룹 정책 보안 설정 구성

  • 레지스트리에 COM 개체 분류 추가

COM 개체 분류 정보

Office 2013에서는 먼저 COM 개체 분류에 대한 그룹 정책 설정이 구성되어 있는지를 검사합니다. COM 개체 분류를 사용하도록 지정된 설정이 있는 경우 Office 2013에서는 지정된 COM 개체가 레지스트리 내에서 올바르게 분류되어 있는지 확인합니다.

조직에서 COM 개체 분류를 사용하도록 설정하려면 먼저 조직의 요구 사항에 적합한 그룹 정책 보안 설정을 확인합니다. 그런 다음 대상으로 지정된 COM 개체의 범주 ID를 레지스트리에 추가합니다.

COM 개체 구성에 대한 그룹 정책 보안 설정 구성

COM 개체 분류 그룹 정책 설정에는 다음과 같은 네 가지가 있습니다.

  • OWC 데이터 원본 공급자 확인

  • Excel RTD 서버 확인

  • OLE 개체 확인

  • ActiveX 개체 확인

OWC 데이터 원본 공급자 확인Excel RTD 서버 확인은 사용하거나 사용하지 않도록 구성할 수 있습니다. 이러한 설정을 사용하도록 설정하면 Office 2013에서는 올바르게 분류된 COM 개체만 로드하게 됩니다.

사용을 선택한 경우 OLE 개체 확인ActiveX 개체 확인에서 추가 옵션을 지정할 수 있으며, 이러한 옵션은 아래 표에 나와 있습니다.

OLE 개체 확인 및 ActiveX 개체 확인 설정에 대한 옵션

옵션

설명

확인 안 함

Office에서는 OLE/ActiveX 개체를 로드하기 전에 해당 개체가 올바르게 분류되어 있는지 확인하지 않고 로드합니다.

IE kill bit 목록 재정의(기본 동작)

Office에서는 범주 목록을 사용하여 Internet Explorer kill bit 확인을 재정의합니다.

엄격한 허용 목록

Office에서는 올바르게 분류된 Active X 개체만 로드합니다.

OLE 또는 ActiveX 컨트롤이 Internet Explorer kill bit 목록에 있더라도 올바르게 분류되어 있는 경우 IE kill bit 목록 재정의 옵션을 사용하면 Office 2013 내에서 로드할 수 있는 OLE 또는 ActiveX 컨트롤을 구체적으로 나열할 수 있습니다. 이 컨트롤은 안전하지 않은 것으로 지정된 COM 개체를 Internet Explorer에서 로드하려는 경우에 사용합니다. 그러나 COM 개체는 Office에서 로드하는 것이 안전합니다. 또한 Office에서는 Office COM kill bit가 사용하도록 설정되어 있는지 확인합니다. Office COM kill bit에 대한 자세한 내용은 Office 2013의 ActiveX 컨트롤에 대한 보안 설정 계획을 참조하세요. Office COM kill bit가 사용하도록 설정된 상태에서 “Phoenix bit”라는 대체 CLSID가 없으면 COM 개체가 로드되지 않습니다. kill bit 동작에 대한 자세한 내용은 Internet Explorer에서 ActiveX가 실행되지 않도록 하는 방법 문서를 참조하세요.

엄격한 허용 목록 옵션은 지정된 컨트롤만 로드되도록 하고 목록에 없는 다른 모든 OLE 또는 ActiveX 개체는 로드되지 않도록 하는 보안 허용 목록을 만들려는 경우에 사용합니다.

그룹 정책 내에서 COM 개체 분류 설정을 사용하도록 설정하는 경우 다음 단계에서는 COM 개체 분류를 레지스트리에 추가해야 합니다.

COM 개체 분류를 레지스트리에 추가

각 그룹 정책 설정은 레지스트리 내에 해당하는 COM 개체 분류 설정이 있습니다. 이러한 설정은 아래 표에 나와 있습니다.

그룹 정책 설정 및 범주 ID

그룹 정책 설정

CATID(범주 ID)

OWC 데이터 원본 공급자 확인

{A67A20DD-16B0-4831-9A66-045408E51786}

Excel RTD 서버 확인

{8F3844F5-0AF6-45C6-99C9-04BF54F620DA}

OLE 개체 확인

{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

ActiveX 개체 확인

{4FED769C-D8DB-44EA-99EA-65135757C156}

해당 COM 개체 범주 ID를 레지스트리에 추가하려면

  1. 그룹 정책 설정이 사용 안 함이나 사용 | 확인 안 함으로 구성되어 있는 경우 외에는 지정된 COM 개체에 대한 올바른 CATID를 추가해야 합니다. 레지스트리에서 Implemented Categories라는 키를 찾고, 아직 없는 경우 COM 개체의 CLSID에 추가해야 합니다. 그런 다음 CATID가 포함된 하위 키를 Implemented Categories 키에 추가합니다.

    예를 들어 Office에서 OLE 개체만 사용할 수 있도록 하는 허용 목록을 만드는 경우 먼저 레지스트리의 다음 위치에서 해당 COM 개체의 CLSID를 확인합니다.

    HKEY_CLASSES_ROOT\CLSID

    그런 다음 OLE 개체 Microsoft Graph 차트를 찾는 경우 CLSID {00020803-0000-0000-C000-000000000046}이 필요할 수 있습니다. 찾은 후에는 Implemented Categories 키가 이미 있는지 확인하고, 없으면 새로 만듭니다. 이 예제의 경로는 다음과 같습니다.

    HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories

  2. 마지막으로 OLE 개체 확인 그룹 정책 설정에 해당하는 CATID의 새 하위 키를 Implemented Categories 키에 추가합니다.

    이 예제의 마지막 경로 및 값은 다음과 같습니다. HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

참고

자세한 내용은 Office 2013 관리 템플릿 파일(ADMX/ADML) 및 OTC(Office 사용자 지정 도구) TechNet 문서를 참조하세요.

참고 항목

Office 2013 보안 가이드
Office 2013의 보안 개요
OpenDocument 및 Office Open XML 형식에 대한 Office 2013의 그룹 정책 및 Office 사용자 지정 도구 설정

Internet Explorer에서 ActiveX 컨트롤의 실행을 중지하는 방법
Office 2013 관리 템플릿 파일(ADMX/ADML) 및 Office 사용자 지정 도구