為 Office 2013 規劃 COM 物件分類的設定

 

適用版本:Office 365 ProPlus

上次修改主題的時間:2016-12-16

摘要 說明如何使用 COM 物件分類控制 Office 2013 中某些 COM 物件的行為。

對象:IT 專業人員

COM 物件包括 ActiveX、物件連結與嵌入 (OLE)、Excel RealTimeData (RTD) 伺服器及 Office Web 元件 (OWC) 資料來源提供者。您可以透過 COM 物件分類,控制 Office 2013 特定 COM 物件的運作方式。例如,您可以建立安全性允許清單,只讓指定的 COM 物件載入,或您可選擇覆寫 Internet Explorer 刪除位元。

 

Office 安全性之指南的藍圖箭號

本文為<Office 2013 安全性的內容藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 安全性之文章、下載檔、海報及影片的起點。

您在尋找有關個別 Office 2013 應用程式的安全性資訊嗎?您可在 Office.com 上搜尋「2013 安全性」,即可找到此資訊。

本文內容:

Office 2013 會先檢查是否已為 COM 物件分類設定任何群組原則設定。如果其中有任何設定已啟用 COM 物件分類,Office 2013 就會驗證在登錄中的指定 COM 物件是否正確分類。

若要在組織中啟用 COM 物件分類,首先要決定哪些群組原則安全性設定符合組織的需求。然後,在登錄中新增目標 COM 物件的類別識別碼。

共有四種 COM 物件分類群組原則設定:

  • 檢查 OWC 資料來源提供者

  • 檢查 Excel RTD 伺服器

  • 檢查 OLE 物件

  • 檢查 ActiveX 物件

[檢查 OWC 資料來源提供者] 和 [檢查 Excel RTD 伺服器] 可設定為啟用或停用。若啟用這些設定,則 Office 2013 只會載入正確分類的 COM 物件。

若選取 [啟用],您會發現 [檢查 OLE 物件] 和 [檢查 ActiveX 物件] 有其他選項,如下表所示。

[檢查 OLE 物件] 和 [檢查 ActiveX 物件] 設定的選項

選項

描述

不檢查

Office 在載入 (OLE/ActiveX) 物件之前不會先檢查這些物件是否正確分類。

覆寫 IE 刪除位元清單 (預設行為)

Office 會以類別清單覆寫 Internet Explorer 刪除位元檢查。

嚴格允許清單

Office 僅載入正確分類的 ActiveX 物件。


覆寫 IE 刪除位元清單 選項可讓您特別列出哪些 OLE 或 ActiveX 控制項只要正確分類,即使是列於 Internet Explorer 刪除位元清單中,都可允許載入至 Office 2013。如果想讓指定為對載入至 Internet Explorer 視為不安全,但您知道對載入至 Office 是安全的的 COM 物件能被允許載入,即可使用此控制項。Office 也會檢查是否已啟用 Office COM 刪除位元。如需 Office COM 刪除位元及其如何影響 ActiveX 控制項設定的詳細資訊,請參閱為 Office 2013 規劃 ActiveX 控制項的安全性設定。如果啟用 Office COM 刪除位元,但無替代的 CLSID (亦稱為「Phoenix 位元」),就不會載入該 COM 物件。如需刪除位元行為的詳細資訊,請參閱<如何阻止 ActiveX 控制項在 Internet Explorer 中執行>這篇文章。

若想建立一份安全性允許清單,只允許指定的控制項可載入,任何未列於清單的 OLE 或 ActiveX 物件一律不允許載入,則可使用 [嚴格允許清單] 選項。

如果在群組原則中啟用任何 COM 物件分類設定,接下來您便需在登錄中新增該 COM 物件分類。

每個群組原則設定在登錄中都有對應的 COM 物件分類。下表列出這些設定。

群組原則設定和類別識別碼

群組原則設定

類別識別碼 (CATID)

檢查 OWC 資料來源提供者

{A67A20DD-16B0-4831-9A66-045408E51786}

檢查 Excel RTD 伺服器

{8F3844F5-0AF6-45C6-99C9-04BF54F620DA}

檢查 OLE 物件

{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

檢查 ActiveX 物件

{4FED769C-D8DB-44EA-99EA-65135757C156}

在登錄中加入對應的 COM 物件類別識別碼
  1. 為指定的 COM 物件新增正確的 CATID,除非群組原則設定為 [停用] 或 [啟用 | 不檢查]。在登錄中,尋找名為 Implemented Categories 的機碼。如果該機碼尚未存在,請將其新增至 COM 物件的 CLSID。然後,再對此 Implemented Categories 機碼新增子機碼,以包含該 CATID。

    例如,如果您建立一份允許清單,只允許 OLE 物件用於 Office,則應先查看登錄中的下列位置是否有該 COM 物件的 CLSID:

    HKEY_CLASSES_ROOT\CLSID

    然後,如果您要尋找 Microsoft Graph 圖表的 OLE 物件,您會預期有 CLSID {00020803-0000-0000-C000-000000000046}。在找到它後,確認 Implemented Categories 機碼已經存在,若不存在則加以建立。本範例的路徑為:

    HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories

  2. 最後,在該 Implemented Categories 機碼中,為對應於 [檢查 OLE 物件] 群組原則設定的 CATID 新增子機碼。

    本範例的最終路徑和值:HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

注意事項附註:
如需詳細資訊,請參閱<Office 2013 系統管理範本檔案 (ADMX/ADML) 和 Office 自訂工具>TechNet 文章。

顯示: