Planen der Einstellungen für die Kategorisierung von COM-Objekten für Office 2013

  • Artikel

 

Gilt für: Office 365 ProPlus

Letztes Änderungsdatum des Themas: 2016-12-16

Zusammenfassung: In diesem Artikel wird erläutert, wie mithilfe der COM-Objektkategorisierung das Verhalten bestimmter COM-Objekte in Office 2013 gesteuert wird.

Zielgruppe: IT-Spezialisten

COM-Objekte können ActiveX, Object Linking and Embedding (OLE), RTD-Server (Excel RealTimeData) und OWC-Datenquellprovider (Office Web Components) einschließen. Mithilfe der COM-Objektkategorisierung können Sie das Verhalten bestimmter COM-Objekte in Office 2013 steuern. Sie können beispielsweise eine Sicherheitszulassungsliste erstellen, damit nur die angegebenen COM-Objekte geladen werden, oder Sie können das Internet Explorer-Killbit außer Kraft setzen.

Übersichtspfeil für Anleitung zur Office-Sicherheit.

Dieser Artikel ist Bestandteil der Leitfaden für die Office 2013-Sicherheit. Verwenden Sie diese Übersicht als Ausgangspunkt für Artikel, Downloads, Poster und Videos, mit deren Hilfe Sie die Sicherheit von Office 2013 bewerten.

Sie interessieren sich für Informationen, die die Sicherheit einzelner Office 2013-Anwendungen betreffen? Sie finden diese Informationen, indem Sie auf Office.com nach "2013-Sicherheit" suchen.

Inhalt dieses Artikels:

  • Informationen zur COM-Objektkategorisierung

  • Konfigurieren von Gruppenrichtlinien-Sicherheitseinstellungen für die COM-Objektkategorisierung

  • Hinzufügen der COM-Objektkategorisierung in der Registrierung

Informationen zur COM-Objektkategorisierung

Office 2013 überprüft zunächst, ob Gruppenrichtlinieneinstellungen für die COM-Objektkategorisierung konfiguriert sind. Wenn Einstellungen zur Verwendung der COM-Objektkategorisierung aktiviert sind, überprüft Office 2013, ob die angegebenen COM-Objekte in der Registrierung ordnungsgemäß kategorisiert sind.

Um die COM-Objektkategorisierung in der Organisation zu aktivieren, müssen Sie zunächst bestimmen, wie die Gruppenrichtlinien-Sicherheitseinstellungen optimal für die Anforderungen der Organisation konfiguriert werden sollten. Dann fügen Sie in der Registrierung die Kategorie-ID für die gewünschten COM-Objekte hinzu.

Konfigurieren von Gruppenrichtlinien-Sicherheitseinstellungen für die COM-Objektkategorisierung

Es gibt vier Gruppenrichtlinieneinstellungen für die COM-Objektkategorisierung:

  • Check OWC data source providers

  • Check Excel RTD servers

  • Check OLE objects

  • Check ActiveX objects

OWC-Datenquellenanbieter überprüfen und Excel-RTD-Server überprüfen können entweder aktiviert oder deaktiviert werden. Wenn Sie diese Einstellungen aktivieren, lädt Office 2013 nur die COM-Objekte, die ordnungsgemäß kategorisiert sind.

Wenn Sie Aktiviert auswählen, bieten OLE-Objekte überprüfen und ActiveX-Objekte überprüfen zusätzliche Optionen. Diese Optionen sind in der folgenden Tabelle aufgeführt.

Optionen für die Einstellungen „OLE-Objekte überprüfen“ und „ActiveX-Objekte überprüfen“

Option

Beschreibung

Do not check

Office lädt Objekte (OLE/ActiveX), ohne vorher zu überprüfen, ob diese ordnungsgemäß kategorisiert sind.

Override IE kill bit list (Standardverhalten)

Office verwendet die Kategorieliste, um Internet Explorer-Killbitüberprüfungen außer Kraft zu setzen.

Strict allow list

Office lädt nur ActiveX-Objekte, die ordnungsgemäß kategorisiert sind.

Mit der Option IE-Killbitliste außer Kraft setzen können Sie genau auflisten, welche OLE- oder ActiveX-Steuerelemente in Office 2013 geladen werden dürfen, sofern sie ordnungsgemäß kategorisiert sind, auch dann, wenn sie sich auf der Killbitliste von Internet Explorer befinden. Verwenden Sie dieses Steuerelement, wenn ein COM-Objekt zugelassen werden soll, das für das Laden in Internet Explorer als nicht sicher festgelegt ist, Sie aber wissen, dass dieses COM-Objekt sicher in Office geladen werden kann. Office überprüft auch, ob das Office-COM-Killbit aktiviert ist. Weitere Informationen zum Office-COM-Killbit und zu den Auswirkungen auf die Einstellungen für ActiveX-Steuerelemente finden Sie unter Planen von Sicherheitseinstellungen für ActiveX-Steuerelemente für Office 2013. Wenn das Office-COM-Killbit aktiviert ist und keine alternative CLSID vorliegt (auch als „Phoenix-Bit“ bezeichnet), wird das COM-Objekt nicht geladen. Weitere Informationen zum Verhalten von Killbits finden Sie unter So verhindern Sie die Ausführung von ActiveX-Steuerelementen in Internet Explorer.

Verwenden Sie die Option Strenge Zulassungsliste, wenn Sie eine Sicherheitszulassungsliste erstellen möchten, sodass nur die angegebenen Steuerelemente geladen werden dürfen und alle anderen OLE- oder ActiveX-Objekte, die nicht auf der Liste stehen, nicht geladen werden dürfen.

Wenn Sie die Einstellungen für die COM-Objektkategorisierung innerhalb der Gruppenrichtlinien aktivieren, besteht der nächste Schritt im Hinzufügen der COM-Objektkategorisierung in der Registrierung.

Hinzufügen der COM-Objektkategorisierung in der Registrierung

Jede Gruppenrichtlinieneinstellung verfügt über eine entsprechende Einstellung für die COM-Objektkategorisierung in der Registrierung. Diese Einstellungen sind in der folgenden Tabelle aufgeführt.

Gruppenrichtlinieneinstellungen und Kategorie-IDs

Gruppenrichtlinieneinstellung

Kategorie-ID (CATID)

Check OWC data source providers

{A67A20DD-16B0-4831-9A66-045408E51786}

Check Excel RTD servers

{8F3844F5-0AF6-45C6-99C9-04BF54F620DA}

Check OLE objects

{F3E0281E-C257-444E-87E7-F3DC29B62BBD}

Check ActiveX objects

{4FED769C-D8DB-44EA-99EA-65135757C156}

So fügen Sie die entsprechende Kategorie-ID des COM-Objekts in der Registrierung hinzu

  1. Fügen Sie eine korrekte CATID für die angegebenen COM-Objekte hinzu. Dies gilt nicht, wenn die Gruppenrichtlinie auf Deaktiviert oder Aktiviert | Nicht prüfen festgelegt ist. Suchen Sie in der Registrierung nach einem Schlüssel namens Implementierte Kategorien. Wenn dieser nicht vorhanden ist, fügen Sie ihn der CLSID des COM-Objekts hinzu. Anschließend fügen Sie dem Schlüssel „Implementierte Kategorien“ einen Unterschlüssel hinzu, der die CATID enthält.

    Wenn Sie beispielsweise eine Zulassungsliste erstellen, um nur das OLE-Objekt für die Verwendung in Office zuzulassen, suchen Sie zunächst die CLSID für dieses COM-Objekt am folgenden Ort in der Registrierung:

    HKEY_CLASSES_ROOT\CLSID

    Wenn Sie nach dem OLE-Objekt „Microsoft Graph-Diagramm“ suchen, lautet die erwartete CLSID {00020803-0000-0000-C000-000000000046}. Nachdem Sie es gefunden haben, überprüfen Sie, ob der Schlüssel implementierte Kategorien bereits vorhanden ist. Falls nicht, erstellen Sie diesen. Der Pfad in diesem Beispiel lautet:

    HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories

  2. Schließlich fügen Sie dem Schlüssel Implementierte Kategorien einen neuen Unterschlüssel für die CATID hinzu, der der Gruppenrichtlinieneinstellung „OLE-Objekt prüfen“ entspricht.

    Der abschließende Pfad und die abschließenden Werte in diesem Beispiel lauten: HKEY_CLASSES_ROOT\CLSID\{00020803-0000-0000-C000-000000000046}\Implemented Categories\{F3E0281E-C257-444E-87E7-F3DC29B62BBD}.

Tipp

Weitere Informationen finden Sie in dem TechNet-Artikel Administrative Office 2013-Vorlagendateien (ADMX/ADML) und Office Anpassungstool.

Siehe auch

Leitfaden für die Office 2013-Sicherheit
Übersicht über die Sicherheit in Office 2013
Gruppenrichtlinieneinstellungen und Einstellungen des Office-Anpassungstools in Office 2013 für OpenDocument- und Office Open XML-Formate

So verhindern Sie die Ausführung von ActiveX-Steuerelementen in Internet Explorer
Administrative Vorlagendateien (ADMX/ADML) und Dateien des Office-Anpassungstools für Office 2013