Элементы управления ActiveX и безопасность Office
Элементы управления Microsoft® ActiveX® в некоторых случаях могут представлять собой угрозу безопасности, поскольку с их помощью может распространяться вредоносный код или вирусы (особенно в тех случаях, когда на компьютере не настроены все необходимые параметры безопасности).
Например, если с веб-станицы загружается неподписанный элемент управления ActiveX, и при этом на компьютере не установлен уровень безопасности обозревателя Microsoft Internet Explorer Высокая (High) или Средняя (Medium), элемент ActiveX запустится без предупреждения. В том случае, если этот элемент содержит вирус или другой вредоносный код, работа операционной системы может быть нарушена, а содержащиеся на компьютере данные могут быть повреждены.
В этой статье содержится информация о том, что представляют собой элементы управления ActiveX, а также о том, как избежать проблем, связанных с установкой и использованием непроверенных элементов управления.
Что представляет собой элемент управления ActiveX
По существу элемент управления ActiveX является OLE- или COM-объектом. Элемент ActiveX – это программа, которая автоматически регистрируется в системном реестре при первом запуске.
Элемент управления ActiveX может быть как простым (как например текстовое поле), так и достаточно сложным (например, представлять собой ряд диалоговых окон). В некоторых случаях элемент ActiveX по сложности сравним с небольшим приложением. Модули ActiveX используются в качестве элементов управления на веб-страницах, в качестве надстроек, разрабатываемых сторонними производителями для крупных приложений, а также в качестве подключаемых модулей (plug-ins). С этой точки зрения элементы управления ActiveX аналогичны Java-приложениям, подключаемым модулям Netscape и выполняемым сценариям. Однако преимущество ActiveX по сравнению с другими возможностями программирования заключается в том, что элементы управления ActiveX могут использоваться в приложениях, написанных на различных языках, включая все языки, предназначенные для программирования баз данных Microsoft и управления ими.
Элементы управления ActiveX не являются самостоятельными решениями. Они могут быть запущены только из родительских приложений, таких как обозреватель Internet Explorer, приложения Microsoft Visual Basic®, среда разработки Visual C++® или Visual Basic for Applications и так далее. Модули ActiveX облегчают распространение специализированных элементов управления через сеть и интеграцию этих элементов в обозреватели веб-страниц. Элементы управления ActiveX могут предоставлять сведения о себе приложениям, в которых они используются.
Элементы управления ActiveX могут выполняться в виде сценариев веб-страниц. Это означает, что Вы можете создать или приобрести модуль ActiveX, представляющий собой элемент управления пользовательского интерфейса или элемент интерфейса графического устройства (Graphics Device Interface, GDI), а затем управлять им, программируя алгоритм его работы на языке сценариев (таком как VBScript или JavaScript™).
Параметры безопасности, связанные с инициализацией элементов ActiveX
На странице Specify Office Security Settings программ Custom Installation Wizard и Custom Maintenance Wizard доступны четыре уровня безопасности для элементов управления ActiveX:
- Do not configure
MST- или CMW-файл не изменяет параметры безопасности, настроенные на компьютере пользователя. Новые приложения устанавливаются с уровнем безопасности по умолчанию Prompt user to use persisted data.
- Prompt user to use control defaults
Перед инициализацией элемента ActiveX пользователь получает предупреждение о том, что выполнение кода такого элемента может быть небезопасным. Если пользователь доверяет источнику документа и подтверждает это, элемент ActiveX инициализируется с параметрами по умолчанию, которые отключают для элемента ActiveX возможность использования и сохранения постоянных данных. Это приводит к тому, что элемент управления всегда запускается с параметрами по умолчанию, тем самым, снижая возможность возникновения проблем, связанных с ошибочными настройками компьютера или умышленным проведением атак. Если задан этот уровень безопасности, при запуске элемента ActiveX пользователю выдается предупреждение, но, тем не менее, оно может быть проигнорировано.
- Prompt user to use persisted data
Перед инициализацией элемента ActiveX пользователь получает предупреждение о том, что выполнение кода такого элемента может быть небезопасным. Если пользователь доверяет источнику документа и подтверждает это, элемент ActiveX инициализируется, используя связанные с ним данные, сохраненные ранее. Если задан этот уровень безопасности, при использовании элемента ActiveX существует возможность проникновения вирусов в систему.
- Do not prompt
Элемент ActiveX может запускаться c конфигурацией по умолчанию. Если задан этот уровень безопасности, то элемент ActiveX может использовать данные, сохраненные в предыдущих сеансах, а пользователь не получает никаких уведомлений или предупреждений.
Использование администраторами этих параметров безопасности в мастере Custom Installation Wizard или Custom Maintenance Wizard обеспечивает дополнительный контроль над выполнением потенциально опасного кода элементов ActiveX на клиентских компьютерах. Для получения дополнительной информации о записях в системном реестре, относящихся к рассмотренным параметрам безопасности, обратитесь к статье Как работают системные политики на веб-странице Office 2003 Resource Kit.