Skydd mot säkerhetsproblemet Klicka och rulla i Internet Explorer

Artikelöversättning Artikelöversättning
Artikel-id: 888534 - Visa produkter som artikeln gäller.
Viktigt! Denna artikel innehåller information om hur du redigerar registret. Innan du redigerar registret måste du vara säker på att du kan återställa det om det uppstår något problem. Om du vill veta mer om hur du säkerhetskopierar, återställer och redigerar registret klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
256986 Beskrivning av registret i Microsoft Windows
Visa alla | Dölj alla

På den här sidan

Sammanfattning

Microsoft undersöker för närvarande rapporter om ett säkerhetsproblem i Microsoft Internet Explorer som kallas Klicka och rulla. I den här artikeln beskrivs säkerhetsproblemet Dessutom beskrivs åtgärder för att skydda datorn.

INLEDNING

Vi undersöker för närvarande rapporter om ett säkerhetsproblem i Internet Explorer som kallas Klicka och rulla. Problemet berör alla Windows-versioner som stöds. Säkerhetsproblemet gör det möjligt för en angripare att placera en skadlig fil på datorn om du besöker en skadlig webbplats. När detta skrivs, 26.10.04, känner Microsoft inte till att några kunder har drabbats av säkerhetsproblemet. Microsoft kommer att fortsätta att undersöka säkerhetsproblemet för att fastställa lämpliga åtgärder för att skydda kunderna. Dessutom informerar Microsoft om hur du kan skydda din dator. Kunderna bör vidta dessa åtgärder.

Obs! Följande åtgärder beskrivs närmare nedan.
  1. Hämta och installera den kumulativa säkerhetsuppdateringen MS04-038 för Internet Explorer. Om du vill veta mer om hur du gör klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    834707 MS04-038: Kumulativ säkerhetsuppdatering för Internet Explorer
  2. Inaktivera alternativet Dra och släpp eller kopiera och klistra in filer i webbinnehållszonerna Internet och Intranät.
Du måste göra följande för att drabbas av det här säkerhetsproblemet:
  • Besöka en skadlig webbplats.
  • Interagera med den skadliga webbplatsen genom att klicka i webbläsarfönstret eller trycka på vissa tangenter på tangentbordet.
  • Göra något av följande så att den skadliga filen körs:
    • Logga ut från datorn och sedan logga in igen.
    • Starta om datorn.
Obs! Om du använder säkerhetsnivån Hög för zonen Internet påverkas du inte av det här säkerhetsproblemet. Mer information om hur du ökar säkerheten när du surfar och använder e-post finns på följande Microsoft-webbplats:
http://www.microsoft.com/security/incident/settings.mspx

Mer Information

Varning! Om du använder Registereditorn fel kan det medföra att du måste installera om operativsystemet. Microsoft kan inte garantera att du kan lösa problem som uppstår på grund av felaktig användning av Registereditorn. Använd Registereditorn på egen risk.

Microsoft rekommenderar att du använder någon av följande metoder för att skydda datorerna.

Hemanvändare och icke-företagskunder

Installera uppdateringen MS04-038 och inaktivera alternativet Dra och släpp eller kopiera och klistra in filer

Resultat av konfigurationen: Vid försök att flytta eller kopiera filer med hjälp av Internet Explorer eller Utforskaren efter följande åtgärder visas kanske ett felmeddelande. Följande felmeddelande kan exempelvis visas vid försök att kopiera och klistra in eller dra och släppa:
Säkerhetsvarning
Dina nuvarande säkerhetsinställningar tillåter inte att filer kopieras eller flyttas från den här zonen.
Om du vill kopiera och klistra in eller dra och släppa när du använder den här konfigurationen, följer du instruktionerna i "Återställa tidigare inställning för Dra och släppa eller kopiera och klistra in filer" nedan.

Så här installerar du uppdateringen MS04-038 och inaktiverar alternativet Dra och släpp eller kopiera och klistra in filer:
  1. Hämta och installera den kumulativa säkerhetsuppdateringen MS04-038 för Internet Explorer. Om du vill veta mer om hur du gör klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    834707 MS04-038: Kumulativ säkerhetsuppdatering för Internet Explorer
    Ytterligare information om den kumulativa säkerhetsuppdateringen MS04-038 för Internet Explorer finns på följande Microsoft-webbplats:
    http://www.microsoft.com/security/bulletins/200410_windows.mspx
    Viktigt! Du måste installera den kumulativa säkerhetsuppdateringen MS04-038 för Internet Explorer för att konfigurationen som beskrivs i den här artikeln ska fungera.
  2. Inaktivera alternativet Dra och släpp eller kopiera och klistra in filer i webbinnehållszonerna Internet och Lokalt intranät Gör så här:
    1. Klicka på InternetalternativVerktyg-menyn i Internet Explorer och sedan på fliken Säkerhet.
    2. Klicka på Internet i rutan Markera en zon om du vill ange säkerhetsinställningar för zonen och sedan på Anpassad nivå.
    3. Leta upp alternativet Dra och släpp eller kopiera och klistra in filer i rutan Inställningar under Diverse. Anteckna den aktuella inställningen.
    4. Klicka på Inaktivera under Dra och släpp eller kopiera och klistra in filer och OK.
    5. Klicka på Ja och sedan två gånger på OK.
    6. Upprepa samma åtgärder för zonen Lokalt intranät genom att klicka på Lokalt intranät i stället för Internet i steg 2b.

Återställa tidigare inställning för Dra och släppa eller kopiera och klistra in filer

Så här återställer du din tidigare inställning för Dra och släppa eller kopiera och klistra in filer:
  1. Klicka på InternetalternativVerktyg-menyn i Internet Explorer och sedan på fliken Säkerhet.
  2. Klicka på Internet i rutan Markera en zon om du vill ange säkerhetsinställningar för zonen och sedan på Anpassad nivå.
  3. Leta upp alternativet Dra och släpp eller kopiera och klistra in filer i rutan Inställningar under Diverse.
  4. Klicka på alternativet du antecknade i steg 2c ovan och sedan på OK.
  5. Klicka på Ja och sedan två gånger på OK.
  6. Upprepa samma åtgärder för zonen Lokalt intranät genom att klicka på Lokalt intranät i stället för Internet i steg 2.

Företagskunder

Installera uppdateringen MS04-038 och inaktivera alternativet Dra och släpp eller kopiera och klistra in filer i en domän

Resultat av konfigurationen: Efter följande åtgärder kan vissa funktioner i vissa Windows-program och Windows-komponenter gå förlorade. Innan de här ändringarna görs i en produktionsmiljö bör de testas ingående för att säkerställa att verksamhetskritiska program fortfarande fungerar på rätt sätt för alla användare.

Viktigt! På grund av verksamhetens krav kan företagskunder kanske inte inaktivera alternativet Dra och släpp eller kopiera och klistra in filer. Du kan ändå skydda datorer med Microsoft Windows XP Service Pack 2 (SP2) genom att inaktivera ActiveX-kontrollen Hhctrl.ocx. Information om hur du gör detta finns i "Inaktivera HTML-hjälpkontrollen (ActiveX-kontrollen Hhctrl.ocx) manuellt" nedan.

Det kan hända att du ändå behöver kopiera och klistra eller dra och släppa filer när du använder den här konfigurationen. Följ i så fall instruktionerna i "Återställa alternativet Dra och släppa eller kopiera och klistra in filer i en domän" nedan.

Så här installerar du uppdateringen MS04-038 och inaktiverar alternativet Dra och släpp eller kopiera och klistra in filer i en domän:
  1. Hämta den kumulativa säkerhetsuppdateringen MS04-038 för Internet Explorer och distribuera den sedan till alla datorer i domänen. Om du vill veta mer om hur du hämtar den här säkerhetsuppdateringen klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    834707 MS04-038: Kumulativ säkerhetsuppdatering för Internet Explorer
    Mer information om distribution av den här uppdateringen finns i "Security Update Information" på följande Microsoft-webbplats:
    http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx
    Viktigt! Du måste installera den kumulativa säkerhetsuppdateringen MS04-038 för Internet Explorer för att konfigureringen som beskrivs i den här artikeln ska fungera.
  2. Använd Grupprincip för att inaktivera alternativet Dra och släpp eller kopiera och klistra in filer på alla datorer i en domän med Microsoft Windows 2000 eller Microsoft Windows Server 2003. Utför åtgärden med lämplig metod för miljön.
    Inställningen Säkerhetszoner: Använd endast datorinställningar är inte aktiverad i Grupprincip
    1. Starta snapin-modulen Active Directory - användare och datorer så här: klicka på Start på en domänkontrollant, klicka på Kör, skriv dsa.msc och klicka på OK.
    2. Högerklicka på domänen, klicka på Egenskaper och klicka på fliken Grupprincip.
    3. Klicka på Nytt, skriv in ett beskrivande namn på det nya grupprincipobjektet och tryck på RETUR. Klicka till exempel på Nytt, skriv Korrigering för Klicka och rulla i Internet Explorer och tryck på RETUR.
    4. Klicka på Redigera för att ändra det nya grupprincipobjektet du skapade i steg 3.
    5. Expandera Användarkonfiguration, Windows-inställningar, Underhåll av Internet Explorer och Säkerhet samt dubbelklicka på Säkerhetszoner och Innehållsklassificering.
    6. Klicka på Importera aktuella inställningar för säkerhetszoner och sekretess under Säkerhets- och sekretessinställningar. Klicka på Fortsätt om du tillfrågas om du vill fortsätta.
    7. Klicka på Ändra inställningar.
    8. Klicka på Lokalt intranät och sedan på Anpassad nivå.
    9. Visa alternativet Dra och släpp eller kopiera och klistra in filer. Anteckna inställningen och klicka sedan på Inaktivera.
    10. Klicka på OK, Ja och sedan två gånger på OK.
    11. Upprepa åtgärd 8 till och med 10, men klicka på Zonen Internet i stället för Lokalt intranät i steg 8.
    Viktigt! Ändringar verkställs inte på domänanvändarkonton förrän användarna loggar in i domänen.
    Inställningen Säkerhetszoner: Använd endast datorinställningar är aktiverad i Grupprincip
    1. Ändra 1802-registervärdena till 3 på domänkontrollanten där snapin-modulen Active Directory - Användare och datorer ska användas:
      • För 32-bitars versioner av Internet Explorer i 32-bitars versioner av Windows eller för 64-bitars versioner av Internet Explorer i 64-bitars versioner av Windows XP eller i Windows Server 2003 ändrar du följande registerundernycklar på datorer i din domän:
        • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
        • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
        Skapa en registerfil och en kommandofil (.batch) Gör så här:
        1. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
          REGEDIT4
          
          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
          "1802"=dword:00000003
          
          [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
          "1802"=dword:00000003
        2. Spara filen som "Disable1802.reg".
        3. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
          REGEDIT.EXE  /S   Disable1802.reg
        4. Spara filen som "Disable1802.bat".

          Obs! Innan du distribuerar kommandofilen måste du kontrollera att den fungerar genom att testa den på en dator.
      • För 32-bitars versioner av Internet Explorer i 64-bitars versioner av Windows XP eller i 64-bitars versioner av Windows Server 2003 ändrar du följande registerundernycklar på datorerna i din domän:
        • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
        • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
        Skapa en registerfil och en kommandofil Gör så här:
        1. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
          REGEDIT4
          
          [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
          "1802"=dword:00000003
          
          [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
          "1802"=dword:00000003
        2. Spara filen som "Disable1802_64.reg".
        3. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
          REGEDIT.EXE  /S   Disable1802_64.reg
        4. Spara filen som "Disable1802_64.bat".

          Obs! Innan du distribuerar kommandofilen måste du kontrollera att den fungerar genom att testa den på en dator.
    2. Skapa ett nytt grupprincipobjekt och importera sedan inställningarna till det Gör så här:
      1. Kopiera kommandofilen och REG-filen från steg 1 till \\Domännamn\SysVol\Domännamn\Policies\GUID för den valda mappen Grupprincipobjekt\Dator\Scripts\Autostart.
      2. Starta snapin-modulen Active Directory - Användare och datorer på samma dator som användes i steg 1. Klicka på Start, Kör, skriv dsa.msc och klicka på OK.
      3. Högerklicka på domänen, klicka på Egenskaper och klicka på fliken Grupprincip.
      4. Klicka på Nytt, skriv in ett beskrivande namn på det nya grupprincipobjektet och tryck på RETUR. Klicka till exempel på Nytt, skriv Korrigering för Klicka och rulla i Internet Explorer och tryck på RETUR.
      5. Klicka på Redigera för att ändra det nya grupprincipobjektet du skapade i steg 2d.
      6. Expandera Datorkonfiguration, Windows-inställningar och klicka på Skript (start/avslut), Autostart och Lägg till.
      7. Leta upp och klicka på kommandofilen från steg 1, och klicka sedan på Lägg till.
      8. Klicka på OK, Ja och sedan två gånger på OK.
Viktigt! Ändringar verkställs inte på domänanvändarkonton förrän användarna loggar in i domänen.

Återställa alternativet Dra och släpp eller kopiera och klistra in filer i en domän

Du kan återställa alternativet Dra och släpp eller kopiera och klistra in filer på alla datorer i en domän med Windows 2000 eller Windows Server 2003 med hjälp av Grupprincip Gör så här:
  1. Ändra 1802-registervärdena till 0 på domänkontrollanten där snapin-modulen Active Directory - Användare och datorer ska användas:
    • För 32-bitars versioner av Internet Explorer i 32-bitars versioner av Windows eller för 64-bitars versioner av Internet Explorer i 64-bitars versioner av Windows XP eller i Windows Server 2003 ändrar du följande två registerundernycklar:
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
      • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
      Skapa en registerfil och en kommandofil Gör så här:
      1. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
        REGEDIT4  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1802"=dword:00000000  [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1802"=dword:00000000
      2. Spara filen som "Enable1802.reg".
      3. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
        REGEDIT.EXE  /S   Enable1802.reg
      4. Spara filen som "Enable1802.bat".

        Obs! Innan du distribuerar kommandofilen måste du kontrollera att den fungerar genom att testa den på en dator.
    • För 32-bitars versioner av Internet Explorer i 64-bitars versioner av Windows XP eller i 64-bitars versioner av Windows Server 2003 ändrar du följande registerundernycklar:
      • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
      • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
      1. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
        REGEDIT4  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1802"=dword:00000000  [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1802"=dword:00000000
      2. Spara filen som "Enable1802_64.reg".
      3. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
        REGEDIT.EXE  /S   Enable1802_64.reg
      4. Spara filen som "Enable1802_64.bat".

        Obs! Innan du distribuerar kommandofilen måste du kontrollera att den fungerar genom att testa den på en dator.
  2. Skapa ett nytt grupprincipobjekt och importera sedan inställningarna till det Gör så här:
    1. Kopiera kommandofilen och REG-filen från steg 1 till \\Domännamn\SysVol\Domännamn\Policies\GUID för den valda mappen Grupprincipobjekt\Dator\Scripts\Autostart.
    2. Starta snapin-modulen Active Directory - Användare och datorer på samma dator som användes i steg 1. Klicka på Start, Kör, skriv dsa.msc och klicka på OK.
    3. Högerklicka på domänen, klicka på Egenskaper och klicka på fliken Grupprincip.
    4. Klicka på det nya grupprincipobjektet från steg 2d i "Installera uppdateringen MS04-038 och inaktivera alternativet Dra och släpp eller kopiera och klistra in filer i en domän" och tryck på RETUR.
    5. Klicka på Redigera.
    6. Expandera Datorkonfiguration, Windows-inställningar och klicka på Skript (start/avslut), Autostart och Lägg till.
    7. Leta upp och klicka på kommandofilen från steg 1, och klicka sedan på Lägg till.
    8. Klicka på OK, Ja och sedan två gånger på OK.

Inaktivera HTML-hjälpkontrollen (ActiveX-kontrollen Hhctrl.ocx) manuellt

Om du inte kan inaktivera alternativet Dra och släpp eller kopiera och klistra in filer kan du skydda datorer med Windows XP SP2 genom att inaktivera HTML-hjälpkontrollen (ActiveX-kontrollen Hhctrl.ocx).

Resultat av konfigurationen: Inaktivering av ActiveX-kontrollen Hhctrl.ocx skyddar endast datorer med Windows XP SP2. Om Hhctrl.ocx inaktiveras kan kontrollen inte instansieras i Internet Explorer. Konfigurationen orsakar problem med programkompatibilitet, till exempel följande:
  • Index-funktionen i Hjälp- och supportcenter fungerar inte längre.
  • Funktioner som Närliggande ämnen och Genvägar fungerar inte längre i HTML-hjälpen.
  • Funktioner i HTML-hjälpkontrollen i Enterprise-intranätprogram fungerar inte längre.
Varning! Genom följande åtgärder distribueras den här konfigurationen till alla datorer i domänen. Du måste utföra vissa åtgärder om du har en blandad miljö med Windows 2000, Windows XP Service Pack 1 (SP1) och Windows XP SP2. Alla datorer med Windows XP SP2 måste till exempel placeras centralt i en Active Directory-organisationsenhet. Du måste använda grupprincipen du skapar med den här metoden på denna organisationsenhet. När du har distribuerat konfigurationen kan du flytta tillbaka datorerna med Windows XP SP2 till deras ursprungliga organisationsenheter.
  1. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
    REGEDIT4  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41B23C28-488E-4E5C-ACE2-BB0BBABE99E8}\]  "Compatibility Flags"=dword:00000400 
  2. Spara filen som "DisableHhctrl.reg".
  3. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
    REGEDIT.EXE  /S   DisableHhctrl.reg 
  4. Spara filen som "DisableHhctrl.bat".

    Obs! Innan du distribuerar kommandofilen måste du kontrollera att den fungerar genom att testa den på en dator.
  5. Importera kommandofilen till grupprincipobjektet Gör så här:
    1. Kopiera kommandofilen från steg 4 och filen DisableHhctrl.reg till \\Domännamn\SysVol\Domännamn\Policies\GUID för den valda mappen Grupprincipobjekt\Dator\Scripts\Autostart.
    2. Gör följande på datorn där du vill köra snapin-modulen Active Directory - Användare och datorer: klicka på Start, Kör, skriv dsa.msc och klicka på OK.
    3. Klicka på Redigera.
    4. Expandera Datorkonfiguration, Windows-inställningar och klicka på Skript (start/avslut), Autostart och Lägg till.
    5. Leta upp och klicka på kommandofilen från steg 4, och klicka sedan på Lägg till.
    6. Klicka på OK, Ja och sedan två gånger på OK.
Om du vill återställa standardinställningarna för HTML-hjälpkontrollen när du använder den här konfigurationen följer du instruktionerna i "Återställa standardinställningarna för HTML-hjälpkontrollen" nedan.

Återställa standardinställningarna för HTML-hjälpkontrollen

Så här återställer du standardinställningarna för HTML-hjälpkontrollen:
  1. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
    REGEDIT4  [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41B23C28-488E-4E5C-ACE2-BB0BBABE99E8}\] 
  2. Spara filen som "EnableHhctrl.reg".
  3. Kopiera följande text och klistra in den i en textredigerare (till exempel Anteckningar):
    REGEDIT.EXE  /S   EnableHhctrl.reg
  4. Spara filen som "EnableHhctrl.bat".

    Obs! Innan du distribuerar kommandofilen måste du kontrollera att den fungerar genom att testa den på en dator.
  5. Importera kommandofilen till grupprincipobjektet Gör så här:
    1. Kopiera kommandofilen från steg 4 och filen EnableHhctrl.reg till \\Domännamn\SysVol\Domännamn\Policies\GUID för den valda mappen Grupprincipobjekt\Dator\Scripts\Autostart.
    2. Starta snapin-modulen Active Directory - användare och datorer så här: klicka på Start på en domänkontrollant, klicka på Kör, skriv dsa.msc och klicka på OK.
    3. Högerklicka på domänen, klicka på Egenskaper och klicka på fliken Grupprincip.
    4. Klicka på det nya grupprincipobjektet från steg 4 i "Inaktivera HTML-hjälpkontrollen (ActiveX-kontrollen Hhctrl.ocx) manuellt" ovan och tryck på RETUR.
    5. Klicka på Redigera.
    6. Expandera Datorkonfiguration, Windows-inställningar och klicka på Skript (start/avslut), Autostart och Lägg till.
    7. Leta upp och klicka på kommandofilen från steg 4, och klicka sedan på Lägg till.
    8. Klicka på OK, Ja och sedan två gånger på OK.

Egenskaper

Artikel-id: 888534 - Senaste granskning: den 14 februari 2007 - Revision: 4.4
Informationen i denna artikel gäller:
  • Microsoft Internet Explorer 5.0
  • Microsoft Internet Explorer 6.0
Nyckelord: 
kbsecvulnerability kbdirservices kbregistry kbsecurity kbinfo kbhowto KB888534

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com