Determinados Web sites e funcionalidades da ajuda HTML poderão não funcionar depois de instalar a actualização de segurança 896358 ou a actualização de segurança 890175

Depois de instalar a actualização de segurança 896358 ou 890175, poderá detectar um ou mais dos seguintes sintomas:

• Determinados tipos de programas baseados na Web poderão não funcionar correctamente. Por exemplo, um índice de ajuda HTML poderá deixar de funcionar.
• Determinadas funcionalidades da ajuda HTML poderão não funcionar quando abrir um ficheiro .chm a partir de uma localização remota. Por exemplo, a funcionalidade de tópicos relacionados poderá não funcionar.

Nota: este artigo contém informações complementares aos seguintes artigos da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

Este problema ocorre porque as actualizações de segurança 896358 e 890175 impedem que conteúdo HTML que não pertença à zona do computador local crie uma instância do controlo ActiveX da ajuda HTML (HHCTRL). Esta alteração foi introduzida para reduzir vulnerabilidades de segurança na ajuda HTML.

Aviso: os sintomas são um efeito previsto e pretendido da instalação das actualizações de segurança. Esta secção fornece exemplos para administradores que tenham de permitir novamente o controlo ActiveX da ajuda HTML para programas críticos. As medidas podem tornar o computador mais vulnerável às ameaças contra as quais as actualizações de segurança o protegem. O método mais seguro é não utilizar as medidas que envolvam o registo. Se tiver de utilizar medidas para contornar o problema, defina os valores de registo tão restritivos quanto possível.

Aviso: poderão ocorrer problemas graves se modificar o registo de forma incorrecta utilizando o Editor de registo (Registry Editor) ou qualquer outro método. Estes problemas poderão forçar a reinstalação do sistema operativo. A Microsoft não garante que estes problemas possam ser resolvidos. Todo e qualquer risco decorrente da modificação do registo é da responsabilidade do utilizador.

O primeiro dos seguintes exemplos é o mais restritivo. Os exemplos seguintes são sucessivamente menos restritivos.

Exemplo 1: Utilizar a entrada UrlAllowList para permitir URLs específicos

Aviso: inclua apenas URLs de sites que considere fidedignos.

O ficheiro .reg deste exemplo permite novamente que o controlo ActiveX da ajuda HTML seja hospedado no seguinte conteúdo remoto:

• Quaisquer ficheiros .chm existentes na pasta \\productmanuals\helpfiles
• Uma aplicação Web localizada em http://www.wingtiptoys.com/help.

Cole o seguinte texto num editor de texto como o Bloco de notas (Notepad). Em seguida, guarde o ficheiro utilizando a extensão de nome de ficheiro .reg.Não pode utilizar caracteres universais na cadeia do URL de qualquer site que seja adicionado à chave de registo UrlAllowList. Por exemplo, não pode utilizar a seguinte cadeia do URL: No entanto, pode utilizar a seguinte cadeia de URL: Esta cadeia permite que os seguintes sites hospedem o controlo ActiveX da ajuda HTML:

• http://help.wingtiptoys.com/research
• http://help.wingtiptoys.com/sales

Exemplo 2: Utilizar a entrada MaxAllowedZone para permitir uma zona de segurança

Aviso: a entrada MaxAllowedZone permite todos os sites de uma determinada zona. A utilização da entrada UrlAllowList pode ser mais segura. Se tiver de utilizar a entrada MaxAllowedZone, não defina um valor mais elevado do que necessário. Se definir este valor como 3 ou um valor mais elevado, exporá os seus sistemas a ataques a partir da Internet.

Nota: por predefinição, o valor da entrada MaxAllowedZone é definido como zero. A tabela que se segue resume o modo como são interpretadas as diferentes entradas pelo valor da entrada MaxAllowedZone. Cole o seguinte texto num editor de texto como o Bloco de notas (Notepad). Em seguida, guarde o ficheiro utilizando a extensão de nome de ficheiro .reg. Este ficheiro .reg permite que todo o conteúdo da zona da Intranet hospede o controlo ActiveX da ajuda HTML.

Exemplo 3: Utilizar as entradas UrlAllowList e MaxAllowedZone

Aviso: a entrada MaxAllowedZone permite todos os sites de uma determinada zona. A utilização da entrada UrlAllowList pode ser mais segura. Se tiver de utilizar a entrada MaxAllowedZone, não defina um valor mais elevado do que necessário. Se definir este valor como 3 ou um valor mais elevado, exporá os seus sistemas a ataques a partir da Internet.

Cole o seguinte texto num editor de texto como o Bloco de notas (Notepad). Em seguida, guarde o ficheiro utilizando a extensão de nome de ficheiro .reg. O ficheiro .reg seguinte permite que todo o conteúdo da zona da Intranet hospede o controlo ActiveX da ajuda HTML. Este ficheiro .reg também permite que dois sites da Internet hospedem o controlo.

Implementar as chaves de registo num domínio

Recomendamos que utilize a política de grupo para implementar as definições mencionadas nos exemplos anteriores deste artigo como scripts de arranque. Também pode implementar estas definições como scripts de início de sessão. No entanto, este método é menos desejável devido a restrições associadas às permissões.

Os passos seguintes são um exemplo da implementação das definições do Exemplo 1 como um script de arranque de política de grupo.

1. Cole o seguinte texto num editor de texto como o Bloco de notas (Notepad):

   REGEDIT4
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
   "UrlAllowList"="http://myintranetapplication/help/helpfiles;http://www.wingtiptoys.com/help/helpdocuments"

2. Guarde o ficheiro como um ficheiro .reg. Atribua o nome AllowTrustedSites.reg ao ficheiro.
3. Cole o seguinte texto num editor de texto como o Bloco de notas (Notepad):

   REGEDIT.EXE /S AllowTrustedSites.reg

4. Guarde o ficheiro como um ficheiro batch. Atribua o nome AllowTrustedSites.bat ao ficheiro.
5. Importe o ficheiro batch para o objecto de política de grupo (GPO). Para o fazer, siga estes passos:
   1. Cole o ficheiro batch que criou no passo 4 e o ficheiro .reg que criou no passo 2 na pasta \\NomeDomínio\SysVol\NomeDomínio\Policies\GUID do GPO seleccionado\Machine\Scripts\Startup.
   2. No computador em que pretende executar o objecto de política de grupo, clique em Iniciar (Start), clique em Executar (Run), escreva dsa.msc e clique em OK.
   3. Clique com o botão direito do rato no domínio e clique em Propriedades (Properties).
   4. Clique em Política de grupo (Group Policy) e clique em Novo (New).
   5. Escreva o nome que pretende utilizar para esta política e prima ENTER.
   6. Clique em Editar (Edit).
   7. Expanda Configuração do computador (Computer Configuration), expanda Definições do Windows (Windows Settings) e clique em Scripts (arranque/encerramento) [Scripts (Startup/Shutdown)].
   8. No painel da direita, faça duplo clique em Arranque (Startup) e clique em Adicionar (Add).
   9. Localize e clique no ficheiro batch criado no passo 4.
   10. Clique em Adicionar (Add).
   11. Clique em OK, clique em Sim (Yes) e clique em OK duas vezes.

Descrição geral e exemplos para administradores de sistemas

Para obter mais informações sobre a actualização de segurança 896358 e como pode permitir novamente aplicações Web afectadas por esta actualização, clique no número de artigo que se segue para visualizá-lo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

Zonas de segurança do Internet Explorer

Para obter mais informações sobre como utilizar zonas de segurança no Internet Explorer, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

Política de grupo

Para obter mais informações sobre política de grupo, visite os seguintes Web sites da Microsoft:

• Group Policy collection
  http://technet2.microsoft.com/WindowsServer/en/Library/6d7cb788-b31d-4d17-9f1e-b5ddaa6deecd1033.mspx (http://technet2.microsoft.com/WindowsServer/en/Library/6d7cb788-b31d-4d17-9f1e-b5ddaa6deecd1033.mspx)
• What is Group Policy Object Editor?
  http://technet2.microsoft.com/WindowsServer/en/Library/47ba1311-6cca-414f-98c9-2d7f99fca8a31033.mspx (http://technet2.microsoft.com/WindowsServer/en/Library/47ba1311-6cca-414f-98c9-2d7f99fca8a31033.mspx)
• Core Group Policy tools and settings
  http://technet2.microsoft.com/WindowsServer/en/Library/e926577a-5619-4912-b5d9-e73d4bdc94911033.mspx (http://technet2.microsoft.com/WindowsServer/en/Library/e926577a-5619-4912-b5d9-e73d4bdc94911033.mspx)

Suporte técnico para versões baseadas em x64 do Microsoft Windows

Em computadores com versões baseadas em x64 do Microsoft Windows, poderá ter de adaptar as instruções existentes na secção "Resolução" sobre como modificar o registo. Por exemplo, poderá ter de modificar outra parte do registo, consoante queira modificar a funcionalidade de 32 bits ou de 64 bits. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base): O seu fabricante de hardware fornece suporte técnico e assistência para versões baseadas em x64 do Windows. O seu fabricante de hardware fornece suporte porque foi incluída uma versão baseada em x64 do Windows no hardware. O fabricante de hardware pode ter personalizado a instalação do Windows com componentes exclusivos. Estes componentes exclusivos podem incluir controladores de dispositivo específicos ou definições opcionais para maximizar o desempenho do hardware. A Microsoft fornecerá assistência razoável se necessitar de ajuda técnica para a sua versão baseada em x64 do Windows. No entanto, poderá ter de contactar o fabricante directamente. O fabricante está melhor qualificado para oferecer suporte em relação ao software que instalou no hardware.

Para obter informações sobre o Microsoft Windows XP Professional x64 Edition, visite o seguinte Web site da Microsoft:Para obter informações sobre versões baseadas em x64 do Microsoft Windows Server 2003, visite o seguinte Web site da Microsoft: