После установки обновлений безопасности 896358 или 890175 недоступны функции HTML-справки и некоторые веб-узлы

Переводы статьи Переводы статьи
Код статьи: 892675 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивации, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Проблема

После установки обновлений безопасности 896358 или 890175 могут возникнуть следующие проблемы.
  • Некоторые виды веб-приложений могут работать неправильно. Например, может не работать оглавление HTML-справки.
  • Некоторые возможности HTML-справки могут не работать при просмотре файла CHM, находящегося на удаленном компьютере. Например, могут возникнуть сбои в работе ссылок «См. также».
Примечание. Материал данной статьи дополняет сведения, изложенные в следующих статьях базы знаний Майкрософт.
896358 MS05-026: Уязвимость в элементе управления HTML Help делает возможным удаленный запуск программного кода
890175 MS05-001: Уязвимость в HTML-справке делает возможным запуск программного кода

Причина

Проблема возникает, поскольку обновления безопасности 896358 и 890175 блокируют создание экземпляров элемента управления ActiveX HTML Help (HHCTRL), используемого при обработке содержимого в формате HTML, находящегося вне зоны локального компьютера. Данное изменение введено для снижения риска возникновения уязвимости при использовании HTML-справки.

Решение

Предупреждение. Установка этих обновлений безопасности должна вызывать перечисленные проблемы. В этом разделе содержатся примеры для администраторов, которым необходимо вновь подключить элемент управления ActiveX HTML Help для обеспечения работоспособности важнейших бизнес-приложений. Однако такие меры могут послужить причиной повышения уязвимости компьютера со стороны угроз, против которых направлено данное обновление безопасности. Для максимальной безопасности не рекомендуется применять временные изменения реестра. Если необходимо применить временные меры, в параметрах реестра следует устанавливать максимально возможные ограничения.

Предупреждение. Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может послужить причиной возникновения серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. Ответственность за результаты произведенных действий несет пользователь.

Первый из приведенных примеров устанавливает максимальные ограничения. В остальных примерах число ограничений последовательно сокращается.

Пример 1. Разрешение подключения к определенным адресам URL с помощью параметра UrlAllowList

Предупреждение. Добавлять следует только адреса URL надежных веб-узлов.

Файл REG, создаваемый в этом примере, повторно разрешает использование элемента управления ActiveX HTML Help в следующих видах удаленного содержимого:
  • все файлы с расширением CHM, находящиеся в папке \\productmanuals\helpfiles;
  • веб-приложение, расположенное по адресу http://www.wingtiptoys.com/help.
Скопируйте представленный ниже текст в окно текстового редактора (например, «Блокнот»). Далее сохраните файл с расширением REG.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"UrlAllowList"="\\\\productmanuals\\helpfiles;http://www.wingtiptoys.com/help/"
В строке адреса любого веб-узла, добавляемого в параметр реестра UrlAllowList, недопустимо использование символов подстановки. Например, недопустима следующая строка адреса URL:
"UrlAllowList"="http://*.wingtiptoys.com"
При этом допустима строка
"UrlAllowList"="http://help.wingtiptoys.com"
Эта строка разрешает использование элемента управления ActiveX HTML Help следующим веб-узлам:
  • http://help.wingtiptoys.com/research;
  • http://help.wingtiptoys.com/sales.

Пример 2. Использование параметра MaxAllowedZone для разрешения зоны безопасности

Предупреждение. Параметр MaxAllowedZone разрешает использование протокола InfoTech для всех веб-узлов, находящихся в определенной зоне. Использование параметра URLAllowList может оказаться более безопасным способом. Если необходимо использовать параметр MaxAllowedZone, его значение следует устанавливать не выше, чем требуется. Если установить значение параметра MaxAllowedZone, равное 3 или выше, снизится защищенность системы от атак из Интернета.

Примечание. По умолчанию значение параметра MaxAllowedZone равно нулю. Интерпретация разных значений параметра MaxAllowedZone представлена в следующей таблице.
Свернуть эту таблицуРазвернуть эту таблицу
MaxAllowedZoneзона «Локальный компьютер»зона «Местная интрасеть»зона «Надежные узлы»зона «Интернет»зона «Ограниченные узлы»
0РазрешенаБлокированаБлокированаБлокированаБлокирована
1РазрешенаРазрешенаБлокированаБлокированаБлокирована
2РазрешенаРазрешенаРазрешенаБлокированаБлокирована
3РазрешенаРазрешенаРазрешенаРазрешенаБлокирована
4РазрешенаРазрешенаРазрешенаРазрешенаРазрешена
Скопируйте представленный ниже текст в окно текстового редактора (например, «Блокнот»). Далее сохраните файл с расширением REG. Следующий файл REG разрешает использование элемента управления ActiveX HTML Help при обработке документов, находящихся в зоне интрасети.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"MaxAllowedZone"=dword:00000001

Пример 3. Использование параметров UrlAllowList и MaxAllowedZone

Предупреждение. Параметр MaxAllowedZone разрешает использование элементов управления ActiveX для всех веб-узлов, находящихся в определенной зоне. Использование параметра URLAllowList может оказаться более безопасным способом. Если необходимо использовать параметр MaxAllowedZone, его значение следует устанавливать не выше, чем требуется. Если установить значение параметра MaxAllowedZone, равное 3 или выше, снизится защищенность системы от атак из Интернета.

Скопируйте представленный ниже текст в окно текстового редактора (например, «Блокнот»). Далее сохраните файл с расширением REG. Следующий файл REG разрешает использование элемента управления ActiveX HTML Help при обработке документов, находящихся в зоне интрасети. Этот файл REG также разрешает использование элемента управления на двух веб-узлах из зоны Интернета.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"MaxAllowedZone"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"

Развертывание ключей системного реестра в домене

Развертывание настроек, описанных выше в данной статье, рекомендуется осуществить через сценарии запуска с помощью групповой политики. Эти параметры также можно использовать в качестве сценариев входа в систему, однако этот метод является менее предпочтительным из-за ограничений разрешений.

Ниже приведен пример использования сценария запуска для изменения параметров в соответствии с примером 1.
  1. Скопируйте представленный ниже текст в окно текстового редактора (например, «Блокнот»).
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "UrlAllowList"="http://myintranetapplication/help/helpfiles;http://www.wingtiptoys.com/help/helpdocuments"
  2. Сохраните файл с расширением REG. Задайте имя файла AllowTrustedSites.reg.
  3. Скопируйте представленный ниже текст в окно текстового редактора (например, «Блокнот»).
    REGEDIT.EXE /S AllowTrustedSites.reg
  4. Сохраните файл в виде пакетного файла (с расширением BAT). Задайте имя файла AllowTrustedSites.bat.
  5. Импортируйте пакетный файл в объект групповой политики. Для этого выполните следующие действия.
    1. Скопируйте командный файл, созданный на шаге 4, и файл с расширением REG, созданный на шаге 2, в папку \\имя_домена\SysVol\имя_домена\Policies\идентификатор_GUID_выбранного_объекта_групповой_политики\Machine\Scripts\Startup.
    2. На компьютере, где должен применяться данный объект групповой политики, выберите в меню Пуск пункт Выполнить, введите команду dsa.msc и нажмите кнопку .
    3. Щелкните нужный домен правой кнопкой мыши и выберите команду Свойства.
    4. Перейдите на вкладку Групповая политика и нажмите кнопку Создать.
    5. Введите имя создаваемого объекта групповой политики и нажмите клавишу ВВОД.
    6. Нажмите кнопку Изменить.
    7. Последовательно разверните узлы Конфигурация компьютера и Конфигурация Windows, а затем выберите элемент Сценарии (запуск/завершение).
    8. На правой панели дважды щелкните элемент Автозагрузка и нажмите кнопку Добавить.
    9. Найдите и выделите созданный на шаге 4 пакетный файл.
    10. Нажмите кнопку Добавить.
    11. Нажмите кнопку ОК, а затем — Да и еще два раза ОК.

Дополнительная информация

Обзор и примеры для системных администраторов

Дополнительные сведения об обновлении безопасности 896358 и о способах восстановления работоспособности веб-приложений, затронутых данным обновлением, см. в следующей статье базы знаний Майкрософт:
896358 MS05-026: Уязвимость в элементе управления HTML Help делает возможным удаленный запуск программного кода

Зоны безопасности обозревателя Internet Explorer

Дополнительные сведения об использовании зон безопасности в обозревателе Internet Explorer см. в следующей статье базы знаний Майкрософт:
174360 Использование зон безопасности в обозревателе Internet Explorer

Групповая политика

Дополнительные сведения о групповой политике см. на веб-узле Майкрософт по следующим адресам:

Техническая поддержка 64-разрядных версий Microsoft Windows

На компьютерах под управлением 64-разрядных версий Microsoft Windows может потребоваться пересмотр инструкций по изменению реестра, приведенных в разделе «Решение». Например, в зависимости от используемой версии – 32- или 64-разрядной – может потребоваться изменение разных частей реестра. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
896459 Изменения реестра в 64-разрядной версии Windows Server 2003 и Windows XP Professional x64 Edition (Эта ссылка может указывать на содержимое полностью или частично на английском языке.)
Поскольку 64-разрядная операционная система Windows поставляется в составе приобретенного оборудования, обязанности по предоставлению соответствующей технической поддержки несет производитель оборудования. Для оптимизации производительности системы производитель оборудования может индивидуально настраивать операционные системы Windows, устанавливая уникальные компоненты, например специальные драйверы устройств, и настраивая определенные параметры операционной системы. Корпорация Майкрософт предоставляет пользователям 64-разрядных версий Windows ограниченную техническую поддержку. Однако в первую очередь следует обращаться непосредственно к производителю оборудования. Производитель обладает наилучшими возможностями по поддержке установленного им программного обеспечения.

Для получения дополнительных сведений о 64-разрядных версиях Windows XP Professional обращайтесь на веб-узел Майкрософт по следующему адресу:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Для получения дополнительных сведений о 64-разрядных версиях Windows Server 2003 обращайтесь на веб-узел Майкрософт по следующему адресу:
http://www.microsoft.com/windowsserver2003/64bit/x64/default.mspx

Свойства

Код статьи: 892675 - Последний отзыв: 22 июня 2006 г. - Revision: 10.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Операционная система Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP 64-Bit Edition Version 2002 SP1
  • Microsoft Windows NT 4.0 Service Pack 6
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 6
  • операционная система Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
Ключевые слова: 
kbtshoot kbregistry kbprb KB892675

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com