安装安全更新 896358 或 890175 后,某些网站和 HTML 帮助功能可能无法运作

文章翻译 文章翻译
文章编号: 892675 - 查看本文应用于的产品
重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
展开全部 | 关闭全部

本文内容

症状

安装安全更新 896358 或 890175 后,可能会遇到下列一个或多个症状:
  • 某些类型的基于 Web 的程序可能无法正常运行。例如,HTML 帮助中的目录可能不再起作用。
  • 从远程位置打开 .chm 文件时,某些 HTML 帮助功能可能不起作用。例如,“相关主题”功能可能不起作用。
注意:本文包含以下 Microsoft 知识库文章的补充信息:
896358 MS05-026:HTML 帮助中的漏洞可能允许远程执行代码
890175 MS05-001:HTML 帮助中的漏洞可能允许代码执行

原因

之所以出现此问题,原因是安全更新 896358 和 890175 会阻止本地计算机区域以外的 HTML 内容创建 HTML 帮助 ActiveX 控件 (HHCTRL) 的实例。引入此更改的目的是为了减少 HTML 帮助中的安全漏洞。

解决方案

警告:安装这些安全更新后会出现这些症状是预料之中的。本节为必须对关键业务程序重新启用 HTML 帮助 ActiveX 控件的管理员提供了一些示例。这些替代方法可能会危及计算机,使之更容易遭受上述安全更新所克制的威胁。最安全的做法是不要使用注册表替代方法。如果必须使用替代方法,请尽可能严格地设置注册表值。

警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能导致严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

下面的第一个示例是限制性最强的。后面几个示例的限制性相继减弱。

示例 1:使用 URLAllowList 项启用特定 URL

警告:应只包括受信任网站的 URL。

本示例中的 .reg 文件使得在以下远程内容中能够重新承载 HTML 帮助 ActiveX 控件:
  • 位于 \\productmanuals\helpfiles 文件夹中的所有 .chm 文件
  • 位于 http://www.wingtiptoys.com/help 中的 Web 应用程序。
将以下文本粘贴到文本编辑器(如记事本)中。然后用 .reg 文件扩展名保存该文件。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"UrlAllowList"="\\\\productmanuals\\helpfiles;http://www.wingtiptoys.com/help/"
不能在添加到 UrlAllowList 注册表项的任何网站的 URL 字符串中使用通配符。例如,不能使用以下 URL 字符串:
“UrlAllowList"="http://*.wingtiptoys.com”
但可以使用以下 URL 字符串:
“UrlAllowList"="http://help.wingtiptoys.com”
此字符串可使下列网站能够承载 HTML 帮助 ActiveX 控件:
  • http://help.wingtiptoys.com/research
  • http://help.wingtiptoys.com/sales

示例 2:使用 MaxAllowedZone 项启用安全区域

警告:MaxAllowedZone 项会启用特定区域中的所有网站。使用 UrlAllowList 项可能较为安全。如果必须使用 MaxAllowedZone 项,请不要将此值设置得高于所需值。如果将 MaxAllowedZone 值设为 3 或更高,则系统会很容易受到来自 Internet 的攻击。

注意:默认情况下,MaxAllowedZone 项的值设置为 0。下表概述了 MaxAllowedZone 项的值对各个项的解释。
收起该表格展开该表格
MaxAllowedZone本地计算机区域本地 Intranet 区域受信任的站点区域Internet 区域受限站点区域
0允许阻止阻止阻止阻止
1允许允许阻止阻止阻止
2允许允许允许阻止阻止
3允许允许允许允许阻止
4允许允许允许允许允许
将以下文本粘贴到文本编辑器(如记事本)中。然后用 .reg 文件扩展名保存该文件。该 .reg 文件使 Intranet 区域中的所有内容都能够承载 HTML 帮助 ActiveX 控件。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"MaxAllowedZone"=dword:00000001

示例 3:使用 URLAllowList 项和 MaxAllowedZone 项

警告:MaxAllowedZone 项会启用特定区域中的所有网站。使用 UrlAllowList 项可能较为安全。如果必须使用 MaxAllowedZone 项,请不要将此值设置得高于所需值。如果将 MaxAllowedZone 值设为 3 或更高,则系统会很容易受到来自 Internet 的攻击。

将以下文本粘贴到文本编辑器(如记事本)中。然后用 .reg 文件扩展名保存该文件。下面的 .reg 文件可使 Intranet 区域中的所有内容都能够承载 HTML 帮助 ActiveX 控件。此 .reg 文件还可使两个 Internet 网站能够承载该控件。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"MaxAllowedZone"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"

在域中部署注册表项

建议您使用组策略将本文示例中提到的设置部署为启动脚本。也可将这些设置部署为登录脚本。但是,此方法因存在权限约束而不够理想。

以下步骤是一个示例,演示如何将示例 1 中的设置部署为组策略启动脚本。
  1. 将以下文本粘贴到文本编辑器(如记事本)中:
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "UrlAllowList"="http://myintranetapplication/help/helpfiles;http://www.wingtiptoys.com/help/helpdocuments"
  2. 将该文件保存为 .reg 文件,并将其命名为 AllowTrustedSites.reg。
  3. 将以下文本粘贴到文本编辑器(如记事本)中:
    REGEDIT.EXE /S AllowTrustedSites.reg
  4. 将该文件保存为批处理文件,并将其命名为 AllowTrustedSites.bat。
  5. 将该批处理文件导入组策略对象 (GPO) 中。为此,请按照下列步骤操作:
    1. 将在步骤 4 中创建的批处理文件和在步骤 2 中创建的 .reg 文件粘贴到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 文件夹中。
    2. 在要运行该组策略对象的计算机上,单击“开始”,单击“运行”,键入 dsa.msc,然后单击“确定”。
    3. 右键单击您的域,然后单击“属性”。
    4. 单击“组策略”,然后单击“新建”。
    5. 键入要用于该策略的名称,然后按 Enter 键。
    6. 单击“编辑”。
    7. 依次展开“计算机配置”和“Windows 设置”,然后单击“脚本 (启动/关机)”。
    8. 在右窗格中,双击“启动”,然后单击“添加”。
    9. 找到并单击在步骤 4 中创建的批处理文件。
    10. 单击“添加”。
    11. 单击“确定”,单击“是”,然后单击两次“确定”。

更多信息

系统管理员概述和示例

有关安全更新 896358 以及如何重新启用受此更新影响的 Web 应用程序的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
896358 MS05-026:HTML 帮助中的漏洞可能允许远程执行代码

Internet Explorer 安全区域

有关如何在 Internet Explorer 中使用安全区域的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
174360 如何在 Internet Explorer 中使用安全区域

组策略

有关组策略的更多信息,请访问下面的 Microsoft 网站:

对基于 x64 的 Microsoft Windows 版本的技术支持

在运行基于 x64 的 Microsoft Windows 版本的计算机上,您可能必须适当地更改“解决方案”一节中关于如何修改注册表的说明。例如,根据要修改 32 位功能还是要修改 64 位功能,您可能需要修改注册表中不同的部分。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
896459 基于 x64 的 Windows Server 2003 版本和 Windows XP Professional x64 Edition 中注册表的更改
硬件制造商为基于 x64 的 Windows 版本提供了技术支持和帮助。硬件制造商提供支持是因为基于 x64 的 Windows 版本是随硬件提供的。您的硬件制造商可能已用独特的组件自定义了 Windows 的安装。独特的组件可能包括特定设备驱动程序,或者包括用于最大程度地发挥硬件性能的可选设置。如果您需要基于 x64 的 Windows 版本的技术帮助,Microsoft 将尽可能提供合理的帮助。但是,您可能必须与制造商直接联系。您的制造商最有资格为安装在您的硬件上的软件提供支持。

有关 Microsoft Windows XP Professional x64 Edition 的产品信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/windowsxp/64bit/default.mspx
有关基于 x64 的 Microsoft Windows Server 2003 版本的产品信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/windowsserver2003/64bit/x64/default.mspx

属性

文章编号: 892675 - 最后修改: 2006年6月22日 - 修订: 10.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Service Pack 1?当用于
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP 64-Bit Edition Version 2002 SP1
  • Microsoft Windows NT 4.0 Service Pack 6
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 6
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 第二版
  • Microsoft Windows 98 Standard Edition
关键字:?
kbtshoot kbregistry kbprb KB892675
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com