文章編號: 892675 - 上次校閱: 2006年6月22日 - 版次: 11.1

在您安裝安全性更新 896358 或 890175 之後,某些網站和 HTML 說明功能可能無法運作

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986? (http://support.microsoft.com/kb/256986/ ) Description of the Microsoft Windows Registry

在此頁中

全部展開 | 全部摺疊

徵狀

在安裝安全性更新 896358 或 890175 之後,可能會遭遇下列一或多個徵狀:
  • 特定種類的 Web 程式可能無法正確運作。例如,「HTML 說明」的目錄可能不再正常運作。
  • 當您從遠端位置開啟 .chm 檔時,特定的「HTML 說明」功能可能無法正常運作。例如,「相關主題」功能可能無法運作。
注意 本文包含下列「Microsoft 知識庫」文件的補充資訊。
896358? (http://support.microsoft.com/kb/896358/ ) MS05-026:HTML Help 說明檔的弱點可能會導致程式碼執行
890175? (http://support.microsoft.com/kb/890175/ ) MS05-001:HTML Help 說明檔的弱點可能會導致程式碼執行
回此頁最上方

發生的原因

這個問題的發生原因,是因為安全性更新 896358 和 890175 會使得「本機電腦」區域外的 HTML 內容無法建立 HTML Help ActiveX 控制項 (HHCTRL) 的執行個體。所引用的這些變更可以降低 HTML 說明的安全性弱點。
回此頁最上方

解決方案

警告 這些徵狀是安裝安全性更新所預期和必然的結果。本節為必須重新啟用業務重要程式的 HTML Help ActiveX 控制項的系統管理員提供範例。替代解決方案可能會使電腦更容易遭受到安全性更新所說明之威脅的攻擊。最安全的做法,就是不要使用登錄替代解決方案。如果您必須使用替代解決方案,應該儘可能限制登錄機碼值的設定。

警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。這些問題可能會需要您重新安裝作業系統才能解決。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。

以下第一個範例的限制最為嚴格,後續範例的限制則逐步減少。
回此頁最上方

範例 1:使用 URLAllowList 登錄啟用特定 URL

警告 請只加入您所信任網站的 URL。

此範例中的 .reg 檔會在下列遠端內容重新啟用裝載 HTML Help ActiveX 控制項:
  • \\productmanuals\helpfiles 資料夾中的任何 .chm 檔案
  • 位於 http://www.wingtiptoys.com/help 的 Web 應用程式。
將下列文字貼至文字編輯器 (例如,記事本)。然後,使用 .reg 副檔名儲存檔案。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"UrlAllowList"="\\\\productmanuals\\helpfiles;http://www.wingtiptoys.com/help/"
您不能在新增到 UrlAllowList 登錄機碼之任何網站的 URL 字串中使用萬用字元。例如,您不能使用下列字串:
"UrlAllowList"="http://*.wingtiptoys.com"
但是,您可以使用下列 URL 字串:
"UrlAllowList"="http://help.wingtiptoys.com"
這個字串會讓下列網站裝載 HTML Help ActiveX 控制項:
  • http://help.wingtiptoys.com/research
  • http://help.wingtiptoys.com/sales
回此頁最上方

範例 2:使用 MaxAllowedZone 項目啟用安全性區域

警告 MaxAllowedZone 項目會啟用特定區域中的所有網站。使用 UrlAllowList 項目可能是比較安全的作法。如果您必須使用 MaxAllowedZone 項目,請最好不要設定高過必須值。如果您將 MaxAllowedZone 值設為 3 或更高,您的系統將暴露於來自網際網路的攻擊中。

注意 根據預設,MaxAllowedZone 項目值設定為 0。下列表格概述 MaxAllowedZone 項目值如何解譯不同的項目。
摺疊此表格展開此表格
MaxAllowedZone本機電腦區域近端內部網路區域信任的網站區域網際網路區域限制的網站區域
0已允許已封鎖已封鎖已封鎖已封鎖
1已允許已允許已封鎖已封鎖已封鎖
2已允許已允許已允許已封鎖已封鎖
3已允許已允許已允許已允許已封鎖
4已允許已允許已允許已允許已允許
將下列文字貼至文字編輯器 (例如,記事本)。然後,儲存使用 .reg 副檔名的檔案。此 .reg 檔可以讓「內部網路」區域中的所有內容,主控 HTML Help ActiveX 控制項。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"MaxAllowedZone"=dword:00000001
回此頁最上方

範例 3:使用 UrlAllowList 項目和 MaxAllowedZone 項目

警告 MaxAllowedZone 項目會啟用特定區域中的所有網站。使用 UrlAllowList 項目可能是比較安全的作法。如果必須使用 MaxAllowedZone 項目,請不要把值設得太高。如果您將 MaxAllowedZone 值設為 3 或更高,您的系統將暴露於來自網際網路的攻擊中。

將下列文字貼至文字編輯器 (例如,記事本)。然後,儲存使用 .reg 副檔名的檔案。下列 .reg 檔可以讓「近端內部網路」區域中的所有內容裝載 HTML Help ActiveX 控制項。此 .reg 檔也可讓兩個網際網路網站裝載控制項。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"MaxAllowedZone"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"
回此頁最上方

部署整個網域中的登錄機碼

建議您使用「群組原則」,將本文範例中提及的設定部署為啟動指令碼。您也可以將這些設定部署為登入指令碼。但是,因為使用權限的限制,較不建議這種方式。

下列步驟將示範如何將<範例 1>中的設定,部署為「群組原則」啟動指令碼。
  1. 將下列文字貼至文字編輯器 (例如,記事本):
    REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"UrlAllowList"="http://myintranetapplication/help/helpfiles;http://www.wingtiptoys.com/help/helpdocuments"
  2. 將檔案另存為 .reg 檔。將檔案命名為 AllowTrustedSites.reg。
  3. 將下列文字貼至文字編輯器 (例如,記事本):
    REGEDIT.EXE /S AllowTrustedSites.reg
  4. 將檔案另存為批次檔。將檔案命名為 AllowTrustedSites.bat。
  5. 將批次檔匯入至群組原則物件 (GPO)。如果要執行這項操作,請依照下列步驟執行:
    1. 將您在步驟 4 中建立的批次檔,以及在步驟 2 中建立的 .reg 檔,貼到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 資料夾。
    2. 在您要執行群組原則物件的電腦上,按一下 [開始],再按一下 [執行],輸入 dsa.msc,然後按一下 [確定]
    3. 用滑鼠右鍵按一下您的網域,然後按一下 [內容]
    4. 按一下 [群組原則],再按一下 [新增]
    5. 輸入您想要用於此原則的名稱,然後按下 ENTER。
    6. 按一下 [編輯]
    7. 展開 [電腦設定],再展開 [Windows 設定],然後按一下 [指令碼 (啟動/關機)]
    8. 在右窗格中,按兩下 [啟動],然後按一下 [新增]
    9. 找出並按一下您在步驟 4 建立的批次檔。
    10. 按一下 [新增]
    11. 按一下 [確定],按一下 [是],然後按兩次 [確定]
回此頁最上方

其他相關資訊

系統管理員概觀和範例

如需有關安全性更新 896358 和如何重新啟用此更新所影響的 Web 應用程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
896358? (http://support.microsoft.com/kb/896358/ ) MS05-026:HTML Help 說明檔的弱點可能會導致程式碼執行
回此頁最上方

Internet Explorer 安全性區域

如需有關如何使用 Internet Explorer 中的安全性區域的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
174360? (http://support.microsoft.com/kb/174360/ ) 如何使用 Internet Explorer 中的安全性區域
回此頁最上方

群組原則

如需更多有關「群組原則」的詳細資訊,請造訪下列 Microsoft 網站:
回此頁最上方

Microsoft Windows x64 版的技術支援

在執行 Microsoft Windows x64 版的電腦上,您可能必須採取<解決方案>一節中關於如何修改登錄的指示。例如,您可能必須修改登錄的不同部分,而這將取決於您要修改的是 32 位元或 64 位元版本的功能。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
896459? (http://support.microsoft.com/kb/896459/ ) Registry changes in x64-based versions of Windows Server 2003 and Windows XP Professional x64 Edition
您的硬體製造商提供有關 Windows x64 版的技術支援和協助。由於 Windows x64 版是隨附在您的硬體中,所以硬體製造商會提供相關的支援。硬體製造商可能已經利用特殊的元件自訂 Windows 的安裝程序。特殊的元件可能包括特定裝置驅動程式,或能夠最大化硬體效能的選用設定。如果您需要有關 Windows x64 版的技術協助,Microsoft 將會在合理的情況下提供協助。但是,您可能必須直接連絡製造商。因為硬體製造商已在硬體上預先安裝軟體,所以他們會是提供軟體技術支援服務的最佳人選。

如需有關 Microsoft Windows XP Professional x64 Edition 的產品資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/windowsxp/64bit/default.mspx (http://www.microsoft.com/taiwan/windowsxp/64bit/default.mspx)
如需有關 Microsoft Windows Server 2003 x64 版的產品資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/windowsserver2003/64bit/x64/default.mspx (http://www.microsoft.com/taiwan/windowsserver2003/64bit/x64/default.mspx)
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003 Service Pack 1?應用於:
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP 64-Bit Edition Version 2002 SP1
  • Microsoft Windows NT 4.0 Service Pack 6
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 6
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
回此頁最上方
關鍵字:?
kbtshoot kbregistry kbprb KB892675
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。