Po instalaci aktualizace zabezpečení 896358, aktualizace Windows Server 2003 Service Pack 1 nebo aktualizace zabezpečení 840315 nelze pomocí protokolu InfoTech otevřít vzdálený obsah

Překlady článku Překlady článku
ID článku: 896054 - Produkty, které se vztahují k tomuto článku.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zálohovat. Seznamte se také s postupem při obnovení registru v případě, že nastanou potíže. Informace o zálohování, obnovení a úpravě registru najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Příznaky

Po instalaci aktualizace zabezpečení 896358, aktualizace Microsoft Windows Server 2003 Service Pack (SP1) nebo aktualizace zabezpečení 840315 můžete zaznamenat následující příznaky:
  • Pokud jste nainstalovali aktualizaci zabezpečení 896358 nebo aktualizaci Windows Server 2003 SP1, můžete zaznamenat následující příznaky:
    • Nelze použít funkce některých webových aplikací v počítači. Po klepnutí na odkaz se například nezobrazí téma.
    • Pokud se pokusíte otevřít soubor CHM (Compiled Help Module) ve sdílené síťové složce pomocí cesty UNC (Universal Naming Convention), témata v souboru CHM se nezobrazí.
  • Pokud jste nainstalovali aktualizaci zabezpečení 840315, nefungují v počítači správně webové aplikace, které používají vnořené protokoly v protokolech InfoTech v adrese URL.
Poznámka: Tento článek obsahuje informace, které doplňují následující články znalostní báze Microsoft Knowledge Base:
896358 MS05-026: Chyba zabezpečení v nápovědě HTML umožňuje vzdálené spuštění kódu
840315 MS04-023: Chyba zabezpečení v nápovědě HTML může povolit spuštění kódu

Příčina

Aktualizace Windows Server 2003 SP1 a aktualizace zabezpečení 896358 a 840315 zahrnují změny protokolu InfoTech. Cílem těchto změn je omezit chyby zabezpečení v nápovědě HTML.

Řešení

Upozornění: Příznaky jsou očekávaným a plánovaným účinkem instalace aktualizací zabezpečení. V této části jsou uvedeny postupy umožňující znovu povolit funkce důležitých podnikových aplikací. Uvedená řešení mohou způsobit, že počítač bude více ohrožen chybami, které byly těmito aktualizacemi zabezpečení odstraněny. Nejbezpečnější je nepoužívat řešení zasahující do registru. Pokud je nutné taková řešení použít, nastavte hodnoty registru na maximální možné omezení.

Upozornění: Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

První z následujících příkladů je nejvíce omezující, postupně následují méně omezující příklady.

Příklad 1: Povolení určitých adres URL pomocí položky UrlAllowList

Upozornění: Zadejte pouze adresy URL webů, kterým plně důvěřujete.

Následující soubor REG znovu povolí použití protokolu InfoTech k otevření vzdáleného obsahu z následujících umístění:
  • soubory CHM ve složce \\productmanuals\helpfiles,
  • webová aplikace na následující adrese URL:
    http://www.wingtiptoys.com/help/
Poznámka: Následující text můžete vložit do textového editoru, například do programu Poznámkový blok. Potom můžete soubor uložit s příponou názvu souboru REG.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
Poznámka: Jak je z uvedeného příkladu zřejmé, je nutné před povolením cesty UNC ke sdílené síťové složce přidat následující dvě položky:
\\productmanuals\helpfiles\;file://\\productmanuals\helpfiles
Použití zástupných znaků v adrese URL libovolného webu přidávaného do klíče registru UrlAllowList není podporováno. Následující řetězec například nebude fungovat:
"UrlAllowList"="http://*.wingtiptoys.com"
Následující řetězec však funkční bude:
"UrlAllowList"="http://help.wingtiptoys.com"
Díky tomuto řetězci mohou následující weby poskytovat obsah pomocí protokolu InfoTech:
  • http://help.wingtiptoys.com/research
  • http://help.wingtiptoys.com/sales

Příklad 2: Povolení zóny zabezpečení pomocí hodnoty MaxAllowedZone

Upozornění: Hodnota MaxAllowedZone povolí všechny weby v konkrétní zóně. Použití položky UrlAllowList podle popisu v příkladu 1 může být bezpečnější. Pokud je nutné použít hodnotu MaxAllowedZone, nenastavujte ji vyšší, než je nezbytné. Nastavíte-li hodnotu 3 nebo vyšší, budou systémy ohroženy útokem z Internetu.

Poznámka: Ve výchozím nastavení je hodnota MaxAllowedZone nastavena na nulu. Následující tabulka obsahuje přehled, jak jsou různé položky interpretovány hodnotou MaxAllowedZone.
Zmenšit tuto tabulkuRozšířit tuto tabulku
MaxAllowedZoneZóna Místní počítačZóna Místní intranetZóna Důvěryhodné serveryZóna InternetZóna Servery s omezeným přístupem
0PovolenoBlokovánoBlokovánoBlokovánoBlokováno
1PovolenoPovolenoBlokovánoBlokovánoBlokováno
2PovolenoPovolenoPovolenoBlokovánoBlokováno
3PovolenoPovolenoPovolenoPovolenoBlokováno
4PovolenoPovolenoPovolenoPovolenoPovoleno
Následující soubor REG znovu povolí použití protokolu InfoTech k připojení ke všem počítačům v zóně intranetu.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

Příklad 3: Použití hodnoty UrlAllowList i MaxAllowedZone

Upozornění: Hodnota MaxAllowedZone povolí všechny weby v určité zóně. Použití položky UrlAllowList podle popisu v příkladu 1 může být bezpečnější. Pokud je nutné použít hodnotu MaxAllowedZone, nenastavujte ji vyšší, než je nezbytné. Nastavíte-li hodnotu 3 nebo vyšší, budou systémy ohroženy útokem z Internetu.

Následující soubor REG znovu povolí použití protokolu InfoTech k připojení k veškerému obsahu v zóně intranetu a ke dvěma webům v Internetu.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"

Příklad 4: Povolení vnořených protokolů v adrese URL pomocí položky NestedProtocolList

Některé webové aplikace mohou v adrese URL používat vnořené protokoly. Tato funkce byla z nápovědy HTML odebrána aktualizací zabezpečení 840315. Je možné, že po instalaci této aktualizace zabezpečení nebudou správně fungovat webové aplikace, které používají vnořené protokoly v adrese URL.

Nemusí například fungovat následující adresa URL:
ms-its:http://www.proseware.com/helpfiles/help.chm::about.htm


Po instalaci aktualizace zabezpečení 896358 následující soubor REG znovu povolí vnoření protokolů HTTP a FTP do adresy URL.

Poznámka: Následující text můžete vložit do textového editoru, například do programu Poznámkový blok. Potom můžete soubor uložit s příponou názvu souboru REG.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"NestedProtocolList"="http:;ftp:"

Nasazení klíčů registru v rámci domény

Nastavení uvedené v předchozích příkladech doporučujeme nasadit pomocí zásad skupiny jako spouštěcí skripty. Můžete je také nasadit jako přihlašovací skripty. Tato metoda je však méně vhodná vzhledem k omezením oprávnění.

Následující kroky představují příklad, jak nasadit nastavení v příkladu 1 jako spouštěcí skript zásad skupiny.
  1. Následující text vložte do textového editoru, například do programu Poznámkový blok.
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
  2. Uložte soubor s příponou REG a s názvem AllowTrustedSites.reg.
  3. Zkopírujte následující text a vložte jej do textového editoru, například do programu Poznámkový blok.
    REGEDIT.EXE /S AllowTrustedSites.reg
  4. Uložte soubor jako dávkový soubor s názvem AllowTrustedSites.bat.
  5. Importujte soubor do objektu zásad skupiny (GPO). Postupujte následujícím způsobem:
    1. Zkopírujte dávkový soubor vytvořený v kroku 4 a soubor REG vytvořený v kroku 2 do složky \\Název_domény\SysVol\Název_domény\Policies\Identifikátor GUID vybraného objektu GPO\Machine\Scripts\Startup.
    2. V počítači, ve kterém chcete spustit objekt zásad skupiny, klepněte na tlačítko Start, na příkaz Spustit, zadejte příkaz dsa.msc a klepněte na tlačítko OK.
    3. Klepněte na doménu pravým tlačítkem myši a potom klepněte na příkaz Vlastnosti.
    4. Klepněte na kartu Zásady skupiny a potom na tlačítko Nová.
    5. Zadejte název, který chcete pro tuto zásadu použít, a potom stiskněte klávesu ENTER.
    6. Klepněte na tlačítko Upravit.
    7. Rozbalte složku Konfigurace počítače, rozbalte složku Nastavení systému Windows, klepněte na položku Skripty (spouštěcí nebo ukončovací), poklepejte na položku Po spuštění a klepněte na tlačítko Přidat v dialogovém okně Vlastnosti spouštění.
    8. Vyhledejte soubor AllowTrustedSites.bat, klepněte na něj a potom klepněte na tlačítko Přidat.
    9. Klepněte na tlačítko OK, klepněte na tlačítko Ano, klepněte na tlačítko OK a znovu na tlačítko OK.

Další informace

Přehled a příklady pro správce systémů

Další informace o aktualizaci zabezpečení 896358 a způsobu opětovného povolení webových aplikací, které jsou touto aktualizací ovlivněny, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
896358 MS05-026: Chyba zabezpečení v nápovědě HTML umožňuje vzdálené spuštění kódu

Rozšířené nastavení zabezpečení aplikace Internet Explorer

Jestliže je povoleno rozšířené nastavení zabezpečení aplikace Internet Explorer, můžete zaznamenat symptomy, které jsou podobné symptomům popsaným v tomto článku. V tomto případě nemusí být postupy uvedené v tomto článku dostačující k odstranění příznaků. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
815141 Konfigurace rozšířeného zabezpečení aplikace Internet Explorer mění možnosti procházení

Další informace o protokolu InfoTech

Protokol InfoTech je používán především nápovědou HTML. Funkci tohoto protokolu zajišťuje soubor Itss.dll. Přístup k tomuto protokolu získáte pomocí některého z následujících podporovaných schémat:
  • Ms-its
  • Its
  • Mk:@msitstore

Zóny zabezpečení aplikace Internet Explorer

Další informace o způsobu použití zón zabezpečení v aplikaci Internet Explorer získáte v následujícím článku znalostní báze Microsoft Knowledge Base :
174360 Jak používat zóny zabezpečení v aplikaci Internet Explorer

Zásady skupiny

Další informace o zásadách skupiny naleznete na následujících webech společnosti Microsoft:

Odborná pomoc pro verze x64 systému Microsoft Windows

V počítačích, které používají verzi x64 systému Microsoft Windows, bude pravděpodobně nutné v části Řešení upravit pokyny, jak změnit registr. Například může být nutné změnit jinou část registru, podle toho, zda chcete změnit 32bitovou nebo 64 bitovou funkci. Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
896459 Změny registru ve verzích x64 systému Windows Server 2003 a Windows XP Professional x64 Edition (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Technickou podporu a pomoc pro verze x64 systému Windows poskytuje výrobce hardwaru. Výrobce hardwaru poskytuje odbornou pomoc proto, že verze x64 systému Windows byla součástí dodaného hardwaru. Výrobce hardwaru mohl upravit instalaci systému Windows pomocí jedinečných součástí. Mohl například zahrnout specifické ovladače zařízení a volitelná nastavení, aby maximalizoval výkon vlastního hardwaru. Společnost Microsoft bude vyvíjet přiměřené úsilí v případě, že potřebujete technickou pomoc ke své verzi x64 systému Windows. Pravděpodobně byste se však měli obrátit přímo na výrobce hardwaru. Výrobce je tím nejkvalifikovanějším pro poskytnutí odborné pomoci k softwaru, který instaloval na hardware.

Informace o systému Microsoft Windows XP Professional x64 Edition naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Informace o verzích x64 systému Microsoft Windows Server 2003 naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/windowsserver2003/64bit/x64/default.mspx

Vlastnosti

ID článku: 896054 - Poslední aktualizace: 22. června 2006 - Revize: 8.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003 Service Pack 1 na těchto platformách
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows Millennium Edition
Klíčová slova: 
kbhowto kbtshoot kbhtmlhelp100fix kbprb KB896054

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com