サインイン

Select the product you need help with

セキュリティ更新プログラム 896358、セキュリティ更新プログラム 840315 または Windows Server 2003 Service Pack 1 のインストール後、InfoTech プロトコルを使用してリモートコンテンツを開けなくなる

文書番号: 896054 - 対象製品

重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、システムの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

256986

(http://support.microsoft.com/kb/256986/ )

Microsoft Windows レジストリの説明

すべて展開する | すべて折りたたむ

現象

セキュリティ更新プログラム 896358、セキュリティ更新プログラム 840315 または Microsoft Windows Server 2003 Service Pack 1 (SP1) のインストール後、以下の現象が発生することがあります。

セキュリティ更新プログラム 896358 または Windows Server 2003 SP1 をインストールした場合、以下の現象が発生することがあります。
- コンピュータ上の一部の Web アプリケーションの機能が使用できなくなります。たとえば、リンクをクリックしてもトピックが表示されないことがあります。
- UNC (Universal Naming Convention) パスを使用してネットワーク共有フォルダ上の .chm (Compiled Help Module) ファイルを開いたとき、.chm ファイル内のトピックが表示されません。
セキュリティ更新プログラム 840315 をインストールした場合、URL で InfoTech プロトコルの内側にプロトコルを入れ子にした Web アプリケーションがコンピュータで正常に動作しません。

注 : この資料には、「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料の補足情報が記載されています。

896358

(http://support.microsoft.com/kb/896358/ )

[MS05-026] HTML ヘルプの脆弱性により、リモートでコードが実行される

840315

(http://support.microsoft.com/kb/840315/ )

[MS04-023] HTML ヘルプの脆弱性により、コードが実行される

先頭へ戻る | フィードバック

原因

Windows Server 2003 SP1、セキュリティ更新プログラム 896358 および 840315 には、InfoTech プロトコルへの変更が含まれています。これらの変更は、HTML ヘルプのセキュリティ上の脆弱性を低減するために導入されました。

先頭へ戻る | フィードバック

警告 : セキュリティ更新プログラムのインストールによりこれらの現象が発生することは、正常であり、予期されている結果です。ここでは、業務上必要なプログラムにおいて機能を有効に戻すための回避策について説明します。この回避策を実行することにより、セキュリティ更新プログラムで対処されている脅威に対してコンピュータが脆弱になる可能性があります。最も安全な方法は、レジストリによる回避策を使用しないことです。この回避策を使用する必要がある場合は、レジストリキーの設定値をできるだけ制約の大きな値にしてください。

警告 : レジストリエディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティングシステムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

以下の例は、最初の例が最も制約が大きく、順に制約が小さくなっていきます。

例 1 : UrlAllowList を使用して特定の URL を有効にする方法

警告 : 完全に信頼できるサイトの URL のみを含めるようにしてください。

以下の .reg ファイルを使用することにより、InfoTech プロトコルを使用して次の場所からリモートコンテンツを開く機能が再度有効になります。

\\productmanuals\helpfiles にある .chm ファイル
次の URL にある Web アプリケーション
http://www.wingtiptoys.com/help/

注 : 以下のテキストをメモ帳などのテキストエディタで新しいテキストファイルに貼り付け、.reg という拡張子を付けて保存します。

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"

注 : ネットワーク共有フォルダへの UNC パスを有効にするには、次の例のように、エントリを 2 つ追加する必要があります。

\\productmanuals\helpfiles\;file://\\productmanuals\helpfiles

UrlAllowList レジストリキーに追加するサイトの URL にはワイルドカード文字を使用できません。たとえば、次の URL は無効です。

"UrlAllowList"="http://*.wingtiptoys.com"

次の URL は有効です。

"UrlAllowList"="http://help.wingtiptoys.com"

この文字列を指定すると、以下のサイトで InfoTech プロトコルを使用してコンテンツを提供することができます。

http://help.wingtiptoys.com/research
http://help.wingtiptoys.com/sales

例 2 : MaxAllowedZone 値を使用してセキュリティゾーンを有効にする方法

警告 : MaxAllowedZone 値を使用すると、特定のゾーン内のすべてのサイトが有効になります。例 1 で説明した UrlAllowList を使用する方が安全な場合があります。MaxAllowedZone 値を使用する必要がある場合は、必要以上に大きな値を設定しないでください。値を 3 以上に設定すると、システムがインターネットからの攻撃にさらされます。

注 : MaxAllowedZone 値はデフォルトで 0 に設定されます。MaxAllowedZone 値のそれぞれのエントリがどのように解釈されるかを、次の表に示します。

元に戻す全体を表示する

MaxAllowedZone	マイコンピュータゾーン	ローカルイントラネットゾーン	信頼済みサイトゾーン	インターネットゾーン	制限付きサイトゾーン
0	許可	拒否	拒否	拒否	拒否
1	許可	許可	拒否	拒否	拒否
2	許可	許可	許可	拒否	拒否
3	許可	許可	許可	許可	拒否
4	許可	許可	許可	許可	許可

以下の内容の .reg ファイルを使用すると、InfoTech プロトコルを使用してイントラネットゾーン内のすべてのシステムに接続する機能が再度有効になります。

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

例 3 : UrlAllowList 値と MaxAllowedZone 値を両方使用する方法

警告 : MaxAllowedZone 値を使用すると、特定のゾーン内のすべてのサイトが有効になります。例 1 で説明した UrlAllowList を使用する方が安全な場合があります。MaxAllowedZone 値を使用する必要がある場合は、必要以上に大きな値を設定しないでください。値を 3 以上に設定すると、システムがインターネットからの攻撃にさらされます。

以下の内容の .reg ファイルを使用すると、InfoTech プロトコルを使用してイントラネットゾーン内のすべてのコンテンツおよび 2 つのインターネットサイトに接続する機能が再度有効になります。

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"

例 4 : NestedProtocolList を使用して URL 内で入れ子になったプロトコルを有効にする方法

一部の Web アプリケーションでは、URL 内で入れ子になったプロトコルが使用されていることがあります。この機能は、セキュリティ更新プログラム 840315 で HTML ヘルプから削除されています。このセキュリティ更新プログラムをインストールすると、URL 内で入れ子になったプロトコルを使用する Web アプリケーションが正常に機能しなくなります。

たとえば、次の URL が正常に機能しない可能性があります。

ms-its:http://www.proseware.com/helpfiles/help.chm::about.htm

セキュリティ更新プログラム 896358 のインストール後、以下の内容の .reg ファイルを使用すると、URL 内で HTTP プロトコルおよび FTP プロトコルを入れ子にすることが再び可能になります。

注 : 以下のテキストをメモ帳などのテキストエディタで新しいテキストファイルに貼り付け、.reg という拡張子を付けて保存します。

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"NestedProtocolList"="http:;ftp:"

ドメイン全体にレジストリキーを展開する方法

グループポリシーを使用して、この資料に例示されている .reg ファイルをスタートアップスクリプトで実行することをお勧めします。これらの .reg ファイルをログオンスクリプトで実行することもできますが、この方法はアクセス許可の制約があるため望ましくありません。

以下に、グループポリシーのスタートアップスクリプトを使用して「例 1」の設定を適用する例を示します。

以下のテキストをコピーし、メモ帳などのテキストエディタで新しいテキストファイルに貼り付けます。

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"

ファイルに AllowTrustedSites.reg という名前を付け、.reg ファイルとして保存します。
以下のテキストをコピーし、メモ帳などのテキストエディタで新しいテキストファイルに貼り付けます。
REGEDIT.EXE /S AllowTrustedSites.reg
ファイルに AllowTrustedSites.bat という名前を付け、バッチファイルとして保存します。
以下の手順を実行して、バッチファイルをグループポリシーオブジェクト (GPO) にインポートします。
1. 手順 4. で作成したバッチファイルおよび手順 2. で作成した .reg ファイルを \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup フォルダにコピーします。
2. グループポリシーオブジェクトを実行するコンピュータで、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、dsa.msc と入力し、[OK] をクリックします。
3. ドメインを右クリックし、[プロパティ] をクリックします。
4. [グループポリシー] タブをクリックし、[新規] をクリックします。
5. このポリシーに使用する名前を入力し、Enter キーを押します。
6. [編集] をクリックします。
7. [コンピュータの構成]、[Windows の設定] の順に展開し、[スクリプト (スタートアップ/シャットダウン)] をクリックし、右側のウィンドウの [スタートアップ] をダブルクリックします。[スタートアップのプロパティ] ダイアログボックスで [追加] をクリックします。
8. AllowTrustedSites.bat ファイルを見つけてクリックし、[追加] をクリックします。
9. [OK] をクリックし、[はい] をクリックします。[OK] をクリックし、[OK] をクリックします。

先頭へ戻る | フィードバック

詳細

システム管理者向けの概要および例

セキュリティ更新プログラム 896358 の詳細およびこの更新プログラムの影響を受ける Web アプリケーションを再度有効にする方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

896358

(http://support.microsoft.com/kb/896358/ )

[MS05-026] HTML ヘルプの脆弱性により、リモートでコードが実行される

Internet Explorer セキュリティ強化

Internet Explorer セキュリティ強化の構成が有効になっている場合、この資料に記載されている現象と同様の現象が発生することがあります。その場合、現象を解決するには、この資料に記載されている回避策だけでは十分でないことがあります。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

815141

(http://support.microsoft.com/kb/815141/ )

Internet Explorer セキュリティ強化の構成による Internet Explorer のユーザー操作の変更

InfoTech プロトコルの詳細

InfoTech プロトコルは主に HTML ヘルプで使用されます。このプロトコルの機能は Itss.dll ファイルによって提供されます。このプロトコルには、サポートされている以下のいずれかのスキーマを使用してアクセスできます。

Ms-its
Its
Mk:@msitstore

Internet Explorer のセキュリティゾーン

Internet Explorer でセキュリティゾーンを使用する方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

174360

(http://support.microsoft.com/kb/174360/ )

Internet Explorer でセキュリティゾーンを使用する方法

グループポリシー

グループポリシーの詳細については、以下のマイクロソフト Web サイトを参照してください。

Group Policy Collection
http://technet2.microsoft.com/windowsserver/en/library/6d7cb788-b31d-4d17-9f1e-b5ddaa6deecd1033.mspx
(http://technet2.microsoft.com/windowsserver/en/library/6d7cb788-b31d-4d17-9f1e-b5ddaa6deecd1033.mspx)
What Is Group Policy Object Editor?
http://technet2.microsoft.com/windowsserver/en/library/47ba1311-6cca-414f-98c9-2d7f99fca8a31033.mspx
(http://technet2.microsoft.com/windowsserver/en/library/47ba1311-6cca-414f-98c9-2d7f99fca8a31033.mspx)
Core Group Policy Tools and Settings
http://technet2.microsoft.com/windowsserver/en/library/e926577a-5619-4912-b5d9-e73d4bdc94911033.mspx
(http://technet2.microsoft.com/windowsserver/en/library/e926577a-5619-4912-b5d9-e73d4bdc94911033.mspx)

x64 ベースの Microsoft Windows のテクニカルサポート

x64 ベースの Microsoft Windows を実行しているコンピュータでは、「解決方法」に記載されているレジストリの編集方法を使用することが必要な場合があります。たとえば、32 ビットの機能と 64 ビットの機能のどちらを変更するのかに応じて、レジストリ内の別の部分を変更することが必要な場合があります。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

896459

(http://support.microsoft.com/kb/896459/ )

x64 ベースの Windows Server 2003 および Windows XP Professional x64 Edition におけるレジストリの変更

x64 ベースの Windows はハードウェアにインストールされて提供されるため、その技術サポートと支援はハードウェアの製造元から提供されます。ハードウェアの製造元は、ハードウェアの性能を最大限に活用するために、固有のデバイスドライバやオプション設定など、独自のコンポーネントを使用してインストール環境をカスタマイズしている場合があります。x64 ベースの Windows に関する技術サポートが必要な場合、マイクロソフトではできる限りの支援を行います。しかし、製造元がハードウェアにインストールして提供するソフトウェアについては製造元によるサポートが最適であるため、ハードウェアの製造元に直接お問い合わせいただくことが必要な場合があります。

Microsoft Windows XP Professional x64 Edition の製品情報については、以下のマイクロソフト Web サイトにアクセスしてください。

http://www.microsoft.com/japan/windowsxp/64bit/default.mspx

(http://www.microsoft.com/japan/windowsxp/64bit/default.mspx)

x64 ベースの Microsoft Windows Server 2003 の製品情報については、以下のマイクロソフト Web サイトを参照してください。

http://www.microsoft.com/japan/windowsserver2003/64bit/x64/default.mspx

(http://www.microsoft.com/japan/windowsserver2003/64bit/x64/default.mspx)

先頭へ戻る | フィードバック

プロパティ

文書番号: 896054 - 最終更新日: 2006年2月27日 - リビジョン: 7.2

この資料は以下の製品について記述したものです。

Microsoft Windows Server 2003 Service Pack 1?を以下の環境でお使いの場合

Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems

Microsoft Windows Server 2003, Standard x64 Edition
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Datacenter x64 Edition
Microsoft Windows 2000 Professional SP4
Microsoft Windows 2000 Service Pack 3
Microsoft Windows 2000 Server SP4
Microsoft Windows 2000 Service Pack 3
Microsoft Windows 2000 Advanced Server SP4
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Service Pack 3
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Professional 64-Bit Edition (Itanium) 2003
Microsoft Windows XP Professional 64-Bit Edition (Itanium)
Microsoft Windows 98 Second Edition
Microsoft Windows 98 Standard Edition
Microsoft Windows Millennium Edition

kbhowto kbtshoot kbhtmlhelp100fix kbprb KB896054

"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。（Microsoft Corporation、その関連会社またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

先頭へ戻る | フィードバック