セキュリティ更新プログラム 896358、セキュリティ更新プログラム 840315 または Windows Server 2003 Service Pack 1 のインストール後、InfoTech プロトコルを使用してリモート コンテンツを開けなくなる

文書翻訳 文書翻訳
文書番号: 896054 - 対象製品
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、システムの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
すべて展開する | すべて折りたたむ

目次

現象

セキュリティ更新プログラム 896358、セキュリティ更新プログラム 840315 または Microsoft Windows Server 2003 Service Pack 1 (SP1) のインストール後、以下の現象が発生することがあります。
  • セキュリティ更新プログラム 896358 または Windows Server 2003 SP1 をインストールした場合、以下の現象が発生することがあります。
    • コンピュータ上の一部の Web アプリケーションの機能が使用できなくなります。たとえば、リンクをクリックしてもトピックが表示されないことがあります。
    • UNC (Universal Naming Convention) パスを使用してネットワーク共有フォルダ上の .chm (Compiled Help Module) ファイルを開いたとき、.chm ファイル内のトピックが表示されません。
  • セキュリティ更新プログラム 840315 をインストールした場合、URL で InfoTech プロトコルの内側にプロトコルを入れ子にした Web アプリケーションがコンピュータで正常に動作しません。
: この資料には、「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料の補足情報が記載されています。
896358 [MS05-026] HTML ヘルプの脆弱性により、リモートでコードが実行される
840315 [MS04-023] HTML ヘルプの脆弱性により、コードが実行される

原因

Windows Server 2003 SP1、セキュリティ更新プログラム 896358 および 840315 には、InfoTech プロトコルへの変更が含まれています。これらの変更は、HTML ヘルプのセキュリティ上の脆弱性を低減するために導入されました。

解決方法

警告 : セキュリティ更新プログラムのインストールによりこれらの現象が発生することは、正常であり、予期されている結果です。ここでは、業務上必要なプログラムにおいて機能を有効に戻すための回避策について説明します。この回避策を実行することにより、セキュリティ更新プログラムで対処されている脅威に対してコンピュータが脆弱になる可能性があります。最も安全な方法は、レジストリによる回避策を使用しないことです。この回避策を使用する必要がある場合は、レジストリ キーの設定値をできるだけ制約の大きな値にしてください。

警告 : レジストリ エディタまたは別の方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリの変更により発生した問題に関しては、一切責任を負わないものとします。レジストリの変更は、自己の責任において行ってください。

以下の例は、最初の例が最も制約が大きく、順に制約が小さくなっていきます。

例 1 : UrlAllowList を使用して特定の URL を有効にする方法

警告 : 完全に信頼できるサイトの URL のみを含めるようにしてください。

以下の .reg ファイルを使用することにより、InfoTech プロトコルを使用して次の場所からリモート コンテンツを開く機能が再度有効になります。
  • \\productmanuals\helpfiles にある .chm ファイル
  • 次の URL にある Web アプリケーション
    http://www.wingtiptoys.com/help/
: 以下のテキストをメモ帳などのテキスト エディタで新しいテキスト ファイルに貼り付け、.reg という拡張子を付けて保存します。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
: ネットワーク共有フォルダへの UNC パスを有効にするには、次の例のように、エントリを 2 つ追加する必要があります。
\\productmanuals\helpfiles\;file://\\productmanuals\helpfiles
UrlAllowList レジストリ キーに追加するサイトの URL にはワイルドカード文字を使用できません。たとえば、次の URL は無効です。
"UrlAllowList"="http://*.wingtiptoys.com"
次の URL は有効です。
"UrlAllowList"="http://help.wingtiptoys.com"
この文字列を指定すると、以下のサイトで InfoTech プロトコルを使用してコンテンツを提供することができます。
  • http://help.wingtiptoys.com/research
  • http://help.wingtiptoys.com/sales

例 2 : MaxAllowedZone 値を使用してセキュリティ ゾーンを有効にする方法

警告 : MaxAllowedZone 値を使用すると、特定のゾーン内のすべてのサイトが有効になります。例 1 で説明した UrlAllowList を使用する方が安全な場合があります。MaxAllowedZone 値を使用する必要がある場合は、必要以上に大きな値を設定しないでください。値を 3 以上に設定すると、システムがインターネットからの攻撃にさらされます。

: MaxAllowedZone 値はデフォルトで 0 に設定されます。MaxAllowedZone 値のそれぞれのエントリがどのように解釈されるかを、次の表に示します。
元に戻す全体を表示する
MaxAllowedZoneマイ コンピュータ ゾーンローカル イントラネット ゾーン信頼済みサイト ゾーンインターネット ゾーン制限付きサイト ゾーン
0 許可 拒否 拒否 拒否 拒否
1 許可 許可 拒否 拒否 拒否
2 許可 許可 許可 拒否 拒否
3 許可 許可 許可 許可 拒否
4 許可 許可 許可 許可 許可
以下の内容の .reg ファイルを使用すると、InfoTech プロトコルを使用してイントラネット ゾーン内のすべてのシステムに接続する機能が再度有効になります。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

例 3 : UrlAllowList 値と MaxAllowedZone 値を両方使用する方法

警告 : MaxAllowedZone 値を使用すると、特定のゾーン内のすべてのサイトが有効になります。例 1 で説明した UrlAllowList を使用する方が安全な場合があります。MaxAllowedZone 値を使用する必要がある場合は、必要以上に大きな値を設定しないでください。値を 3 以上に設定すると、システムがインターネットからの攻撃にさらされます。

以下の内容の .reg ファイルを使用すると、InfoTech プロトコルを使用してイントラネット ゾーン内のすべてのコンテンツおよび 2 つのインターネット サイトに接続する機能が再度有効になります。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"

例 4 : NestedProtocolList を使用して URL 内で入れ子になったプロトコルを有効にする方法

一部の Web アプリケーションでは、URL 内で入れ子になったプロトコルが使用されていることがあります。この機能は、セキュリティ更新プログラム 840315 で HTML ヘルプから削除されています。このセキュリティ更新プログラムをインストールすると、URL 内で入れ子になったプロトコルを使用する Web アプリケーションが正常に機能しなくなります。

たとえば、次の URL が正常に機能しない可能性があります。
ms-its:http://www.proseware.com/helpfiles/help.chm::about.htm


セキュリティ更新プログラム 896358 のインストール後、以下の内容の .reg ファイルを使用すると、URL 内で HTTP プロトコルおよび FTP プロトコルを入れ子にすることが再び可能になります。

: 以下のテキストをメモ帳などのテキスト エディタで新しいテキスト ファイルに貼り付け、.reg という拡張子を付けて保存します。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"NestedProtocolList"="http:;ftp:"

ドメイン全体にレジストリ キーを展開する方法

グループ ポリシーを使用して、この資料に例示されている .reg ファイルをスタートアップ スクリプトで実行することをお勧めします。これらの .reg ファイルをログオン スクリプトで実行することもできますが、この方法はアクセス許可の制約があるため望ましくありません。

以下に、グループ ポリシーのスタートアップ スクリプトを使用して「例 1」の設定を適用する例を示します。
  1. 以下のテキストをコピーし、メモ帳などのテキスト エディタで新しいテキスト ファイルに貼り付けます。
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
  2. ファイルに AllowTrustedSites.reg という名前を付け、.reg ファイルとして保存します。
  3. 以下のテキストをコピーし、メモ帳などのテキスト エディタで新しいテキスト ファイルに貼り付けます。
    REGEDIT.EXE /S AllowTrustedSites.reg
  4. ファイルに AllowTrustedSites.bat という名前を付け、バッチ ファイルとして保存します。
  5. 以下の手順を実行して、バッチ ファイルをグループ ポリシー オブジェクト (GPO) にインポートします。
    1. 手順 4. で作成したバッチ ファイルおよび手順 2. で作成した .reg ファイルを \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup フォルダにコピーします。
    2. グループ ポリシー オブジェクトを実行するコンピュータで、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、dsa.msc と入力し、[OK] をクリックします。
    3. ドメインを右クリックし、[プロパティ] をクリックします。
    4. [グループ ポリシー] タブをクリックし、[新規] をクリックします。
    5. このポリシーに使用する名前を入力し、Enter キーを押します。
    6. [編集] をクリックします。
    7. [コンピュータの構成]、[Windows の設定] の順に展開し、[スクリプト (スタートアップ/シャットダウン)] をクリックし、右側のウィンドウの [スタートアップ] をダブルクリックします。[スタートアップのプロパティ] ダイアログ ボックスで [追加] をクリックします。
    8. AllowTrustedSites.bat ファイルを見つけてクリックし、[追加] をクリックします。
    9. [OK] をクリックし、[はい] をクリックします。[OK] をクリックし、[OK] をクリックします。

詳細

システム管理者向けの概要および例

セキュリティ更新プログラム 896358 の詳細およびこの更新プログラムの影響を受ける Web アプリケーションを再度有効にする方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
896358 [MS05-026] HTML ヘルプの脆弱性により、リモートでコードが実行される

Internet Explorer セキュリティ強化

Internet Explorer セキュリティ強化の構成が有効になっている場合、この資料に記載されている現象と同様の現象が発生することがあります。その場合、現象を解決するには、この資料に記載されている回避策だけでは十分でないことがあります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
815141 Internet Explorer セキュリティ強化の構成による Internet Explorer のユーザー操作の変更

InfoTech プロトコルの詳細

InfoTech プロトコルは主に HTML ヘルプで使用されます。このプロトコルの機能は Itss.dll ファイルによって提供されます。このプロトコルには、サポートされている以下のいずれかのスキーマを使用してアクセスできます。
  • Ms-its
  • Its
  • Mk:@msitstore

Internet Explorer のセキュリティ ゾーン

Internet Explorer でセキュリティ ゾーンを使用する方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
174360 Internet Explorer でセキュリティ ゾーンを使用する方法

グループ ポリシー

グループ ポリシーの詳細については、以下のマイクロソフト Web サイトを参照してください。

x64 ベースの Microsoft Windows のテクニカル サポート

x64 ベースの Microsoft Windows を実行しているコンピュータでは、「解決方法」に記載されているレジストリの編集方法を使用することが必要な場合があります。たとえば、32 ビットの機能と 64 ビットの機能のどちらを変更するのかに応じて、レジストリ内の別の部分を変更することが必要な場合があります。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
896459 x64 ベースの Windows Server 2003 および Windows XP Professional x64 Edition におけるレジストリの変更
x64 ベースの Windows はハードウェアにインストールされて提供されるため、その技術サポートと支援はハードウェアの製造元から提供されます。ハードウェアの製造元は、ハードウェアの性能を最大限に活用するために、固有のデバイス ドライバやオプション設定など、独自のコンポーネントを使用してインストール環境をカスタマイズしている場合があります。x64 ベースの Windows に関する技術サポートが必要な場合、マイクロソフトではできる限りの支援を行います。しかし、製造元がハードウェアにインストールして提供するソフトウェアについては製造元によるサポートが最適であるため、ハードウェアの製造元に直接お問い合わせいただくことが必要な場合があります。

Microsoft Windows XP Professional x64 Edition の製品情報については、以下のマイクロソフト Web サイトにアクセスしてください。
http://www.microsoft.com/japan/windowsxp/64bit/default.mspx
x64 ベースの Microsoft Windows Server 2003 の製品情報については、以下のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/windowsserver2003/64bit/x64/default.mspx

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 896054 (最終更新日 2005-08-22) を基に作成したものです。

この資料に含まれているサンプル コード/プログラムは英語版を前提に書かれたものをありのままに記述しており、日本語環境での動作は確認されておりません。

プロパティ

文書番号: 896054 - 最終更新日: 2006年2月27日 - リビジョン: 7.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003 Service Pack 1?を以下の環境でお使いの場合
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Advanced Server SP3
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium) 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows Millennium Edition
キーワード:?
kbhowto kbtshoot kbhtmlhelp100fix kbprb KB896054
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com