После установки обновления безопасности 896358, пакета обновления 1 (SP1) для Windows Server 2003 или обновления безопасности 840315 не удается открыть удаленное содержимое с помощью протокола InfoTech

Переводы статьи Переводы статьи
Код статьи: 896054 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать архивную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивации, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Проблема

В результате установки пакета обновления 1 (SP1) для Windows Server 2003, обновления безопасности 896358 или обновления безопасности 840315 могут возникнуть следующие проблемы.
  • После установки обновления безопасности 896358 или пакета обновления 1 (SP1) для Windows Server 2003 могут наблюдаться следующие проблемы.
    • Перестают работать отдельные функции веб-приложений на компьютере. Например, после щелчка по ссылке выбранный раздел не открывается.
    • При попытке открыть файл CHM (Compiled Help Module), содержащийся в общей сетевой папке, используя путь в формате UNC (Universal Naming Convention), его разделы не отображаются.
  • После установки обновления безопасности 840315 нарушается работа веб-приложений, которые вкладывают в адреса URL внутри протокола InfoTech другие протоколы.
Примечание. Материал данной статьи дополняет сведения, изложенные в следующих статьях базы знаний Майкрософт.
896358 MS05-026: Уязвимость в элементе управления HTML Help делает возможным удаленный запуск программного кода
840315 MS04-023: Уязвимость в HTML-справке делает возможным запуск программного кода

Причина

Пакет обновления 1 (SP1) для Windows Server 2003, а также обновления безопасности 896358 и 840315 содержат исправления протокола InfoTech, снижающие риск возникновения уязвимости при использовании элемента управления HTML Help.

Решение

Предупреждение. Установка этих обновлений безопасности должна вызывать перечисленные проблемы. В этом разделе описаны временные меры, позволяющие восстановить работоспособность функций важнейших бизнес-приложений. Однако такие временные меры могут понизить защищенность системы от атак, использующих уязвимости, которые устраняются данным обновлением безопасности. Для максимальной безопасности не рекомендуется применять временные изменения реестра. Если необходимо применить временные меры, в параметрах реестра следует устанавливать максимально возможные ограничения.

Предупреждение. Неправильное изменение параметров реестра системы с помощью редактора реестра или любым иным путем может послужить причиной возникновения серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. Ответственность за результаты произведенных действий несет пользователь.

Первый из приведенных примеров устанавливает максимальные ограничения. В остальных примерах число ограничений последовательно сокращается.

Пример 1. Разрешение подключения к определенным адресам URL с помощью параметра UrlAllowList

Предупреждение. Добавлять следует только адреса URL абсолютно надежных веб-узлов.

Следующий файл REG разрешает использование протокола InfoTech для открытия удаленного содержимого из таких каталогов:
  • файлы CHM в папке \\productmanuals\helpfiles;
  • веб-приложение, расположенное по адресу
    http://www.wingtiptoys.com/help/.
Примечание. Приведенный ниже текст можно скопировать в окно текстового редактора (например, «Блокнот»). Далее файл можно сохранить с расширением REG.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
Примечание. Как видно из примера, чтобы задействовать путь UNC к общей сетевой папке, необходимо добавить две записи:
\\productmanuals\helpfiles\;file://\\productmanuals\helpfiles
Не допускается использование символов подстановки в строке адреса любого веб-узла, добавляемого в раздел реестра UrlAllowList. Например, недопустима следующая строка:
"UrlAllowList"="http://*.wingtiptoys.com"
При этом можно использовать такую строку:
"UrlAllowList"="http://help.wingtiptoys.com"
Эта строка разрешает обработку содержимого с помощью протокола InfoTech для следующих веб-узлов.
  • http://help.wingtiptoys.com/research;
  • http://help.wingtiptoys.com/sales.

Пример 2. Использование параметра MaxAllowedZone для разрешения зоны безопасности

Предупреждение. Параметр MaxAllowedZone разрешает использование протокола InfoTech для всех веб-узлов, находящихся в определенной зоне. Использование параметра UrlAllowList, как описывается в примере 1, может быть более надежным. Если необходимо использовать параметр MaxAllowedZone, его значение следует устанавливать не выше, чем требуется. Если установить значение 3 или выше, снизится защищенность системы от атак из Интернета.

Примечание. По умолчанию значение параметра MaxAllowedZone равно нулю. Интерпретация разных значений параметра MaxAllowedZone представлена в следующей таблице.
Свернуть эту таблицуРазвернуть эту таблицу
MaxAllowedZoneзона «Локальный компьютер»зона «Местная интрасеть»зона «Надежные узлы»зона «Интернет»зона «Ограниченные узлы»
0РазрешенаБлокированаБлокированаБлокированаБлокирована
1РазрешенаРазрешенаБлокированаБлокированаБлокирована
2РазрешенаРазрешенаРазрешенаБлокированаБлокирована
3РазрешенаРазрешенаРазрешенаРазрешенаБлокирована
4РазрешенаРазрешенаРазрешенаРазрешенаРазрешена
Следующий файл с расширением REG разрешает использование протокола InfoTech для подключения ко всем системам зоны интрасети.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

Пример 3. Использование параметров UrlAllowList и MaxAllowedZone

Предупреждение. Параметр MaxAllowedZone разрешает использование элементов управления ActiveX для всех веб-узлов, находящихся в определенной зоне. Использование параметра UrlAllowList, как описывается в примере 1, может быть более надежным. Если необходимо использовать параметр MaxAllowedZone, его значение следует устанавливать не выше, чем требуется. Если установить значение 3 или выше, снизится защищенность системы от атак из Интернета.

Следующий файл с расширением REG разрешает использование протокола InfoTech для подключения ко всему содержимому зоны интрасети и двум узлам Интернета.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"

Пример 4. Использование параметра NestedProtocolList для разрешения вложенных протоколов в адресе URL

Некоторые веб-приложения используют вложенные протоколы в адресе URL. Обновление безопасности 840315 удаляет эту функцию из элемента управления HTML Help. После установки данного обновления безопасности веб-приложения, использующие в адресах URL вложенные протоколы, могут работать неправильно.

Например, может не работать адрес
ms-its:http://www.proseware.com/helpfiles/help.chm::about.htm


Следующий файл с расширением REG восстанавливает возможность вложения в адреса URL протоколов HTTP и FTP после установки обновления безопасности 896358.

Примечание. Приведенный ниже текст можно скопировать в окно текстового редактора (например, «Блокнот»). Далее файл можно сохранить с расширением REG.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"NestedProtocolList"="http:;ftp:"

Задание параметров системного реестра в пределах домена

Рекомендуется применить групповую политику, чтобы использовать параметры, упомянутые в приведенных выше примерах, в качестве сценариев запуска. Эти параметры также можно использовать в качестве сценариев входа в систему, однако этот метод является менее предпочтительным из-за ограничений в использовании разрешений.

Ниже приведен пример использования сценария запуска групповой политики для изменения параметров в соответствии с примером 1.
  1. Скопируйте представленный ниже текст в окно текстового редактора (например, «Блокнот»).
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
  2. Сохраните полученный файл под именем AllowTrustedSites.reg.
  3. Скопируйте представленный ниже текст в окно текстового редактора (например, «Блокнот»):
    REGEDIT.EXE /S AllowTrustedSites.reg
  4. Сохраните полученный пакетный файл под именем AllowTrustedSites.bat.
  5. Импортируйте пакетный файл в объект групповой политики. Для этого выполните следующие действия.
    1. Скопируйте командный файл, созданный на шаге 4, и файл с расширением REG, созданный на шаге 2, в папку \\имя_домена\SysVol\имя_домена\Policies\идентификатор_GUID_выбранного_объекта_групповой_политики\Machine\Scripts\Startup.
    2. На компьютере, где должен применяться данный объект групповой политики, выберите в меню Пуск пункт Выполнить, введите команду dsa.msc и нажмите кнопку .
    3. Щелкните нужный домен правой кнопкой мыши и выберите команду Свойства.
    4. Перейдите на вкладку Групповая политика и нажмите кнопку Создать.
    5. Введите имя создаваемого объекта групповой политики и нажмите клавишу ВВОД.
    6. Нажмите кнопку Изменить.
    7. Разверните узлы Конфигурация компьютера и Конфигурация Windows, щелкните элемент Сценарии (запуск/завершение), дважды щелкните элемент Автозагрузка на правой панели и в окне Свойства: Автозагрузка нажмите кнопку Добавить.
    8. Найдите и выделите файл AllowTrustedSites.bat, а затем нажмите кнопку Добавить.
    9. Нажмите кнопку ОК, потом кнопку Да, затем кнопку OK и еще раз нажмите кнопку ОК.

Дополнительная информация

Обзор и примеры для системных администраторов

Дополнительные сведения об обновлении безопасности 896358 и о способах восстановления работоспособности веб-приложений, затронутых данным обновлением, см. в следующей статье базы знаний Майкрософт:
896358 MS05-026: Уязвимость в элементе управления HTML Help делает возможным удаленный запуск программного кода

Конфигурация усиленной безопасности Internet Explorer

Если используется конфигурация усиленной безопасности Internet Explorer, могут возникать проблемы, аналогичные описанным в этой статье. В этом случае описанные в статье временные меры могут оказаться недостаточными для решения проблем. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
815141 Влияние конфигурации усиленной безопасности Internet Explorer на работу в Интернете

Дополнительные сведения о протоколе InfoTech

Протокол InfoTech преимущественно используется HTML-справкой. Программный код протокола содержится в файле Itss.dll. Получить доступ к протоколу InfoTech можно, используя одну из следующих схем.
  • Ms-its
  • Its
  • Mk:@msitstore

Зоны безопасности обозревателя Internet Explorer

Дополнительные сведения об использовании зон безопасности в обозревателе Internet Explorer см. в следующей статье базы знаний Майкрософт:
174360 Использование зон безопасности в обозревателе Internet Explorer

Групповая политика

Дополнительные сведения о групповой политике см. на веб-узле Майкрософт по следующим адресам:

Техническая поддержка 64-разрядных версий Microsoft Windows

На компьютерах под управлением 64-разрядных версий Microsoft Windows может потребоваться пересмотр инструкций по изменению реестра, приведенных в разделе «Решение». Например, в зависимости от используемой версии – 32- или 64-разрядной – может потребоваться изменение разных частей реестра. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
896459 Изменения реестра в 64-разрядной версии Windows Server 2003 и Windows XP Professional x64 Edition (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Поскольку 64-разрядная операционная система Windows поставляется в составе приобретенного оборудования, обязанности по предоставлению соответствующей технической поддержки несет производитель оборудования. Для оптимизации производительности системы производитель оборудования может индивидуально настраивать операционные системы Windows, устанавливая уникальные компоненты, например специальные драйверы устройств, и настраивая определенные параметры операционной системы. Корпорация Майкрософт предоставляет пользователям 64-разрядных версий Windows ограниченную техническую поддержку. Однако в первую очередь следует обращаться непосредственно к производителю оборудования. Производитель обладает наилучшими возможностями по поддержке установленного им программного обеспечения.

Для получения дополнительных сведений о 64-разрядных версиях Windows XP Professional обращайтесь на веб-узел Майкрософт по следующему адресу:
http://www.microsoft.com/windowsxp/64bit/default.mspx
Для получения дополнительных сведений о 64-разрядных версиях Windows Server 2003 обращайтесь на веб-узел Майкрософт по следующему адресу:
http://www.microsoft.com/windowsserver2003/64bit/x64/default.mspx

Свойства

Код статьи: 896054 - Последний отзыв: 22 июня 2006 г. - Revision: 7.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Операционная система Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • операционная система Microsoft Windows Millennium Edition
Ключевые слова: 
kbhowto kbtshoot kbhtmlhelp100fix kbprb KB896054

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com