无法在安装安全更新 896358、安全更新 840315 或 Windows Server 2003 Service Pack 1 后使用 InfoTech 协议打开远程内容

文章编号: 896054 - 查看本文应用于的产品
重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和修改注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986
(http://support.microsoft.com/kb/256986/ )
Microsoft Windows 注册表说明
展开全部 | 关闭全部

本页

症状

安装安全更新 896358、安全更新 840315 或 Windows Server 2003 Service Pack 1 (SP1) 后,您可能会遇到以下症状:
  • 如果已安装安全更新 896358 或 Windows Server 2003 SP1,则可能会遇到以下症状:
    • 计算机上某些 Web 应用程序的功能不再起作用。例如,单击某个链接后可能不会显示主题。
    • 尝试使用通用命名约定 (UNC) 路径打开网络共享文件夹上的已编译帮助模块文件(.chm 文件)时,不显示 .chm 文件中的主题。
  • 如果已安装安全更新 840315,则计算机上在 URL 中的 InfoTech 协议内嵌套协议的 Web 应用程序无法正常运行。
注意:本文包含以下 Microsoft 知识库文章的补充信息:
896358
(http://support.microsoft.com/kb/896358/ )
MS05-026:HTML 帮助中的漏洞可能允许远程执行代码
840315
(http://support.microsoft.com/kb/840315/ )
MS04-023:HTML 帮助中的漏洞可能允许代码执行
回到顶端 | 提供反馈

原因

Windows Server 2003 SP1 及安全更新 896358 和 840315 中包括对 InfoTech 协议的更改。引入这些更改的目的是为了减少 HTML 帮助中的安全漏洞。
回到顶端 | 提供反馈

解决方案

警告:安装此安全更新后会出现这些症状是预料之中的。本节提供重新启用关键业务程序功能的替代方法。这些替代方法可能会导致计算机更容易面临上述安全更新所消除的威胁。最安全的做法是不要使用注册表替代方法。如果必须使用替代方法,请尽可能严格地设置注册表值。

警告:注册表编辑器或其他方法使用不当可能导致严重问题。这些问题可能需要重新安装操作系统。Microsoft 不能保证您可以解决这些问题。修改注册表需要您自担风险。

下面第一个示例是限制性最强的示例。后面几个示例的限制性相继减弱。

示例 1:如何使用 URLAllowList 启用特定 URL

警告:应只包括受信任网站的 URL。

下面的 .reg 文件重新启用 InfoTech 协议,以便从以下位置打开远程内容:
  • \\productmanuals\helpfiles 上的 .chm 文件
  • 位于以下 URL 处的 Web 应用程序:
    http://www.wingtiptoys.com/help/
注意:可将以下文本粘贴到文本编辑器(如记事本)中。然后,可用 .reg 文件扩展名保存该文件。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
注意:从该示例可以看出,要对网络共享文件夹启用 UNC 路径,必须添加以下两项:
\\productmanuals\helpfiles\;file://\\productmanuals\helpfiles
不能在添加到 UrlAllowList 注册表项的任何网站的 URL 字符串中使用通配符。例如,以下字符串不会起作用:
“UrlAllowList"="http://*.wingtiptoys.com”
但是,以下字符串将起作用:
“UrlAllowList"="http://help.wingtiptoys.com”
使用该字符串可以通过 InfoTech 协议访问以下网站服务内容:
  • http://help.wingtiptoys.com/research
  • http://help.wingtiptoys.com/sales

示例 2:如何使用 MaxAllowedZone 值启用安全区域

警告:MaxAllowedZone 值会启用特定区域中的所有网站。按照示例 1 中的说明使用 UrlAllowList 可能较为安全。如果必须使用 MaxAllowedZone 值,请不要将其设置得高于所需值。如果将该值设为 3 或更高,则系统会很容易受到来自 Internet 的攻击。

注意:默认情况下,MaxAllowedZone 值设置为 0。下表概述了 MaxAllowedZone 值对各个项的解释。
收起该表格展开该表格
MaxAllowedZone本地计算机区域本地 Intranet 区域受信任的站点区域Internet 区域受限站点区域
0允许阻止阻止阻止阻止
1允许允许阻止阻止阻止
2允许允许允许阻止阻止
3允许允许允许允许阻止
4允许允许允许允许允许
下面的 .reg 文件重新启用 InfoTech 协议,以连接到 Intranet 区域中的所有系统。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

示例 3:如何同时使用 URLAllowList 和 MaxAllowedZone 值

警告:MaxAllowedZone 值会启用特定区域中的所有网站。按照示例 1 中的说明使用 UrlAllowList 可能较为安全。如果必须使用 MaxAllowedZone 值,请不要将其设置得高于所需值。如果将该值设为 3 或更高,则系统会很容易受到来自 Internet 的攻击。

下面的 .reg 文件重新启用 InfoTech 协议,以连接到 Intranet 区域中的所有内容以及两个 Internet 网站。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"

示例 4:使用 NestedProtocolList 启用 URL 中的嵌套协议

某些 Web 应用程序可能会使用 URL 中的嵌套协议。安全更新 840315 会将该功能从 HTML 帮助中删除。安装此安全更新后,使用 URL 中嵌套协议的 Web 应用程序可能会不起作用。

例如,以下 URL 可能会不起作用:
ms-its:http://www.proseware.com/helpfiles/help.chm::about.htm


安装安全更新 896358 后,下面的 .reg 文件会重新允许在 URL 中嵌套 HTTP 和 FTP 协议。

注意:可将以下文本粘贴到文本编辑器(如记事本)中。然后,可用 .reg 文件扩展名保存该文件。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"NestedProtocolList"="http:;ftp:"

如何在域中部署注册表项

建议您使用组策略将本文上述示例中的设置部署为启动脚本。也可将这些设置部署为登录脚本。但是,此方法因存在权限约束而不够理想。

以下步骤是一个示例,演示如何将“示例 1”中的设置部署为组策略启动脚本。
  1. 将以下文本粘贴到文本编辑器(如记事本)中。
    REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
  2. 将该文件保存为名为 AllowTrustedSites.reg 的 .reg 文件。
  3. 复制以下文本,然后将其粘贴到文本编辑器(如记事本)中。
    REGEDIT.EXE /S AllowTrustedSites.reg
  4. 将该文件保存为名为 AllowTrustedSites.bat 的批处理文件。
  5. 将该批处理文件导入组策略对象 (GPO) 中。为此,请按照下列步骤操作:
    1. 将在步骤 4 中创建的批处理文件和在步骤 2 中创建的 .reg 文件复制到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 文件夹中。
    2. 在要运行该组策略对象的计算机上,单击“开始”,单击“运行”,键入 dsa.msc,然后单击“确定”。
    3. 右键单击您的域,然后单击“属性”。
    4. 单击“组策略”,然后单击“新建”。
    5. 键入要用于该策略的名称,然后按 Enter 键。
    6. 单击“编辑”。
    7. 依次展开“计算机配置”、“Windows 设置”,单击“脚本 (启动/关机)”,双击右面板中的“启动”,然后单击“启动属性”对话框中的“添加”。
    8. 找到并单击 AllowTrustedSites.bat 文件,然后单击“添加”。
    9. 依次单击“确定”、“是”和“确定”,然后再次单击“确定”。
回到顶端 | 提供反馈

更多信息

系统管理员概述和示例

有关安全更新 896358 以及如何重新启用受此更新影响的 Web 应用程序的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
896358
(http://support.microsoft.com/kb/896358/ )
MS05-026:HTML 帮助中的漏洞可能允许远程代码执行

Internet Explorer 增强的安全性

如果启用 Internet Explorer 增强的安全性,则可能会遇到类似于本文所述的症状。在这种情况下,本文中的替代方法可能不足以消除这些症状。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
815141
(http://support.microsoft.com/kb/815141/ )
Internet Explorer 增强安全配置改变了浏览体验

有关 InfoTech 协议的更多信息

InfoTech 协议主要由 HTML 帮助使用。此协议的功能由 Itss.dll 文件提供。可使用下列受支持方案中的一种访问此协议:
  • Ms-its
  • Its
  • Mk:@msitstore

Internet Explorer 安全区域

有关如何在 Internet Explorer 中使用安全区域的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
174360
(http://support.microsoft.com/kb/174360/ )
如何在 Internet Explorer 中使用安全区域

组策略

有关组策略的更多信息,请访问下面的 Microsoft 网站:

对基于 x64 的 Microsoft Windows 版本的技术支持

在运行基于 x64 的 Microsoft Windows 版本的计算机上,您可能必须适当地更改“解决方案”一节中关于如何修改注册表的说明。例如,根据要修改 32 位功能还是要修改 64 位功能,您可能需要修改注册表中不同的部分。 有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
896459
(http://support.microsoft.com/kb/896459/ )
基于 x64 的 Windows Server 2003 版本和 Windows XP Professional x64 Edition 中注册表的更改
硬件制造商为基于 x64 的 Windows 版本提供了技术支持和帮助。硬件制造商提供支持是因为基于 x64 的 Windows 版本是随硬件提供的。您的硬件制造商可能已用独特的组件自定义了 Windows 的安装。独特组件可能包括特定的设备驱动程序,或者包括用于将硬件性能发挥到最大的可选设置。如果您需要基于 x64 的 Windows 版本的技术帮助,Microsoft 将尽可能提供合理的帮助。但是,您可能必须与制造商直接联系。您的制造商最有资格为安装在您的硬件上的软件提供支持。

有关 Microsoft Windows XP Professional x64 Edition 的产品信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/windowsxp/64bit/default.mspx
(http://www.microsoft.com/china/windowsxp/64bit/default.mspx)
有关基于 x64 的 Microsoft Windows Server 2003 版本的产品信息,请访问下面的 Microsoft 网站:
http://www.microsoft.com/china/windowsserver2003/64bit/x64/default.mspx
(http://www.microsoft.com/china/windowsserver2003/64bit/x64/default.mspx)
回到顶端 | 提供反馈

属性

文章编号: 896054 - 最后修改: 2006年6月22日 - 修订: 7.1
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Service Pack 1?当用于
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows 98 第二版
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows Millennium Edition
关键字:?
kbhowto kbtshoot kbhtmlhelp100fix kbprb KB896054
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
回到顶端 | 提供反馈

提供反馈

 
回到顶端回到顶端