在安裝安全性更新 896358、840315 或 Windows Server 2003 Service Pack 1 之後,無法使用 InfoTech 通訊協定開啟遠端內容

文章翻譯 文章翻譯
文章編號: 896054 - 檢視此文章適用的產品。
重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和修改登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Description of the Microsoft Windows registry
全部展開 | 全部摺疊

在此頁中

徵狀

在安裝安全性更新 896358、840315 或 Windows Server 2003 Service Pack 1 (SP1) 之後,可能會出現下列徵狀:
  • 如果您已經安裝安全性更新 896358 或 Windows Server 2003 SP1,可能會出現下列徵狀:
    • 電腦上某些 Web 應用程式的功能不再正常運作。例如,按一下連結之後,卻無法顯示主題。
    • 當您嘗試使用「通用命名慣例」(UNC) 路徑開啟網路共用資料夾上的「編譯說明模組」(.chm) 檔,.chm 檔中的主題無法顯示。
  • 如果 Web 應用程式將通訊協定巢嵌於 URL 的 InfoTech 通訊協定中,則當您安裝安全性更新 840315 之後,這個 Web 應用程式將無法在電腦上正常運作。
注意 本文包含下列「Microsoft 知識庫」文件的補充資訊。
896358 MS05-026:HTML Help 說明檔的弱點可能會導致程式碼執行
840315 MS04-023:HTML Help 說明檔的弱點可能會導致程式碼執行

發生的原因

Windows Server 2003 SP1 及安全性更新 896358 和 840315 包含對 InfoTech 通訊協定所作的變更。所引用的這些變更可以降低 HTML 說明的安全性弱點。

解決方案

警告 這些徵狀是安裝安全性更新所預期和必然的結果。本節提供重新啟用業務重要程式功能的替代解決方案。替代解決方案可能會使電腦更容易遭受到安全性更新所說明之威脅的攻擊。最安全的做法,就是不要使用登錄替代解決方案。如果您必須使用替代解決方案,應該儘可能限制登錄機碼值的設定。

警告 如果您使用「登錄編輯程式」或其他方法不當地修改登錄,可能會發生嚴重問題。這些問題可能會需要您重新安裝作業系統才能解決。Microsoft 不保證可以解決這些問題。請自行承擔修改登錄的一切風險。

以下第一個範例的限制最為嚴格,後續範例的限制則逐步減少。

範例 1:如何使用 UrlAllowList 啟用特定 URL

警告 請只加入您所信任網站的 URL。

下列 .reg 檔重新啟用 InfoTech 通訊協定,以開啟下列位置的遠端內容:
  • \\productmanuals\helpfiles 上的 .chm 檔
  • 位於下列 URL 的 Web 應用程式:
    http://www.wingtiptoys.com/help/
注意 您可以將下列文字貼至文字編輯器 (例如,記事本)。然後,您便可以儲存使用 .reg 副檔名的檔案。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
注意 從範例中可以看出,如果要啟用網路共用資料夾的 UNC 路徑,必須新增下列兩個項目:
\\productmanuals\helpfiles\;file://\\productmanuals\helpfiles
您不能在新增到 UrlAllowList 登錄機碼之任何網站的 URL 字串中使用萬用字元。例如,下列字串不會正常運作:
"UrlAllowList"="http://*.wingtiptoys.com"
但是,下列字串可以正常運作:
"UrlAllowList"="http://help.wingtiptoys.com"
此字串使用 InfoTech 通訊協定讓下列網站提供內容:
  • http://help.wingtiptoys.com/research
  • http://help.wingtiptoys.com/sales

範例 2:如何使用 MaxAllowedZone 值來啟用安全性區域

警告 MaxAllowedZone 值會啟用特定區域中的所有網站。使用範例 1 描述的 UrlAllowList 可能是比較安全的作法。如果您必須使用 MaxAllowedZone 值,請最好不要設定高過必須值。如果您將值設為 3 或更高,您的系統將暴露於來自網際網路的攻擊中。

注意 根據預設,[MaxAllowedZone] 值設定為 0。下列表格概述 [MaxAllowedZone] 值如何解譯不同的項目。
摺疊此表格展開此表格
MaxAllowedZone本機電腦區域近端內部網路區域信任的網站區域網際網路區域限制的網站區域
0已允許已封鎖已封鎖已封鎖已封鎖
1已允許已允許已封鎖已封鎖已封鎖
2已允許已允許已允許已封鎖已封鎖
3已允許已允許已允許已允許已封鎖
4已允許已允許已允許已允許已允許
下列 .reg 檔重新啟用 InfoTech 通訊協定,以連接至「內部網路」區域中的所有系統。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

範例 3:如何使用 UrlAllowList 和 MaxAllowedZone 值

警告 MaxAllowedZone 值會啟用特定區域中的所有網站。使用範例 1 中描述 UrlAllowList 可能是比較安全的作法。如果您必須使用 MaxAllowedZone 值,請最好不要設定高過必須值。如果您將值設為 3 或更高,您的系統將暴露於來自網際網路的攻擊中。

下列 .reg 檔重新啟用 InfoTech 通訊協定,以連接至「內部網路」區域中的所有內容和兩個網際網路網站。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"

範例 4:使用 NestedProtocolList 啟用巢嵌於 URL 中的通訊協定

某些 Web 應用程式可能使用巢嵌於 URL 中的通訊協定。安全性更新 840315 已將此功能從「HTML 說明」中移除。安裝此安全性更新之後,使用巢嵌於 URL 中之通訊協定的 Web 應用程式可能無法正常運作。

例如,下列 URL 可能無法運作:
ms-its:http://www.proseware.com/helpfiles/help.chm::about.htm


安裝安全性更新 896358 之後,下列 .reg 檔會重新啟用要巢嵌於 URL 中的 HTTP 和 FTP 通訊協定。

注意 您可以將下列文字貼至文字編輯器 (例如,記事本)。然後,您便可以儲存使用 .reg 副檔名的檔案。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"NestedProtocolList"="http:;ftp:"

如何部署整個網域中的登錄機碼

建議您使用「群組原則」,將本文稍早範例中的設定部署為啟動指令碼。您也可以將這些設定部署為登入指令碼。但是,因為使用權限的限制,較不建議這種方式。

下列步驟將示範如何將<範例 1>中的設定,部署為「群組原則」啟動指令碼。
  1. 將下列文字貼至文字編輯器 (例如,記事本)。
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] 
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
    "UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
  2. 將檔案儲存為 .reg 檔,並命名為 AllowTrustedSites.reg。
  3. 複製下列文字,然後貼至文字編輯器 (例如,記事本)。
    REGEDIT.EXE /S AllowTrustedSites.reg
  4. 將檔案儲存為批次檔,並命名為 AllowTrustedSites.bat。
  5. 將批次檔匯入至群組原則物件 (GPO)。如果要執行這項操作,請依照下列步驟執行:
    1. 將您在步驟 4 建立的批次檔和在步驟 2 建立的 .reg 檔複製到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 資料夾中。
    2. 在您要執行群組原則物件的電腦上,按一下 [開始],再按一下 [執行],輸入 dsa.msc,然後按一下 [確定]
    3. 用滑鼠右鍵按一下您的網域,然後按一下 [內容]
    4. 按一下 [群組原則],再按一下 [新增]
    5. 輸入您想要用於此原則的名稱,然後按下 ENTER。
    6. 按一下 [編輯]
    7. 展開 [電腦設定],再展開 [Windows 設定],按一下 [指令碼 (啟動/關機)],在右窗格中按兩下 [啟動],然後按一下 [啟動內容] 對話方塊中的 [新增]
    8. 找出並按一下 AllowTrustedSites.bat 檔案,然後按一下 [新增]
    9. 依序按一下 [確定][是][確定],然後再按一下 [確定]

其他相關資訊

系統管理員概觀和範例

如需有關安全性更新 896358 和如何重新啟用此更新所影響的 Web 應用程式的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
896358 MS05-026:HTML Help 說明檔的弱點可能會導致程式碼執行

Internet Explorer 增強的安全性

如果啟用「Internet Explorer 增強的安全性」,可能會出現類似本文說明的那些徵狀。在此情況下,本文中的替代解決方案可能不足以解決這些徵狀。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
815141 Internet Explorer 增強式安全性設定改變了瀏覽的體驗

InfoTech 通訊協定的詳細資訊

InfoTech 通訊協定主要由「HTML 說明」使用。這個通訊協定的功能是由 Itss.dll 檔所提供。您可以使用下列其中一個支援的架構來存取這個通訊協定:
  • Ms-its
  • Its
  • Mk:@msitstore

Internet Explorer 安全性區域

如需有關如何使用 Internet Explorer 中的安全性區域的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
174360 如何使用 Internet Explorer 中的安全性區域

群組原則

如需更多有關「群組原則」的詳細資訊,請造訪下列 Microsoft 網站:

Microsoft Windows x64 版的技術支援

在執行 Microsoft Windows x64 版的電腦上,您可能必須採取<解決方案>一節中關於如何修改登錄的指示。例如,您可能必須修改登錄的不同部分,而這將取決於您要修改的是 32 位元或 64 位元版本的功能。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
896459 Registry changes in x64-based versions of Windows Server 2003 and Windows XP Professional x64 Edition
您的硬體製造商提供有關 Windows x64 版的技術支援和協助。由於 Windows x64 版是隨附在您的硬體中,所以硬體製造商會提供相關的支援。硬體製造商可能已經利用特殊的元件自訂 Windows 的安裝程序。特殊的元件可能包括特定裝置驅動程式,或能夠最大化硬體效能的選用設定。如果您需要有關 Windows x64 版的技術協助,Microsoft 將會在合理的情況下提供協助。但是,您可能必須直接連絡製造商。因為硬體製造商已在硬體上預先安裝軟體,所以他們會是提供軟體技術支援服務的最佳人選。

如需有關 Microsoft Windows XP Professional x64 Edition 的產品資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsxp/64bit/default.mspx
如需有關 Microsoft Windows Server 2003 x64 版的產品資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/windowsserver2003/64bit/x64/default.mspx

屬性

文章編號: 896054 - 上次校閱: 2006年6月22日 - 版次: 8.1
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003 Service Pack 1?應用於:
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows Millennium Edition
關鍵字:?
kbhowto kbtshoot kbhtmlhelp100fix kbprb KB896054
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com