При использовании схем URL в параметрах элемента управления ActiveX HTML Help после установки обновления безопасности 896358 ряд схем игнорируется

Переводы статьи Переводы статьи
Код статьи: 905215 - Vizualiza?i produsele pentru care se aplic? acest articol.
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать резервную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивации, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Проблема

После установки обновления безопасности 896358 в случае использования схем URL в параметрах элемента управления ActiveX HTML Help ряд схем игнорируется.

Примечание. Материал данной статьи дополняет сведения, изложенные в следующих статьях базы знаний Майкрософт.
896358 MS05-026: Уязвимость в элементе управления HTML Help делает возможным удаленный запуск программного кода

Причина

Данная проблема возникает из-за того, что обновление безопасности 896358 содержит изменения элемента управления HTML Help ActiveX. До установки обновления в теге параметра допускалось использование любой корректной схемы URL. После установки обновления безопасности 896358 поддерживаются только следующие схемы URL:
  • file
  • http
  • https
  • ftp
  • its
  • ms-its
  • mk:@msitstore
  • hcp
Данные изменения были внесены корпорацией Майкрософт для уменьшения риска возникновения уязвимостей при использовании элемента управления HTML Help.

Решение

Предупреждение! Данная ситуация является ожидаемым результатом установки обновления безопасности. В данном разделе описывается способ подключения дополнительных схем для обеспечения работы важных приложений. Этот способ может увеличить уязвимость компьютера в отношении угроз, против которых направлено обновление безопасности 896358. Наиболее безопасным решением является отказ от использования данного способа разрешения проблемы. В случае, если это невозможно, ограничьтесь подключением только тех схем URL, которые требуются для работы важных для вас приложений.

Предупреждение. Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может стать причиной возникновения серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. Ответственность за результаты произведенных действий несет пользователь.

Для подключения схем URL, которые требуется использовать в качестве параметров элемента управления ActiveX HTML Help, можно использовать системный реестр. Например, требуется разрешить для использования в элементе управления See Also схемы news и mailto, соответствующие группам новостей и электронной почте. Выполнение ниже перечисленных действий позволит элементу управления See Also обращаться к группам новостей и электронной почте. Следующий файл с расширением .reg подключает данные схемы URL.

Примечание. Приведенный ниже текст можно скопировать в окно текстового редактора (например, «Блокнот»), а затем сохранить в файл с расширением .reg.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
"ProtocolAllowList"="news:;mailto:"

Развертывание ключей системного реестра в домене

Развертывание настроек, описанных выше в данной статье, рекомендуется осуществить через сценарии запуска с помощью групповой политики. Эти параметры также можно использовать в качестве сценариев входа в систему, однако этот метод является менее предпочтительным из-за ограничений разрешений.

Ниже приведены шаги, которые иллюстрируют один из вариантов применения параметров, описанных в первом примере, посредством использования групповой политики для изменения сценария запуска.
  1. Скопируйте представленный ниже текст в окно текстового редактора (например, «Блокнот»).
    REGEDIT4
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]
    "ProtocolAllowList"="news:;mailto:"
    
  2. Сохраните файл. Присвойте файлу имя AllowTrustedProtocols.reg.
  3. Скопируйте представленный ниже текст в окно текстового редактора (например, «Блокнот»).
    REGEDIT.EXE /S AllowTrustedProtocols.reg
  4. Сохраните файл. Присвойте файлу имя AllowTrustedProtocols.bat.
  5. Импортируйте данный командный файл в объект групповой политики (GPO). Для этого выполните следующие действия:
    1. Скопируйте командный файл и файл с расширением .reg в папку \\имя_домена\SysVol\имя_домена\Policies\идентификатор_GUID_выбранного_объекта_групповой_политики\Machine\Scripts\Startup.
    2. На компьютере, на котором должен применяться данный объект групповой политики, выберите в меню Пуск пункт Выполнить, введите команду dsa.msc и нажмите кнопку .
    3. Щелкните нужный домен правой кнопкой мыши и выберите команду Свойства.
    4. Перейдите на вкладку Групповая политика и нажмите кнопку Создать.
    5. Введите имя создаваемого объекта групповой политики и нажмите клавишу ВВОД.
    6. Нажмите кнопку Изменить.
    7. Разверните узлы Конфигурация компьютера и Конфигурация Windows, щелкните элемент Сценарии (запуск/завершение), дважды щелкните элемент Автозагрузка на правой панели и в окне Свойства: Автозагрузка нажмите кнопку Добавить.
    8. Выберите файл AllowTrustedProtocols.bat.
    9. Нажмите кнопку Добавить.
    10. Нажмите кнопку ОК, потом кнопку Да, затем кнопку OK и еще раз нажмите кнопку ОК.

Дополнительная информация

Данная статья содержит сведения, дополняющие статью базы знаний Microsoft 896358.

Обзор и примеры для системных администраторов

Дополнительные сведения об обновлении безопасности 896358 и о способах восстановления работоспособности веб-приложений, затронутых данным обновлением, см. в следующей статье базы знаний Майкрософт:
896358 MS05-026: Уязвимость в элементе управления HTML Help делает возможным удаленный запуск программного кода

Групповая политика

Дополнительные сведения о групповой политике см. на веб-узле Майкрософт по следующим адресам:

Техническая поддержка 64-разрядных версий Microsoft Windows

На компьютерах под управлением 64-разрядных версий Microsoft Windows может потребоваться пересмотр инструкций по изменению реестра, приведенных в разделе «Решение». Например, в зависимости от используемой версии – 32- или 64-разрядной – может потребоваться изменение разных частей реестра. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
896459 Изменение реестра в 64-разрядных версиях операционной системы Windows (эта ссылка может указывать на содержимое полностью или частично на английском языке)
Техническую поддержку для версий Windows на платформе x64 можно получить у поставщика оборудования. Производитель оборудования обязан предоставить соответствующую техническую поддержку, поскольку версия Windows на платформе x64 поставляется вместе с оборудованием. Производитель может оптимизировать производительность системы, устанавливая дополнительные компоненты, например, специальные драйверы устройств, и настраивая определенные параметры операционной системы. Корпорация Майкрософт предоставляет пользователям 64-разрядных версий Windows ограниченную техническую поддержку. Однако в первую очередь следует обращаться непосредственно к производителю оборудования. Производитель обладает наилучшими возможностями по поддержке установленного им программного обеспечения.

Для получения дополнительных сведений о 64-разрядных версиях Windows XP Professional обращайтесь на веб-узел Майкрософт по следующему адресу:
http://www.microsoft.com/rus/windowsxp/64bit/
Для получения дополнительных сведений о 64-разрядных версиях Windows Server 2003 обращайтесь на веб-узел Майкрософт по следующему адресу:
http://www.microsoft.com/rus/windowsserver2003/64bit/x64/default.mspx

Свойства

Код статьи: 905215 - Последний отзыв: 10 марта 2006 г. - Revision: 3.1
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 4
  • Microsoft Windows 2000 Service Pack 3
  • Microsoft Windows 2000 Datacenter Server
  • Операционная система Microsoft Windows 2000 Professional
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • операционная система Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
Ключевые слова: 
kbtshoot kbsecurity kbprb KB905215

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com