Po instalaci aktualizace zabezpečení 896358 nebo aktualizace zabezpečení 890175 pravděpodobně nebudou fungovat určité weby a funkce nápovědy HTML

Podpora Windows XP byla ukončena.

Společnost Microsoft ukončila dne 8. dubna 2014 podporu Windows XP. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zálohovat. Seznamte se také s postupem při obnovení registru v případě, že nastanou potíže. Informace o zálohování, obnovení a úpravě registru najdete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986 Popis registru systému Microsoft Windows
Příznaky
Po instalaci aktualizace zabezpečení 896358 nebo aktualizace zabezpečení 890175 můžete zaznamenat některé z následujících příznaků:
  • Je možné, že některé typy webových programů nebudou fungovat správně. Nemusí již například fungovat obsah v nápovědě HTML.
  • Je možné, že nebudou fungovat určité funkce nápovědy HTML, pokud je soubor CHM otevřen ze vzdáleného umístění. Nemusí například fungovat funkce Příbuzná témata.
Poznámka: Tento článek obsahuje informace, které doplňují následující články znalostní báze Microsoft Knowledge Base:
896358 MS05-026: Chyba zabezpečení v nápovědě HTML umožňuje vzdálené spuštění kódu
890175 MS05-001: Chyba zabezpečení v nápovědě HTML může povolit vzdálené spuštění kódu
Příčina
K těmto potížím dochází proto, že aktualizace zabezpečení 896358 a 890175 zabraňují obsahu HTML, který se nachází mimo zónu místního počítače, ve vytváření instance ovládacího prvku ActiveX nápovědy HTML (HHCTRL). Cílem této změny je omezit chyby zabezpečení v nápovědě HTML.
Řešení
Upozornění: Příznaky jsou očekávaným a plánovaným účinkem instalace aktualizací zabezpečení. V této části jsou uvedeny příklady pro správce, kteří musí znovu povolit ovládací prvek ActiveX nápovědy HTML pro důležité podnikové aplikace. Uvedená řešení mohou způsobit, že počítač bude více ohrožen chybami, které byly těmito aktualizacemi zabezpečení odstraněny. Nejbezpečnější je nepoužívat řešení zasahující do registru. Pokud je nutné taková řešení použít, nastavte hodnoty registru na maximální možné omezení.

Upozornění: Při nesprávných úpravách registru pomocí Editoru registru nebo jiným způsobem může dojít k vážným problémům. Tyto problémy mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nezaručuje, že tyto problémy bude možné vyřešit. Úpravy registru provádíte na vlastní nebezpečí.

První z následujících příkladů je nejvíce omezující, postupně následují méně omezující příklady.

Příklad 1: Povolení určitých adres URL pomocí položky UrlAllowList

Upozornění: Zadejte pouze adresy URL webů, kterým důvěřujete.

Soubor REG v tomto příkladu znovu umožní následujícímu vzdálenému obsahu hostit ovládací prvek ActiveX nápovědy HTML:
  • veškeré soubory CHM, které se nacházejí ve složce \\productmanuals\helpfiles;
  • webová aplikace umístěná na adrese http://www.wingtiptoys.com/help.
Následující text vložte do textového editoru, například do programu Poznámkový blok. Potom soubor uložte s příponou názvu souboru REG.
REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]"UrlAllowList"="\\\\productmanuals\\helpfiles;http://www.wingtiptoys.com/help/"
Použití zástupných znaků v adrese URL libovolného webu přidávaného do klíče registru UrlAllowList není podporováno. Nemůžete použít například následující řetězec adresy URL:
"UrlAllowList"="http://*.wingtiptoys.com"
Můžete však použít následující řetězec adresy URL:
"UrlAllowList"="http://help.wingtiptoys.com"
Díky tomuto řetězci mohou být následující weby hostiteli ovládacího prvku ActiveX nápovědy HTML:
  • http://help.wingtiptoys.com/research
  • http://help.wingtiptoys.com/sales

Příklad 2: Povolení zóny zabezpečení pomocí položky MaxAllowedZone

Upozornění: Položka MaxAllowedZone povolí všechny weby v konkrétní zóně. Použití položky UrlAllowList může být bezpečnější. Pokud je nutné použít položku MaxAllowedZone, nenastavujte ji na vyšší hodnotu, než je požadováno. Nastavíte-li hodnotu 3 nebo vyšší, budou systémy ohroženy případným útokem z Internetu.

Poznámka: Ve výchozím nastavení je hodnota položky MaxAllowedZone nastavena na nulu. Následující tabulka obsahuje přehled, jak jsou různé položky interpretovány hodnotou pro položku MaxAllowedZone.
MaxAllowedZoneZóna Místní počítačZóna Místní intranetZóna Důvěryhodné serveryZóna InternetZóna Servery s omezeným přístupem
0PovolenoBlokovánoBlokovánoBlokovánoBlokováno
1PovolenoPovolenoBlokovánoBlokovánoBlokováno
2PovolenoPovolenoPovolenoBlokovánoBlokováno
3PovolenoPovolenoPovolenoPovolenoBlokováno
4PovolenoPovolenoPovolenoPovolenoPovoleno
Následující text vložte do textového editoru, například do programu Poznámkový blok. Potom soubor uložte s příponou názvu souboru REG. Tento soubor REG umožňuje veškerému obsahu v zóně intranetu hostit ovládací prvek ActiveX nápovědy HTML.
REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]"MaxAllowedZone"=dword:00000001

Příklad 3: Použití položky UrlAllowList a položky MaxAllowedZone

Upozornění: Položka MaxAllowedZone povolí všechny weby v konkrétní zóně. Použití položky UrlAllowList může být bezpečnější. Pokud je nutné použít položku MaxAllowedZone, nenastavujte ji na vyšší hodnotu, než je požadováno. Nastavíte-li hodnotu 3 nebo vyšší, budou systémy ohroženy případným útokem z Internetu.

Následující text vložte do textového editoru, například do programu Poznámkový blok. Potom soubor uložte s příponou názvu souboru REG. Následující soubor REG umožňuje veškerému obsahu v zóně intranetu hostit ovládací prvek ActiveX nápovědy HTML. Tento soubor REG také umožňuje hostování ovládacího prvku dvěma internetovými weby.
REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]"MaxAllowedZone"=dword:00000001[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"

Nasazení klíčů registru v rámci domény

Nastavení uvedená v příkladech uvedených v tomto článku doporučujeme nasadit pomocí zásad skupiny jako spouštěcí skripty. Můžete je také nasadit jako přihlašovací skripty. Tato metoda je však méně vhodná vzhledem k omezením oprávnění.

Následující kroky představují příklad, jak nasadit nastavení v Příkladu 1 jako spouštěcí skript zásad skupiny.
  1. Následující text vložte do textového editoru, například do programu Poznámkový blok:
    REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\HHRestrictions]"UrlAllowList"="http://myintranetapplication/help/helpfiles;http://www.wingtiptoys.com/help/helpdocuments"
  2. Uložte soubor jako soubor REG. Pojmenujte soubor PovolitDůvěryhodnéServery.reg.
  3. Následující text vložte do textového editoru, například do programu Poznámkový blok:
    REGEDIT.EXE /S PovolitDůvěryhodnéServery.reg
  4. Uložte soubor jako dávkový soubor. Pojmenujte soubor PovolitDůvěryhodnéServery.bat.
  5. Importujte soubor do objektu zásad skupiny (GPO). Postupujte následujícím způsobem:
    1. Vložte dávkový soubor vytvořený v kroku 4 a soubor REG vytvořený v kroku 2 do složky \\Název_domény\SysVol\Název_domény\Policies\Identifikátor GUID vybraného objektu GPO\Machine\Scripts\Startup.
    2. V počítači, ve kterém chcete spustit objekt zásad skupiny, klepněte na tlačítko Start, na příkaz Spustit, zadejte příkaz dsa.msc a klepněte na tlačítko OK.
    3. Klepněte na doménu pravým tlačítkem myši a potom klepněte na příkaz Vlastnosti.
    4. Klepněte na kartu Zásady skupiny a potom na tlačítko Nová.
    5. Zadejte název, který chcete pro tuto zásadu použít, a potom stiskněte klávesu ENTER.
    6. Klepněte na tlačítko Upravit.
    7. Rozbalte položku Konfigurace počítače, rozbalte položku Nastavení systému Windows a potom klepněte na položku Skripty (spouštěcí nebo ukončovací).
    8. Na pravém panelu poklepejte na položku Po spuštění a potom klepněte na tlačítko Přidat.
    9. Vyhledejte dávkový soubor, který jste vytvořili v kroku 4, a klepněte na něj.
    10. Klepněte na tlačítko Přidat.
    11. Klepněte na tlačítko OK, klepněte na tlačítko Ano a potom dvakrát na tlačítko OK.
Další informace

Přehled a příklady pro správce systémů

Další informace o aktualizaci zabezpečení 896358 a způsobu opětovného povolení webových aplikací, které jsou touto aktualizací ovlivněny, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
896358 MS05-026: Chyba zabezpečení v nápovědě HTML umožňuje vzdálené spuštění kódu

Zóny zabezpečení aplikace Internet Explorer

Další informace o způsobu použití zón zabezpečení v aplikaci Internet Explorer získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
174360 Jak používat zóny zabezpečení v aplikaci Internet Explorer

Zásady skupiny

Další informace o zásadách skupiny naleznete na následujících webech společnosti Microsoft:

Odborná pomoc pro verze x64 systému Microsoft Windows

V počítačích, které používají verzi x64 systému Microsoft Windows, bude pravděpodobně nutné v části Řešení upravit pokyny, jak změnit registr. Například může být nutné změnit jinou část registru, podle toho, zda chcete změnit 32bitovou nebo 64 bitovou funkci.Další informace naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
896459 Změny registru ve verzích x64 systému Windows Server 2003 a Windows XP Professional x64 Edition (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
Technickou podporu a pomoc pro verze x64 systému Windows poskytuje výrobce hardwaru. Výrobce hardwaru poskytuje odbornou pomoc proto, že verze x64 systému Windows byla součástí dodaného hardwaru. Výrobce hardwaru mohl upravit instalaci systému Windows pomocí jedinečných součástí. Mohl například zahrnout specifické ovladače zařízení a volitelná nastavení, aby maximalizoval výkon vlastního hardwaru. Společnost Microsoft bude vyvíjet přiměřené úsilí v případě, že potřebujete technickou pomoc ke své verzi x64 systému Windows. Pravděpodobně byste se však měli obrátit přímo na výrobce hardwaru. Výrobce je tím nejkvalifikovanějším pro poskytnutí odborné pomoci k softwaru, který instaloval na hardware.

Informace o systému Microsoft Windows XP Professional x64 Edition naleznete na následujícím webu společnosti Microsoft: Informace o verzích x64 systému Microsoft Windows Server 2003 naleznete na následujícím webu společnosti Microsoft:
hhctrl.ocx Winx64 Windowsx64 64bit 64bitový
Properties

Article ID: 892675 - Last Review: 06/22/2006 08:15:00 - Revision: 11.1

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Service Pack 4, Microsoft Windows XP Service Pack 1, Microsoft Windows XP Service Pack 2, Microsoft Windows XP for Itanium-based Systems Version 2003, Microsoft Windows XP Professional 64-Bit Edition (Itanium), Microsoft Windows XP 64-Bit Edition Version 2002 SP1, Microsoft Windows NT 4.0 Service Pack 6, Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 6, Microsoft Windows Millennium Edition, Microsoft Windows 98 Second Edition, Microsoft Windows 98 Standard Edition

  • kbtshoot kbregistry kbprb KB892675
Feedback