Po zainstalowaniu aktualizacji zabezpieczeń 896358, aktualizacji zabezpieczeń 840315 lub dodatku Service Pack 1 dla systemu Windows Server 2003 nie można otworzyć zdalnej zawartości przy użyciu protokołu InfoTech

Ważne: Niniejszy artykuł zawiera informacje dotyczące modyfikowania rejestru. Przed zmodyfikowaniem rejestru wykonaj jego kopię zapasową. Upewnij się, że wiesz, jak przywrócić rejestr w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące wykonywania kopii zapasowej, przywracania i modyfikowania rejestru, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Description of the Microsoft Windows registry

Symptomy

Po zainstalowaniu aktualizacji zabezpieczeń 896358, aktualizacji zabezpieczeń 840315 lub dodatku Service Pack 1 (SP1) dla systemu Windows Server 2003 mogą wystąpić następujące symptomy:
 • Jeśli zainstalowano aktualizację zabezpieczeń 896358 lub dodatek SP1 dla systemu Windows Server 2003, mogą wystąpić następujące symptomy:
  • Funkcje niektórych aplikacji sieci Web na komputerze nie działają. Na przykład po kliknięciu łącza może nie być wyświetlony temat.
  • Jeśli przy próbie otwarcia pliku skompilowanego modułu pomocy (Compiled Help Module, chm), znajdującego się w udostępnionym folderze sieciowym, zostanie użyta ścieżka UNC (Universal Naming Convention), tematy pomocy z tego pliku .chm mogą nie zostać wyświetlone.
 • Jeśli zainstalowano aktualizację zabezpieczeń 840315, to aplikacje sieci Web zainstalowane na komputerze i służące do zagnieżdżania protokołów w protokole InfoTech w adresie URL nie działają poprawnie.
Uwaga: Ten artykuł zawiera informacje uzupełniające następujące artykuły bazy wiedzy Microsoft Knowledge Base:
896358 MS05-026: Luka w zabezpieczeniach Pomocy HTML umożliwia zdalne wykonywanie kodu

840315 MS04-023: Luka w Pomocy HTML umożliwia wykonanie kodu

Przyczyna

Dodatek SP1 dla systemu Windows Server 2003 oraz aktualizacje zabezpieczeń 896358 i 840315 wprowadzają zmiany w protokole InfoTech. Te zmiany wprowadzono w celu eliminacji luk w zabezpieczeniach Pomocy HTML.

Rozwiązanie

Ostrzeżenie: Symptomy są spodziewanym i celowym efektem instalacji aktualizacji zabezpieczeń. W tej sekcji przedstawiono obejścia pozwalające ponownie włączyć funkcje programów o istotnym znaczeniu dla firmy. Obejścia mogą spowodować, że komputer będzie bardziej narażony na zagrożenia, które można wyeliminować, instalując aktualizacje zabezpieczeń. Najbezpieczniejszym podejściem jest nieużywanie obejść polegających na modyfikowaniu rejestru. Jeśli zastosowanie obejścia jest konieczne, należy ustawić maksymalnie restrykcyjne wartości rejestru.

Ostrzeżenie: Niepoprawne zmodyfikowanie rejestru przy użyciu Edytora rejestru lub innej metody może stać się przyczyną poważnych problemów. Problemy te mogą spowodować, że konieczna będzie ponowna instalacja systemu operacyjnego. Firma Microsoft nie może zagwarantować, że rozwiązanie tych problemów będzie możliwe. Użytkownicy modyfikują rejestr na własną odpowiedzialność.

Pierwszy z następujących przykładów jest najbardziej restrykcyjny. Kolejne przykłady są coraz mniej restrykcyjne.

Przykład 1: Użycie klucza rejestru URLAllowList w celu włączenia określonych adresów URL

Ostrzeżenie: Należy uwzględnić jedynie adresy URL zaufanych witryn.

Następujący plik .reg ponownie włącza protokół InfoTech w celu otwarcia zdalnej zawartości z poniższych lokalizacji:
 • Pliki .chm w folderze \\productmanuals\helpfiles
 • Aplikacja sieci Web pod następującym adresem URL:
  http://www.wingtiptoys.com/help/
Uwaga: Poniższy tekst należy wkleić w edytorze tekstów, takim jak Notatnik. Następnie należy zapisać go w pliku o nazwie mającej rozszerzenie .reg.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
Uwaga: Jak widać w przedstawionym przykładzie, aby włączyć ścieżkę UNC do udostępnionego folderu sieciowego, w kluczu rejestru należy dodać dwa następujące wpisy:
\\productmanuals\helpfiles\;file://\\productmanuals\helpfiles
W ciągach adresów URL witryn dodawanych do klucza rejestru UrlAllowList nie można stosować symboli wieloznacznych. Na przykład następujący ciąg jest nieprawidłowy:
"UrlAllowList"="http://*.wingtiptoys.com"
Z kolei następujący ciąg jest prawidłowy:
"UrlAllowList"="http://help.wingtiptoys.com"
Dzięki niemu zawartość następujących witryn będzie obsługiwana przy użyciu protokołu InfoTech:
 • http://help.wingtiptoys.com/research
 • http://help.wingtiptoys.com/sales

Przykład 2: Użycie wartości rejestru MaxAllowedZone w celu włączenia strefy zabezpieczeń

Ostrzeżenie: Po dodaniu wartości MaxAllowedZone zostaną włączone wszystkie witryny znajdujące się w określonej strefie. Być może bezpieczniej jest użyć klucza rejestru UrlAllowList, tak jak to opisano w przykładzie 1. Jeśli konieczne jest użycie wartości MaxAllowedZone, należy ustawić ją na możliwie najniższą wartość. Jeśli zostanie nadana wartość 3 lub wyższa, system będzie narażony na ataki z Internetu.

Uwaga: Domyślnie wpis MaxAllowedZone ma wartość zero. W poniższej tabeli podsumowano sposób interpretacji różnych wpisów na podstawie wartości MaxAllowedZone.
MaxAllowedZoneStrefa Komputer lokalnyLokalna strefa intranetowaStrefa Zaufane witrynyStrefa internetowaStrefa witryn z ograniczeniami
0DozwoloneZablokowaneZablokowaneZablokowaneZablokowane
1DozwoloneDozwoloneZablokowaneZablokowaneZablokowane
2DozwoloneDozwoloneDozwoloneZablokowaneZablokowane
3DozwoloneDozwoloneDozwoloneDozwoloneZablokowane
4DozwoloneDozwoloneDozwoloneDozwoloneDozwolone
Następujący plik .reg ponownie umożliwia korzystanie z protokołu InfoTech do łączenia się ze wszystkimi systemami w strefie Intranet.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

Przykład 3: Korzystanie zarówno z klucza rejestru URLAllowList, jak i wartości MaxAllowedZone

Ostrzeżenie: Po dodaniu wartości MaxAllowedZone zostaną włączone wszystkie witryny znajdujące się w określonej strefie. Być może bezpieczniej jest użyć klucza rejestru UrlAllowList, tak jak to opisano w przykładzie 1. Jeśli konieczne jest użycie wartości MaxAllowedZone, należy ustawić ją na możliwie najniższą wartość. Jeśli zostanie nadana wartość 3 lub wyższa, system będzie narażony na ataki z Internetu.

Następujący plik .reg ponownie umożliwia korzystanie z protokołu InfoTech do łączenia się z każdą zawartością w strefie Intranet oraz dwoma witrynami internetowymi.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"MaxAllowedZone"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"

Przykład 4: Użycie klucza rejestru NestedProtocolList w celu włączenia protokołów zagnieżdżonych w adresie URL

Pewne aplikacje sieci Web mogą korzystać z protokołów zagnieżdżonych w adresie URL. Tę funkcję Pomocy HTML usuwa aktualizacja zabezpieczeń 840315. Po zainstalowaniu tej aktualizacji zabezpieczeń aplikacje sieci Web, które korzystają z protokołów zagnieżdżonych w adresie URL, mogą działać nieprawidłowo.

Na przykład następujący adres URL może okazać się nieprawidłowy:
ms-its:http://www.proseware.com/helpfiles/help.chm::about.htm


Po zainstalowaniu aktualizacji zabezpieczeń 896358 następujący plik .reg ponownie umożliwia zagnieżdżanie protokołów HTTP oraz FTP w adresie URL.

Uwaga: Poniższy tekst należy wkleić w edytorze tekstów, takim jak Notatnik. Następnie należy zapisać go w pliku o nazwie mającej rozszerzenie .reg.
 REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions] "NestedProtocolList"="http:;ftp:"

Wdrażanie kluczy rejestru w domenie

Firma Microsoft zaleca wdrażanie ustawień, które przedstawiono w powyższych przykładach, jako skryptów uruchamiania w przystawce Zasady grupy. Można również wdrożyć te ustawienia jako skrypty logowania. Jednak ta metoda jest mniej korzystna ze względu na ograniczenia uprawnień.

Następująca procedura umożliwia wdrożenie ustawień wykorzystanych w „Przykładzie 1” jako skryptu uruchamiania w przystawce Zasady grupy.
 1. Wklej następujący tekst do edytora tekstów, takiego jak Notatnik.
   REGEDIT4
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]
  "UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"
 2. Zapisz plik jako AllowTrustedSites.reg z rozszerzeniem .reg.
 3. Skopiuj poniższy tekst, a następnie wklej go do edytora tekstów, takiego jak Notatnik.
  REGEDIT.EXE /S AllowTrustedSites.reg
 4. Zapisz plik jako plik wsadowy pod nazwą AllowTrustedSites.bat.
 5. Importuj plik wsadowy do obiektu zasad grupy (GPO). Aby to zrobić, wykonaj następujące kroki:
  1. Skopiuj plik wsadowy utworzony w kroku 4 oraz plik .reg utworzony w kroku 2 do folderu \\NazwaDomeny\SysVol\NazwaDomeny\Policies\identyfikator GUID wybranego obiektu GPO\Machine\Scripts\Startup.
  2. Na komputerze, na którym będzie uruchamiany obiekt zasad grupy, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie dsa.msc, a następnie kliknij przycisk OK.
  3. Kliknij domenę prawym przyciskiem myszy, a następnie kliknij polecenie Właściwości.
  4. Kliknij pozycję Zasady grupy, a następnie kliknij przycisk Nowy.
  5. Wpisz nazwę, którą chcesz nadać nowo tworzonym zasadom, a następnie naciśnij klawisz ENTER.
  6. Kliknij przycisk Edytuj.
  7. Rozwiń węzeł Konfiguracja komputera, rozwiń węzeł Ustawienia systemu Windows, kliknij pozycję Skrypty (uruchamianie/zamykanie), kliknij dwukrotnie ikonę Uruchamianie w prawym panelu, a następnie kliknij przycisk Dodaj w oknie dialogowym Właściwości uruchamiania.
  8. Zlokalizuj i kliknij plik AllowTrustedSites.bat, a następnie kliknij przycisk Dodaj.
  9. Kliknij przycisk OK, kliknij przycisk Tak, kliknij przycisk OK, a następnie ponownie kliknij przycisk OK.

Więcej informacji

Przegląd i przykłady dla administratorów systemów

Aby uzyskać więcej informacji dotyczących aktualizacji zabezpieczeń 896358 i sposobu ponownego włączania obsługi aplikacji sieci Web uwzględnionych w tej aktualizacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
896358 MS05-026: Luka w zabezpieczeniach Pomocy HTML umożliwia zdalne wykonywanie kodu

Zwiększone zabezpieczenia programu Internet Explorer

Jeśli zostanie włączona opcja Zwiększone zabezpieczenia programu Internet Explorer, mogą wystąpić symptomy podobne do opisanych w tym artykule. W takiej sytuacji obejścia podane w tym artykule mogą nie być wystarczające do wyeliminowania tych symptomów.
Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
815141 Internet Explorer Enhanced Security configuration changes the browsing experience

Więcej informacji na temat protokołu InfoTech

Protokół InfoTech jest używany przede wszystkim przez Pomoc HTML. Funkcje tego protokołu są określone w pliku Itss.dll. Dostęp do tego protokołu można uzyskać za pomocą jednego z dwóch obsługiwanych schematów:
 • Ms-its
 • Its
 • Mk:@msitstore

Strefy zabezpieczeń programu Internet Explorer

Aby uzyskać więcej informacji o sposobie używania stref zabezpieczeń w programie Internet Explorer, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
174360 How to use security zones in Internet Explorer

Przystawka Zasady grupy

Aby uzyskać więcej informacji dotyczących przystawki Zasady grupy, odwiedź następujące witryny firmy Microsoft w sieci Web:

Pomoc techniczna dotycząca 64-bitowych wersji systemu Microsoft Windows

Na komputerach z 64-bitowymi wersjami systemu Microsoft Windows może być konieczne przystosowanie procedury modyfikowania rejestru, którą podano w sekcji „Rozwiązanie”. Na przykład może być konieczne zmodyfikowanie innej części rejestru, w zależności od tego, czy chodzi o funkcję 32- czy 64-bitową.Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

896459 Registry changes in x64-based versions of Windows Server 2003 and Windows XP Professional x64 Edition

Pomoc techniczną dotyczącą wydań x64 systemu Microsoft Windows zapewnia producent sprzętu, do którego wydanie x64 systemu Windows zostało dołączone. Być może producent sprzętu dostosował instalację systemu Windows przy użyciu unikatowych składników, do których mogą należeć sterowniki określonych urządzeń lub ustawienia opcjonalne zwiększające wydajność sprzętu. Firma Microsoft powinna w miarę możliwości udzielić pomocy technicznej dotyczącej wydania x64 systemu Windows, jednak konieczny może się okazać bezpośredni kontakt z producentem sprzętu, który jest najlepiej przygotowany do udzielania pomocy w zakresie oprogramowania zainstalowanego na danym sprzęcie.

Aby uzyskać informacje o produkcie Microsoft Windows XP Professional x64 Edition, odwiedź następującą witrynę firmy Microsoft w sieci Web: Aby uzyskać informacje o wersjach x64 produktu Microsoft Windows Server 2003, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Właściwości

Identyfikator artykułu: 896054 — ostatni przegląd: 16.01.2008 — zmiana: 1

Opinia