Outlook блокує відкриття гіперпосилань із повним доменним іменем (FQDN) та IP-адресою після інсталяції захисту для вразливості обходу функцій безпеки Microsoft Outlook, випущеної 11 липня 2023 року

Застосовується до
Outlook для Microsoft 365

Останнє оновлення: 11 грудня 2023 р.

ПРОБЛЕМА

Якщо клацнути посилання в електронних листах у класичній програмі Outlook, де шлях веде до повного доменного імені (FQDN) або IP-адреси, може з'явитися таке повідомлення:

  • Діалогове вікно з попередженням Outlook із помилкою "З цією URL-адресою сталася помилка"
    В Outlook: неочікувана помилка
  • Ненадійний файл ненадійний.

Це діалогове вікно з'явиться, коли ви відкриваєте в електронних листах посилання в електронних листах, які ведуть до FQDN, IP-адреси або шляху імені хоста. Це теж очікувано. 

Повідомлення системи безпеки Outlook

Якщо потрібно вимкнути це діалогове вікно, виконайте вказівки зі статті Увімкнення й вимкнення повідомлень із попередженням про гіперпосилання в програмах Office.

HKEY_CURRENT_USER\software\policies\microsoft\office\16.0\common\security
DWORD: DisableHyperlinkWarning
Значення: 1

Ця проблема виникає після інсталяції оновлень системи безпеки для класичної версії Outlook від 11 липня. Додаткову інформацію див. у відповідних CVE нижче.

MSRC CVE-2023-33151: уразливість спуфінгу Microsoft Outlook

MSRC CVE-2023-35311: уразливість обходу функцій безпеки Microsoft Outlook

KB 5002427: Опис оновлення системи безпеки для Outlook 2016: 11 липня 2023 р. (KB5002427)

KB 5002432: Опис оновлення системи безпеки для Outlook 2013: 11 липня 2023 р. (KB5002432)

СТАН: ВИРІШЕННЯ

Попередження

Цей спосіб вирішення може зробити комп'ютер уразливішим до атак зловмисників або програм, які вони створюють, зокрема вірусів. Переконайтеся, що повне доменне ім'я (FQDN) або IP-адреса, додана до надійних сайтів, є дійсним URL-шляхом для вашої компанії або мережі.

Щоб забезпечити постійний доступ до файлів із повним доменним ім'ям (FQDN) або IP-адресами, додайте ці URL-адреси до зони надійних сайтів відповідно до рекомендацій Windows. Якщо використовується повне доменне ім'я або IP-адреса, сайт інтрамережі визначається як веб-сайт.

  1. Перейдіть до параметрів Windows.

  2. Знайдіть і відкрийте розділ "Властивості браузера".

  3. Перейдіть на вкладку " Безпека " та виберіть пункт "Надійні сайти".

  4. Додайте шлях URL, UNC, FQDN, який потрібно дозволити, щоб "Додати цей веб-сайт до зони".
    Наприклад, додайте file://server.usa.corp.com

    Надійний сайт

    Примітка.

    Якщо запис, який ви хочете додати, явно не починається з 'https:', вам потрібно зняти прапорець 'Вимагати перевірку сервера (https) для всіх сайтів у цій зоні', перш ніж його можна буде зберегти.

  5. Цей спосіб вирішення також можна розгорнути за допомогою групової політики.

GPO: Конфігурація користувача

Policy: \\Windows Components\Internet Explorer\Internet Control Panel TПанель керування,\Security Page\Site to Zone Assignment List

Порада.

  • Щоб уникнути помилок обробки політики або зони через неправильний синтаксис, настійно рекомендуємо спочатку перевірити потрібний запис політики в інтерфейсі "Властивості браузера".

Символи узагальнення надійного сайту

  • Інтерфейс керування зонами Групова політика не забезпечує перевірку введення введених значень. Скориставшись наведеною вище порадою, адміністратори можуть переконатися, що значення їхніх політик вважатимуться дійсними, перш ніж розгортати їх у широкому масштабі.

Примітка: Синтаксис для додавання URL-адреси файлів з іменем FQDN або IP-адресою до GPO відрізняється від додавання URL-адреси файлу вручну до параметрів браузера | Безпека | Надійні сайти. Потрібно додати три скісні риски /// перед \\<ipaddress.>

Наприклад:

  • Додавання \\10.123.452.37 вручну file://10.123.452.37 в список надійних сайтів, що дає змогу не блокувати посилання на файл.
  • Але для GPO потрібно використовувати наступний синтаксис: file:///\\10.123.452.37.
    Це також введе file://10.123.452.37 до списку надійних сайтів і дає змогу не блокувати посилання на файл.

Якщо ви здійснюєте розгортання за допомогою GPO, якщо ваші URL-адреси не починаються з https, вам може знадобитися настроїти параметр, щоб зняти прапорець Require server verification (https) для всіх сайтів у цій зоні.

Примітка.

Якщо запис, який ви хочете додати, явно не починається з https:, вам слід зняти прапорець Require server verification (https) для всіх сайтів у цій зоні , перш ніж його можна буде зберегти.

Для того, щоб налаштувати GPO і не перебирати всі клієнти по черзі, щоб зняти прапорець, можна використовувати такі ключі:
HKU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\Flags: 0x00000143(323)

Прапорець установлено:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"Flags"=dword:00000047

Знято прапорець:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2]
"Flags"=dword:00000043

Для того, щоб додати спільні папки в реєстрі за GPO, розгляньте наступне:

Якщо це домен

Приклад домену GPO

У прикладі Contoso, як описано вище, її задано в такому реєстрі:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\contoso.com

Outlook blocks opening FQDN Contoso example

Якщо це IP-адреса, вона задана в реєстрі тут:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges\Range1

Приклад IP-адреси, що блокує відкриття в Outlook

І для кожного спільного використання IP-адрес потрібно створити новий ключ діапазону в розділі Діапазони.

Додаткові ресурси

Піктограма експертів (мозок, шестірні) Запитайте експертів

Зв’яжіться з фахівцями, обговоріть останні новини в програмі Outlook і рекомендації стосовно роботи з нею, а також ознайомтеся з нашим блоґом.

Спільнота з технічних питань Outlook

Піктограма спільноти Отримання довідки в спільноті

Поставте запитання в спільноті, а агенти підтримки, фахівці, інженери та інші користувачі Outlook спробують вам допомогти.

Форум, присвячений Outlook

Піктограма пропозиції щодо функцій (лампочка, ідея) Запропонувати нову функцію

Ми раді отримувати ваші пропозиції та відгуки. Поділіться своїми думками. Ми дослухаємося до вас.

Дізнайтеся, як це зробити

Додаткові відомості

Виправлення або способи вирішення нещодавно виявлених проблем у програмі Outlook для ПК