重要说明:本文包含有关修改注册表的信息。修改注册表之前,一定要先进行备份,并且一定要知道在发生问题时如何还原注册表。有关如何备份、还原和编辑注册表的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986 Microsoft Windows 注册表说明
概要
Microsoft 正在研究 Microsoft Internet Explorer 中称为“单击和滚动”的安全问题的报告。本文包含有关此安全问题的详细信息。本文还介绍可帮助防止您的计算机出现此安全问题的步骤。
简介
我们正在研究 Internet Explorer 中一个称为“单击和滚动”的安全问题的报告。此安全问题会影响所有受支持的 Windows 版本。此安全问题使得攻击者可以在您访问恶意网站时将恶意文件放到您的计算机中。截止到 2004 年 10 月 26 日,Microsoft 尚未发现此安全问题影响到任何客户。Microsoft 将继续研究此安全问题,以确定可帮助保护客户安全的适当步骤。此外,Microsoft 还提供可帮助防止您的计算机出现此安全问题的步骤。要帮助防止计算机出现此安全问题,客户应按照下列步骤操作。
注意:这些步骤将在下文中详细介绍。
-
获取并安装用于 Internet Explorer 的 MS04-038 累积安全更新。 有关如何执行此操作的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
834707MS04-038:Internet Explorer 累积安全更新
-
禁用 Internet 和 Intranet Web 内容区域中的“拖放或复制和粘贴文件”选项。
只有在您执行以下步骤后,此安全问题才会影响到您的计算机:
-
访问某个恶意网站。
-
通过在浏览器窗口中单击或按下键盘上的某些键,与该恶意网站进行交互。
-
完成以下任一步骤使恶意文件得以运行:
-
注销计算机,然后重新登录到计算机。
-
重新启动计算机。
-
注意:如果您将 Internet 安全区域的设置设为“高”,则此安全问题不会影响您的计算机。有关如何提高浏览和电子邮件安全性的其他信息,请访问下面的 Microsoft 网站:
更多信息
警告:注册表编辑器使用不当可能导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。
Microsoft 建议使用下列方法之一来帮助保护您的计算机。
客户和非企业客户
安装 MS04-038 更新并禁用“拖放或复制和粘贴文件”选项
此配置的效果:在完成以下过程后,当您试图使用 Internet Explorer 或 Windows 资源管理器移动或复制文件时,可能会收到错误信息。例如,在试图复制和粘贴或者试图执行拖放操作时,您可能会收到以下错误信息:
Security Alert
Your current security settings prohibit copying or moving files from this zone.
如果要在应用此配置后进行复制和粘贴或执行拖放操作,请执行下文“如何还原以前的拖放或复制和粘贴文件设置”一节中的步骤。
要安装 MS04-038 更新并禁用“拖放或复制和粘贴文件”选项,请按照下列步骤操作:
-
获取并安装用于 Internet Explorer 的 MS04-038 累积安全更新。 有关如何执行此操作的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
834707MS04-038:Internet Explorer 累积安全更新
有关用于 Internet Explorer 的 MS04-038 累积安全更新的其他信息,请访问下面的 Microsoft 网站:http://www.microsoft.com/china/security/bulletins/200410_windows.mspx重要说明:必须安装用于 Internet Explorer 的 MS04-038 累积安全更新,本文中列出的配置步骤才能生效。
-
禁用 Internet 区域和本地 Intranet 区域中的“拖放或复制和粘贴文件”选项。为此,请按照下列步骤操作:
-
在 Internet Explorer 中,单击“工具”菜单上的“Internet 选项”,然后单击“安全”选项卡。
-
在“请为不同区域的 Web 内容指定安全设置”框中,单击“Internet”,然后单击“自定义级别”。
-
在“设置”框中,找到“其他”下的“拖放或复制和粘贴文件”选项。记下当前设置。
-
在“拖放或复制和粘贴文件”下,单击“禁用”,然后单击“确定”。
-
单击“是”,然后单击两次“确定”。
-
通过在步骤 2b 中单击“本地 Intranet”而不是“Internet”,为本地 Intranet 区域重复这些步骤。
-
如何还原以前的拖放或复制和粘贴文件设置
要还原以前的拖放或复制和粘贴文件设置,请按照下列步骤操作:
-
在 Internet Explorer 中,单击“工具”菜单上的“Internet 选项”,然后单击“安全”选项卡。
-
在“请为不同区域的 Web 内容指定安全设置”框中,单击“Internet”,然后单击“自定义级别”。
-
在“设置”框中,找到“其他”下的“拖放或复制和粘贴文件”选项。
-
单击在上文步骤 2c 中记下的选项,然后单击“确定”。
-
单击“是”,然后单击两次“确定”。
-
通过在步骤 2 中单击“本地 Intranet”而不是“Internet”,为本地 Intranet 区域重复这些步骤。
企业客户
在域中安装 MS04-038 更新并禁用“拖放或复制和粘贴文件”选项
此配置的潜在效果:通过完成以下过程,您可能会更改某些 Windows 程序和组件的行为,而且可能导致某些程序丧失功能。在产品环境中实现此过程之前,我们建议您对其进行全面的测试,以确保关键程序对所有用户都将继续正常工作。
重要说明:由于业务需要,企业客户可能无法禁用“拖放或复制和粘贴文件”选项。如果是这样,您仍可以通过禁用 Hhctrl.ocx ActiveX 控件来帮助保护运行 Microsoft Windows XP Service Pack 2 (SP2) 的计算机。有关如何执行此操作的信息,请参阅下文“如何手动禁用 HTML 帮助控件(Hhctrl.ocx ActiveX 控件)”一节。
您可能仍然希望在应用此配置后进行复制和粘贴或执行拖放操作。为此,请执行下文“如何在域中还原‘拖放或复制和粘贴文件’选项”一节中的步骤。
要在域中安装 MS04-038 更新并禁用“拖放或复制和粘贴文件”选项,请按照下列步骤操作:
-
获取用于 Internet Explorer 的 MS04-038 累积安全更新,然后将该安全更新部署到域中的所有计算机上。 有关如何获取此安全更新的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
834707MS04-038:Internet Explorer 累积安全更新
有关如何部署此更新的其他信息,请参阅以下 Microsoft 网站上的“安全更新信息”一节:http://www.microsoft.com/china/technet/security/bulletin/MS04-038.mspx重要说明:必须安装用于 Internet Explorer 的 MS04-038 累积安全更新,本文中列出的配置步骤才能生效。
-
使用组策略禁用基于 Microsoft Windows 2000 或基于 Microsoft Windows Server 2003 的域中所有计算机上的“拖放或复制和粘贴文件”选项。为此,请根据您的环境选用适当的方法。
组策略中的“安全区域:仅使用计算机设置”设置未启用
-
启动“Active Directory 用户和计算机”管理单元。为此,请在域控制器上单击“开始”,单击“运行”,键入
dsa.msc,然后单击“确定”。 -
右键单击该域,单击“属性”,然后单击“组策略”选项卡。
-
单击“新建”,为新的组策略对象 (GPO) 键入一个描述性名称,然后按 Enter 键。例如,单击“新建”,键入 Internet Explorer Click and Scroll fix,然后按 Enter 键。
-
单击“编辑”以修改在步骤 3 中创建的新 GPO。
-
依次展开“用户配置”、“Windows 设置”和“Internet Explorer 维护”,单击“安全”,然后双击“安全区域和内容分级”。
-
在“安全和隐私设置”下,单击“导入当前安全区域和隐私设置”。当提示您是否继续时,单击“继续”。
-
单击“修改设置”。
-
单击“本地 Intranet”,然后单击“自定义级别”。
-
查看“拖放或复制和粘贴文件”选项。记下当前设置,然后单击“禁用”。
-
单击“确定”,单击“是”,然后单击两次“确定”。
-
重复步骤 8 至步骤 10,但在步骤 8 中单击“Internet 区域”而不是“本地 Intranet”。
重要说明:在域用户登录到该域之前,更改不会应用到域用户帐户。
组策略中的“安全区域:仅使用计算机设置”设置已启用
-
在要运行“Active Directory 用户和计算机”管理单元的域控制器上,根据相应的平台,将 1802 注册表值更改为 3:
-
对于 32 位版本 Windows 上的 32 位版本 Internet Explorer,或者 64 位版本 Windows XP 或 Windows Server 2003 上的 64 位版本 Internet Explorer,请修改您域中计算机上的以下注册表子项:
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
创建一个注册表文件和一个批处理 (.bat) 文件。为此,请按照下列步骤操作:
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1802"=dword:00000003
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1802"=dword:00000003 -
将该文件保存为“Disable1802.reg”。
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT.EXE /S Disable1802.reg
-
将该文件保存为“Disable1802.bat”。
注意:在部署该批处理文件之前,请在一台计算机上对它进行测试以确保它能够正常工作。
-
-
对于 64 位版本 Windows XP 或 64 位版本 Windows Server 2003 上的 32 位版本 Internet Explorer,请修改您域中计算机上的以下注册表子项:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
创建一个注册表文件和一个批处理文件。为此,请按照下列步骤操作:
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1802"=dword:00000003
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1802"=dword:00000003 -
将该文件保存为“Disable1802_64.reg”。
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT.EXE /S Disable1802_64.reg
-
将该文件保存为“Disable1802_64.bat”。
注意:在部署该批处理文件之前,请在一台计算机上对它进行测试以确保它能够正常工作。
-
-
-
新建一个 GPO,然后将设置导入该新 GPO 中。为此,请按照下列步骤操作:
-
将您在步骤 1 中创建的批处理文件和 .reg 文件复制到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 文件夹中。
-
在步骤 1 中使用的同一计算机上,启动“Active Directory 用户和计算机”管理单元。为此,请单击“开始”,单击“运行”,键入
dsa.msc,然后单击“确定”。 -
右键单击该域,单击“属性”,然后单击“组策略”选项卡。
-
单击“新建”,为新 GPO 键入一个描述性名称,然后按 Enter 键。例如,单击“新建”,键入
Internet Explorer Click and Scroll fix,然后按 Enter 键。 -
单击“编辑”以修改在步骤 2d 中创建的新 GPO。
-
依次展开“计算机配置”和“Windows 设置”,单击“脚本(启动/关机)”,单击“启动”,然后单击“添加”。
-
找到并单击您在步骤 1 中创建的批处理文件,然后单击“添加”。
-
单击“确定”,单击“是”,然后单击两次“确定”。
-
-
重要说明:在域用户登录到该域之前,更改不会应用到域用户帐户。
如何在域中还原“拖放或复制和粘贴文件”选项
可以使用组策略还原基于 Windows 2000 或基于 Windows Server 2003 的域中所有计算机上的“拖放或复制和粘贴文件”选项。为此,请按照下列步骤操作:
-
在要运行“Active Directory 用户和计算机”管理单元的域控制器上,根据相应的平台,将 1802 注册表值更改为 0:
-
对于 32 位版本 Windows 上的 32 位版本 Internet Explorer,或者 64 位版本 Windows XP 或 Windows Server 2003 上的 64 位版本 Internet Explorer,请修改以下两个注册表子项:
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
创建一个注册表文件和一个批处理文件。为此,请按照下列步骤操作:
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1802"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1802"=dword:00000000 -
将该文件保存为“Enable1802.reg”。
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT.EXE /S Enable1802.reg
-
将该文件保存为“Enable1802.bat”。
注意:在部署该批处理文件之前,请在一台计算机上对它进行测试以确保它能够正常工作。
-
-
对于 64 位版本 Windows XP 或 64 位版本 Windows Server 2003 上的 32 位版本 Internet Explorer,请修改以下两个注册表子项:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
"1802"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1802"=dword:00000000 -
将该文件保存为“Enable1802_64.reg”。
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT.EXE /S Enable1802_64.reg
-
将该文件保存为“Enable1802_64.bat”。
注意:在部署该批处理文件之前,请在一台计算机上对它进行测试以确保它能够正常工作。
-
-
-
新建一个 GPO,然后将设置导入该新 GPO 中。为此,请按照下列步骤操作:
-
将您在步骤 1 中创建的批处理文件和 .reg 文件复制到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 文件夹中。
-
在步骤 1 中使用的同一计算机上,启动“Active Directory 用户和计算机”管理单元。为此,请单击“开始”,单击“运行”,键入
dsa.msc,然后单击“确定”。 -
右键单击该域,单击“属性”,然后单击“组策略”选项卡。
-
单击在“在域中安装 MS04-038 更新并禁用‘拖放或复制和粘贴文件’选项”一节的步骤 2d 中新建的 GPO,然后按 Enter 键。
-
单击“编辑”。
-
依次展开“计算机配置”和“Windows 设置”,单击“脚本(启动/关机)”,单击“启动”,然后单击“添加”。
-
找到并单击您在步骤 1 中创建的批处理文件,然后单击“添加”。
-
单击“确定”,单击“是”,然后单击两次“确定”。
-
如何手动禁用 HTML 帮助控件(Hhctrl.ocx ActiveX 控件)
如果无法禁用“拖放或复制和粘贴文件”选项,则可以通过禁用 HTML 帮助控件(Hhctrl.ocx ActiveX 控件)来帮助保护基于 Windows XP SP2 的计算机。
此配置的效果:禁用 Hhctrl.ocx ActiveX 控件只能帮助基于 Windows XP SP2 的计算机防范此安全问题。禁用 Hhctrl.ocx 可以防止 Internet Explorer 将控件实例化。此配置会引起程序兼容性问题。此类问题的一些示例有:
-
“帮助和支持中心”中的“索引”功能不再起作用。
-
在 HTML 帮助中,诸如“相关主题”和“快捷方式”之类的功能不再起作用。
-
由企业 Intranet 程序中的 HTML 帮助控件提供的功能不再起作用。
警告:以下步骤会将此配置部署到域中的所有计算机上。如果您的环境是由运行 Windows 2000、Windows XP Service Pack 1 (SP1) 和 Windows XP SP2 的计算机共同组成的,则必须完成某些步骤。例如,必须将基于 Windows XP SP2 的所有计算机集中放置到一个 Active Directory 组织单元 (OU) 中。必须将使用此方法创建的组策略应用到该 OU 中。 完成此配置的部署后,可以将基于 Windows XP SP2 的计算机移回它们原来的 OU 中。
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41B23C28-488E-4E5C-ACE2-BB0BBABE99E8}\]
"Compatibility Flags"=dword:00000400 -
将该文件保存为“DisableHhctrl.reg”。
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT.EXE /S DisableHhctrl.reg
-
将该文件保存为“DisableHhctrl.bat”。
注意:在部署该批处理文件之前,请在一台计算机上对它进行测试以确保它能够正常工作。 -
将该批处理文件导入 GPO 中。为此,请按照下列步骤操作:
-
将您在步骤 4 中创建的批处理文件和 DisableHhctrl.reg 文件复制到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 文件夹中。
-
在要运行“Active Directory 用户和计算机”管理单元的计算机上,单击“开始”,单击“运行”,键入
dsa.msc,然后单击“确定”。 -
单击“编辑”。
-
依次展开“计算机配置”和“Windows 设置”,单击“脚本(启动/关机)”,单击“启动”,然后单击“添加”。
-
找到并单击您在步骤 4 中创建的批处理文件,然后单击“添加”。
-
单击“确定”,单击“是”,然后单击两次“确定”。
-
如果要在应用此配置后重置 HTML 帮助控件的默认设置,请执行下文“如何重置 HTML 帮助控件的默认设置”一节中的步骤。
如何重置 HTML 帮助控件的默认设置
要将 HTML 帮助控件重置为默认设置,请按照下列步骤操作:
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41B23C28-488E-4E5C-ACE2-BB0BBABE99E8}\] -
将该文件保存为“EnableHhctrl.reg”。
-
复制以下文本,然后将其粘贴到文本编辑器(如记事本)中:
REGEDIT.EXE /S EnableHhctrl.reg
-
将该文件保存为“EnableHhctrl.bat”。
注意:在部署该批处理文件之前,请在一台计算机上对它进行测试以确保它能够正常工作。 -
将该批处理文件导入 GPO 中。为此,请按照下列步骤操作:
-
将您在步骤 4 中创建的批处理文件和 EnableHhctrl.reg 文件复制到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 文件夹中。
-
启动“Active Directory 用户和计算机”管理单元。为此,请在域控制器上单击“开始”,单击“运行”,键入
dsa.msc,然后单击“确定”。 -
右键单击该域,单击“属性”,然后单击“组策略”选项卡。
-
单击在“如何手动禁用 HTML 帮助控件(Hhctrl.ocx ActiveX 控件)”一节的步骤 4 中新建的 GPO,然后按 Enter 键。
-
单击“编辑”。
-
依次展开“计算机配置”和“Windows 设置”,单击“脚本(启动/关机)”,单击“启动”,然后单击“添加”。
-
找到并单击您在步骤 4 中创建的批处理文件,然后单击“添加”。
-
单击“确定”,单击“是”,然后单击两次“确定”。
-