如何預防 Internet Explorer 按一下及捲動的安全性問題

安裝 MS04-038 更新，並停用 [拖放或複製與貼上檔案] 選項

這項設定的影響：完成下列程序之後，當您嘗試使用 Internet Explorer 或 Windows 檔案總管來移動或複製檔案時，可能會收到錯誤訊息。例如，當您嘗試複製並貼上或執行拖放操作時，可能會收到下列錯誤訊息：

套用這個設定之後，如果您想要執行複製及貼上或拖放操作，請依照本文稍後＜如何還原先前的拖放或複製與貼上檔案的設定＞一節中的步驟執行。

如果要安裝 MS04-038 更新並停用 [拖放或複製與貼上檔案] 選項，請依照下列步驟執行：

1. 取得並安裝 Internet Explorer 的 MS04-038 累積安全性更新。 如需有關如何執行這項操作的詳細資訊，請按一下下面的文件編號，檢視「Microsoft 知識庫」中的文件：

   834707MS04-038：Internet Explorer 累積安全性更新程式
   
   如需有關 Internet Explorer 的 MS04-038 累積安全性更新的詳細資訊，請造訪下列 Microsoft 網站：

   http://www.microsoft.com/taiwan/security/bulletins/200410_windows.mspx重要 您必須安裝 Internet Explorer 的 MS04-038 累積安全性更新，才能使本文所列的設定步驟生效。

2. 停用 [網際網路] 和 [近端內部網路] 區域的 [拖放或複製與貼上檔案]選項。如果要執行這項操作，請依照下列步驟執行：
   

   1. 在 Internet Explorer 中，按一下 [工具] 功能表上的
      [網際網路選項]，然後按一下 [安全性] 索引標籤。

   2. 在 [您可以針對每一個網頁內容的「區域」指定個別的安全性] 方塊中，按一下
      [網際網路]，然後按一下 [自訂層級]。

   3. 在 [設定] 方塊中，找出 [雜項] 下方的 [拖放或複製與貼上檔案] 選項。記下您目前的設定。

   4. 在 [拖放或複製與貼上檔案] 下方，按一下
      [停用]，然後按一下 [確定]。

   5. 按一下 [是]，然後按兩次 [確定]。
      

   6. 針對近端內部網路區域，重複執行上述步驟，只不過在步驟 2b 時，請按一下
      [近端內部網路]，而不是按一下 [網際網路]。

如何還原先前的拖放或複製與貼上檔案的設定

如果要還原先前的拖放或複製與貼上檔案的設定，請依照下列步驟執行：

1. 在 Internet Explorer 中，按一下 [工具] 功能表上的
   [網際網路選項]，然後按一下 [安全性] 索引標籤。

2. 在 [您可以針對每一個網頁內容的「區域」指定個別的安全性] 方塊中，按一下
   [網際網路]，然後按一下 [自訂層級]。

3. 在 [設定] 方塊中，找出 [雜項] 下方的
   [拖放或複製與貼上檔案] 選項。

4. 按一下您在本文前述步驟 2c 中記下的選項，然後按一下
   [確定]。

5. 按一下 [是]，然後按兩次 [確定]。
   

6. 針對近端內部網路區域，重複執行上述步驟，只不過在步驟 2 時，請按一下
   [近端內部網路]，而不是按一下 [網際網路]。

安裝 MS04-038 更新，並停用跨網域的 [拖放或複製與貼上檔案] 選項

這項設定的影響：藉由完成下列程序，您可能會改變某些 Windows 程式和元件的行為，並且可能造成某些程式無法運作。 建議您先完整地測試這個程序，然後再套用到實際生產環境，以確認所有使用者都可以繼續正常地使用關鍵性的程式。

重要 因為商業營運上的需求，企業客戶可能無法停用 [拖放或複製與貼上檔案] 選項。不過，您還是可以藉由停用 Hhctrl.ocx ActiveX 控制項，來保護執行 Microsoft Windows XP Service Pack 2 (SP2) 的電腦。如需有關如何執行這項操作的資訊，請參閱本文稍後＜如何手動停用 HTML Help 控制項 (Hhctrl.ocx ActiveX 控制項)＞一節。

套用這個設定之後，您還是可以執行複製與貼上或拖放操作。如果要執行這項操作，請依照本文稍後＜如何還原跨網域的拖放或複製與貼上檔案選項＞一節中的步驟執行。

如果要安裝 MS04-038 更新並停用跨網域的 [拖放或複製與貼上檔案] 選項，請依照下列步驟執行：

1. 取得 Internet Explorer 的 MS04-038 累積安全性更新，然後將這個安全性更新部署到網域中的所有電腦。 如需有關如何取得這個安全性更新的詳細資訊，請按一下下面的文件編號，檢視「Microsoft 知識庫」中的文件：

   834707MS04-038：Internet Explorer 累積安全性更新程式
   
   如需有關如何部署這個更新的詳細資訊，請參閱下列 Microsoft 網站上的＜安全性更新資訊＞一節 (英文)：

   http://www.microsoft.com/taiwan/security/bulletin/MS04-038.mspx重要 您必須安裝 Internet Explorer 的 MS04-038 累積安全性更新，才能使本文所列的設定步驟生效。

2. 使用群組原則，在 Microsoft Windows 2000 或 Microsoft Windows Server 2003 網域的所有電腦上停用 [拖放或複製與貼上檔案] 選項。如果要執行這項操作，請根據您的環境使用適當的方法。

   群組原則中並未啟用 [安全性區域：只使用機器設定]

   1. 啟動 [Active Directory 使用者和電腦] 嵌入式管理單元。如果要執行這項操作，請按一下網域控制站上的 [開始]，再按一下
      [執行]，輸入 dsa.msc，然後按一下
      [確定]。

   2. 用滑鼠右鍵按一下網域，再按 [內容]，然後按一下
      [群組原則] 索引標籤。

   3. 按一下 [新增]，輸入描述性名稱做為新群組原則物件 (GPO) 的名稱，然後按下 ENTER。例如，按一下 [新增]，輸入：Internet Explorer 按一下及捲動修正程式，然後按下 ENTER。

   4. 按一下 [編輯] 以修改您在步驟 3 中建立的新 GPO。

   5. 展開 [使用者設定]，展開 [Windows 設定]，再展開 [Internet Explorer 維護]，按一下
      [安全性]，然後按兩下 [安全性區域與內容分級]。

   6. 在 [安全性和隱私權設定] 下方，按一下
      [匯入目前的安全性區域和隱私權設定]。提示您是否繼續執行時，請按一下
      [繼續]。

   7. 按一下 [修改設定]。

   8. 按一下 [近端內部網路]，再按一下
      [自訂層級]。

   9. 檢視 [拖放或複製與貼上檔案] 選項。記下目前的設定，然後按一下
      [停用]。

   10. 按一下 [確定]，再按 [是]，然後按兩次
       [確定]。

   11. 重複步驟 8 到 10，只不過在步驟 8 時要按一下
       [網際網路區域]，而不是按 [近端內部網路]。

   重要 直到使用者登入網域，變更才會套用到網域使用者帳戶。

   群組原則中啟用了 [安全性區域：只使用機器設定]

   1. 在您要執行 [Active Directory 使用者和電腦] 嵌入式管理單元的網域控制站上，根據適當的平台將 1802 登錄值變更為 3：
      

      • 如果是 32 位元版本 Windows 上的 32 位元版本 Internet Explorer，或是 64 位元版本 Windows XP 或 Windows Server 2003 上的 64 位元版本 Internet Explorer，請修改網域中電腦上的下列登錄子機碼：
        

        • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1

        • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

        建立登錄檔及批次檔 (.bat)。如果要執行這項操作，請依照下列步驟執行：
        

        1. 複製下列文字，然後貼至文字編輯器 (例如，「記事本」)：

           REGEDIT4
           
           [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
           "1802"=dword:00000003
           
           [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
           "1802"=dword:00000003

        2. 將檔案儲存為 Disable1802.reg。

        3. 複製下列文字，然後貼至文字編輯器 (例如，「記事本」)：

           REGEDIT.EXE  /S   Disable1802.reg

        4. 將檔案儲存為 Disable1802.bat。
           
           注意 部署批次檔之前，請先在某部電腦上測試，確定批次檔可以正確運作。

      • 如果是 64 位元版本 Windows XP 或 64 位元版本 Windows Server 2003 上的 32 位元版本 Internet Explorer，請修改網域中電腦上的下列登錄子機碼：
        

        • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1

        • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

        建立登錄檔及批次檔。如果要執行這項操作，請依照下列步驟執行：
        

        1. 複製下列文字，然後貼至文字編輯器 (例如，「記事本」)：

           REGEDIT4
           
           [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
           "1802"=dword:00000003
           
           [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
           "1802"=dword:00000003

        2. 將檔案儲存為 Disable1802_64.reg。

        3. 複製下列文字，然後貼至文字編輯器 (例如，「記事本」)：

           REGEDIT.EXE  /S   Disable1802_64.reg

        4. 將檔案儲存為 Disable1802_64.bat。
           
           注意 部署批次檔之前，請先在某部電腦上測試，確定批次檔可以正確運作。

   2. 建立新的 GPO，然後將設定匯入至新 GPO 中。如果要執行這項操作，請依照下列步驟執行：
      

      1. 將您在步驟 1 中建立的批次檔和 .reg 檔複製到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 資料夾中。

      2. 在步驟 1 中所用的同一部電腦上，啟動 [Active Directory 使用者和電腦] 嵌入式管理單元。如果要執行這項操作，請按一下 [開始]，再按 [執行]，輸入
         dsa.msc，然後按一下 [確定]。

      3. 用滑鼠右鍵按一下網域，再按 [內容]，然後按一下
         [群組原則] 索引標籤。

      4. 按一下 [新增]，輸入描述性名稱做為新 GPO 的名稱，然後按下 ENTER。例如，按一下 [新增]，輸入：Internet Explorer 按一下及捲動修正程式，然後按下 ENTER。

      5. 按一下 [編輯] 以修改您在步驟 2d 中建立的新 GPO。

      6. 展開 [電腦設定]，再展開 [Windows 設定]，按一下 [指令碼 (啟動/關機)]，再按 [啟動]，然後按一下
         [新增]。

      7. 找出並按一下您在步驟 1 中建立的批次檔，然後按一下
         [新增]。

      8. 按一下 [確定]，再按
         [是]，然後按兩次 [確定]。

重要 直到使用者登入網域，變更才會套用到網域使用者帳戶。

如何還原跨網域的拖放或複製與貼上檔案選項

您可以藉由使用「群組原則」來還原 Windows 2000 或 Windows Server 2003 網域中所有電腦上的
[拖放或複製與貼上檔案] 選項。如果要執行這項操作，請依照下列步驟執行：

1. 在您要執行 [Active Directory 使用者和電腦] 嵌入式管理單元的網域控制站上，根據適當的平台將 1802 登錄值變更為 0：
   

   • 如果是 32 位元版本 Windows 上的 32 位元版本 Internet Explorer，或者 64 位元版本 Windows XP 或 Windows Server 2003 上的 64 位元版本 Internet Explorer，請修改下列兩個登錄子機碼：
     

     • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1

     • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

     建立登錄檔及批次檔。如果要執行這項操作，請依照下列步驟執行：
     

     1. 複製下列文字，然後貼至文字編輯器 (例如，「記事本」)：

        REGEDIT4
        
        [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
        "1802"=dword:00000000
        
        [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
        "1802"=dword:00000000

     2. 將檔案儲存為 Enable1802.reg。

     3. 複製下列文字，然後貼至文字編輯器 (例如，「記事本」)：

        REGEDIT.EXE  /S   Enable1802.reg

     4. 將檔案儲存為 Enable1802.bat。
        
        注意 部署批次檔之前，請先在某部電腦上測試，確定批次檔可以正確運作。

   • 如果是 64 位元版本 Windows XP 或 64 位元版本 Windows Server 2003 上的 32 位元版本 Internet Explorer，請修改下列兩個登錄子機碼：
     

     • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1

     • HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3

     1. 複製下列文字，然後貼至文字編輯器 (例如，「記事本」)：

        REGEDIT4
        
        [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1]
        "1802"=dword:00000000
        
        [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
        "1802"=dword:00000000

     2. 將檔案儲存為 Enable1802_64.reg。

     3. 複製下列文字，然後貼至文字編輯器 (例如，「記事本」)：

        REGEDIT.EXE  /S   Enable1802_64.reg

     4. 將檔案儲存為 Enable1802_64.bat。
        
        注意 部署批次檔之前，請先在某部電腦上測試，確定批次檔可以正確運作。

2. 建立新的 GPO，然後將設定匯入至新 GPO 中。如果要執行這項操作，請依照下列步驟執行：
   

   1. 將您在步驟 1 中建立的批次檔和 .reg 檔複製到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 資料夾中。

   2. 在步驟 1 中所用的同一部電腦上，啟動 [Active Directory 使用者和電腦] 嵌入式管理單元。如果要執行這項操作，請按一下 [開始]，再按 [執行]，輸入
      dsa.msc，然後按一下 [確定]。

   3. 用滑鼠右鍵按一下網域，再按 [內容]，然後按一下
      [群組原則] 索引標籤。

   4. 按一下您在＜安裝 MS04-038 更新，並停用跨網域的 [拖放或複製與貼上檔案] 選項＞一節的步驟 2d 中建立的新 GPO，然後按下 ENTER。

   5. 按一下 [編輯]。

   6. 展開 [電腦設定]，再展開 [Windows 設定]，按一下 [指令碼 (啟動/關機)]，再按 [啟動]，然後按一下
      [新增]。

   7. 找出並按一下您在步驟 1 中建立的批次檔，然後按一下
      [新增]。

   8. 按一下 [確定]，再按 [是]，然後按兩次
      [確定]。

如何手動停用 HTML Help 控制項 (Hhctrl.ocx ActiveX 控制項)

如果您不能停用 [拖放或複製與貼上檔案] 選項，則可以藉由停用 HTML Help 控制項 (Hhctrl.ocx ActiveX 控制項) 來保護 Windows XP SP2 電腦。

這項設定的影響：停用 Hhctrl.ocx ActiveX 控制項，只能協助保護 Windows XP SP2 電腦避免發生這個安全性問題。停用 Hhctrl.ocx 會使 Internet Explorer 無法產生控制項。這個設定造成程式出現相容性問題。下列為這類問題的部分範例：

• 在「說明及支援中心」中，「索引」功能無法再正常運作。

• 在「HTML 說明」中，像「相關主題」和「捷徑」這樣的功能無法再正常運作。

• 企業內部網路程式中 HTML Help 控制項所提供的功能無法再正常運作。

警告 下列步驟會將這個設定部署到網域中的所有電腦。如果您處於執行 Windows 2000、Windows XP Service Pack 1 (SP1) 和 Windows XP SP2 電腦的混合環境中，請務必完成特定步驟。例如，您必須將所有的 Windows XP SP2 電腦集中在 Active Directory 組織單位 (OU) 中，然後必須將您在這個方法中建立的「群組原則」套用到這個 OU。 完成這個設定的部署之後，您就可以將 Windows XP SP2 電腦移回原本的 OU。

1. 複製下列文字，然後貼至文字編輯器 (例如，「記事本」)：

   REGEDIT4
   
   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41B23C28-488E-4E5C-ACE2-BB0BBABE99E8}\]
   
   "Compatibility Flags"=dword:00000400
   

2. 將檔案儲存為 DisableHhctrl.reg。

3. 複製下列文字，然後貼至文字編輯器 (例如，「記事本」)：

   REGEDIT.EXE  /S   DisableHhctrl.reg 

4. 將檔案儲存為 DisableHhctrl.bat。
   
   注意 部署批次檔之前，請先在某部電腦上測試，確定批次檔可以正確運作。

5. 將批次檔匯入 GPO。如果要執行這項操作，請依照下列步驟執行：
   

   1. 將您在步驟 4 中建立的批次檔及 DisableHhctrl.reg 檔複製到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 資料夾中。

   2. 在您要執行 [Active Directory 使用者和電腦] 嵌入式管理單元的電腦上，按一下
      [開始]，再按一下
      [執行]，輸入：dsa.msc，然後按一下
      [確定]。

   3. 按一下 [編輯]。

   4. 展開 [電腦設定]，再展開 [Windows 設定]，按一下 [指令碼 (啟動/關機)]，再按 [啟動]，然後按一下
      [新增]。

   5. 找出並按一下您在步驟 4 中建立的批次檔，然後按一下
      [新增]。

   6. 按一下 [確定]，再按 [是]，然後按兩次
      [確定]。

套用這個設定之後，如果您想要將 HTML Help 控制項重設為預設值，請依照本文稍後＜如何將 HTML Help 控制項重設為預設值＞一節中的步驟執行。