重要 本文包含有關修改登錄的相關資訊。修改登錄之前,請務必將它備份起來,並瞭解如何在發生問題時還原登錄。如需有關如何備份、還原和編輯登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
256986 Microsoft Windows 登錄說明
結論
Microsoft 正在調查說明 Microsoft Internet Explorer 安全性問題的報告,此安全性問題也稱為「按一下及捲動」。本文包含有關這個安全性問題的詳細資訊,並且將告訴您,可以用來防範電腦發生此安全性問題的步驟。
簡介
我們正在調查說明 Internet Explorer 安全性問題的報告,此安全性問題也稱為「按一下及捲動」。這個安全性問題會影響所有支援的 Windows 版本。如果您造訪某個惡意的網站,這個安全性問題可能會讓攻擊者有機會在您的電腦上放置惡意的檔案。在 2004 年 10 月 26 日之前,Microsoft 並不知道有任何客戶受到這個安全性問題的影響,Microsoft 會持續調查這個安全性問題,以找出保護客戶的適當步驟。此外,Microsoft 也會提供可以用來防止電腦發生此安全性問題的步驟。為了協助保護電腦避免發生這個安全性問題,我們建議客戶執行這些步驟。
注意 本文稍後會詳細說明下列步驟。-
取得並安裝 Internet Explorer 的 MS04-038 累積安全性更新。 如需有關如何執行這項操作的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
834707MS04-038:Internet Explorer 累積安全性更新程式
-
停用 [網際網路] 和 [近端內部網路] 內容區域的 [拖放或複製與貼上檔案]選項。
您必須已經完成下列步驟,這個安全性問題才會影響您的電腦:
-
造訪惡意網站。
-
與惡意的網站進行互動,例如在瀏覽器視窗中做了按一下滑鼠的動作,或是按下鍵盤上的某個按鍵。
-
完成了下列其中一個步驟,讓惡意檔案執行:
-
登出電腦,然後再登入電腦。
-
重新啟動您的電腦。
-
注意 如果您已經將「網際網路安全性」區域設定為「高安全性」,這個安全性問題就不會影響您的電腦。如需有關如何加強瀏覽網站和傳送電子郵件安全性的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/athome/security/online/browsing_safety.mspx
其他相關資訊
警告 不當使用「登錄編輯程式」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 並不保證可以解決您不當使用「登錄編輯程式」所導致的問題。請自行承擔使用「登錄編輯程式」的一切風險。
Microsoft 建議您使用下列其中一個方法來保護您的電腦。家庭用戶及非企業客戶的使用者
安裝 MS04-038 更新,並停用 [拖放或複製與貼上檔案] 選項
這項設定的影響:完成下列程序之後,當您嘗試使用 Internet Explorer 或 Windows 檔案總管來移動或複製檔案時,可能會收到錯誤訊息。例如,當您嘗試複製並貼上或執行拖放操作時,可能會收到下列錯誤訊息:
安全性警訊
目前的安全性設定禁止從這個區域複製或移動檔案。套用這個設定之後,如果您想要執行複製及貼上或拖放操作,請依照本文稍後<如何還原先前的拖放或複製與貼上檔案的設定>一節中的步驟執行。
如果要安裝 MS04-038 更新並停用 [拖放或複製與貼上檔案] 選項,請依照下列步驟執行:-
取得並安裝 Internet Explorer 的 MS04-038 累積安全性更新。 如需有關如何執行這項操作的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
834707MS04-038:Internet Explorer 累積安全性更新程式 如需有關 Internet Explorer 的 MS04-038 累積安全性更新的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/security/bulletins/200410_windows.mspx重要 您必須安裝 Internet Explorer 的 MS04-038 累積安全性更新,才能使本文所列的設定步驟生效。
-
停用 [網際網路] 和 [近端內部網路] 區域的 [拖放或複製與貼上檔案]選項。如果要執行這項操作,請依照下列步驟執行:
-
在 Internet Explorer 中,按一下 [工具] 功能表上的
[網際網路選項],然後按一下 [安全性] 索引標籤。 -
在 [您可以針對每一個網頁內容的「區域」指定個別的安全性] 方塊中,按一下
[網際網路],然後按一下 [自訂層級]。 -
在 [設定] 方塊中,找出 [雜項] 下方的 [拖放或複製與貼上檔案] 選項。記下您目前的設定。
-
在 [拖放或複製與貼上檔案] 下方,按一下
[停用],然後按一下 [確定]。 -
按一下 [是],然後按兩次 [確定]。
-
針對近端內部網路區域,重複執行上述步驟,只不過在步驟 2b 時,請按一下
[近端內部網路],而不是按一下 [網際網路]。
-
如何還原先前的拖放或複製與貼上檔案的設定
如果要還原先前的拖放或複製與貼上檔案的設定,請依照下列步驟執行:
-
在 Internet Explorer 中,按一下 [工具] 功能表上的
[網際網路選項],然後按一下 [安全性] 索引標籤。 -
在 [您可以針對每一個網頁內容的「區域」指定個別的安全性] 方塊中,按一下
[網際網路],然後按一下 [自訂層級]。 -
在 [設定] 方塊中,找出 [雜項] 下方的
[拖放或複製與貼上檔案] 選項。 -
按一下您在本文前述步驟 2c 中記下的選項,然後按一下
[確定]。 -
按一下 [是],然後按兩次 [確定]。
-
針對近端內部網路區域,重複執行上述步驟,只不過在步驟 2 時,請按一下
[近端內部網路],而不是按一下 [網際網路]。
企業客戶
安裝 MS04-038 更新,並停用跨網域的 [拖放或複製與貼上檔案] 選項
這項設定的影響:藉由完成下列程序,您可能會改變某些 Windows 程式和元件的行為,並且可能造成某些程式無法運作。 建議您先完整地測試這個程序,然後再套用到實際生產環境,以確認所有使用者都可以繼續正常地使用關鍵性的程式。
重要 因為商業營運上的需求,企業客戶可能無法停用 [拖放或複製與貼上檔案] 選項。不過,您還是可以藉由停用 Hhctrl.ocx ActiveX 控制項,來保護執行 Microsoft Windows XP Service Pack 2 (SP2) 的電腦。如需有關如何執行這項操作的資訊,請參閱本文稍後<如何手動停用 HTML Help 控制項 (Hhctrl.ocx ActiveX 控制項)>一節。 套用這個設定之後,您還是可以執行複製與貼上或拖放操作。如果要執行這項操作,請依照本文稍後<如何還原跨網域的拖放或複製與貼上檔案選項>一節中的步驟執行。 如果要安裝 MS04-038 更新並停用跨網域的 [拖放或複製與貼上檔案] 選項,請依照下列步驟執行:-
取得 Internet Explorer 的 MS04-038 累積安全性更新,然後將這個安全性更新部署到網域中的所有電腦。 如需有關如何取得這個安全性更新的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
834707MS04-038:Internet Explorer 累積安全性更新程式 如需有關如何部署這個更新的詳細資訊,請參閱下列 Microsoft 網站上的<安全性更新資訊>一節 (英文):
http://www.microsoft.com/taiwan/security/bulletin/MS04-038.mspx重要 您必須安裝 Internet Explorer 的 MS04-038 累積安全性更新,才能使本文所列的設定步驟生效。
-
使用群組原則,在 Microsoft Windows 2000 或 Microsoft Windows Server 2003 網域的所有電腦上停用 [拖放或複製與貼上檔案] 選項。如果要執行這項操作,請根據您的環境使用適當的方法。
群組原則中並未啟用 [安全性區域:只使用機器設定]
-
啟動 [Active Directory 使用者和電腦] 嵌入式管理單元。如果要執行這項操作,請按一下網域控制站上的 [開始],再按一下
[執行],輸入 dsa.msc,然後按一下 [確定]。 -
用滑鼠右鍵按一下網域,再按 [內容],然後按一下
[群組原則] 索引標籤。 -
按一下 [新增],輸入描述性名稱做為新群組原則物件 (GPO) 的名稱,然後按下 ENTER。例如,按一下 [新增],輸入:Internet Explorer 按一下及捲動修正程式,然後按下 ENTER。
-
按一下 [編輯] 以修改您在步驟 3 中建立的新 GPO。
-
展開 [使用者設定],展開 [Windows 設定],再展開 [Internet Explorer 維護],按一下
[安全性],然後按兩下 [安全性區域與內容分級]。 -
在 [安全性和隱私權設定] 下方,按一下
[匯入目前的安全性區域和隱私權設定]。提示您是否繼續執行時,請按一下 [繼續]。 -
按一下 [修改設定]。
-
按一下 [近端內部網路],再按一下
[自訂層級]。 -
檢視 [拖放或複製與貼上檔案] 選項。記下目前的設定,然後按一下
[停用]。 -
按一下 [確定],再按 [是],然後按兩次
[確定]。 -
重複步驟 8 到 10,只不過在步驟 8 時要按一下
[網際網路區域],而不是按 [近端內部網路]。
重要 直到使用者登入網域,變更才會套用到網域使用者帳戶。
群組原則中啟用了 [安全性區域:只使用機器設定]
-
在您要執行 [Active Directory 使用者和電腦] 嵌入式管理單元的網域控制站上,根據適當的平台將 1802 登錄值變更為 3:
-
如果是 32 位元版本 Windows 上的 32 位元版本 Internet Explorer,或是 64 位元版本 Windows XP 或 Windows Server 2003 上的 64 位元版本 Internet Explorer,請修改網域中電腦上的下列登錄子機碼:
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
建立登錄檔及批次檔 (.bat)。如果要執行這項操作,請依照下列步驟執行:
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1802"=dword:00000003 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1802"=dword:00000003 -
將檔案儲存為 Disable1802.reg。
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT.EXE /S Disable1802.reg
-
將檔案儲存為 Disable1802.bat。
注意 部署批次檔之前,請先在某部電腦上測試,確定批次檔可以正確運作。
-
-
如果是 64 位元版本 Windows XP 或 64 位元版本 Windows Server 2003 上的 32 位元版本 Internet Explorer,請修改網域中電腦上的下列登錄子機碼:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
建立登錄檔及批次檔。如果要執行這項操作,請依照下列步驟執行:
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1802"=dword:00000003 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1802"=dword:00000003 -
將檔案儲存為 Disable1802_64.reg。
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT.EXE /S Disable1802_64.reg
-
將檔案儲存為 Disable1802_64.bat。
注意 部署批次檔之前,請先在某部電腦上測試,確定批次檔可以正確運作。
-
-
-
建立新的 GPO,然後將設定匯入至新 GPO 中。如果要執行這項操作,請依照下列步驟執行:
-
將您在步驟 1 中建立的批次檔和 .reg 檔複製到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 資料夾中。
-
在步驟 1 中所用的同一部電腦上,啟動 [Active Directory 使用者和電腦] 嵌入式管理單元。如果要執行這項操作,請按一下 [開始],再按 [執行],輸入
dsa.msc,然後按一下 [確定]。 -
用滑鼠右鍵按一下網域,再按 [內容],然後按一下
[群組原則] 索引標籤。 -
按一下 [新增],輸入描述性名稱做為新 GPO 的名稱,然後按下 ENTER。例如,按一下 [新增],輸入:Internet Explorer 按一下及捲動修正程式,然後按下 ENTER。
-
按一下 [編輯] 以修改您在步驟 2d 中建立的新 GPO。
-
展開 [電腦設定],再展開 [Windows 設定],按一下 [指令碼 (啟動/關機)],再按 [啟動],然後按一下
[新增]。 -
找出並按一下您在步驟 1 中建立的批次檔,然後按一下
[新增]。 -
按一下 [確定],再按
[是],然後按兩次 [確定]。
-
-
重要 直到使用者登入網域,變更才會套用到網域使用者帳戶。
如何還原跨網域的拖放或複製與貼上檔案選項
您可以藉由使用「群組原則」來還原 Windows 2000 或 Windows Server 2003 網域中所有電腦上的
[拖放或複製與貼上檔案] 選項。如果要執行這項操作,請依照下列步驟執行:-
在您要執行 [Active Directory 使用者和電腦] 嵌入式管理單元的網域控制站上,根據適當的平台將 1802 登錄值變更為 0:
-
如果是 32 位元版本 Windows 上的 32 位元版本 Internet Explorer,或者 64 位元版本 Windows XP 或 Windows Server 2003 上的 64 位元版本 Internet Explorer,請修改下列兩個登錄子機碼:
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
-
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
建立登錄檔及批次檔。如果要執行這項操作,請依照下列步驟執行:
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1802"=dword:00000000 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1802"=dword:00000000 -
將檔案儲存為 Enable1802.reg。
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT.EXE /S Enable1802.reg
-
將檔案儲存為 Enable1802.bat。
注意 部署批次檔之前,請先在某部電腦上測試,確定批次檔可以正確運作。
-
-
如果是 64 位元版本 Windows XP 或 64 位元版本 Windows Server 2003 上的 32 位元版本 Internet Explorer,請修改下列兩個登錄子機碼:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
-
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] "1802"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] "1802"=dword:00000000 -
將檔案儲存為 Enable1802_64.reg。
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT.EXE /S Enable1802_64.reg
-
將檔案儲存為 Enable1802_64.bat。
注意 部署批次檔之前,請先在某部電腦上測試,確定批次檔可以正確運作。
-
-
-
建立新的 GPO,然後將設定匯入至新 GPO 中。如果要執行這項操作,請依照下列步驟執行:
-
將您在步驟 1 中建立的批次檔和 .reg 檔複製到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 資料夾中。
-
在步驟 1 中所用的同一部電腦上,啟動 [Active Directory 使用者和電腦] 嵌入式管理單元。如果要執行這項操作,請按一下 [開始],再按 [執行],輸入
dsa.msc,然後按一下 [確定]。 -
用滑鼠右鍵按一下網域,再按 [內容],然後按一下
[群組原則] 索引標籤。 -
按一下您在<安裝 MS04-038 更新,並停用跨網域的 [拖放或複製與貼上檔案] 選項>一節的步驟 2d 中建立的新 GPO,然後按下 ENTER。
-
按一下 [編輯]。
-
展開 [電腦設定],再展開 [Windows 設定],按一下 [指令碼 (啟動/關機)],再按 [啟動],然後按一下
[新增]。 -
找出並按一下您在步驟 1 中建立的批次檔,然後按一下
[新增]。 -
按一下 [確定],再按 [是],然後按兩次
[確定]。
-
如何手動停用 HTML Help 控制項 (Hhctrl.ocx ActiveX 控制項)
如果您不能停用 [拖放或複製與貼上檔案] 選項,則可以藉由停用 HTML Help 控制項 (Hhctrl.ocx ActiveX 控制項) 來保護 Windows XP SP2 電腦。
這項設定的影響:停用 Hhctrl.ocx ActiveX 控制項,只能協助保護 Windows XP SP2 電腦避免發生這個安全性問題。停用 Hhctrl.ocx 會使 Internet Explorer 無法產生控制項。這個設定造成程式出現相容性問題。下列為這類問題的部分範例:-
在「說明及支援中心」中,「索引」功能無法再正常運作。
-
在「HTML 說明」中,像「相關主題」和「捷徑」這樣的功能無法再正常運作。
-
企業內部網路程式中 HTML Help 控制項所提供的功能無法再正常運作。
警告 下列步驟會將這個設定部署到網域中的所有電腦。如果您處於執行 Windows 2000、Windows XP Service Pack 1 (SP1) 和 Windows XP SP2 電腦的混合環境中,請務必完成特定步驟。例如,您必須將所有的 Windows XP SP2 電腦集中在 Active Directory 組織單位 (OU) 中,然後必須將您在這個方法中建立的「群組原則」套用到這個 OU。 完成這個設定的部署之後,您就可以將 Windows XP SP2 電腦移回原本的 OU。
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41B23C28-488E-4E5C-ACE2-BB0BBABE99E8}\] "Compatibility Flags"=dword:00000400 -
將檔案儲存為 DisableHhctrl.reg。
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT.EXE /S DisableHhctrl.reg
-
將檔案儲存為 DisableHhctrl.bat。
注意 部署批次檔之前,請先在某部電腦上測試,確定批次檔可以正確運作。 -
將批次檔匯入 GPO。如果要執行這項操作,請依照下列步驟執行:
-
將您在步驟 4 中建立的批次檔及 DisableHhctrl.reg 檔複製到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 資料夾中。
-
在您要執行 [Active Directory 使用者和電腦] 嵌入式管理單元的電腦上,按一下
[開始],再按一下 [執行],輸入:dsa.msc,然後按一下 [確定]。 -
按一下 [編輯]。
-
展開 [電腦設定],再展開 [Windows 設定],按一下 [指令碼 (啟動/關機)],再按 [啟動],然後按一下
[新增]。 -
找出並按一下您在步驟 4 中建立的批次檔,然後按一下
[新增]。 -
按一下 [確定],再按 [是],然後按兩次
[確定]。
-
套用這個設定之後,如果您想要將 HTML Help 控制項重設為預設值,請依照本文稍後<如何將 HTML Help 控制項重設為預設值>一節中的步驟執行。
如何將 HTML Help 控制項重設為預設值
如果要將 HTML Help 控制項重設為預設值,請依照下列步驟執行:
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT4 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{41B23C28-488E-4E5C-ACE2-BB0BBABE99E8}\]
-
將檔案儲存為 EnableHhctrl.reg。
-
複製下列文字,然後貼至文字編輯器 (例如,「記事本」):
REGEDIT.EXE /S EnableHhctrl.reg
-
將檔案儲存為 EnableHhctrl.bat。
注意 部署批次檔之前,請先在某部電腦上測試,確定批次檔可以正確運作。 -
將批次檔匯入 GPO。如果要執行這項操作,請依照下列步驟執行:
-
將您在步驟 4 中建立的批次檔及 EnableHhctrl.reg 檔複製到 \\DomainName\SysVol\DomainName\Policies\GUID of the selected GPO\Machine\Scripts\Startup 資料夾中。
-
啟動 [Active Directory 使用者和電腦] 嵌入式管理單元。如果要執行這項操作,請按一下網域控制站上的 [開始],再按一下
[執行],輸入 dsa.msc,然後按一下 [確定]。 -
用滑鼠右鍵按一下網域,再按 [內容],然後按一下
[群組原則] 索引標籤。 -
按一下您在本文先前<如何手動停用 HTML Help 控制項 (Hhctrl.ocx ActiveX 控制項)>一節的步驟 4 中建立的新 GPO,然後按下 ENTER。
-
按一下 [編輯]。
-
展開 [電腦設定],再展開 [Windows 設定],按一下 [指令碼 (啟動/關機)],再按 [啟動],然後按一下
[新增]。 -
找出並按一下您在步驟 4 中建立的批次檔,然後按一下
[新增]。 -
按一下 [確定],再按 [是],然後按兩次
[確定]。
-