FAQ по Microsoft Windows Server 2003

       

Не удается открыть содержимое файлов справки CHM расположенных на сетевых ресурсах


В результате установки пакета обновления 1 (SP1) для Windows Server 2003, обновления безопасности 896358 или обновления безопасности 840315 могут возникнуть следующие проблемы.

• После установки обновления безопасности 896358 или пакета обновления 1 (SP1) для Windows Server 2003 могут наблюдаться следующие проблемы.

• Перестают работать отдельные функции веб-приложений на компьютере. Например, после щелчка по ссылке выбранный раздел не открывается.

• При попытке открыть файл CHM (Compiled Help Module), содержащийся в общей сетевой папке, используя путь в формате UNC (Universal Naming Convention), его разделы не отображаются.

• После установки обновления безопасности 840315 нарушается работа веб-приложений, которые вкладывают в адреса URL внутри протокола InfoTech другие протоколы.

Примечание. Материал данной статьи дополняет сведения, изложенные в следующих статьях базы знаний Майкрософт.

MS05-026: Уязвимость в элементе управления HTML Help делает возможным удаленный запуск программного кода

MS04-023: Уязвимость в HTML-справке делает возможным запуск программного кода

Причина

Пакет обновления 1 (SP1) для Windows Server 2003, а также обновления безопасности 896358 и 840315 содержат исправления протокола InfoTech, снижающие риск возникновения уязвимости при использовании элемента управления HTML Help.

Решение

В этом разделе описаны временные меры, позволяющие восстановить работоспособность функций важнейших бизнес-приложений. Однако такие временные меры могут понизить защищенность системы от атак, использующих уязвимости, которые устраняются данным обновлением безопасности. Для максимальной безопасности не рекомендуется применять временные изменения реестра. Если необходимо применить временные меры, в параметрах реестра следует устанавливать максимально возможные ограничения.

Первый из приведенных примеров устанавливает максимальные ограничения. В остальных примерах число ограничений последовательно сокращается.

Пример 1.

Разрешение подключения к определенным адресам URL с помощью параметра UrlAllowList


Следующий файл REG разрешает использование протокола InfoTech для открытия удаленного содержимого из таких каталогов:

• файлы CHM в папке \\productmanuals\helpfiles;

• веб-приложение, расположенное по адресу http://www.wingtiptoys.com/help/.

Примечание. Приведенный ниже текст можно скопировать в окно текстового редактора (например, «Блокнот»). Далее файл можно сохранить с расширением REG.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]

"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"

Примечание. Как видно из примера, чтобы задействовать путь UNC к общей сетевой папке, необходимо добавить две записи.

Не допускается использование символов подстановки в строке адреса любого веб-узла, добавляемого в раздел реестра UrlAllowList.

Пример 2.

Использование параметра MaxAllowedZone для разрешения зоны безопасности

Предупреждение. Параметр MaxAllowedZone разрешает использование протокола InfoTech для всех веб-узлов, находящихся в определенной зоне. Использование параметра UrlAllowList, как описывается в примере 1, может быть более надежным. Если необходимо использовать параметр MaxAllowedZone, его значение следует устанавливать не выше, чем требуется. Если установить значение 3 или выше, снизится защищенность системы от атак из Интернета.

Примечание. По умолчанию значение параметра MaxAllowedZone равно нулю. Интерпретация разных значений параметра MaxAllowedZone представлена в следующей таблице.
Следующий файл с расширением REG разрешает использование протокола InfoTech для подключения ко всем системам зоны интрасети.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]

"MaxAllowedZone"=dword:00000001

Пример 3.

Использование параметров UrlAllowList и MaxAllowedZone

Предупреждение. Параметр MaxAllowedZone разрешает использование элементов управления ActiveX для всех веб-узлов, находящихся в определенной зоне. Использование параметра UrlAllowList, как описывается в примере 1, может быть более надежным. Если необходимо использовать параметр MaxAllowedZone, его значение следует устанавливать не выше, чем требуется. Если установить значение 3 или выше, снизится защищенность системы от атак из Интернета.

Следующий файл с расширением REG разрешает использование протокола InfoTech для подключения ко всему содержимому зоны интрасети и двум узлам Интернета.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]

"MaxAllowedZone"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]

"UrlAllowList"="http://www.wingtiptoys.com/;http://www.contoso.com/"


Пример 4.

Использование параметра NestedProtocolList для разрешения вложенных протоколов в адресе URL

Некоторые веб-приложения используют вложенные протоколы в адресе URL. Обновление безопасности 840315 удаляет эту функцию из элемента управления HTML Help. После установки данного обновления безопасности веб-приложения, использующие в адресах URL вложенные протоколы, могут работать неправильно.

(Например, может не работать адрес ms-its:http://www.proseware.com/helpfiles/help.chm::about.htm)

Следующий файл с расширением REG восстанавливает возможность вложения в адреса URL протоколов HTTP и FTP после установки обновления безопасности 896358.


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]

"NestedProtocolList"="http:;ftp:"

Задание параметров системного реестра в пределах домена

Рекомендуется применить групповую политику, чтобы использовать параметры, упомянутые в приведенных выше примерах, в качестве сценариев запуска. Эти параметры также можно использовать в качестве сценариев входа в систему, однако этот метод является менее предпочтительным из-за ограничений в использовании разрешений.

Ниже приведен пример использования сценария запуска групповой политики для изменения параметров в соответствии с примером 1.

1. Скопируйте представленный ниже текст в окно текстового редактора (например, «Блокнот»).

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions]

"UrlAllowList"="\\productmanuals\helpfiles;file://\\productmanuals\helpfiles;http://www.wingtiptoys.com/help/"

2. Сохраните полученный файл под именем AllowTrustedSites.reg.

3. Скопируйте представленный ниже текст в окно текстового редактора (например, «Блокнот»):

REGEDIT.EXE /S AllowTrustedSites.reg 4. Сохраните полученный пакетный файл под именем AllowTrustedSites.bat

5. Импортируйте пакетный файл в объект групповой политики. Для этого выполните следующие действия.

a. Скопируйте командный файл, созданный на шаге 4, и файл с расширением REG, созданный на шаге 2, в папку \\имя_домена\SysVol\имя_домена\\Policies\\идентификатор_GUID_выбранного_объекта_групповой_политики\\Machine\\Scripts\\Startup.

b. На компьютере, где должен применяться данный объект групповой политики, выберите в меню Пуск пункт Выполнить, введите команду dsa.msc и нажмите кнопку OК.

c. Щелкните нужный домен правой кнопкой мыши и выберите команду Свойства.

d. Перейдите на вкладку Групповая политика и нажмите кнопку Создать.

e. Введите имя создаваемого объекта групповой политики и нажмите клавишу ВВОД.

f. Нажмите кнопку Изменить.

g. Разверните узлы Конфигурация компьютера и Конфигурация Windows, щелкните элемент Сценарии (запуск/завершение), дважды щелкните элемент Автозагрузка на правой панели и в окне Свойства: Автозагрузка нажмите кнопку Добавить.

h. Найдите и выделите файл AllowTrustedSites.bat, а затем нажмите кнопку Добавить.

i. Нажмите кнопку ОК, потом кнопку Да, затем кнопку OK и еще раз нажмите кнопку ОК.



MaxAllowedZone
«Локальный компьютер» «Местная интрасеть» «Надежные узлы» «Интернет» «Ограниченные узлы»
0 Разрешена Блокирована Блокирована Блокирована Блокирована
1 Разрешена Разрешена Блокирована Блокирована Блокирована
2 Разрешена Разрешена Разрешена Блокирована Блокирована
3 Разрешена Разрешена Разрешена Разрешена Блокирована
4 Разрешена
Разрешена Разрешена Разрешена Разрешена
Содержание раздела