Sicherheitsaspekte bei RDS 1.5, IIS 3.0 oder 4.0 und ODBC

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 184375 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D39899
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
184375 Security Implications of RDS 1.5, IIS 3.0 or 4.0, and ODBC
Alles erweitern | Alles schließen

Zusammenfassung

WICHTIG: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich, daß Sie die Registrierung wiederherstellen können, wenn ein Problem auftritt. Informationen hierzu erhalten Sie, indem Sie in der Datei "Regedit.exe" unter dem Hilfethema "Wiederherstellen der Registrierung" oder in der Datei "Regedt32.exe" unter dem Hilfethema "Wiederherstellen eines Registrierungsschlüssels" nachsehen.

Problembeschreibung

Da die RDS Datafactory (eine einzelne Komponente von RDS) standardmäßig eine implizite Fernausführung von Datenzugriffsanfragen ermöglicht, kann sie dazu mißbraucht werden, unbefugten Internet-Clients den Zugriff auf für den Server verfügbare OLE DB-Datenquellen zu ermöglichen.
Ein böswilliger Benutzer kann so Zugriff auf ODBC-Daten erhalten (z.B. auf Daten in Microsoft SQL Server oder Microsoft Access), wenn er bei installierten Microsoft Remote Data Services eine Verbindung zu Internet Information Server (IIS) 4.0 herstellt.

UMGEHUNGSMÖGLICHKEIT:
Verfahren 1: Entfernen der RDS-Funktionalität:

WARNUNG: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die eine Neuinstallierung von Windows erforderlich machen. Microsoft kann nicht dafür garantieren, daß Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.

Informationen zum Bearbeiten der Registrierung finden Sie unter dem Online-Hilfethema "Ändern von Schlüsseln und Werten" im Registrierungseditor (Regedit.exe). Beachten Sie bitte, daß Sie eine Sicherungskopie der Registrierungsdateien (System.dat und User.dat) erstellen sollten, bevor Sie die Registrierung bearbeiten.

Um die RDS-Funktionalität zu deaktivieren, müssen Sie von dem Server, der als Host für IIS fungiert, die nachstehend aufgeführten Registrierungseinträge entfernen.
  1. Führen Sie den Registrierungseditor (Regedt32.exe) aus.
  2. Entfernen Sie die folgenden Registrierungsschlüssel und deren etwaige Teilschlüssel:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
       \W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
       \W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
       W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls
HINWEIS: Bei allen vorstehenden Registrierungsschlüsseln handelt es sich jeweils um einen einzigen Pfad. Die Zeilenumbrüche erfolgten im Interesse einer besseren Lesbarkeit.

Active Server Pages (ASPs), die in bezug auf die Datenbankkonnektivität nur von ADO (ActiveX Data Objects) abhängig sind, werden weiterhin ausgeführt.
Wird diese Änderung vorgenommen, funktioniert der Teil "Benefits" der IIS 4.0-Beispiel-Website (Exploration Air) möglicherweise nicht mehr korrekt. Es gibt jedoch keine weiteren Standardfunktionen von IIS 4.0, für die RDS benötigt wird.

Verfahren 2: Durchsetzen einer angemessenen Sicherheitspolitik:
Die folgenden Empfehlungen sollten von allen Web-Entwicklern befolgt werden, die Daten in ASP-Seiten veröffentlichen:
  • Entfernen Sie alle nicht unbedingt benötigten ODBC-Treiber, insbesondere den Microsoft Text-Treiber.
  • Gehen Sie bei der Vergabe von NTFS-Berechtigungen (ACLs) restriktiv vor und beschränken Sie den Zugang auf die Personen, denen Sie vertrauen.
  • Wenn Sie mit SQL Server arbeiten, führen Sie strenge Sicherheitsmaßnahmen ein; zum Beispiel:
  • Führen Sie SQL Server als Benutzerkonto mit niedriger Privilegebene aus.
  • Lassen Sie erweiterte gespeicherte Prozeduren nicht zu.

Weitere Informationen

Beschreibung der RDS Datafactory:
Remote Data Services (RDS) ist ein Bestandteil der Data Access Components (Datenzugriffskomponenten), die standardmäßig mit dem Windows NT 4.0 Option Pack und mit IIS 4.0 installiert werden. Mit RDS können Web-Clients Client-basierte SQL-Abfragen an OLE DB-Datenquellen ausgeben, die sich auf dem Webserver befinden.

Das Objekt "DataFactory" bietet Ihnen die Möglichkeit, eine Verbindung zu einer bestimmten Datenquelle herzustellen (zum Beispiel zu SQL Server), indem Sie die geforderte UserID und das festgelegte Kennwort eingeben, eine Abfrage an diesen Server richten und dann die Ergebnisse an den Client zurückmelden lassen.

Datenquelle, UserID, Kennwort und SQL-Anweisung werden als Parameter an die Methode des Objekts "DataFactory" übergeben. Wurden die vorstehend aufgeführten Registrierungsschlüssel jedoch entfernt, kann der Benutzer dieses Objekt nicht erstellen, was einen Mißbrauch unmöglich macht.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, daß nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 184375 - Geändert am: Freitag, 9. Januar 2004 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Server 4.0
  • Microsoft Remote Data Services 1.1
  • Remote Data Service for ADO 1.1, 2.0
  • Microsoft Data Access Components 2.5
Keywords: 
kbatm KB184375
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com