PRB: Implicaciones de seguridad de RDS 1.5, IIS 3.0 o 4.0 y ODBC

Seleccione idioma Seleccione idioma
Id. de artículo: 184375 - Ver los productos a los que se aplica este artículo
Recomendamos encarecidamente que todos los usuarios actualizar a Microsoft Internet Information Services (IIS) versión 6.0 que se ejecutan en Microsoft Windows Server 2003. IIS 6.0 aumenta considerablemente la seguridad de la infraestructura Web. Para obtener más información acerca de temas relacionados con la seguridad IIS, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Importante: Este artículo contiene información acerca de cómo modificar el registro. Antes de hacerlo, debe saber cómo restaurarlo en caso de que surja algún problema. Para obtener información acerca de cómo modificar el Registro, consulte el tema de Ayuda "Restaurar el Registro" en Regedit.exe o "Restaurar una clave del Registro" en Regedt32.exe.
Expandir todo | Contraer todo

En esta página

Síntomas

Porque el Datafactory de RDS (un componente único de RDS) permite implícita interacción remota de acceso a datos solicita de forma predeterminada, puede aprovecharse para permitir a no autorizados los clientes de Internet tener acceso a orígenes de datos OLE DB disponibles para el servidor.

Un usuario malintencionado puede obtener acceso a datos ODBC, como datos contenidos en Microsoft SQL Server o Microsoft Access, cuando se conecta a Internet Information Server (IIS) 4.0 con Microsoft Remote Data Services instalan.

Solución

Método 1: Quitar la funcionalidad RDS

AVISO: Utilizar el Editor del Registro incorrectamente puede provocar problemas graves que conlleven la reinstalación del sistema operativo. Microsoft no garantizar que los problemas resultantes del uso incorrecto del Editor del Registro puedan resolverse. Utilice el Editor del Registro bajo su responsabilidad.

Para obtener información acerca de cómo modificar el Registro, consulte el tema de Ayuda "Cambiar claves y valores" del Editor del Registro (Regedit.exe) o los temas "Agregar y eliminar información del Registro" y "Modificar información del Registro" en Regedt32.exe. Tenga en cuenta que debe hacer una copia de seguridad del Registro antes de modificarlo.

Para impedir que toda la funcionalidad RDS, debe quitar las siguientes entradas del registro desde el servidor que aloja IIS.


  1. Ejecute el Editor del registro (Regedt32.exe).
  2. Quitar las siguientes claves del registro y todas las subclaves:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

Nota: Cada uno de las claves del registro anterior es una ruta de acceso; ha sido ajustado para mejorar la legibilidad de palabra.

Páginas Active de Server (ASP) que dependan sólo ADO (ActiveX Data Objects) para conectividad de base de datos seguirá en ejecución.

La ventajas parte del sitio de ejemplo de IIS 4.0, Exploration Air no funcione correctamente si se realiza este cambio. No hay otras estándar características en IIS 4.0 que requieren RDS.


Segundo método: Exigir directiva de seguridad correcta

Las siguientes son recomendaciones que deben seguirse todos los desarrolladores que va a publicar datos en páginas ASP:

  • Quitar todos los controladores ODBC que no sean esenciales, especialmente el texto de Microsoft controlador.
  • Reforzar permisos (ACL) de NTFS para restringir el acceso sólo a aquellos que confía.
  • Si utiliza SQL Server, exigir fuertes medidas de seguridad, como:
  • Ejecute SQL Server como cuenta de usuario con pocos privilegios.
  • No se permiten procedimientos almacenados extendidos.

Más información

Descripción de RDS Datafactory


Servicios de datos remotos (RDS) forma parte de Data Access Components instala de forma predeterminada con Windows NT 4.0 Option Pack e IIS 4.0. Con RDS, los clientes Web pueden emitir consultas basadas en cliente SQL para orígenes de datos de OLE DB alojados en el servidor Web.

El objeto DataFactory permite conectarse a un origen de datos especificado (como SQL Server), mediante un UserID especificado y una contraseña, y ejecutar una consulta en ese servidor y a continuación, devuelve el resultado volver a establecer el cliente.

El origen de datos, UserID, contraseña y instrucción se pasan como parámetros al método expuesto en el objeto DataFactory. Si las claves del registro indicadas anteriormente se quitan sin embargo, el usuario, no podrán crear el objeto, quitar, por lo tanto, cualquier posibilidad de abuso.

Propiedades

Id. de artículo: 184375 - Última revisión: jueves, 23 de junio de 2005 - Versión: 3.2
La información de este artículo se refiere a:
  • Microsoft Internet Information Server 4.0
  • Microsoft Remote Data Services 1.1
  • Remote Data Service for ADO 2.0
  • Microsoft Data Access Components 2.5
Palabras clave: 
kbmt kbprb KB184375 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 184375

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com