PRB : Security implications de RDS 1.5, IIS 3.0 ou 4.0 et ODBC

Traductions disponibles Traductions disponibles
Numéro d'article: 184375 - Voir les produits auxquels s'applique cet article
Nous vous recommandons de tous les utilisateurs d'effectuer la mise à niveau à Microsoft Internet Information Services (IIS) version 6.0 sur Microsoft Windows Server 2003. IIS 6.0 augmente considérablement la sécurité de l'infrastructure Web. Pour plus d'informations sur les questions liées à la sécurité IIS, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
IMPORTANT : Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, assurez-vous que vous savez le restaurer en cas de problème. Pour savoir comment procéder, consultez la rubrique d'aide «Restaurer le Registre» dans Regedit.exe ou "Restaurer une clé de Registre" dans Regedt32.exe.
Agrandir tout | Réduire tout

Sommaire

Symptômes

Car le RDS DataFactory (un seul composant de RDS) permet d'implicite accès distant de l'accès aux données demande par défaut, il peut être exploitée pour autoriser les clients de Internet non autorisés à accéder aux sources de données OLE DB disponibles pour le serveur.

Un utilisateur malveillant peut être en mesure d'accéder aux données ODBC, telles que les données contenues dans Microsoft SQL Server ou Microsoft Access, lors de la connexion à Internet Information Server (IIS) 4.0 avec Microsoft Remote Data Services est installé.

Résolution

Méthode One : Suppression fonctionnalité RDS

Avertissement: À l'aide de l'Éditeur du Registre incorrectement peut générer des problèmes sérieux pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant de l'utilisation incorrecte de l'Éditeur du Registre puissent être résolus. Utilisez l'Éditeur du Registre à vos risques et périls.

Pour savoir comment modifier le Registre, consultez la rubrique d'aide "Modification des clés et des valeurs" dans l'Éditeur du Registre (Regedit.exe) ou les rubriques d'aide «Ajouter et supprimer des informations dans le Registre» et «Modifier les données du Registre» dans Regedt32.exe. Notez que vous devez sauvegarder le Registre avant de le modifier.

Pour interdire toutes les fonctionnalités RDS, vous devez supprimer les entrées de Registre suivantes à partir du serveur hébergeant IIS.


  1. Exécutez l'Éditeur du Registre (Regedt32.exe).
  2. Supprimer les clés de Registre suivantes et toutes les sous-clés :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

Remarque : Chaque des clés de Registre précédente est un chemin d'accès ; il a été mot raccourci pour des raisons de lisibilité.

Active Server Pages (ASP) qui dépendent seulement ADO (ActiveX Data Objects) pour la connectivité aux bases de données continue de s'exécuter.

La partie avantages de l'exemple de site IIS 4.0, exploration air, peuvent ne pas fonctionner correctement si cette modification est effectuée. Aucun autre standard fonctionnalités dans IIS 4.0 requièrent RDS.


Méthode 2: Appliquer la stratégie de sécurité appropriée

Voici quelques recommandations qui doivent être suivies de tous les développeurs Web qui sont de publication des données dans des pages ASP :

  • Supprimer tous les pilotes ODBC non essentiels, notamment Microsoft Text Driver.
  • Serrez les autorisations NTFS (ACL) pour restreindre l'accès aux seuls que vous faites confiance.
  • Si vous utilisez SQL Server, appliquer des mesures de sécurité, fortes, telles que :
  • Exécuter SQL Server en tant que compte d'utilisateur limités.
  • N'autorisez pas les procédures stockées étendues.

Plus d'informations

Description de RDS DataFactory


RDS (Remote Data Services) fait partie de Data Access Components est installé par défaut avec Windows NT 4.0 Option Pack et IIS 4.0. Avec RDS, les clients Web peuvent émettre des requêtes SQL basées sur le client vers des sources de données OLE DB hébergés sur le serveur Web.

L'objet DataFactory vous permet de se connecter à une source de données spécifiée (comme SQL Server), en utilisant un nom d'utilisateur spécifié et un mot de passe et exécuter une requête sur ce serveur et retour puis le jeu de résultats retour au client.

La source de données, UserID, mot de passe et instruction SQL sont passés en tant que paramètres à la méthode exposée sur l'objet DataFactory. Si les clés de Registre susmentionnées sont supprimés toutefois, l'utilisateur sera impossible de créer l'objet, par conséquent supprimer toute possibilité d'abus.

Propriétés

Numéro d'article: 184375 - Dernière mise à jour: jeudi 23 juin 2005 - Version: 3.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Server 4.0
  • Microsoft Remote Data Services 1.1
  • Remote Data Service for ADO 2.0
  • Microsoft Data Access Components 2.5
Mots-clés : 
kbmt kbprb KB184375 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 184375
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com