PRB: Implicazioni della protezione di RDS 1.5, IIS 3.0 o 4.0 e ODBC

Identificativo articolo: 184375 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo è stato precedentemente pubblicato con il codice di riferimento I184375
IMPORTANTE: in questo articolo sono contenute informazioni su come modificare il Registro di configurazione. Prima di modificare il Registro di configurazione, assicurarsi tuttavia di sapere come ripristinarlo in caso di problemi. Per informazioni su come eseguire questa operazione, vedere l'argomento della Guida relativo al ripristino del Registro di configurazione in Regedit.exe oppure l'argomento relativo al ripristino di una chiave del Registro di configurazione in Regedt32.exe.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Poiché in base all'impostazione predefinita RDS Datafactory, un componente di RDS, supporta il riconoscimento implicito delle richieste di accesso remoto ai dati, può essere utilizzato per consentire ai client Internet privi di autorizzazione di accedere alle origini dati OLE DB disponibili sul server.

Un utente malintenzionato che si connette a un server che esegue Internet Information Server (IIS) 4.0, con installato Microsoft Remote Data Services, potrebbe ottenere l'accesso ai dati ODBC, ad esempio quelli gestiti da Microsoft SQL Server o Microsoft Access.
Torna all'inizio | Invia suggerimenti

Risoluzione

Metodo 1: Rimuovere la funzionalità RDS

ATTENZIONE: l'errato utilizzo dell'Editor del Registro di configurazione può causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che i problemi derivanti dall'errato utilizzo dell'Editor del Registro di configurazione possano essere risolti. L'utilizzo dell'Editor del Registro è a rischio e pericolo dell'utente.

Per informazioni su come modificare il Registro di configurazione, vedere l'argomento della Guida "Modifica di chiavi e valori" nell'Editor del registro di configurazione (Regedit.exe) oppure gli argomenti relativi ad aggiunta, modifica o eliminazione di dati nel Registro di configurazione in Regedt32.exe. Si raccomanda di eseguire una copia di backup del Registro di configurazione prima di modificarlo.

Per disattivare la funzionalità RDS, è necessario rimuovere le seguenti voci dal Registro di configurazione del server che esegue IIS.


  2. Eseguire l'Editor del Registro (Regedt32.exe).
  3. Rimuovere le seguenti chiavi e le eventuali sottochiavi:

NOTA: tutte le chiavi del Registro di configurazione precedenti sono formate da un percorso unico. In questo caso è stato applicato il ritorno a capo automatico per facilitarne la lettura.

Le pagine ASP (Active Server Pages) che dipendono solo da ADO (ActiveX Data Objects) per la connettività del database continueranno a funzionare.

La parte "Benefits" del sito di esempio Exploration Air di IIS 4.0 potrebbe non funzionare correttamente dopo questa modifica. In IIS 4.0 non sono presenti altre caratteristiche standard che richiedono RDS.


Metodo 2: Imporre i criteri di protezione corretti

Di seguito sono riportati alcuni suggerimenti utili per gli sviluppatori che pubblicano dati in pagine ASP:

  • Rimuovere tutti i driver ODBC non essenziali, specialmente il Driver Microsoft per file di testo.
  • Limitare le autorizzazioni NTFS (ACL) per restringere l'accesso solo alle persone di fiducia.
  • Se si utilizza SQL Server, imporre misure di protezione molto restrittive, quali:
  • Eseguire SQL Server con un account utente dotato di privilegi limitati.
  • Non consentire l'utilizzo di stored procedure estese.
Torna all'inizio | Invia suggerimenti

Informazioni

Descrizione di RDS Datafactory


Remote Data Services (RDS) fa parte di Data Access Components che viene installato in base all'impostazione predefinita con Windows NT 4.0 Option Pack e IIS 4.0. Con RDS i client Web possono inoltrare query SQL alle origini dati OLE DB presenti sul server Web.

L'oggetto DataFactory consente di connettersi a una determinata origine dati, ad esempio SQL Server, utilizzando un ID utente e una password specifici, di eseguire query sul server e di restituire i risultati al client.

L'origine dati, l'ID utente, la password e l'istruzione SQL vengono trasmessi come parametri al metodo esposto dell'oggetto DataFactory. Se tuttavia le chiavi del Registro di configurazione sopra riportate vengono rimosse, l'utente non sarà in grado di creare l'oggetto, eliminando pertanto ogni possibilità di accesso non autorizzato.
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 184375 - Ultima modifica: venerdì 23 gennaio 2004 - Revisione: 3.0
Le informazioni in questo articolo si applicano a
  • Microsoft Internet Information Server 4.0
  • Microsoft Remote Data Services 1.1
  • Remote Data Service for ADO 1.1, 2.0
  • Microsoft Data Access Components 2.5
Chiavi: 
kbgrpmdac kbprb kbgrpaspdb KB184375
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio