[IIS]PRB:RDS 1.5, IIS 3.0, 4.0,および ODBC のセキュリティについて

文書翻訳 文書翻訳
文書番号: 184375 - 対象製品
この記事は、以前は次の ID で公開されていました: JP184375
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずシステムの復元方法を理解しておいてください。復元方法の詳細については、Regedit.exe のヘルプの「レジストリを復元する」、または Regedt32.exe のヘルプの「レジストリ キーを復元する」を参照してください。
すべて展開する | すべて折りたたむ

目次

現象

RDS DataFactory (RDS の単一のコンポーネント) を使用すると、デフォルトでリモートからのデータ アクセスが可能になります。これを利用して、権限のないインターネット クライアントが、サーバーが利用可能な OLE DB データソースにアクセスできるようにすることが可能です。

IIS 4.0 に RDS がインストールされている場合、悪意のあるユーザーによって、Microsoft(R) SQL Server や Microsoft(R) Access などの ODBC データにアクセスされる可能性があります。

解決方法

方法 1: RDS 機能を削除する

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

レジストリの編集方法の詳細については、レジストリ エディタ (Regedit.exe) のヘルプ トピック「キーと値の変更」、または Regedt32.exe のヘルプ トピック「レジストリ情報の追加と削除」と「レジストリ情報の編集」を参照してください。編集する前にレジストリのバックアップを行うようにしてください。

すべての RDS 機能を許可しない場合は、IIS をホストするサーバーから次のレジストリ エントリを削除する必要があります。


  1. レジストリ エディタ (Regedt32.exe) を起動します。
  2. 次のレジストリ キーとすべてのサブキーを削除します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

注 : 上記のキーはそれぞれ 1 つのパスですが、読みやすくするために改行しています。

ActiveX データ オブジェクト (ADO) のみに依存してデータベースへ接続する ASP (Active Server Pages) は実行し続けます。

この変更を行うと、IIS 4.0 サンプル サイト Exploration Air の Benefits 部分が正常に機能しないことがあります。IIS 4.0 では、ほかに RDS を必要とする標準機能はありません。


方法 2: 正しいセキュリティ ポリシーを適用する

ASP ページにデータを公開しようとするすべての Web 開発者が理解すべき推奨事項は次のとおりです。

  • 必須ではない ODBC ドライバ、特に Microsoft テキスト ドライバをすべて削除します。
  • NTFS アクセス許可 (ACL) を強化し、信頼できるユーザーのみにアクセスを制限します。
  • SQL Server を使用する場合、次のような強いセキュリティ基準を適用します。
  • 低いアクセス権限のユーザー アカウントとして SQL Server を実行します。
  • 拡張ストアド プロシージャを許可しないようにします。

詳細

RDS Datafactory について


リモート データ サービス (RDS) は、Windows NT 4.0 Option Pack と IIS 4.0 によってデフォルトでインストールされるデータ アクセス コンポーネントです。RDS によって、Web クライアントは、Web サーバーでホストされている OLE DB データ ソースに対して、クライアントベースの SQL クエリーを発行することができます。

DataFactory オブジェクトにより、指定したユーザー ID とパスワードを使用して指定したデータ ソース (SQL Server など) へ接続し、そのサーバーに対してクエリーを実行することにより結果をクライアントに戻させることができます。

データ ソース、ユーザー ID、パスワード、SQLステートメントは、DataFactory オブジェクトに公開されたメソッドへパラメータとして渡されます。しかし上記のレジストリ キーを削除すると、ユーザーはオブジェクトを作成できなくなるため、悪用される可能性はなくなります。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 184375 (最終更新日 2001-07-06) をもとに作成したものです。

プロパティ

文書番号: 184375 - 最終更新日: 2004年2月2日 - リビジョン: 4.0
この資料は以下の製品について記述したものです。
  • Microsoft Internet Information Server 4.0
  • Microsoft Remote Data Services 1.1
  • Remote Data Service for ADO 2.0
  • Microsoft Data Access Components 2.5
キーワード:?
kbprb kbgrpdsmdac kbatm kbgrpdsaspdb KB184375
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com