PROBLEMA: Implicações de segurança de RDS 1,5, o IIS 3.0 ou 4.0 e ODBC

Traduções de Artigos Traduções de Artigos
Artigo: 184375 - Ver produtos para os quais este artigo se aplica.
Recomendamos vivamente que todos os utilizadores actualizem para Microsoft (IIS) 6.0 em execução no Microsoft Windows Server 2003. O IIS 6.0 aumenta significativamente a Web infra-estrutura de segurança. Para mais informações sobre tópicos relacionados com a segurança do IIS, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Importante: Este artigo contém informações sobre como editar o registo. Antes de editar o registo, certifique-se de que compreende como o restaurar se ocorrer um problema. Para obter informações sobre como efectuar este procedimento, consulte o tópico de ajuda "Restaurar o registo" no Regedit.exe ou o tópico de ajuda "Restaurar uma chave de registo" no Regedt32.exe.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Uma vez que o RDS Datafactory (um único componente de RDS) permite implícita remoto de acesso a dados pedidos por predefinição, pode ser explorada para permitir que clientes Internet datasources de OLE DB disponíveis para o servidor de acesso não autorizados.

Um utilizador mal intencionado poderá aceder aos dados ODBC, tal como os dados existentes em Microsoft SQL Server ou o Microsoft Access, quando ligar à Internet Information Server (IIS) 4.0 com o Microsoft Remote Data Services instalado.

Resolução

Método 1: Remover funcionalidade RDS

Aviso: A utilização incorrecta do Editor de registo pode provocar problemas graves que poderão forçar a reinstalação do sistema operativo. Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo possam ser resolvidos. As suas próprias risco da utilização do Editor de registo.

Para obter informações sobre como editar o registo, consulte o tópico de ajuda "Alterar chaves e valores" no Editor de registo (Regedit.exe) ou os tópicos de ajuda "Adicionar e eliminar informações no registo" e "Editar dados do registo" do Regedt32.exe. Nota efectuar uma que deve cópia de segurança do registo antes de o editar.

Para impedir todas as funcionalidades RDS, terá de remover as seguintes entradas de registo do servidor que hospeda o IIS.


  1. Execute o Editor de registo (Regedt32.exe).
  2. Remova as seguintes chaves de registo e quaisquer subchaves:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

NOTA: Cada uma das chaves de registo anterior é um caminho; foi moldada para melhor legibilidade palavra.

O Active Server Pages (páginas ASP) que dependam apenas o ADO (ActiveX Data Objects) para conectividade de base de dados irá continuar a executar.

Parte do site de exemplo do IIS 4.0, Exploration Air benefícios poderão não funcionar correctamente se esta alteração é efectuada. Existem não outras padrão funcionalidades no IIS 4.0 que requerem RDS.


Método 2: Impor a política de segurança correcta

Seguem-se recomendações que devem ser seguidas por todos os programadores Web que estão a publicar dados em páginas ASP:

  • Remover tudo não essenciais controladores ODBC, especialmente o Microsoft Text Driver.
  • Aumentar permissões de NTFS (ACL, Access Control List) para restringir o acesso apenas aos que confia.
  • Se utilizar o SQL Server, aplicar, em seguida, como, por exemplo, os fortes medidas de segurança:
  • Execute o SQL Server como uma conta de utilizador com poucos privilégios.
  • Não é permitida procedimentos armazenados estendidos.

Mais Informação

Descrição do RDS Datafactory


Remoto Data Service (RDS) faz parte do Data Access Components instalado por predefinição no Windows NT 4.0 Option Pack e no IIS 4.0. Com RDS, os clientes da Web podem emitir consultas SQL baseadas em cliente para origens de dados OLE DB hospedadas no servidor Web.

O objecto DataFactory permite-lhe ligar a uma origem de dados especificado (como, por exemplo, SQL Server), utilizando um ID de utilizador especificado e a palavra-passe, e executar uma consulta contra esse servidor e, em seguida, devolver o conjunto de resultados novamente para o cliente.

A origem de dados, ID de utilizador, palavra-passe e a instrução de SQL são passadas como parâmetros para o método exposto no objecto DataFactory. Se as chaves de registo indicadas acima são removidas no entanto, o utilizador será não é possível criar o objecto, remover, por isso, qualquer possibilidade de abuso.

Propriedades

Artigo: 184375 - Última revisão: 23 de junho de 2005 - Revisão: 3.2
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Server 4.0
  • Microsoft Remote Data Services 1.1
  • Remote Data Service for ADO 2.0
  • Microsoft Data Access Components 2.5
Palavras-chave: 
kbmt kbprb KB184375 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 184375

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com