PROBLEMA: Implicações de segurança do RDS 1.5, IIS 3.0 ou 4.0 e ODBC

Traduções deste artigo Traduções deste artigo
ID do artigo: 184375 - Exibir os produtos aos quais esse artigo se aplica.
É altamente recomendável que todos os usuários atualizem para Microsoft (IIS) versão 6.0 em execução no Microsoft Windows Server 2003. O IIS 6.0 aumenta significativamente a segurança de infra-estrutura da Web. Para obter mais informações sobre tópicos relacionados à segurança do IIS, visite o seguinte site:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Importante: Este artigo contém informações sobre a edição do Registro. Antes de editar o registro, verifique se que você sabe como restaurá-lo se ocorrer um problema. Para obter informações sobre como fazer isso, consulte o tópico da Ajuda "Restaurando o registro" no Regedit.exe ou o tópico da Ajuda "Restaurando uma chave do Registro" no Regedt32.exe.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Porque o RDS Datafactory (um único componente do RDS) permite implícita remoting de acesso a dados solicita por padrão, pode ser explorado para permitir que clientes Internet não autorizados datasources OLE disponíveis para o servidor de acesso.

Um usuário mal-intencionado poderá obter acesso a dados ODBC, como dados mantidos no Microsoft SQL Server ou Microsoft Access, ao conectar-se para o Internet Information Server (IIS) 4.0 com o Microsoft Remote Data Services instalado.

Resolução

Método um: Remover funcionalidade RDS

Aviso: Usar o Editor do Registro incorretamente pode causar problemas sérios que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que problemas resultantes do uso incorreto do Editor do Registro possam ser resolvidos. Use o Editor do registro por sua própria conta e risco.

Para obter informações sobre como editar o registro, consulte o tópico da Ajuda "Alterando chaves e valores" no Editor do Registro (Regedit.exe) ou tópicos de Ajuda "Adicionar e excluir informações no Registro" e "Editar dados de registro" no Regedt32.exe. Observe que você deve fazer backup do registro antes de editá-lo.

Para impedir que toda a funcionalidade RDS, você deve remover as seguintes entradas do registro do servidor que hospeda o IIS.


  1. Execute o Editor do Registro (Regedt32.exe).
  2. Remova as seguintes chaves do Registro e subchaves:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

Observação: Cada uma das chaves do registro anterior é um caminho; ele foi palavra quebrada para melhor legibilidade.

Active Server Pages (páginas ASP) que dependem apenas ADO (ActiveX Data Objects) para conectividade de banco de dados continuará a ser executado.

A parte de benefícios do site de exemplo do IIS 4.0, ar de exploração, pode não funcionar corretamente se essa alteração é feita. Há não outros padrão recursos no IIS 4.0 que exigem o RDS.


Método 2: Aplicar diretiva de segurança correta

Estas são recomendações que devem ser seguidas por todos os desenvolvedores da Web que estiverem Publicando dados em páginas ASP:

  • Remover todos os drivers de ODBC não essenciais, especialmente o Microsoft Text Driver.
  • Reforçar as permissões NTFS (ACLs) para restringir o acesso a apenas aqueles que você confia.
  • Se usando o SQL Server, em seguida, aplicar medidas de alta segurança, como:
  • Execute o SQL Server como uma conta de usuário com poucos privilégios.
  • Não permitir que procedimentos armazenados estendidos.

Mais Informações

Descrição do RDS Datafactory


RDS (Remote Data Services) é parte do Data Access Components instalado por padrão com o Windows NT 4.0 Option Pack e o IIS 4.0. Com o RDS, clientes da Web podem emitir consultas baseadas no cliente do SQL para fontes de dados OLE DB hospedados no servidor Web.

O objeto DataFactory permite que você se conectar a uma fonte de dados especificado (como o SQL Server), usando um ID de usuário especificado e uma senha e executar uma consulta em relação a esse servidor e, em seguida, retorno o conjunto de resultados volta para o cliente.

A fonte de dados, ID de usuário, senha e instrução SQL são passados como parâmetros para o método exposto no objeto DataFactory. Se as chaves do Registro mencionadas acima são removidas no entanto, o usuário será não é possível criar o objeto, removendo, portanto, qualquer possibilidade de abuso.

Propriedades

ID do artigo: 184375 - Última revisão: quinta-feira, 23 de junho de 2005 - Revisão: 3.2
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Server 4.0
  • Microsoft Remote Data Services 1.1
  • Remote Data Service for ADO 2.0
  • Microsoft Data Access Components 2.5
Palavras-chave: 
kbmt kbprb KB184375 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 184375

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com