可用的檔案檢視器弱點的解決方案

文章翻譯 文章翻譯
文章編號: 231368 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

在此頁中

徵狀

Microsoft 已經識別一項弱點是發生在某些隨附於 Microsoft 站台伺服器和網際網路資訊伺服器的檔案檢視工具。

這個弱點可能會允許網站訪客檢視,但無法變更,在伺服器上的檔案提供訪客知道或推測每個檔案名稱而具有根據 Windows NT 存取控制清單 (ACL) 檔案的存取權限。

發生的原因

檔案檢視器工具不會限制使用者可以檢視哪些檔案。

解決方案

站台伺服器 3.0

如果要解決這個問題,取得最新的 Service Pack 的站台伺服器 3.0。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
219292如何取得最新的站台伺服器 3.0 Service Pack
這個問題已經先在站台伺服器 3.0 Service Pack 3 中獲得修正。

IIS 4.0

修正程式若是 IIS 4.0 開發並張貼至下列網際網路位置為 Fix2450I.exe (Intel) 或 Fix2450A.exe (Alpha):
ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/Viewcode-fix/

其他可行方案

若要消除這項弱點的原因可能是這些檔案檢視器您網頁伺服器上,您應該:

  • 除非特別需要在網站上,請移除受影響的檔案檢閱者共處。下列的檔案檢視器會受到影響: ViewCode.asp、 ShowCode.asp、 Code.asp、 CodeBrws.asp 及 Winmsdp.exe。 根據特定的安裝不是所有的這些檔案可能存在於伺服器上。因此您應該執行完整搜尋伺服器找不到所有複本的可能是某些檔案的多份。
  • 以配合標準的安全性指導方針權限應該永遠設定,讓 Web 訪客能夠取得的檔案存取這些檔案它們需要,和沒有其他人。Web 訪客應該提供所需的最低權限所需的檔案。比方說網頁訪客必須能夠讀取的檔案,但不是寫入應該設定為唯讀。
  • 一般的規則範例檔案以及虛擬根目錄 (vroots) 應該永遠刪除從 Web 伺服器放入實際執行之前。如果需要則範例檔案以及 vroots 檔案存取權限應該用來規定適當地對它們存取

其他相關資訊

Microsoft 站台伺服器和網際網路資訊伺服器 (IIS) 包含允許網站訪客檢視選取的檔案伺服器上的工具。這些工具安裝預設站台伺服器,但必須明確地安裝在 IIS 中。這些工具提供允許使用者檢視範例檔案的原始碼學習的動作,並不適合在生產 Web 伺服器上部署。這項弱點在基礎的問題是工具不會限制 Web 站台訪客可以檢視哪些檔案。

請注意下列重點:
  • 依預設要在 IIS 中未安裝這些檔案檢視器。 它們安裝在 IIS 中只?您選擇安裝範例 Web 檔案。
  • 這項弱點可以讓網站訪客只能以檢視檔案。 沒有的功能,以變更檔案或將檔案新增至伺服器。
  • 這項弱點並不以任何方式避開 Windows NT 檔案使用權限的 ACL。在 Web 站台訪客可以使用這些工具來檢視其 ACL 可以讓這些的讀取權限的檔案。Web 伺服器的系統管理員決定特定的權限的伺服器上的所有檔案。
  • 檢閱者共處只可用來檢視與目前所顯示的網頁相同的磁碟分割上的檔案。例如電子商務伺服器所用的資料庫通常儲存在不同實體磁碟機上,因此不會是風險。
  • Web 站台訪客必須知道或猜出他們想要檢視每個檔案的名稱。

其他參考

屬性

文章編號: 231368 - 上次校閱: 2014年2月23日 - 版次: 4.3
這篇文章中的資訊適用於:
  • Microsoft Site Server 3.0 Standard Edition
  • Microsoft Site Server 3.0 Commerce Edition
  • Microsoft Commercial Internet System 2.0
  • Microsoft BackOffice Server 4.0
  • Microsoft BackOffice Server 4.5
  • Microsoft Internet Information Server 4.0
關鍵字:?
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbpending kbprb kbqfe KB231368 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:231368
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com