Artigo: 280383 - Última revisão: segunda-feira, 7 de Julho de 2008 - Revisão: 4.2

Recomendações de segurança do IIS quando utiliza uma partilha UNC e nome de utilizador e palavra-passe credenciais

Vista lado a ladoClique aqui para exibir o artigo traduzido e o artigo original em inglês, lado a lado.
Tradução automáticaVer isenção de responsabilidades para tradução automática
Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.
Recomendamos vivamente que todos os utilizadores actualizem para Microsoft (IIS) versão 7.0 em execução no Microsoft Windows Server 2008. O IIS 7.0 aumenta significativamente a segurança da infra-estrutura Web. Para mais informações sobre tópicos relacionados com a segurança do IIS, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
Para obter mais informações sobre o IIS 7.0, visite o seguinte Web site da Microsoft:
http://www.iis.net/default.aspx?tabid=1 (http://www.iis.net/default.aspx?tabid=1)

Nesta página

Expandir tudo | Reduzir tudo

Sumário

Existem instâncias quando pode utilizar o Internet Information Server (IIS) como um portal para outro dispositivo na rede que contém o armazenamento disponível. Isto pode ser feito no snap-in IIS Microsoft Management Console (MMC), seleccionando a opção um compartilhamento localizado em outro computador no separador Web Site ou Directório Virtual .

O IIS pode detectar quando o caminho é local ou remoto mesmo quando os mapeamentos de rede tornar a unidade apresentada local. Por conseguinte, para ter acesso ser concedido, IIS tem de obter credenciais com permissões de partilha remota. Estas credenciais (o ID de utilizador e palavra-passe) são encriptadas e armazenadas na metabase do IIS, mas estão disponíveis através de uma API Application Programming Interface (). Se não forem seguidas práticas de segurança normal, este potencialmente pode constituir um risco para proteger a operação do servidor.

Os administradores do servidor nunca devem permitir a execução no servidor de código não fidedigno. Os danos potenciais que podem resultar de permitir que um utilizador não fidedigno executar código no servidor até ao momento ultrapassa este incidente específico.
Voltar ao topo

Mais Informação

A Microsoft recomenda que os clientes Consulte seguintes artigos da base de dados de conhecimento para obter informações sobre como definir as permissões adequadas para utilizadores da Web:
216705  (http://support.microsoft.com/kb/216705/EN-US/ ) Como definir permissões numa Web do FrontPage no IIS
Mesmo quando são definidas as permissões adequadas, a Microsoft recomenda que, keeping com recomendações de segurança normal, a conta de utilizador é utilizada para aceder à partilha deve tenha os privilégios menor número possíveis. Especificamente, a Microsoft recomenda que a conta tenha as mesmas permissões que a conta IUSR_Machinename (leitura e execução). A seguir esta recomendação, garante que, mesmo se um utilizador mal intencionado conseguir executar código no servidor e obter as credenciais utilizadas para aceder a partilhas UNC, não é possível obtenha privilégios adicionais ao fazê-lo.

Para qualquer Web site ou directório virtual com uma partilha, a Microsoft recomenda que cuidadosamente planear permissões e não utilizar todas as contas com permissões de nível administrativo.

Se forem seguidas directrizes de segurança boa, em seguida, isto deverá não constituir um risco de segurança. No entanto, existe uma possibilidade de que estas informações podem ser extraídas da metabase se as permissões de segurança incorrecto são colocadas no servidor de IIS.

As informações contidas neste artigo foi testadas com o ASP (Active Server Pages) e o método GetObject do fornecedor de IIS. Foi detectada uma vulnerabilidade de com o método código correcto; no entanto, a causa do problema é permissões de segurança incorrecto.
Voltar ao topo

REFERÊNCIAS

Para obter informações adicionais, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
269009  (http://support.microsoft.com/kb/269009/EN-US/ ) Sinal de Stop vermelho é apresentada na MMC no directório de conteúdo mapeados UNC
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
Voltar ao topo
Palavras-chave: 
kbmt kbhowto KB280383 KbMtpt
Voltar ao topo
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 280383  (http://support.microsoft.com/kb/280383/en-us/ )
Voltar ao topo