Die Komponente "Treffermarkierung" des Indexdienstes könnte unerwarteten Zugriff auf die Inhalte einer IIS-Website zulassen

Die Komponente "Treffermarkierung" des Indexdienstes gibt möglicherweise indizierte Ergebnisse von Inhalten einer Internetinformationsdienste (IIS)-Website zurück, ohne dass das auf die Inhalte angewendete Authentifizierungsschema erzwungen wird.

Wenden Sie eine der folgenden Methoden an, um dieses Problem zu umgehen.

Methode 1: Indexdienst deinstallieren

Wenn Sie den Indexdienst nicht benötigen, sollten Sie ihn entfernen. Gehen Sie hierzu folgendermaßen vor.

Hinweis: Wenn Sie den Indexdienst entfernen, entfernen Sie auch die Komponente "Treffermarkierung".

1. Doppelklicken Sie in der Systemsteuerung auf Software.
2. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen, und deaktivieren Sie das Kontrollkästchen Indexdienst.

Methode 2: Komponente "Treffermarkierung" deaktivieren

Wenn Sie den Indexdienst benötigen, nicht aber die Treffermarkierung, sollten Sie die Komponente "Treffermarkierung" deaktivieren. Führen Sie hierzu für die von Ihnen verwendete IIS-Version die folgenden Schritte durch.

• IIS 7.0
  
  Gehen Sie folgendermaßen vor, um in IIS 7.0 bei installiertem Indexdienst die Treffermarkierung zu deaktivieren:
  1. Starten Sie den IIS-Manager. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie inetmgr in das Feld Öffnen ein, und klicken Sie auf OK.
  2. Doppelklicken Sie im Navigationsbereich auf ISAPI- und CGI-Einschränkungen.
  3. Achten Sie auf den in der Spalte Status stehenden Status für das Element Indexdienst. Wenn der Status Zugelassen ist, klicken Sie auf Zugelassen, und klicken Sie dann im Aufgabenfenster auf Verweigern.
• IIS 6.0
  
  Gehen Sie folgendermaßen vor, um in IIS 6.0 bei installiertem Indexdienst die Treffermarkierung zu deaktivieren:
  1. Starten Sie den IIS-Manager. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie inetmgr in das Feld Öffnen ein, und klicken Sie auf OK.
  2. Klicken Sie im Navigationsbereich auf Webdiensterweiterungen.
  3. Achten Sie auf den in der Spalte Status stehenden Status für das Element Indexdienst. Wenn der Status Zulässig ist, klicken Sie auf das Element Indexdienst, und klicken Sie dann auf Nicht zulassen.
• IIS 5.1 und IIS 5.0
  
  Gehen Sie folgendermaßen vor, um in IIS 5.1 oder IIS 5.0 bei installiertem Indexdienst die Treffermarkierung zu deaktivieren:
  1. Installieren Sie das IIS-Sperrprogramm (IIS Lockdown Tool), und führen Sie es aus. Sie können Version 2.1 des IIS-Sperrprogramms aus dem Microsoft Download Center herunterladen.
     
     Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
     
     Bild minimierenBild vergrößern

     
     Download the Iislockd.exe package now.
     (http://www.microsoft.com/downloads/details.aspx?FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&displaylang=en)
  2. Klicken Sie im Bildschirmfenster "Select Server Template" (Server-Vorlage auswählen) auf Other (Andere).
  3. Klicken Sie auf Next (Weiter), und stellen Sie sicher, dass das Kontrollkästchen Web Service aktiviert ist.
  4. Klicken Sie auf Next, und stellen Sie sicher, dass das Kontrollkästchen Index Server Web Interface (Server-Web-Schnittstelle indizieren) aktiviert ist.
  5. Folgen Sie den Anweisungen auf dem Bildschirm, um den Assistenten abzuschließen.
  Sie können die Datei "Webhits.dll" auch manuell deaktivieren, indem Sie den Zugriff von IIS auf die Datei sperren. Gehen Sie hierzu folgendermaßen vor:
  1. Beenden Sie den W3SVC-Dienst. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
     net stop w3svc
  2. Wechseln Sie in den Ordner, der die Datei "Webhits.dll" enthält. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
     cd %WINDIR%\system32
  3. Geben Sie den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
     cacls webhits.dll /D Everyone
     Wenn Sie zur Bestätigung aufgefordert werden, drücken Sie die Taste J und danach die [EINGABETASTE].
  4. Starten Sie den W3SVC-Dienst. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein:
     net start w3svc

Methode 3: Konfiguration des Indexdienstes und der Treffermarkierung überprüfen

Wenn Sie sowohl den Indexdienst als auch die Komponente "Treffermarkierung" benötigen, sollten Sie sicherstellen, dass Ihre HTW-Dateien denselben Typ der IIS-Authentifizierung erfordern wie Ihre Inhalte. Außerdem sollten Sie sicherstellen, dass für die Skriptzuordnung für HTW-Dateien die Option Überprüfen, ob Datei existiert aktiviert ist. Führen Sie für die von Ihnen verwendete IIS-Version die folgenden Schritte durch, um zu überprüfen, ob die Einstellungen für die Skriptzuordnung korrekt sind.

• IIS 7.0
  1. Starten Sie den IIS-Manager. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie inetmgr in das Feld Öffnen ein, und klicken Sie auf OK.
  2. Klicken Sie im Navigationsbereich auf Handlerzuordnungen.
  3. Suchen Sie in der Tabelle "Handlerzuordnungen" nach der Zuordnung für .htw. Doppelklicken Sie auf die Zuordnung.
  4. Klicken Sie auf Einschränkungen.
  5. Klicken Sie auf Handler nur bei folgender Zuordnung aufrufen, und stellen Sie sicher, dass Datei ausgewählt ist.
  6. Klicken Sie zweimal auf OK.
• IIS 6.0, IIS 5.1 und IIS 5.0
  1. Klicken Sie im Snap-In "IIS Microsoft Management Console (MMC)" mit der rechten Maustaste auf die Website, und klicken Sie auf Eigenschaften.
  2. Klicken Sie auf die Registerkarte Basisverzeichnis und anschließend auf Konfiguration.
  3. Klicken Sie im Dialogfeld Anwendungskonfiguration auf die Zuordnung für .htw, und klicken Sie auf Bearbeiten.
  4. Stellen Sie sicher, dass das Kontrollkästchen Überprüfen, ob Datei existiert aktiviert ist, und klicken Sie auf OK.
     
     Hinweis: In IIS 6.0 heißt dieses Kontrollkästchen Prüfen, ob Datei existiert.
  5. Stellen Sie sicher, dass die IIS-Authentifizierungseinstellungen für Ihre Inhalte mit den Authentifizierungseinstellungen für Ihre HTW-Dateien übereinstimmen.

Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.

Die Komponente "Treffermarkierung" ist ein Bestandteil des Indexdienstes, der mit IIS zusammenarbeitet, um indizierte Inhalte von einer Website zurückzugeben. Wenn die Komponente "Treffermarkierung" auf den zu indizierenden URL zugreift, erfolgt dies durch direkten Zugriff auf die Inhalte für den URL und nicht mittels einer neuen Anforderung über IIS. Aus diesem Grund wird eine IIS-spezifische Authentifizierung nicht auf den von der Treffermarkierung indizierten URL angewendet.

Ein Webbrowser kann indizierte Inhalte anfordern, indem er eine Anforderung an eine HTW-Datei auf der Website stellt und den zu indizierenden URL angibt. Wenn IIS-Authentifizierung für indizierte Inhalte gewünscht wird, muss die Authentifizierung sowohl für die HTW-Datei als auch für die eigentlichen Inhalte festgelegt werden. Die Treffermarkierung enthält eine spezielle, integrierte HTW-Datei mit dem Namen "Null.htw". Es handelt sich dabei um eine virtuelle Datei, die nicht wirklich auf der Festplatte vorhanden ist. Da diese Datei nicht existiert, können Sie IIS nicht darauf konfigurieren, die Authentifizierung für diese Datei zu erzwingen. Wenn Sie verhindern möchten, dass "Null.htw" indizierte Inhalte zurückgibt, müssen Sie die IIS-Skriptzuordnung für ".htw" so konfigurieren, dass die Zuordnung die Funktion "Überprüfen, ob Datei existiert" verwendet.

Die folgende Tabelle gibt einen Überblick über die Standardverfügbarkeit der Komponente "Treffermarkierung" in verschiedenen IIS-Versionen. Danksagung: Dieser Microsoft Knowledge Base-Artikel entstand unter Mitwirkung von Joao Gouveia von Telecel-Vodafone und John Omernik.

Weitere Informationen zur Sicherheit von IIS 5.0 finden Sie auf der folgenden Microsoft TechNet-Website: Weitere Informationen zum Verbessern der Sicherheit eines Webservers finden Sie auf der folgenden Microsoft Developer Network (MSDN)-Website: