Die Komponente "Treffermarkierung" des Indexdienstes könnte unerwarteten Zugriff auf die Inhalte einer IIS-Website zulassen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 328832 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
328832 The hit-highlighting component of the Indexing Service could allow unexpected access to the content of an IIS site
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Die Komponente "Treffermarkierung" des Indexdienstes gibt möglicherweise indizierte Ergebnisse von Inhalten einer Internetinformationsdienste (IIS)-Website zurück, ohne dass das auf die Inhalte angewendete Authentifizierungsschema erzwungen wird.

Abhilfe

Wenden Sie eine der folgenden Methoden an, um dieses Problem zu umgehen.

Methode 1: Indexdienst deinstallieren

Wenn Sie den Indexdienst nicht benötigen, sollten Sie ihn entfernen. Gehen Sie hierzu folgendermaßen vor.

Hinweis: Wenn Sie den Indexdienst entfernen, entfernen Sie auch die Komponente "Treffermarkierung".
  1. Doppelklicken Sie in der Systemsteuerung auf Software.
  2. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen, und deaktivieren Sie das Kontrollkästchen Indexdienst.

Methode 2: Komponente "Treffermarkierung" deaktivieren

Wenn Sie den Indexdienst benötigen, nicht aber die Treffermarkierung, sollten Sie die Komponente "Treffermarkierung" deaktivieren. Führen Sie hierzu für die von Ihnen verwendete IIS-Version die folgenden Schritte durch.
  • IIS 7.0

    Gehen Sie folgendermaßen vor, um in IIS 7.0 bei installiertem Indexdienst die Treffermarkierung zu deaktivieren:
    1. Starten Sie den IIS-Manager. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie inetmgr in das Feld Öffnen ein, und klicken Sie auf OK.
    2. Doppelklicken Sie im Navigationsbereich auf ISAPI- und CGI-Einschränkungen.
    3. Achten Sie auf den in der Spalte Status stehenden Status für das Element Indexdienst. Wenn der Status Zugelassen ist, klicken Sie auf Zugelassen, und klicken Sie dann im Aufgabenfenster auf Verweigern.
  • IIS 6.0

    Gehen Sie folgendermaßen vor, um in IIS 6.0 bei installiertem Indexdienst die Treffermarkierung zu deaktivieren:
    1. Starten Sie den IIS-Manager. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie inetmgr in das Feld Öffnen ein, und klicken Sie auf OK.
    2. Klicken Sie im Navigationsbereich auf Webdiensterweiterungen.
    3. Achten Sie auf den in der Spalte Status stehenden Status für das Element Indexdienst. Wenn der Status Zulässig ist, klicken Sie auf das Element Indexdienst, und klicken Sie dann auf Nicht zulassen.
  • IIS 5.1 und IIS 5.0

    Gehen Sie folgendermaßen vor, um in IIS 5.1 oder IIS 5.0 bei installiertem Indexdienst die Treffermarkierung zu deaktivieren:
    1. Installieren Sie das IIS-Sperrprogramm (IIS Lockdown Tool), und führen Sie es aus. Sie können Version 2.1 des IIS-Sperrprogramms aus dem Microsoft Download Center herunterladen.

      Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
      Bild minimierenBild vergrößern
      Download
      Download the Iislockd.exe package now.
    2. Klicken Sie im Bildschirmfenster "Select Server Template" (Server-Vorlage auswählen) auf Other (Andere).
    3. Klicken Sie auf Next (Weiter), und stellen Sie sicher, dass das Kontrollkästchen Web Service aktiviert ist.
    4. Klicken Sie auf Next, und stellen Sie sicher, dass das Kontrollkästchen Index Server Web Interface (Server-Web-Schnittstelle indizieren) aktiviert ist.
    5. Folgen Sie den Anweisungen auf dem Bildschirm, um den Assistenten abzuschließen.
    Sie können die Datei "Webhits.dll" auch manuell deaktivieren, indem Sie den Zugriff von IIS auf die Datei sperren. Gehen Sie hierzu folgendermaßen vor:
    1. Beenden Sie den W3SVC-Dienst. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
      net stop w3svc
    2. Wechseln Sie in den Ordner, der die Datei "Webhits.dll" enthält. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
      cd %WINDIR%\system32
    3. Geben Sie den folgenden Befehl ein, und drücken Sie die [EINGABETASTE]:
      cacls webhits.dll /D Everyone
      Wenn Sie zur Bestätigung aufgefordert werden, drücken Sie die Taste J und danach die [EINGABETASTE].
    4. Starten Sie den W3SVC-Dienst. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein:
      net start w3svc

Methode 3: Konfiguration des Indexdienstes und der Treffermarkierung überprüfen

Wenn Sie sowohl den Indexdienst als auch die Komponente "Treffermarkierung" benötigen, sollten Sie sicherstellen, dass Ihre HTW-Dateien denselben Typ der IIS-Authentifizierung erfordern wie Ihre Inhalte. Außerdem sollten Sie sicherstellen, dass für die Skriptzuordnung für HTW-Dateien die Option Überprüfen, ob Datei existiert aktiviert ist. Führen Sie für die von Ihnen verwendete IIS-Version die folgenden Schritte durch, um zu überprüfen, ob die Einstellungen für die Skriptzuordnung korrekt sind.
  • IIS 7.0
    1. Starten Sie den IIS-Manager. Klicken Sie hierzu auf Start und auf Ausführen, geben Sie inetmgr in das Feld Öffnen ein, und klicken Sie auf OK.
    2. Klicken Sie im Navigationsbereich auf Handlerzuordnungen.
    3. Suchen Sie in der Tabelle "Handlerzuordnungen" nach der Zuordnung für .htw. Doppelklicken Sie auf die Zuordnung.
    4. Klicken Sie auf Einschränkungen.
    5. Klicken Sie auf Handler nur bei folgender Zuordnung aufrufen, und stellen Sie sicher, dass Datei ausgewählt ist.
    6. Klicken Sie zweimal auf OK.
  • IIS 6.0, IIS 5.1 und IIS 5.0
    1. Klicken Sie im Snap-In "IIS Microsoft Management Console (MMC)" mit der rechten Maustaste auf die Website, und klicken Sie auf Eigenschaften.
    2. Klicken Sie auf die Registerkarte Basisverzeichnis und anschließend auf Konfiguration.
    3. Klicken Sie im Dialogfeld Anwendungskonfiguration auf die Zuordnung für .htw, und klicken Sie auf Bearbeiten.
    4. Stellen Sie sicher, dass das Kontrollkästchen Überprüfen, ob Datei existiert aktiviert ist, und klicken Sie auf OK.

      Hinweis: In IIS 6.0 heißt dieses Kontrollkästchen Prüfen, ob Datei existiert.
    5. Stellen Sie sicher, dass die IIS-Authentifizierungseinstellungen für Ihre Inhalte mit den Authentifizierungseinstellungen für Ihre HTW-Dateien übereinstimmen.

Status

Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.

Weitere Informationen

Die Komponente "Treffermarkierung" ist ein Bestandteil des Indexdienstes, der mit IIS zusammenarbeitet, um indizierte Inhalte von einer Website zurückzugeben. Wenn die Komponente "Treffermarkierung" auf den zu indizierenden URL zugreift, erfolgt dies durch direkten Zugriff auf die Inhalte für den URL und nicht mittels einer neuen Anforderung über IIS. Aus diesem Grund wird eine IIS-spezifische Authentifizierung nicht auf den von der Treffermarkierung indizierten URL angewendet.

Ein Webbrowser kann indizierte Inhalte anfordern, indem er eine Anforderung an eine HTW-Datei auf der Website stellt und den zu indizierenden URL angibt. Wenn IIS-Authentifizierung für indizierte Inhalte gewünscht wird, muss die Authentifizierung sowohl für die HTW-Datei als auch für die eigentlichen Inhalte festgelegt werden. Die Treffermarkierung enthält eine spezielle, integrierte HTW-Datei mit dem Namen "Null.htw". Es handelt sich dabei um eine virtuelle Datei, die nicht wirklich auf der Festplatte vorhanden ist. Da diese Datei nicht existiert, können Sie IIS nicht darauf konfigurieren, die Authentifizierung für diese Datei zu erzwingen. Wenn Sie verhindern möchten, dass "Null.htw" indizierte Inhalte zurückgibt, müssen Sie die IIS-Skriptzuordnung für ".htw" so konfigurieren, dass die Zuordnung die Funktion "Überprüfen, ob Datei existiert" verwendet.

Die folgende Tabelle gibt einen Überblick über die Standardverfügbarkeit der Komponente "Treffermarkierung" in verschiedenen IIS-Versionen.
Tabelle minimierenTabelle vergrößern
VersionIndexdienstTreffermarkierung
IIS 7.0Nicht installiertDeaktiviert, wenn der Indexdienst installiert ist
IIS 6.0InstalliertInstalliert aber deaktiviert
IIS 5.1Nicht installiertNicht installiert
IIS 5.0InstalliertInstalliert und aktiviert
Danksagung: Dieser Microsoft Knowledge Base-Artikel entstand unter Mitwirkung von Joao Gouveia von Telecel-Vodafone und John Omernik.

Weitere Informationen

Weitere Informationen zur Sicherheit von IIS 5.0 finden Sie auf der folgenden Microsoft TechNet-Website:
http://www.microsoft.com/technet/archive/security/chklist/iis50srg.mspx
Weitere Informationen zum Verbessern der Sicherheit eines Webservers finden Sie auf der folgenden Microsoft Developer Network (MSDN)-Website:
http://msdn2.microsoft.com/de-de/library/aa302432.aspx

Eigenschaften

Artikel-ID: 328832 - Geändert am: Montag, 7. April 2008 - Version: 6.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Index Server 2.0
Keywords: 
kbexpertiseadvanced kbtshoot kbprb KB328832
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com