Le composant de surlignage des éléments correspondants du service d'indexation peut autoriser un accès inattendu au contenu d'un site IIS

Le composant de surlignage des éléments correspondants du service d'indexation peut renvoyer des résultats indexés du contenu d'un site IIS (Internet Information Services ) sans respecter le modèle d'authentification appliqué au contenu.

Pour contourner ce problème, appliquez l'une des méthodes ci-dessous.

Méthode 1 : Désinstaller le service d'indexation

Si vous n'avez pas besoin du service d'indexation, désinstallez-le. Pour cela, procédez comme suit.

Remarque Lorsque vous supprimez le service d'indexation, vous supprimez également le composant de surlignage des éléments correspondants.

1. Dans le Panneau de configuration, cliquez sur Ajouter ou supprimer des programmes.
2. Cliquez sur Ajouter/Supprimer des composants Windows, puis désactivez la case à cocher Service d'indexation.

Méthode 2 : Désactiver le composant de surlignage des éléments correspondants

Si vous avez besoin du service d'indexation, mais pas du surlignage des éléments correspondants, désactivez le composant de surlignage des éléments correspondants. Pour cela, suivez les étapes appropriées, en fonction de la version d'IIS exécutée.

• IIS 7.0
  
  Pour désactiver le surlignage des éléments correspondants dans IIS 7.0 lorsque le service d'indexation est installé, procédez comme suit :
  1. Démarrez le Gestionnaire des services Internet. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez inetmgr, puis cliquez sur OK.
  2. Dans le volet de navigation, double-cliquez sur Restrictions ISAPI et CGI.
  3. Dans la colonne État, notez l'état de l'élément Service d'indexation. Si cet état est Autorisé, cliquez sur Autorisé, puis sur Refuser dans la fenêtre Tâches.
• IIS 6.0
  
  Pour désactiver le surlignage des éléments correspondants dans IIS 6.0 lorsque le service d'indexation est installé, procédez comme suit :
  1. Démarrez le Gestionnaire des services Internet. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez inetmgr, puis cliquez sur OK.
  2. Dans le volet de navigation, cliquez sur Extensions du service Web.
  3. Dans la colonne État, notez l'état de l'élément Service d'indexation. Si cet état est Autorisé, cliquez sur l'élément Service d'indexation, puis sur Interdire.
• IIS 5.1 et IIS 5.0
  
  Pour désactiver le surlignage des éléments correspondants dans IIS 5.1 ou IIS 5.0 lorsque le service d'indexation est installé, procédez comme suit :
  1. Installez et exécutez l'outil IIS Lockdown. Vous pouvez télécharger la version 2.1 de l'outil IIS Lockdown à partir du Centre de téléchargement Microsoft.
     
     Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft :
     
     Réduire cette imageAgrandir cette image

     
     Télécharger le package Iislockd.exe maintenant (en anglais).
     (http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=dde9efc0-bb30-47eb-9a61-fd755d23cdec)
  2. Sur l'écran Select Server Template (Sélectionner le modèle de serveur), cliquez sur Other (Autre).
  3. Cliquez sur Suivant, puis assurez-vous que la case à cocher Web Service (Service Web) est activée
  4. Cliquez sur Suivant, puis assurez-vous que la case à cocher Web Index Server Interface (Interface Web Index Server) est activée
  5. Suivez les instructions qui s'affichent à l'écran pour terminer l'exécution de l'Assistant.
  Vous pouvez également désactiver manuellement le fichier Webhits.dll en le rendant inaccessible pour IIS. Pour cela, procédez comme suit :
  1. Arrêtez le service W3svc. Pour cela, tapez la commande suivante à une invite de commandes et appuyez sur ENTRÉE :
     net stop w3svc
  2. Naviguez vers le dossier qui contient Webhits.dll. Pour cela, tapez la commande suivante, puis appuyez sur ENTRÉE :
     cd %WINDIR%\system32
  3. Tapez la commande suivante et appuyez sur ENTRÉE :
     cacls webhits.dll /D Everyone
     Si vous êtes invité à confirmer, tapez y, puis appuyez sur ENTRÉE.
  4. Démarrez le service W3svc. Pour cela, tapez la commande suivante à l'invite de commandes :
     net start w3svc

Méthode 3 : Vérifier la configuration du service d'indexation et du surlignage des éléments correspondants

Si vous avez besoin du service d'indexation et du surlignage des éléments correspondants, assurez-vous que vos fichiers .htw requièrent le même type d'authentification IIS que votre contenu. En outre, vous devez vérifier que l'option Vérifier l'existence du fichier est activée pour le mappage de scripts pour les fichiers .htw. Pour vérifier que les paramètres de mappage de scripts sont corrects, suivez les étapes appropriées, en fonction de la version d'IIS exécutée.

• IIS 7.0
  1. Démarrez le Gestionnaire des services Internet. Pour cela, cliquez sur Démarrer, sur Exécuter, tapez inetmgr, puis cliquez sur OK.
  2. Dans le volet de navigation, double-cliquez sur Mappages de gestionnaires.
  3. Dans la table Mappages des gestionnaires, recherchez le mappage pour .htw. Double-cliquez dessus.
  4. Cliquez sur Restrictions des demandes.
  5. Cliquez sur Appeler le gestionnaire seulement si une demande est mappée à, puis assurez-vous que l'option Fichier est sélectionnée.
  6. Cliquez sur OK à deux reprises.
• IIS 6.0, IIS 5.1 et IIS 5.0
  1. Dans le composant logiciel enfichable MMC (Microsoft Management Console), cliquez avec le bouton droit sur le site Web, puis cliquez sur Propriétés.
  2. Cliquez sur l'onglet Répertoire de base, puis sur Configuration.
  3. Dans la boîte de dialogue Configuration de l'application, cliquez sur le mappage pour htw, puis sur Modifier.
  4. Vérifiez que la case à cocher Vérifier l'existence du fichier est activée, puis cliquez sur OK.
  5. Vérifiez que les paramètres d'authentification IIS de votre contenu sont identiques à ceux de vos fichiers .htw.

Microsoft a confirmé l'existence de ce problème dans les produits Microsoft figurant dans la liste des produits concernés par cet article.

Le composant de surlignage des éléments correspondants fait partie du service d'indexation utilisé dans IIS pour renvoyer un contenu indexé d'un site Web. Lorsqu'il accède à l'URL à indexer, le composant de surlignage des éléments correspondants accède directement au contenu pour cette URL, sans effectuer de nouvelle demande par le biais d'IIS. Pour cette raison, toute authentification spécifique à IIS ne sera pas appliquée à l'URL indexée par le composant de surlignage des éléments correspondants.

Un navigateur Web peut demander un contenu indexé en effectuant une demande à un fichier .htw sur le site Web et en spécifiant l'URL à indexer. Si l'authentification IIS est requise pour le contenu indexé, elle doit être définie à la fois sur le fichier .htw et sur le contenu. Le surlignage des éléments correspondants inclut un fichier .htw spécial intégré nommé Null.htw. Il s'agit d'un fichier virtuel qui n'existe pas réellement sur le disque. Étant donné que ce fichier n'existe pas, vous ne pouvez pas configurer IIS pour appliquer l'authentification à ce fichier. Pour empêcher Null.htw de renvoyer un contenu indexé, vous devez configurer le mappage de scripts IIS pour .htw pour utiliser la fonctionnalité « Vérifier l'existence du fichier ».

Le tableau ci-dessous résume la disponibilité par défaut du composant de surlignage des éléments correspondants dans plusieurs versions d'IIS. Remerciements : Joao Gouveia de Telecel-Vodafone et John Omernik ont contribué à cet article de la Base de connaissances Microsoft.

Pour plus d'informations sur la sécurisation renforcée dans IIS 5.0, reportez-vous au site Web Microsoft TechNet à l'adresse suivante (en anglais) : Pour plus d'informations sur la façon de sécuriser un serveur Web, reportez-vous au site Web de Microsoft Developper Network (MSDN) à l'adresse suivante :