רכיב hit-highlighting של שירות יצירת האינדקסים עלול לאפשר גישה לא צפויה לתוכן של אתר IIS

תרגומי מאמרים תרגומי מאמרים
Article ID: 328832 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

מאפייני הבעיה

רכיב hit-highlighting של שירות יצירת האינדקס עלול להחזיר תוצאות ערוכות באינדקס מתוכן של אתר Internet Information Services ?(IIS) בלי לאכוף את סכימת האימות שחלה על תוכן זה.

דרכים לעקיפת הבעיה

כדי לעקוף את הבעיה, היעזר באחת מהשיטות הבאות.

שיטה 1: הסרת התקנה של שירות יצירת האינדקסים

אם אינך זקוק לשירות יצירת האינדקסים, עליך להסיר אותו. לשם כך, בצע את הפעולות הבאות.

הערה כאשר תסיר את שירות יצירת האינדקסים, תסיר גם את רכיב ה- hit-highlighting.
  1. בלוח הבקרה, לחץ על הוספה והסרה של תוכניות.
  2. לחץ על הוספה/הסרה של רכיבי Windows ולאחר מכן לחץ כדי לנקות את תיבת הסימון שירות יצירת האינדקסים.

שיטה 2: השבתת רכיב hit-highlighting

אם אתה זקוק לשירות יצירת האינדקסים אך אינך זקוק ל- hit-highlighting, עליך להשבית את רכיב ה- hit-highlighting. לשם כך, בצע את הפעולות הבאות, בהתאם לגירסת IIS שבה אתה משתמש.
  • IIS 7.0

    כדי להשבית את hit-highlighting ב- IIS 7.0 כאשר שירות יצירת האינדקסים מותקן, בצע את הפעולות הבאות:
    1. הפעל את IIS Manager. לשם כך, לחץ על התחל, לחץ על הפעלה, הקלד inetmgr ולאחר מכן לחץ על אישור.
    2. בחלונית הניווט, לחץ פעמיים על הגבלות ISAPI ו- CGI.
    3. בעמודה מצב, בדוק את מצב הפריט שירות יצירת האינדקסים. אם המצב הוא Allowed, לחץ על מותר ולאחר מכן לחץ על מנע בחלון המשימות.
  • IIS 6.0

    כדי להשבית את hit-highlighting ב- IIS 6.0 כאשר שירות יצירת האינדקסים מותקן, בצע את הפעולות הבאות:
    1. הפעל את IIS Manager. לשם כך, לחץ על התחל, לחץ על הפעלה, הקלד inetmgr ולאחר מכן לחץ על אישור.
    2. בחלונית הניווט, לחץ על הרחבות שירותי אינטרנט.
    3. בעמודה מצב, בדוק את מצב הפריט שירות יצירת האינדקסים. אם המצב הוא מותר, לחץ על הפריט שירות יצירת האינדקסים ולאחר מכן לחץ על אסור.
  • IIS 5.1 ו- IIS 5.0

    כדי להשבית את hit-highlighting ב- IIS 5.1 או ב- IIS 5.0 כאשר שירות יצירת האינדקסים מותקן, בצע את הפעולות הבאות:
    1. התקן את הכלי הנעילה של IIS ולאחר מכן הפעל אותו. באפשרותך להוריד את גירסה 2.1 של כלי הנעילה של IIS ממרכז ההורדות של Microsoft.

      הקובץ הבא זמין להורדה ממרכז ההורדות של Microsoft:
      כווץ את התמונההרחב את התמונה
      הורדה
      הורד את החבילה Iislockd.exe כעת.
    2. במסך לבחירת תבנית שרת, לחץ על אחר.
    3. לחץ על הבא ולאחר מכן ודא שתיבת הסימון שירות אינטרנט נבחרת.
    4. לחץ על הבא ולאחר מכן ודא שתיבת הסימון ממשק אינטרנט של שרת אינדקס נבחרת.
    5. פעל בהתאם להוראות שעל המסך כדי להשלים את האשף.
    לחלופין, באפשרותך להשבית באופן ידני את הקובץ Webhits.dll על-ידי הפיכתו לבלתי נגיש עבור IIS. לשם כך, בצע את הפעולות הבאות:
    1. עצור את שירות W3svc. לשם כך הקלד את הפקודה הבאה בשורת הפקודה ולאחר מכן הקש על ENTER:
      net stop w3svc
    2. העבר את התיקיה שמכילה את Webhits.dll. לשם כך, הקלד את הפקודה הבאה ולאחר מכן הקש ENTER:
      cd %WINDIR%\system32
    3. הקלד את הפקודה הבאה ולאחר מכן הקש ENTER:
      cacls webhits.dll /D Everyone
      אם תתבקש לאשר, הקלד Y ולאחר מכן הקש ENTER.
    4. הפעל את שירות W3svc. לשם כך, הקלד את הפקודה הבאה בשורת הפקודה:
      net start w3svc

שיטה 3: בדוק את התצורה של שירות יצירת האינדקסים ושל רכיב hit-highlighting

אם גם שירות יצירת האינדקסים וגם רכיב hit-highlighting דרושים לך, עליך לוודא שקבצי ?.htw דורשים סוג אימות IIS זהה לזה הנדרש על-ידי התוכן שלך. בנוסף, עליך לוודא שמיפוי ה- Script עבור קבצי ?.htw כולל את האפשרות בדוק שהקובץ קיים מופעלת. כדי לבדוק את אם הגדרות מיפוי ה- Script נכונות, בצע את הפעולות הבאות, בהתאם לגירסת IIS שבה אתה משתמש.
  • IIS 7.0
    1. הפעל את IIS Manager. לשם כך, לחץ על התחל, לחץ על הפעלה, הקלד inetmgr ולאחר מכן לחץ על אישור.
    2. בחלונית הניווט, לחץ פעמיים על מיפויים של מטפל.
    3. בטבלת המיפויים של המטפל, אתר את המיפוי עבור ?.htw. לחץ פעמיים על המיפוי.
    4. לחץ על הגבלות בקשה.
    5. לחץ על הפעל מטפל רק אם בקשה ממופית אל ולאחר מכן ודא שהאפשרות קובץ נבחרת.
    6. לחץ פעמיים על אישור.
  • IIS 6.0,? IIS 5.1 ו- IIS 5.0
    1. ביישום ה- Snap-in? Microsoft Management Console? (MMC), לחץ באמצעות לחצן העכבר הימני על אתר האינטרנט ולאחר מכן לחץ על מאפיינים.
    2. לחץ על ספריה ראשית ולאחר מכן לחץ על תצורה.
    3. בתיבת הדו-שיח תצורת יישום, לחץ על המיפוי עבור ?.htw ולאחר מכן לחץ על עריכה.
    4. וודא שתיבת הסימון בדוק שהקובץ קיים נבחרת ולאחר מכן לחץ על אישור.

      הערה ב- IIS 6.0, תיבת סימון זו נקראת ודא שהקובץ קיים.
    5. ודא כי הגדרות האימות של IIS עבור התוכן שלך זהות להגדרות האימות של קבצי ?.htw.

סטטוס

Microsoft אישרה כי מדובר בבעיה במוצרי Microsoft ששמותיהם מופיעים בסעיף 'חל על'.

מידע נוסף

רכיב hit-highlighting הוא חלק משירות יצירת האינדקסים שפועל עם IIS כדי להחזיר תוכן הכלול באינדקס מאתר אינטרנט. כאשר רכיב ה- hit-highlighting ניגש לכתובת URL שיש לכלול באינדקס, הרכיב מבצע פעולה זו על-ידי גישה ישירה לתוכן של כתובת ה- URL ולא על-ידי יצירת בקשה חדשה באמצעות IIS. מסיבה זו, פעולות האימות הספציפיות ל- IIS אינן מוחלות על כתובת ה- URL שנכללה באינדקס באמצעות רכיב ה- hit-highlighting.

דפדפן אינטרנט יכול לבקש תוכן כלול באינדקס על-ידי הגשת בקשה לקובץ ?.htw באתר האינטרנט וציון כתובת ה- URL שיש לכלול באינדקס. אם אימות IIS רצוי עבור תוכל כלול באינדקס, יש להגדיר את האימות בקובץ ה- ?.htw וכן בתוכן עצמו. רכיב hit-highlighting כולל קובץ ?.htw מוכלל מיוחד בשם Null.htw. זהו קובץ וירטואלי והוא לא קיים בפועל בדיסק. מאחר שקובץ זה לא קיים, לא ניתן להגדיר את IIS לאכוף אימות על קובץ זה. כדי למנוע מהקובץ Null.htw להחזיר תוכן כלול באינדקס, עליך להגדיר את מיפוי ה- Script של IIS עבור ?.htw כך שהמיפוי ישתמש בתכונה "בדוק שהקובץ קיים".

הטבלה הבאה מסכמת את זמינות ברירת המחדל של רכיב hit-highlighting בגירסאות שונות של IIS.
כווץ את הטבלההרחב את הטבלה
גירסהשירות יצירת אינדקסיםHit-highlighting
IIS 7.0לא מותקןמושבת כאשר שירות יצירת האינדקסים מותקן
IIS 6.0Installedמותקן אך מושבת
IIS 5.1לא מותקןלא מותקן
IIS 5.0Installedמותקן ומושבת
תודות: Joao Gouveia מחברת Telecel-Vodafone ו- John Omernik תרמו למאמר Microsoft Knowledge Base זה.

מידע נוסף

לקבלת מידע נוסף על הקשחת IIS 5.0, בקר באתר Microsoft TechNet בכתובת:
http://www.microsoft.com/technet/archive/security/chklist/iis50srg.mspx
לקבלת פרטים נוספים על אופן האבטחה של שרת אינטרנט, בקר באתר הבא של Microsoft Developer Network ?(MSDN):
http://msdn2.microsoft.com/En-US/library/aa302432.aspx

מאפיינים

Article ID: 328832 - Last Review: יום שני 07 אפריל 2008 - Revision: 6.1
המידע במאמר זה חל על:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Index Server 2.0
מילות מפתח 
kbexpertiseadvanced kbtshoot kbprb KB328832

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com