Il componente per l'evidenziazione degli accessi del servizio di indicizzazione potrebbe consentire l'accesso imprevisto al contenuto di un sito IIS

Il componente per l'evidenziazione dei risultati della ricerca del servizio di indicizzazione potrebbe restituire risultati indicizzati del contenuto di un sito IIS (Internet Information Services) senza imporre lo schema di autenticazione applicato al contenuto.

Per risolvere il problema, utilizzare uno dei metodi descritti di seguito.

Metodo 1: Disinstallare il servizio di indicizzazione

Se il servizio di indicizzazione non è necessario, si consiglia di rimuoverlo. Per eseguire questa operazione, attenersi alla procedura descritta di seguito.

Nota Quando si rimuove il servizio di indicizzazione, si rimuove anche il componente di evidenziazione dei risultati della ricerca.

1. Nel Pannello di controllo fare clic su Installazione applicazioni.
2. Fare clic su Installazione componenti di Windows, quindi deselezionare la casella di controllo Servizio di indicizzazione.

Metodo 2: Disabilitare il componente di evidenziazione dei risultati della ricerca

Se è necessario il servizio di indicizzazione, ma non l'evidenziazione dei risultati della ricerca, è consigliabile disabilitare il componente di evidenziazione dei risultati della ricerca. Per eseguire questa operazione, attenersi alla seguente procedura, a seconda della versione di IIS in uso.

• IIS 7.0
  
  Per disabilitare l'evidenziazione di risultati della ricerca in IIS 7.0 quando il servizio di indicizzazione è installato, attenersi alla seguente procedura:
  1. Avviare IIS Manager. A questo scopo, fare clic sul pulsante Start, scegliere Esegui, digitare inetmgr, quindi scegliere OK.
  2. Nel riquadro di spostamento fare doppio clic su Restrizione ISAPI e CGI.
  3. Nella colonna Stato prendere nota dello stato dell'elemento Servizio di indicizzazione. Se lo stato è Consentito, fare clic su Consentito, quindi su Nega nella finestra Attività.
• IIS 6.0
  
  Per disabilitare l'evidenziazione di risultati della ricerca in IIS 6.0 quando il servizio di indicizzazione è installato, attenersi alla seguente procedura:
  1. Avviare IIS Manager. A questo scopo, fare clic sul pulsante Start, scegliere Esegui, digitare inetmgr, quindi scegliere OK.
  2. Nel riquadro di spostamento fare clic su Estensioni servizio Web.
  3. Nella colonna Stato prendere nota dello stato dell'elemento Servizio di indicizzazione. Se lo stato è Consentito, fare clic sull'elemento Servizio di indicizzazione, quindi su Non consentire.
• IIS 5.1 e IIS 5.0
  
  Per disabilitare l'evidenziazione dei risultati della ricerca in IIS 5.1 o in IIS 5.0 quando il servizio di indicizzazione è installato, attenersi alla seguente procedura:
  1. Installare, quindi eseguire lo strumento IIS Lockdown. È possibile scaricare la versione 2.1 dello strumento IIS Lockdown dall'Area download Microsoft:
     
     Il seguente file è disponibile per il download nell'Area download Microsoft (informazioni in lingua inglese):
     Download del pacchetto Iislockd.exe
     (http://www.microsoft.com/downloads/details.aspx?FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&displaylang=en)
  2. Nella schermata Select Server Template fare clic su Other.
  3. Scegliere Next, quindi verificare che la casella di controllo Web Service sia selezionata.
  4. Scegliere Next, quindi verificare che la casella di controllo Index Server Web Interface sia selezionata.
  5. Seguire le istruzioni visualizzate per completare la procedura guidata.
  In alternativa, è possibile disabilitare manualmente il file Webhits.dll rendendolo inaccessibile ad IIS. Per effettuare questa operazione, attenersi alla seguente procedura:
  1. Arrestare il servizio W3svc. A questo scopo, digitare il comando riportato di seguito al prompt dei comandi e premere INVIO:
     net stop w3svc
  2. Passare alla cartella contenente Webhits.dll. Per effettuare questa operazione, digitare il comando seguente e premere INVIO:
     cd %WINDIR%\system32
  3. Digitare il comando seguente e premere INVIO:
     cacls webhits.dll /D Everyone
     All'eventuale richiesta di conferma, digitare S, quindi premere INVIO.
  4. Avviare il servizio W3svc. A questo scopo digitare il seguente comando al prompt dei comandi:
     net start w3svc

Metodo 3: Verificare la configurazione del servizio di indicizzazione e dell'evidenziazione dei risultati della ricerca

Se sono necessari sia il servizio di indicizzazione che il componente di evidenziazione dei risultati della ricerca, è consigliabile verificare che i file con estensione htw richiedano lo stesso tipo di autenticazione IIS richiesto dal contenuto. È inoltre consigliabile verificare che sia abilitata l'opzione per il controllo dell'esistenza del file del mapping di script per i file con estensione htw. Per verificare la correttezza delle impostazioni del mapping di script, attenersi alla seguente procedura, a seconda della versione di IIS in uso.

• IIS 7.0
  1. Avviare IIS Manager. A questo scopo, fare clic sul pulsante Start, scegliere Esegui, digitare inetmgr, quindi scegliere OK.
  2. Nel riquadro di spostamento fare doppio clic su Mapping gestori.
  3. Nella tabella Mapping gestori trovare il mapping per .htw. Fare doppio clic sul mapping.
  4. Fare clic su Restrizioni richieste.
  5. Fare clic su Richiama gestore solo se la richiesta è mappata a, quindi verificare che sia selezionato File.
  6. Scegliere OK due volte.
• IIS 6.0, IIS 5.1 e IIS 5.0
  1. Nello snap-in Microsoft Management Console (MMC) di IIS fare clic con il pulsante destro del mouse sul sito Web, quindi scegliere Proprietà.
  2. Fare clic sulla scheda Home directory, quindi scegliere Configurazione.
  3. Nella finestra di dialogo Configurazione applicazioni fare clic sul mapping per .htw, quindi scegliere Modifica.
  4. Assicurarsi che la casella di controllo per il controllo dell'esistenza del file sia selezionata, quindi scegliere OK.
     
     Nota In IIS 6.0, questa casella di controllo è denominata Verifica esistenza del file.
  5. Verificare che le impostazioni dell'autenticazione IIS per il contenuto corrispondano alle impostazioni dell'autenticazione per i file con estensione htw.

Microsoft ha confermato che questo problema si verifica con i prodotti elencati alla fine del presente articolo.

Il componente di evidenziazione dei risultati della ricerca fa parte del servizio di indicizzazione che viene utilizzato con IIS per restituire contenuto indicizzato da un sito Web. Quando il componente di evidenziazione dei risultati della ricerca accede all'URL da indicizzare, esegue questa operazione accedendo direttamente al contenuto dell'URL anziché effettuando una nuova richiesta tramite IIS. Nessuna autenticazione specifica di IIS viene pertanto applicata all'URL indicizzato dal componente di evidenziazione dei risultati della ricerca.

Un browser può richiedere contenuto indicizzato eseguendo una richiesta a un file con estensione htw sul sito Web e specificando l'URL da indicizzare. Se per il contenuto indicizzato si desidera l'autenticazione IIS, è consigliabile impostare l'autenticazione sul file con estensione htw e anche sul contenuto effettivo. L'evidenziazione dei risultati della ricerca include uno speciale file incorporato con estensione htw denominato Null.htw. Si tratta di un file virtuale che non esiste realmente sul disco. Poiché questo file non esiste, non è possibile configurare IIS per imporre l'autenticazione al file. Per impedire a Null.htw di restituire contenuto indicizzato, è necessario configurare il mapping di script di IIS per l'estensione htw in modo che il mapping utilizzi la funzionalità per il controllo dell'esistenza del file.

Nella tabella che segue è riepilogata la disponibilità predefinita del componente di evidenziazione dei risultati della ricerca in diverse versioni di IIS. Riconoscimento: Joao Gouveia di Telecel-Vodafone e John Omernik hanno contribuito alla redazione di questo articolo della Microsoft Knowledge Base.

Per ulteriori informazioni sulla protezione avanzata di IIS 5.0, visitare il seguente sito Web Microsoft TechNet (informazioni in lingua inglese): Per ulteriori informazioni sulla protezione di un server Web, visitare il seguente sito MSDN (informazioni in lingua inglese):