Il componente per l'evidenziazione degli accessi del servizio di indicizzazione potrebbe consentire l'accesso imprevisto al contenuto di un sito IIS

Traduzione articoli Traduzione articoli
Identificativo articolo: 328832 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Il componente per l'evidenziazione dei risultati della ricerca del servizio di indicizzazione potrebbe restituire risultati indicizzati del contenuto di un sito IIS (Internet Information Services) senza imporre lo schema di autenticazione applicato al contenuto.

Workaround

Per risolvere il problema, utilizzare uno dei metodi descritti di seguito.

Metodo 1: Disinstallare il servizio di indicizzazione

Se il servizio di indicizzazione non è necessario, si consiglia di rimuoverlo. Per eseguire questa operazione, attenersi alla procedura descritta di seguito.

Nota Quando si rimuove il servizio di indicizzazione, si rimuove anche il componente di evidenziazione dei risultati della ricerca.
  1. Nel Pannello di controllo fare clic su Installazione applicazioni.
  2. Fare clic su Installazione componenti di Windows, quindi deselezionare la casella di controllo Servizio di indicizzazione.

Metodo 2: Disabilitare il componente di evidenziazione dei risultati della ricerca

Se è necessario il servizio di indicizzazione, ma non l'evidenziazione dei risultati della ricerca, è consigliabile disabilitare il componente di evidenziazione dei risultati della ricerca. Per eseguire questa operazione, attenersi alla seguente procedura, a seconda della versione di IIS in uso.
  • IIS 7.0

    Per disabilitare l'evidenziazione di risultati della ricerca in IIS 7.0 quando il servizio di indicizzazione è installato, attenersi alla seguente procedura:
    1. Avviare IIS Manager. A questo scopo, fare clic sul pulsante Start, scegliere Esegui, digitare inetmgr, quindi scegliere OK.
    2. Nel riquadro di spostamento fare doppio clic su Restrizione ISAPI e CGI.
    3. Nella colonna Stato prendere nota dello stato dell'elemento Servizio di indicizzazione. Se lo stato è Consentito, fare clic su Consentito, quindi su Nega nella finestra Attività.
  • IIS 6.0

    Per disabilitare l'evidenziazione di risultati della ricerca in IIS 6.0 quando il servizio di indicizzazione è installato, attenersi alla seguente procedura:
    1. Avviare IIS Manager. A questo scopo, fare clic sul pulsante Start, scegliere Esegui, digitare inetmgr, quindi scegliere OK.
    2. Nel riquadro di spostamento fare clic su Estensioni servizio Web.
    3. Nella colonna Stato prendere nota dello stato dell'elemento Servizio di indicizzazione. Se lo stato è Consentito, fare clic sull'elemento Servizio di indicizzazione, quindi su Non consentire.
  • IIS 5.1 e IIS 5.0

    Per disabilitare l'evidenziazione dei risultati della ricerca in IIS 5.1 o in IIS 5.0 quando il servizio di indicizzazione è installato, attenersi alla seguente procedura:
    1. Installare, quindi eseguire lo strumento IIS Lockdown. È possibile scaricare la versione 2.1 dello strumento IIS Lockdown dall'Area download Microsoft:

      Il seguente file è disponibile per il download nell'Area download Microsoft (informazioni in lingua inglese):
      Download del pacchetto Iislockd.exe
    2. Nella schermata Select Server Template fare clic su Other.
    3. Scegliere Next, quindi verificare che la casella di controllo Web Service sia selezionata.
    4. Scegliere Next, quindi verificare che la casella di controllo Index Server Web Interface sia selezionata.
    5. Seguire le istruzioni visualizzate per completare la procedura guidata.
    In alternativa, è possibile disabilitare manualmente il file Webhits.dll rendendolo inaccessibile ad IIS. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Arrestare il servizio W3svc. A questo scopo, digitare il comando riportato di seguito al prompt dei comandi e premere INVIO:
      net stop w3svc
    2. Passare alla cartella contenente Webhits.dll. Per effettuare questa operazione, digitare il comando seguente e premere INVIO:
      cd %WINDIR%\system32
    3. Digitare il comando seguente e premere INVIO:
      cacls webhits.dll /D Everyone
      All'eventuale richiesta di conferma, digitare S, quindi premere INVIO.
    4. Avviare il servizio W3svc. A questo scopo digitare il seguente comando al prompt dei comandi:
      net start w3svc

Metodo 3: Verificare la configurazione del servizio di indicizzazione e dell'evidenziazione dei risultati della ricerca

Se sono necessari sia il servizio di indicizzazione che il componente di evidenziazione dei risultati della ricerca, è consigliabile verificare che i file con estensione htw richiedano lo stesso tipo di autenticazione IIS richiesto dal contenuto. È inoltre consigliabile verificare che sia abilitata l'opzione per il controllo dell'esistenza del file del mapping di script per i file con estensione htw. Per verificare la correttezza delle impostazioni del mapping di script, attenersi alla seguente procedura, a seconda della versione di IIS in uso.
  • IIS 7.0
    1. Avviare IIS Manager. A questo scopo, fare clic sul pulsante Start, scegliere Esegui, digitare inetmgr, quindi scegliere OK.
    2. Nel riquadro di spostamento fare doppio clic su Mapping gestori.
    3. Nella tabella Mapping gestori trovare il mapping per .htw. Fare doppio clic sul mapping.
    4. Fare clic su Restrizioni richieste.
    5. Fare clic su Richiama gestore solo se la richiesta è mappata a, quindi verificare che sia selezionato File.
    6. Scegliere OK due volte.
  • IIS 6.0, IIS 5.1 e IIS 5.0
    1. Nello snap-in Microsoft Management Console (MMC) di IIS fare clic con il pulsante destro del mouse sul sito Web, quindi scegliere Proprietà.
    2. Fare clic sulla scheda Home directory, quindi scegliere Configurazione.
    3. Nella finestra di dialogo Configurazione applicazioni fare clic sul mapping per .htw, quindi scegliere Modifica.
    4. Assicurarsi che la casella di controllo per il controllo dell'esistenza del file sia selezionata, quindi scegliere OK.

      Nota In IIS 6.0, questa casella di controllo è denominata Verifica esistenza del file.
    5. Verificare che le impostazioni dell'autenticazione IIS per il contenuto corrispondano alle impostazioni dell'autenticazione per i file con estensione htw.

Status

Microsoft ha confermato che questo problema si verifica con i prodotti elencati alla fine del presente articolo.

Informazioni

Il componente di evidenziazione dei risultati della ricerca fa parte del servizio di indicizzazione che viene utilizzato con IIS per restituire contenuto indicizzato da un sito Web. Quando il componente di evidenziazione dei risultati della ricerca accede all'URL da indicizzare, esegue questa operazione accedendo direttamente al contenuto dell'URL anziché effettuando una nuova richiesta tramite IIS. Nessuna autenticazione specifica di IIS viene pertanto applicata all'URL indicizzato dal componente di evidenziazione dei risultati della ricerca.

Un browser può richiedere contenuto indicizzato eseguendo una richiesta a un file con estensione htw sul sito Web e specificando l'URL da indicizzare. Se per il contenuto indicizzato si desidera l'autenticazione IIS, è consigliabile impostare l'autenticazione sul file con estensione htw e anche sul contenuto effettivo. L'evidenziazione dei risultati della ricerca include uno speciale file incorporato con estensione htw denominato Null.htw. Si tratta di un file virtuale che non esiste realmente sul disco. Poiché questo file non esiste, non è possibile configurare IIS per imporre l'autenticazione al file. Per impedire a Null.htw di restituire contenuto indicizzato, è necessario configurare il mapping di script di IIS per l'estensione htw in modo che il mapping utilizzi la funzionalità per il controllo dell'esistenza del file.

Nella tabella che segue è riepilogata la disponibilità predefinita del componente di evidenziazione dei risultati della ricerca in diverse versioni di IIS.
Riduci questa tabellaEspandi questa tabella
VersioneServizio di indicizzazioneEvidenziazione dei risultati della ricerca
IIS 7.0Non installatoDisabilitata quando è installato il servizio di indicizzazione
IIS 6.0InstallatoInstallata, ma disabilitata
IIS 5.1Non installatoNon installata
IIS 5.0InstallatoInstallata e abilitata
Riconoscimento: Joao Gouveia di Telecel-Vodafone e John Omernik hanno contribuito alla redazione di questo articolo della Microsoft Knowledge Base.

Informazioni

Per ulteriori informazioni sulla protezione avanzata di IIS 5.0, visitare il seguente sito Web Microsoft TechNet (informazioni in lingua inglese):
http://www.microsoft.com/technet/archive/security/chklist/iis50srg.mspx
Per ulteriori informazioni sulla protezione di un server Web, visitare il seguente sito MSDN (informazioni in lingua inglese):
http://msdn2.microsoft.com/En-US/library/aa302432.aspx

Proprietà

Identificativo articolo: 328832 - Ultima modifica: lunedì 7 aprile 2008 - Revisione: 6.1
Le informazioni in questo articolo si applicano a:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Index Server 2.0
Chiavi: 
kbexpertiseadvanced kbtshoot kbprb KB328832
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com