O componente de detecção de ocorrências do Serviço de Indexação pode permitir acesso inesperado ao conteúdo de um site do IIS

O componente de detecção de ocorrências do Serviço de Indexação pode devolver resultados indexados a partir de conteúdo num site dos Serviços de Informação Internet (IIS) sem impor o esquema de autenticação aplicado ao conteúdo.

Para contornar este problema, utilize um dos seguintes métodos.

Método 1: Desinstalar o Serviço de Indexação

Se não necessitar do Serviço de Indexação, deverá removê-lo. Para tal, siga estes passos.

Nota: ao remover o Serviço de Indexação, também removerá o componente de detecção de ocorrências.

1. No Painel de Controlo, clique em Adicionar ou remover programas.
2. Clique em Adicionar/remover componentes do Windows e clique para desmarcar a caixa de verificação Serviço de indexação.

Método 2: Desactivar o componente de detecção de ocorrências

Se necessitar do Serviço de Indexação, mas não necessitar da detecção de ocorrências, deverá desactivar o componente de detecção de ocorrências. Para o fazer, siga estes passos, consoante a versão do IIS que está a utilizar.

• IIS 7.0
  
  Para desactivar a detecção de ocorrências no IIS 7.0 quando o Serviço de Indexação está instalado, siga estes passos:
  1. Inicie o Gestor de IIS. Para tal, clique em Iniciar, clique em Executar, escreva inetmgr e clique em OK.
  2. No painel de navegação, faça duplo clique em Restrições ISAPI e CGI.
  3. Na coluna Estado, repare no estado do item Serviço de Indexação. Se o estado for Permitido, clique em Permitido e, em seguida, clique em Negar na janela Tarefas.
• IIS 6.0
  
  Para desactivar a detecção de ocorrências no IIS 6.0 quando o Serviço de Indexação está instalado, siga estes passos:
  1. Inicie o Gestor de IIS. Para tal, clique em Iniciar, clique em Executar, escreva inetmgr e clique em OK.
  2. No painel de navegação, clique em Extensões de serviço Web.
  3. Na coluna Estado, repare no estado do item Serviço de indexação. Se o estado for Permitido, clique no item Serviço de indexação e, em seguida, clique em Proibir.
• IIS 5.1 e IIS 5.0
  
  Para desactivar a detecção de ocorrências no IIS 5.1 ou no IIS 5.0 quando o Serviço de Indexação está instalado, siga estes passos:
  1. Instale e execute a Ferramenta IIS Lockdown. Pode transferir a versão 2.1 da Ferramenta IIS Lockdown a partir do Centro de Transferências da Microsoft.
     
     O ficheiro que se segue está disponível para transferência a partir do Centro de Transferências da Microsoft:
     
     Reduzir esta imagemExpandir esta imagem

     
     Download the Iislockd.exe package now.
     (http://www.microsoft.com/downloads/details.aspx?FamilyID=dde9efc0-bb30-47eb-9a61-fd755d23cdec&displaylang=en)
  2. No ecrã Select Server Template, clique em Other.
  3. Clique em Next e verifique se a caixa de verificação Web Service está seleccionada.
  4. Clique em Next e verifique se a caixa de verificação Index Server Web Interface está seleccionada.
  5. Siga as instruções apresentadas no ecrã para concluir o assistente.
  Ou, pode desactivar manualmente o ficheiro Webhits.dll de forma a que o IIS não tenha acesso ao mesmo. Para o fazer, siga estes passos:
  1. Pare o serviço W3svc. Para o fazer, introduza o comando seguinte numa linha de comandos e prima ENTER:
     net stop w3svc
  2. Mova a pasta que contém o Webhits.dll. Para o fazer, escreva o seguinte comando e prima ENTER:
     cd %WINDIR%\system32
  3. Escreva o seguinte comando e prima ENTER:
     cacls webhits.dll /D Everyone
     Se for solicitada a confirmação, escreva Y e prima ENTER.
  4. Inicie o serviço W3svc. Para o fazer, escreva o seguinte comando numa linha de comandos:
     net start w3svc

Método 3: Verificar o Serviço de Indexação e a configuração de detecção de ocorrências

Caso necessite do Serviço de Indexação e do componente de detecção de ocorrências, deverá certificar-se de que os ficheiros .htw e o conteúdo requerem o mesmo tipo de autenticação do IIS. Além disso, deverá certificar-se de que o mapeamento de scripts de ficheiros .htw tem a opção Verificar se o ficheiro existe activada. Para verificar se tem as definições de mapeamento de scripts correctas, siga estes passos, dependendo da versão do IIS que está a utilizar.

• IIS 7.0
  1. Inicie o Gestor de IIS. Para tal, clique em Iniciar, clique em Executar, escreva inetmgr e clique em OK.
  2. No painel de navegação, faça duplo clique em Mapeamentos do Processador.
  3. Na tabela Mapeamentos do Processador, localize o mapeamento para .htw. Faça duplo clique no mapeamento.
  4. Clique em Restrições do Pedido.
  5. Clique em Invocar o processador apenas se o pedido estiver mapeado para e certifique-se de que Ficheiro está seleccionado.
  6. Clique em OK duas vezes.
• IIS 6.0, IIS 5.1 e IIS 5.0
  1. No snap-in da Consola de Gestão da Microsoft (MMC) do IIS, clique com o botão direito do rato no Web site e clique em Propriedades.
  2. Clique no separador Directório inicial e clique em Configuração.
  3. Na caixa de diálogo Configuração da aplicação, clique no mapeamento de .htw e clique em Editar.
  4. Certifique-se de que a caixa de verificação Verificar se o ficheiro existe está seleccionada e clique em OK.
     
     Nota: no IIS 6.0, esta caixa de verificação tem o nome Verificar se o ficheiro existe.
  5. Verifique se as definições de autenticação do IIS para o conteúdo e para os ficheiros .htw são as mesmas.

A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".

O componente de detecção de ocorrências faz parte do Serviço de Indexação que funciona com o IIS para devolver conteúdo indexado a partir de um Web site. Quando o componente de detecção de ocorrências tem acesso ao URL a ser indexado, o componente acede directamente ao conteúdo do URL, não efectuando um novo pedido através do IIS. Por este motivo, qualquer autenticação específica do IIS não se aplica ao URL que é indexado pelo componente de detecção de ocorrências.

Um browser pode solicitar conteúdo indexado através de um pedido a um ficheiro .htw no Web site e especificando o URL a ser indexado. Se a autenticação do IIS se aplicar ao conteúdo indexado, a autenticação deverá ser definida no ficheiro .htw e também no conteúdo real. A detecção de ocorrências inclui um ficheiro .htw incorporado especial com o nome Null.htw. Este é um ficheiro virtual e não existe no disco. Por este facto, não é possível configurar o IIS para impor a autenticação neste ficheiro. Para impedir que o Null.htw devolva conteúdo indexado, tem de configurar o mapeamento de scripts do IIS para .htw de modo a que o mapeamento utilize a funcionalidade "Verificar se o ficheiro existe".

A tabela seguinte resume a disponibilidade predefinida do componente de detecção de ocorrências em várias versões do IIS. Agradecimento: João Gouveia da Telecel-Vodafone e John Omernik contribuíram para este artigo da Base de Dados de Conhecimento da Microsoft.

Para mais informações sobre segurança do IIS 5.0, visite o seguinte Web site da Microsoft TechNet: Para mais informações sobre como ajudar a proteger um servidor Web, visite o seguinte Web site da MSDN (Microsoft Developer Network):