O componente de detecção de ocorrências do Serviço de Indexação pode permitir acesso inesperado ao conteúdo de um site do IIS

Traduções de Artigos Traduções de Artigos
Artigo: 328832 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

O componente de detecção de ocorrências do Serviço de Indexação pode devolver resultados indexados a partir de conteúdo num site dos Serviços de Informação Internet (IIS) sem impor o esquema de autenticação aplicado ao conteúdo.

Como contornar

Para contornar este problema, utilize um dos seguintes métodos.

Método 1: Desinstalar o Serviço de Indexação

Se não necessitar do Serviço de Indexação, deverá removê-lo. Para tal, siga estes passos.

Nota: ao remover o Serviço de Indexação, também removerá o componente de detecção de ocorrências.
  1. No Painel de Controlo, clique em Adicionar ou remover programas.
  2. Clique em Adicionar/remover componentes do Windows e clique para desmarcar a caixa de verificação Serviço de indexação.

Método 2: Desactivar o componente de detecção de ocorrências

Se necessitar do Serviço de Indexação, mas não necessitar da detecção de ocorrências, deverá desactivar o componente de detecção de ocorrências. Para o fazer, siga estes passos, consoante a versão do IIS que está a utilizar.
  • IIS 7.0

    Para desactivar a detecção de ocorrências no IIS 7.0 quando o Serviço de Indexação está instalado, siga estes passos:
    1. Inicie o Gestor de IIS. Para tal, clique em Iniciar, clique em Executar, escreva inetmgr e clique em OK.
    2. No painel de navegação, faça duplo clique em Restrições ISAPI e CGI.
    3. Na coluna Estado, repare no estado do item Serviço de Indexação. Se o estado for Permitido, clique em Permitido e, em seguida, clique em Negar na janela Tarefas.
  • IIS 6.0

    Para desactivar a detecção de ocorrências no IIS 6.0 quando o Serviço de Indexação está instalado, siga estes passos:
    1. Inicie o Gestor de IIS. Para tal, clique em Iniciar, clique em Executar, escreva inetmgr e clique em OK.
    2. No painel de navegação, clique em Extensões de serviço Web.
    3. Na coluna Estado, repare no estado do item Serviço de indexação. Se o estado for Permitido, clique no item Serviço de indexação e, em seguida, clique em Proibir.
  • IIS 5.1 e IIS 5.0

    Para desactivar a detecção de ocorrências no IIS 5.1 ou no IIS 5.0 quando o Serviço de Indexação está instalado, siga estes passos:
    1. Instale e execute a Ferramenta IIS Lockdown. Pode transferir a versão 2.1 da Ferramenta IIS Lockdown a partir do Centro de Transferências da Microsoft.

      O ficheiro que se segue está disponível para transferência a partir do Centro de Transferências da Microsoft:
      Reduzir esta imagemExpandir esta imagem
      Download
      Download the Iislockd.exe package now.
    2. No ecrã Select Server Template, clique em Other.
    3. Clique em Next e verifique se a caixa de verificação Web Service está seleccionada.
    4. Clique em Next e verifique se a caixa de verificação Index Server Web Interface está seleccionada.
    5. Siga as instruções apresentadas no ecrã para concluir o assistente.
    Ou, pode desactivar manualmente o ficheiro Webhits.dll de forma a que o IIS não tenha acesso ao mesmo. Para o fazer, siga estes passos:
    1. Pare o serviço W3svc. Para o fazer, introduza o comando seguinte numa linha de comandos e prima ENTER:
      net stop w3svc
    2. Mova a pasta que contém o Webhits.dll. Para o fazer, escreva o seguinte comando e prima ENTER:
      cd %WINDIR%\system32
    3. Escreva o seguinte comando e prima ENTER:
      cacls webhits.dll /D Everyone
      Se for solicitada a confirmação, escreva Y e prima ENTER.
    4. Inicie o serviço W3svc. Para o fazer, escreva o seguinte comando numa linha de comandos:
      net start w3svc

Método 3: Verificar o Serviço de Indexação e a configuração de detecção de ocorrências

Caso necessite do Serviço de Indexação e do componente de detecção de ocorrências, deverá certificar-se de que os ficheiros .htw e o conteúdo requerem o mesmo tipo de autenticação do IIS. Além disso, deverá certificar-se de que o mapeamento de scripts de ficheiros .htw tem a opção Verificar se o ficheiro existe activada. Para verificar se tem as definições de mapeamento de scripts correctas, siga estes passos, dependendo da versão do IIS que está a utilizar.
  • IIS 7.0
    1. Inicie o Gestor de IIS. Para tal, clique em Iniciar, clique em Executar, escreva inetmgr e clique em OK.
    2. No painel de navegação, faça duplo clique em Mapeamentos do Processador.
    3. Na tabela Mapeamentos do Processador, localize o mapeamento para .htw. Faça duplo clique no mapeamento.
    4. Clique em Restrições do Pedido.
    5. Clique em Invocar o processador apenas se o pedido estiver mapeado para e certifique-se de que Ficheiro está seleccionado.
    6. Clique em OK duas vezes.
  • IIS 6.0, IIS 5.1 e IIS 5.0
    1. No snap-in da Consola de Gestão da Microsoft (MMC) do IIS, clique com o botão direito do rato no Web site e clique em Propriedades.
    2. Clique no separador Directório inicial e clique em Configuração.
    3. Na caixa de diálogo Configuração da aplicação, clique no mapeamento de .htw e clique em Editar.
    4. Certifique-se de que a caixa de verificação Verificar se o ficheiro existe está seleccionada e clique em OK.

      Nota: no IIS 6.0, esta caixa de verificação tem o nome Verificar se o ficheiro existe.
    5. Verifique se as definições de autenticação do IIS para o conteúdo e para os ficheiros .htw são as mesmas.

Ponto Da Situação

A Microsoft confirmou que este problema ocorre nos produtos da Microsoft listados na secção "Aplica-se a".

Mais Informação

O componente de detecção de ocorrências faz parte do Serviço de Indexação que funciona com o IIS para devolver conteúdo indexado a partir de um Web site. Quando o componente de detecção de ocorrências tem acesso ao URL a ser indexado, o componente acede directamente ao conteúdo do URL, não efectuando um novo pedido através do IIS. Por este motivo, qualquer autenticação específica do IIS não se aplica ao URL que é indexado pelo componente de detecção de ocorrências.

Um browser pode solicitar conteúdo indexado através de um pedido a um ficheiro .htw no Web site e especificando o URL a ser indexado. Se a autenticação do IIS se aplicar ao conteúdo indexado, a autenticação deverá ser definida no ficheiro .htw e também no conteúdo real. A detecção de ocorrências inclui um ficheiro .htw incorporado especial com o nome Null.htw. Este é um ficheiro virtual e não existe no disco. Por este facto, não é possível configurar o IIS para impor a autenticação neste ficheiro. Para impedir que o Null.htw devolva conteúdo indexado, tem de configurar o mapeamento de scripts do IIS para .htw de modo a que o mapeamento utilize a funcionalidade "Verificar se o ficheiro existe".

A tabela seguinte resume a disponibilidade predefinida do componente de detecção de ocorrências em várias versões do IIS.
Reduzir esta tabelaExpandir esta tabela
VersãoServiço de IndexaçãoDetecção de Ocorrências
IIS 7.0Não instaladoDesactivada quando o Serviço de Indexação está instalado
IIS 6.0InstaladoInstalada mas desactivada
IIS 5.1Não instaladoNão instalada
IIS 5.0InstaladoInstalada e activada
Agradecimento: João Gouveia da Telecel-Vodafone e John Omernik contribuíram para este artigo da Base de Dados de Conhecimento da Microsoft.

Mais Informação

Para mais informações sobre segurança do IIS 5.0, visite o seguinte Web site da Microsoft TechNet:
http://www.microsoft.com/technet/archive/security/chklist/iis50srg.mspx
Para mais informações sobre como ajudar a proteger um servidor Web, visite o seguinte Web site da MSDN (Microsoft Developer Network):
http://msdn2.microsoft.com/En-US/library/aa302432.aspx

Propriedades

Artigo: 328832 - Última revisão: 8 de abril de 2008 - Revisão: 6.2
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 6.0
  • Serviços de informação Internet 5.0 da Microsoft
  • Microsoft Index Server 2.0
Palavras-chave: 
kbexpertiseadvanced kbtshoot kbprb KB328832

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com