索引服务的搜索词突出显示组件可能允许对 IIS 网站内容进行意外访问

文章翻译 文章翻译
文章编号: 328832 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

索引服务的搜索词突出显示组件可能会从 Internet Information Services (IIS) 网站内容返回索引结果,但不强制实施应用于该内容的身份验证方案。

替代方法

要解决此问题,请使用下列方法之一。

方法 1:卸载索引服务

如果不需要索引服务,则应删除它。为此,请按照下列步骤操作。

注意:删除索引服务的同时还会删除搜索词突出显示组件。
  1. 在“控制面板”上单击“添加或删除程序”。
  2. 单击“添加/删除 Windows 组件”,然后单击以清除“索引服务”复选框。

方法 2:禁用搜索词突出显示组件

如果需要索引服务但不需要搜索词突出显示组件,则应禁用该搜索词突出显示组件。为此,请根据您所使用的 IIS 的版本执行下列步骤。
  • IIS 7.0

    要在安装索引服务时禁用 IIS 7.0 中的搜索词突出显示组件,请按照下列步骤操作:
    1. 启动 IIS 管理器。为此,请依次单击“开始”、“运行”,键入 inetmgr,然后单击“确定”。
    2. 在导航窗格中,双击“ISAPI 和 CGI 限制”。
    3. 请注意“状态”列中“索引服务”项的状态。如果其状态为“允许”,请单击“允许”,然后在“任务”窗口中单击“拒绝”。
  • IIS 6.0

    要在安装了索引服务的情况下禁用 IIS 6.0 中的搜索词突出显示组件,请按照下列步骤操作:
    1. 启动 IIS 管理器。为此,请依次单击“开始”、“运行”,键入 inetmgr,然后单击“确定”。
    2. 在导航窗格中,单击“Web 服务扩展”。
    3. 请注意“状态”列中“索引服务”项的状态。如果其状态为“允许”,请单击“索引服务”项,然后单击“禁止”。
  • IIS 5.1 和 IIS 5.0

    要在安装了索引服务的情况下禁用 IIS 5.1 或 IIS 5.0 中的搜索词突出显示组件,请按照下列步骤操作:
    1. 安装并运行 IIS 锁定工具。可以从 Microsoft 下载中心下载 IIS 锁定工具 2.1 版。

      可以从 Microsoft 下载中心下载以下文件:
      收起这个图片展开这个图片
      下载
      立即下载 Iislockd.exe 程序包。
    2. 在“选择服务器模板”屏幕中,单击“其他”。
    3. 单击“下一步”,确保已选中“Web 服务”复选框。
    4. 单击“下一步”,确保已选中“索引服务器 Web 接口”复选框。
    5. 按照屏幕上的说明完成该向导。
    或者,也可以通过使 Webhits.dll 文件无法访问 IIS 来手动禁用该文件。为此,请按照下列步骤操作:
    1. 停止 W3svc 服务。为此,请在命令提示符处键入以下命令,然后按 Enter:
      net stop w3svc
    2. 移动到包含 Webhits.dll 的文件夹。为此,请键入下面的命令,然后按 Enter:
      cd %WINDIR%\system32
    3. 键入下面的命令,然后按 Enter:
      cacls webhits.dll /D Everyone
      如果系统提示您确认操作,请键入 Y,然后按 Enter。
    4. 启动 W3svc 服务。为此,请在命令提示符处键入以下命令:
      net start w3svc

方法 3:验证索引服务和搜索词突出显示配置

如果您需要索引服务和搜索词突出显示组件,则应确保 .htw 文件与您的内容需要相同类型的 IIS 身份验证。此外,还应确保 .htw 文件的脚本映射启用了“检查文件是否存在”选项。要验证脚本映射设置是否正确,请根据您所使用的 IIS 版本执行下列步骤。
  • IIS 7.0
    1. 启动 IIS 管理器。为此,请依次单击“开始”、“运行”,键入 inetmgr,然后单击“确定”。
    2. 在导航窗格中,双击“处理程序映射”。
    3. 在“处理程序映射”表中,找到“.htw”的映射。双击该映射。
    4. 单击“请求限制”。
    5. 单击“仅当请求映射至以下内容时才调用处理程序”,并确保选中“文件”。
    6. 单击“确定”两次。
  • IIS 6.0、IIS 5.1 和 IIS 5.0
    1. 在 IIS Microsoft 管理控制台 (MMC) 管理单元中,右键单击相应的网站,然后单击“属性”。
    2. 单击“主目录”选项卡,然后单击“配置”。
    3. 在“应用程序配置”对话框中,单击“.htw”的映射,然后单击“编辑”。
    4. 确保选中“检查文件是否存在”复选框,然后单击“确定”。

      注意:在 IIS 6.0 中,此复选框名为“确认文件是否存在”。
    5. 确保您的内容的 IIS 身份验证设置与 .htw 文件的身份验证设置相同。

状态

Microsoft 已经确认这是在“这篇文章中的信息适用于:”部分中列出的 Microsoft 产品中存在的问题。

更多信息

搜索词突出显示组件是用于 IIS 的索引服务的一部分,可返回网站的索引内容。当搜索词突出显示组件访问要编制索引的 URL 时,该组件会通过直接访问该 URL 的内容而不是通过 IIS 发出新的请求来实现此目的。因此,特定于 IIS 的任何身份验证均不应用于由搜索词突出显示组件编制索引的 URL。

通过向网站上的 .htw 文件发出请求以及指定要编制索引的 URL,Web 浏览器可以请求索引内容。如果需要对索引内容进行 IIS 身份验证,则应对该 .htw 文件和实际内容设置身份验证。搜索词突出显示组件包括一个名为 Null.htw 的特殊内置 .htw 文件,它是一个虚拟文件,磁盘上实际并不存在该文件。由于该文件并不存在,因此无法配置 IIS 以对该文件强制进行身份验证。要防止 Null.htw 返回索引内容,则必须为 .htw 配置 IIS 脚本映射以便该映射可以使用“检查文件是否存在”功能。

下表简要介绍了各种版本的 IIS 中搜索词突出显示组件的默认可用性。
收起该表格展开该表格
版本索引服务搜索词突出显示组件
IIS 7.0未安装安装索引服务时已禁用
IIS 6.0已安装已安装但被禁用
IIS 5.1未安装未安装
IIS 5.0已安装已安装且已启用
感谢:感谢 Telecel-Vodafone 的 Joao Gouveia 和 John Omernik 为此 Microsoft 知识库文章供稿。

更多信息

有关提高 IIS 5.0 安全性的更多信息,请访问下面的 Microsoft TechNet 网站:
http://www.microsoft.com/technet/archive/security/chklist/iis50srg.mspx
有关如何帮助保护 Web 服务器安全的更多信息,请访问下面的 Microsoft Developer Network (MSDN) 网站:
http://msdn2.microsoft.com/zh-cn/library/aa302432.aspx

属性

文章编号: 328832 - 最后修改: 2008年4月7日 - 修订: 6.1
这篇文章中的信息适用于:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Index Server 2.0
关键字:?
kbexpertiseadvanced kbtshoot kbprb KB328832
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com