索引服務的醒目提示元件可能會允許未預期的存取 IIS 網站內容

文章翻譯 文章翻譯
文章編號: 328832 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

索引服務的醒目提示元件可能沒有強制執行套用至內容的驗證配置,即從 Internet Information Services (IIS) 網站的內容傳回索引結果。

其他可行方案

如果要解決這個問題,請使用下列其中一個方法。

方法 1:解除安裝索引服務

如果不需要索引服務,便應該移除它。如果要執行這項操作,請依照下列步驟執行。

注意 當您移除索引服務時,也會移除醒目提示元件。
  1. 在 [控制台] 中,按一下 [新增或移除程式]
  2. 按一下 [新增/移除 Windows 元件],然後按一下以清除 [Indexing Service] 核取方塊。

方法 2:停用醒目提示元件

如果需要索引服務,但不需要醒目提示,應該停用醒目提示元件。如果要執行這項操作,請根據您所使用的 IIS 版本執行下列步驟。
  • IIS 7.0

    如果要在已安裝索引服務的情形下停用 IIS 7.0 中的醒目提示,請執行下列步驟:
    1. 啟動 IIS 管理員。如果要執行這項操作,請按一下 [開始],按一下 [執行],輸入 inetmgr,然後按一下 [確定]
    2. 在導覽窗格中,按兩下 [ISAPI 及 CGI 限制]
    3. [狀態] 欄中,記下 [索引服務] 項目的狀態。如果狀態是 [允許],按一下 [允許],然後按一下 [工作] 視窗中的 [拒絕]
  • IIS 6.0

    如果要在已安裝索引服務的情形下停用 IIS 6.0 中的醒目提示,請執行下列步驟:
    1. 啟動 IIS 管理員。如果要執行這項操作,請按一下 [開始],按一下 [執行],輸入 inetmgr,然後按一下 [確定]
    2. 在導覽窗格中,按一下 [Web 服務擴充]
    3. [狀態] 欄中,記下 [索引服務] 項目的狀態。如果狀態是 [允許],按一下 [索引服務] 項目,然後按一下 [禁止]
  • IIS 5.1 和 IIS 5.0

    如果要在已安裝索引服務的情形下停用 IIS 5.1 或 IIS 5.0 中的醒目提示,請執行下列步驟:
    1. 安裝並執行 IIS 鎖定工具。您可以從「Microsoft 下載中心」下載 2.1 版的 IIS 鎖定工具。

      您可以從「Microsoft 下載中心」下載下列檔案:
      摺疊此圖像展開此圖像
      下載
      立即下載 Iislockd.exe 套件。
    2. 在「選擇伺服器範本」畫面中,按一下 [其他]
    3. 按一下 [下一步],然後確認已選取 [Web 服務] 核取方塊。
    4. 按一下 [下一步],然後確認已選取 [索引伺服器 Web 介面] 核取方塊。
    5. 依照畫面上的指示完成精靈。
    或者,您可以讓 Webhits.dll 檔案無法存取 IIS,以手動停用該檔案。如果要執行這項操作,請依照下列步驟執行:
    1. 停止 W3svc 服務。如果要執行這項操作,請在命令提示字元中輸入下列命令,然後按下 ENTER:
      net stop w3svc
    2. 移至包含 Webhits.dll 的資料夾。如果要執行這項操作,請輸入下列命令,然後按下 ENTER:
      cd %WINDIR%\system32
    3. 輸入下列命令,然後按下 ENTER:
      cacls webhits.dll /D Everyone
      如果系統提示您要確認,請輸入 Y,然後按下 ENTER。
    4. 啟動 W3svc 服務。如果要執行這項操作,請在命令提示字元中輸入下列命令:
      net start w3svc

方法 3:確認索引服務和醒目提示設定

如果您同時需要索引服務和醒目提示元件,應該確定您的 .htw 檔案所需要的 IIS 驗證與您的內容所需要的類型相同。此外,也應該確定 .htw 檔案的指令碼對應已啟用 [檢查該檔案是否存在] 選項。如果要確認正確的指令碼對應設定,請根據您所使用的 IIS 版本執行下列步驟。
  • IIS 7.0
    1. 啟動 IIS 管理員。如果要執行這項操作,請按一下 [開始],按一下 [執行],輸入 inetmgr,然後按一下 [確定]
    2. 在導覽窗格中,按兩下 [處理常式對應]
    3. 在 [處理常式對應] 表中,尋找 .htw 的對應。按兩下該對應。
    4. 按一下 [要求限制]
    5. 按一下 [只在要求對應時叫用處理常式],然後確定已選取 [檔案]
    6. 按兩次 [確定]
  • IIS 6.0、IIS 5.1 和 IIS 5.0
    1. 在 IIS Microsoft Management Console (MMC) 嵌入式管理單元中,用滑鼠右鍵按一下網站,然後按一下 [內容]
    2. 按一下 [主目錄] 索引標籤,然後按一下 [設定]
    3. [應用程式設定] 對話方塊中,按一下 .htw 的對應,然後按一下 [編輯]
    4. 確定已選取 [檢查該檔案是否存在] 核取方塊,然後按一下 [確定]

      注意 在 IIS 6.0 中,這個核取方塊名為 [確認該檔案是否存在]
    5. 請確認內容的 IIS 驗證設定是否與 .htw 檔案的驗證設定相同。

狀況說明

Microsoft 已確認本篇文章<適用於>一節所列之 Microsoft 產品確實有上述問題。

其他相關資訊

醒目提示元件是使用 IIS 從網站傳回索引內容的索引服務的一部分。當醒目提示元件存取要進行索引的 URL 時,元件是直接存取 URL 的內容以執行這項操作,而不是透過 IIS 提出新的要求。因此,IIS 特定的驗證不會套用至由醒目提示元件進行索引的 URL。

Web 瀏覽器可以對網站上的 .htw 檔案提出要求以及指定要進行索引的 URL,來要求索引內容。如果索引內容需要 IIS 驗證,應在 .htw 檔案以及實際內容上設定驗證。醒目提示包括特別的內建 .htw 檔案,名為 Null.htw。這是一個虛擬檔案,並非實際存在於磁碟上。由於這個檔案不存在,因此您無法將 IIS 設定為在這個檔案上強制執行驗證。為避免 Null.htw 傳回索引內容,必須設定 .htw 的 IIS 指令碼對應,讓該對應使用「檢查該檔案是否存在」功能。

下表摘要在各種不同版本的 IIS 中,醒目提示元件的預設可用性。
摺疊此表格展開此表格
版本索引服務醒目提示
IIS 7.0未安裝安裝索引服務時停用
IIS 6.0已安裝已安裝但停用
IIS 5.1未安裝未安裝
IIS 5.0已安裝已安裝並啟用
感謝:Telecel-Vodafone 的 Joao Gouveia 和 John Omernik 提供此份「Microsoft 知識庫」文件。

其他相關資訊

如需有關堅固 IIS 5.0 的詳細資訊,請造訪下列 Microsoft TechNet 網站:
http://www.microsoft.com/technet/archive/security/chklist/iis50srg.mspx
如需有關如何協助保護 Web 伺服器安全的詳細資訊,請造訪下列 Microsoft Developer Network (MSDN) 網站:
http://msdn2.microsoft.com/zh-tw/library/aa302432(en-us).aspx

屬性

文章編號: 328832 - 上次校閱: 2008年4月7日 - 版次: 6.1
這篇文章中的資訊適用於:
  • Microsoft Internet Information Services 7.0
  • Microsoft Internet Information Services 6.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Index Server 2.0
關鍵字:?
kbexpertiseadvanced kbtshoot kbprb KB328832
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com