Sicherheitsaspekte bei RDS 1.5, IIS 3.0 oder 4.0 und ODBC

Dieser Artikel wurde zuvor veröffentlicht unter D39899
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
184375 Security Implications of RDS 1.5, IIS 3.0 or 4.0, and ODBC
Zusammenfassung
WICHTIG: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich, daß Sie die Registrierung wiederherstellen können, wenn ein Problem auftritt. Informationen hierzu erhalten Sie, indem Sie in der Datei "Regedit.exe" unter dem Hilfethema "Wiederherstellen der Registrierung" oder in der Datei "Regedt32.exe" unter dem Hilfethema "Wiederherstellen eines Registrierungsschlüssels" nachsehen.
Problembeschreibung
Da die RDS Datafactory (eine einzelne Komponente von RDS) standardmäßig eine implizite Fernausführung von Datenzugriffsanfragen ermöglicht, kann sie dazu mißbraucht werden, unbefugten Internet-Clients den Zugriff auf für den Server verfügbare OLE DB-Datenquellen zu ermöglichen.
Ein böswilliger Benutzer kann so Zugriff auf ODBC-Daten erhalten (z.B. auf Daten in Microsoft SQL Server oder Microsoft Access), wenn er bei installierten Microsoft Remote Data Services eine Verbindung zu Internet Information Server (IIS) 4.0 herstellt.

UMGEHUNGSMÖGLICHKEIT:
Verfahren 1: Entfernen der RDS-Funktionalität:

WARNUNG: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die eine Neuinstallierung von Windows erforderlich machen. Microsoft kann nicht dafür garantieren, daß Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.

Informationen zum Bearbeiten der Registrierung finden Sie unter dem Online-Hilfethema "Ändern von Schlüsseln und Werten" im Registrierungseditor (Regedit.exe). Beachten Sie bitte, daß Sie eine Sicherungskopie der Registrierungsdateien (System.dat und User.dat) erstellen sollten, bevor Sie die Registrierung bearbeiten.

Um die RDS-Funktionalität zu deaktivieren, müssen Sie von dem Server, der als Host für IIS fungiert, die nachstehend aufgeführten Registrierungseinträge entfernen.
  1. Führen Sie den Registrierungseditor (Regedt32.exe) aus.
  2. Entfernen Sie die folgenden Registrierungsschlüssel und deren etwaige Teilschlüssel:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services   \W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services   \W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services   W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls
HINWEIS: Bei allen vorstehenden Registrierungsschlüsseln handelt es sich jeweils um einen einzigen Pfad. Die Zeilenumbrüche erfolgten im Interesse einer besseren Lesbarkeit.

Active Server Pages (ASPs), die in bezug auf die Datenbankkonnektivität nur von ADO (ActiveX Data Objects) abhängig sind, werden weiterhin ausgeführt.
Wird diese Änderung vorgenommen, funktioniert der Teil "Benefits" der IIS 4.0-Beispiel-Website (Exploration Air) möglicherweise nicht mehr korrekt. Es gibt jedoch keine weiteren Standardfunktionen von IIS 4.0, für die RDS benötigt wird.

Verfahren 2: Durchsetzen einer angemessenen Sicherheitspolitik:
Die folgenden Empfehlungen sollten von allen Web-Entwicklern befolgt werden, die Daten in ASP-Seiten veröffentlichen:
  • Entfernen Sie alle nicht unbedingt benötigten ODBC-Treiber, insbesondere den Microsoft Text-Treiber.
  • Gehen Sie bei der Vergabe von NTFS-Berechtigungen (ACLs) restriktiv vor und beschränken Sie den Zugang auf die Personen, denen Sie vertrauen.
  • Wenn Sie mit SQL Server arbeiten, führen Sie strenge Sicherheitsmaßnahmen ein; zum Beispiel:
  • Führen Sie SQL Server als Benutzerkonto mit niedriger Privilegebene aus.
  • Lassen Sie erweiterte gespeicherte Prozeduren nicht zu.
Weitere Informationen
Beschreibung der RDS Datafactory:
Remote Data Services (RDS) ist ein Bestandteil der Data Access Components (Datenzugriffskomponenten), die standardmäßig mit dem Windows NT 4.0 Option Pack und mit IIS 4.0 installiert werden. Mit RDS können Web-Clients Client-basierte SQL-Abfragen an OLE DB-Datenquellen ausgeben, die sich auf dem Webserver befinden.

Das Objekt "DataFactory" bietet Ihnen die Möglichkeit, eine Verbindung zu einer bestimmten Datenquelle herzustellen (zum Beispiel zu SQL Server), indem Sie die geforderte UserID und das festgelegte Kennwort eingeben, eine Abfrage an diesen Server richten und dann die Ergebnisse an den Client zurückmelden lassen.

Datenquelle, UserID, Kennwort und SQL-Anweisung werden als Parameter an die Methode des Objekts "DataFactory" übergeben. Wurden die vorstehend aufgeführten Registrierungsschlüssel jedoch entfernt, kann der Benutzer dieses Objekt nicht erstellen, was einen Mißbrauch unmöglich macht.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, daß nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

kbATM
Eigenschaften

Artikelnummer: 184375 – Letzte Überarbeitung: 01/10/2015 11:22:07 – Revision: 3.0

  • Microsoft Internet Information Server 4.0
  • Microsoft Remote Data Services 1.1
  • Remote Data Service for ADO 1.1, 2.0
  • Microsoft Data Access Components 2.5
  • kbnosurvey kbarchive kbatm KB184375
Feedback