El componente de resaltado de referencias de servicios de Index Server podría permitir acceso inesperado al contenido de un sitio de IIS

Síntomas

El componente de resaltado de referencias de servicios de Index Server puede devolver resultados indizados del contenido en un sitio de servicios de Internet Information Server (IIS) sin exigir el esquema de autenticación que se aplica al contenido.

Solución alternativa

Para evitar este problema, utilice uno de los métodos siguientes.

Método 1: Desinstalar el servicio de Index Server

Si no necesita servicios de Index Server, debe quitarlo. Para ello, siga estos pasos:

Nota: Cuando se quita el servicio de Index Server, también elimina el componente de resaltado de referencias.
  1. En el Panel de Control, haga clic en Agregar o quitar programas.
  2. Haga clic en Agregar o quitar componentes de Windowsy, a continuación, haga clic para desactivar la casilla de verificación Servicios de Index Server .

Método 2: Deshabilitar el componente de resaltado de referencias

Si necesita servicios de Index Server pero no necesita el resaltado de referencias, debe deshabilitar el componente de resaltado de referencias. Para ello, siga estos pasos según la versión de IIS que esté utilizando.
  • IIS 7.0

    Para deshabilitar el resaltado de referencias en IIS 7.0 cuando Servicios de Index Server está instalado, siga estos pasos:
    1. Inicie el Administrador de IIS. Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba inetmgry, a continuación, haga clic en Aceptar.
    2. En el panel de exploración, haga doble clic en ISAPI y CGI restricciones.
    3. En la columna de estado , tenga en cuenta el estado del elemento de Servicio de Index Server . Si el estado es permitido, haga clic en permitidoy, a continuación, haga clic en Denegar en la ventana de tareas.
  • IIS 6.0

    Para deshabilitar el resaltado de referencias en IIS 6.0 cuando Servicios de Index Server está instalado, siga estos pasos:

    1. Inicie el Administrador de IIS. Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba inetmgry, a continuación, haga clic en Aceptar.
    2. En el panel de exploración, haga clic en Extensiones de servicio Web.
    3. En la columna de estado , tenga en cuenta el estado del elemento de Servicio de Index Server . Si el estado es permitido, haga clic en el elemento Servicio de Index Server y, a continuación, haga clic en Prohibir.
  • IIS 5.1 e IIS 5.0

    Para deshabilitar el resaltado de referencias en IIS 5.1 o en IIS 5.0 cuando Servicios de Index Server está instalado, siga estos pasos:
    1. Instale y ejecute la herramienta IIS Lockdown. Puede descargar la versión 2.1 de la herramienta Lockdown de IIS en Microsoft Download Center.

      El siguiente archivo está disponible para su descarga desde el Centro de descarga de Microsoft:
      Download Descargue ahora el paquete Iislockd.exe.
    2. En la pantalla Select Server Template, haga clic en otros.
    3. Haga clic en siguientey, a continuación, compruebe que está activada la casilla de verificación de Servicio Web .
    4. Haga clic en siguientey, a continuación, compruebe que está activada la casilla de verificación de la Interfaz Web de Index Server .
    5. Siga las instrucciones en pantalla para completar al asistente.
    O bien, puede deshabilitar manualmente el archivo Webhits.dll haciéndolo inaccesible para IIS. Para ello, siga estos pasos:

    1. Detenga el servicio W3svc. Para ello, escriba el comando siguiente en un símbolo del sistema y, a continuación, presione ENTRAR:
      net stop w3svc
    2. Mover a la carpeta que contiene Webhits.dll. Para ello, escriba el comando siguiente y, a continuación, presione ENTRAR:
      CD %WINDIR%\system32
    3. Escriba el comando siguiente y, a continuación, presione ENTRAR:
      cacls webhits.dll /D todos
      Si se le pide que confirme, escriba sy presione ENTRAR.
    4. Inicie el servicio W3svc. Para ello, escriba el comando siguiente en un símbolo del sistema:
      Net start w3svc

Método 3: Compruebe el servicio de Index Server y la configuración de resaltado

Si necesita servicios de Index Server y el componente de resaltado de referencias, debe asegurarse de que los archivos .htw requieran el mismo tipo de autenticación de IIS que requiera su contenido. Además, debe asegurarse de que la asignación de script para los archivos .htw tenga habilitada la opción de comprobar si el archivo existe . Para comprobar la configuración correcta de la asignación de secuencia de comandos, siga estos pasos según la versión de IIS que esté utilizando.

  • IIS 7.0
    1. Inicie el Administrador de IIS. Para ello, haga clic en Inicio, haga clic en Ejecutar, escriba inetmgry, a continuación, haga clic en Aceptar.
    2. En el panel de exploración, haga doble clic en Asignaciones de controlador.
    3. En la tabla de asignaciones de controlador, busque la asignación para .htw. Haga doble clic en la asignación.
    4. Haga clic en Solicitar restricciones.
    5. Haga clic en invocar controlador sólo si las solicitudes se asignan ay, a continuación, asegúrese de que está seleccionado el archivo .
    6. Haga clic en Aceptar dos veces.
  • IIS 6.0, IIS 5.1 e IIS 5.0
    1. En el complemento IIS de Microsoft Management Console (MMC), haga clic derecho en el sitio Web y, a continuación, haga clic en Propiedades.
    2. Haga clic en la ficha Directorio principal y, a continuación, haga clic en configuración.
    3. En el cuadro de diálogo Configuración de la aplicación , haga clic en la asignación para .htwy, a continuación, haga clic en Editar.
    4. Asegúrese de que la casilla de verificación está activada y, a continuación, haga clic en Aceptar.


      Nota: En IIS 6.0, esta casilla de verificación se denomina comprobar si el archivo existe.

    5. Compruebe que la configuración de autenticación de IIS para el contenido es igual a la configuración de autenticación para los archivos .htw.

Estado

Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".

Más información

El componente de resaltado de referencias es una parte de los servicios de Index Server que funciona con IIS para devolver contenido indizado de un sitio Web. Cuando el componente de resaltado de referencias tiene acceso a la dirección URL que se va a indizar, el componente para ello accediendo directamente el contenido de la dirección URL y no realizando una nueva solicitud a través de IIS. Por este motivo, cualquier autenticación específica de IIS no se aplica a la dirección URL que está indizada por el componente de resaltado de referencias.

Un explorador Web puede solicitar contenido indizado realizando una solicitud a un archivo .htw del sitio Web y especificando la dirección URL que se va a indizar. Si se requiere autenticación de IIS para el contenido indizado, debe establecerse la autenticación en el archivo .htw y también en el contenido real. Resaltado de referencias incluye un archivo .htw especial integrado denominado Null.htw. Esto es un archivo virtual y no existe realmente en el disco. Dado que este archivo no existe, no puede configurar IIS para exigir la autenticación en este archivo. Para impedir que Null.htw devuelva contenido indizado, debe configurar el IIS asignación de scripts para .htw para que la asignación utilice la característica "Comprobar que el archivo existe".

La tabla siguiente resume la disponibilidad predeterminada del componente de resaltado de referencias en diversas versiones de IIS.
VersiónServicio de Index ServerResaltado de referencias
IIS 7.0No se ha instaladoDeshabilitado cuando Servicios de Index Server está instalado
IIS 6.0InstaladoInstalado pero deshabilitado
IIS 5.1No se ha instaladoNo se ha instalado
IIS 5.0InstaladoInstalado y habilitado
Confirmación: João Gouveia de Telecel-Vodafone y John Omernik contribuyeron a este artículo de Microsoft Knowledge Base.

Más información

Para obtener más información acerca del reforzamiento de IIS 5.0, visite el siguiente sitio Web de Microsoft TechNet:Para obtener más información acerca de cómo ayudar a proteger un servidor Web, visite el siguiente sitio Web de Microsoft Developer Network (MSDN):
Propiedades

Id. de artículo: 328832 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios