[IIS]PRB:RDS 1.5, IIS 3.0, 4.0,および ODBC のセキュリティについて

この記事は、以前は次の ID で公開されていました: JP184375
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずシステムの復元方法を理解しておいてください。復元方法の詳細については、Regedit.exe のヘルプの「レジストリを復元する」、または Regedt32.exe のヘルプの「レジストリ キーを復元する」を参照してください。
現象
RDS DataFactory (RDS の単一のコンポーネント) を使用すると、デフォルトでリモートからのデータ アクセスが可能になります。これを利用して、権限のないインターネット クライアントが、サーバーが利用可能な OLE DB データソースにアクセスできるようにすることが可能です。

IIS 4.0 に RDS がインストールされている場合、悪意のあるユーザーによって、Microsoft(R) SQL Server や Microsoft(R) Access などの ODBC データにアクセスされる可能性があります。
解決方法

方法 1: RDS 機能を削除する

警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

レジストリの編集方法の詳細については、レジストリ エディタ (Regedit.exe) のヘルプ トピック「キーと値の変更」、または Regedt32.exe のヘルプ トピック「レジストリ情報の追加と削除」と「レジストリ情報の編集」を参照してください。編集する前にレジストリのバックアップを行うようにしてください。

すべての RDS 機能を許可しない場合は、IIS をホストするサーバーから次のレジストリ エントリを削除する必要があります。


  1. レジストリ エディタ (Regedt32.exe) を起動します。
  2. 次のレジストリ キーとすべてのサブキーを削除します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services W3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

注 : 上記のキーはそれぞれ 1 つのパスですが、読みやすくするために改行しています。

ActiveX データ オブジェクト (ADO) のみに依存してデータベースへ接続する ASP (Active Server Pages) は実行し続けます。

この変更を行うと、IIS 4.0 サンプル サイト Exploration Air の Benefits 部分が正常に機能しないことがあります。IIS 4.0 では、ほかに RDS を必要とする標準機能はありません。


方法 2: 正しいセキュリティ ポリシーを適用する

ASP ページにデータを公開しようとするすべての Web 開発者が理解すべき推奨事項は次のとおりです。

  • 必須ではない ODBC ドライバ、特に Microsoft テキスト ドライバをすべて削除します。
  • NTFS アクセス許可 (ACL) を強化し、信頼できるユーザーのみにアクセスを制限します。
  • SQL Server を使用する場合、次のような強いセキュリティ基準を適用します。
  • 低いアクセス権限のユーザー アカウントとして SQL Server を実行します。
  • 拡張ストアド プロシージャを許可しないようにします。
詳細

RDS Datafactory について


リモート データ サービス (RDS) は、Windows NT 4.0 Option Pack と IIS 4.0 によってデフォルトでインストールされるデータ アクセス コンポーネントです。RDS によって、Web クライアントは、Web サーバーでホストされている OLE DB データ ソースに対して、クライアントベースの SQL クエリーを発行することができます。

DataFactory オブジェクトにより、指定したユーザー ID とパスワードを使用して指定したデータ ソース (SQL Server など) へ接続し、そのサーバーに対してクエリーを実行することにより結果をクライアントに戻させることができます。

データ ソース、ユーザー ID、パスワード、SQLステートメントは、DataFactory オブジェクトに公開されたメソッドへパラメータとして渡されます。しかし上記のレジストリ キーを削除すると、ユーザーはオブジェクトを作成できなくなるため、悪用される可能性はなくなります。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 184375 (最終更新日 2001-07-06) をもとに作成したものです。

visual studio 98 vulnerability kbDatabase kbRDS kbMDAC
プロパティ

文書番号:184375 - 最終更新日: 01/10/2015 11:22:09 - リビジョン: 4.0

  • Microsoft Internet Information Server 4.0
  • Microsoft Remote Data Services 1.1
  • Remote Data Service for ADO 2.0
  • Microsoft Data Access Components 2.5
  • kbnosurvey kbarchive kbprb kbgrpdsmdac kbatm kbgrpdsaspdb KB184375
フィードバック