Komponenten for utheving av treff i indekseringstjenesten kan tillate uventet tilgang til innholdet på et IIS-område

Symptom
Komponenten for utheving av treff i indekseringstjenesten kan returnere indekserte resultater fra innhold på et IIS-område (Internet Information Services) uten å fremtvinge godkjenningsskjemaet som brukes på innholdet.
Workaround
Bruk en av følgende metoder for å omgå dette problemet:

Metode 1: Avinstaller indekseringstjenesten

Hvis du ikke trenger indekseringstjenesten, bør du fjerne den. Fremgangsmåte:

Obs!  Når du fjerner indekseringstjenesten, fjerner du også komponenten for utheving av treff.
 1. I Kontrollpanel klikker du Legg til eller fjern programmer.
 2. Klikk Legg til / fjern Windows-komponenter, og klikk deretter for å fjerne merket for Indekseringstjeneste.

Metode 2: Deaktiver komponenten for utheving av treff

Hvis du trenger indekseringstjenesten, men ikke trenger utheving av treff, bør du deaktivere komponenten for utheving av treff. Du gjør dette ved å følge fremgangsmåten for IIS-versjonen du bruker.
 • IIS 7.0

  Følg denne fremgangsmåten for å deaktivere utheving av treff i IIS 7.0 når indekseringstjenesten er installert:
  1. Start IIS-behandling. Klikk Start, klikk Kjør, skriv inn inetmgr, og klikk deretter OK.
  2. I navigasjonsruten dobbeltklikker du ISAPI- og CGI-begrensninger.
  3. I kolonnen Status noterer du statusen for elementet Indekseringstjeneste. Hvis statusen er Tillatt, klikker du Tillatt, og deretter klikker du Avslå i oppgavevinduet.
 • IIS 6.0

  Følg denne fremgangsmåten for å deaktivere utheving av treff i IIS 6.0 når indekseringstjenesten er installert:
  1. Start IIS-behandling. Klikk Start, klikk Kjør, skriv inn inetmgr, og klikk deretter OK.
  2. Klikk Webtjenesteutvidelser i navigasjonsruten.
  3. I kolonnen Status noterer du statusen for elementet Indekseringstjeneste. Hvis statusen er Tillatt, klikker du elementet Indekseringstjeneste, og deretter klikker du Forby.
 • IIS 5.1 og IIS 5.0

  Følg denne fremgangsmåten for å deaktivere utheving av treff i IIS 5.1 eller IIS 5.0 når indekseringstjenesten er installert:
  1. Installer og kjør IIS-låseverktøyet. Du kan laste ned versjon 2.1 av IIS-låseverktøyet fra Microsoft Download Center.

   Følgende fil kan lastes ned fra Microsoft Download Center:
   Last nedLast ned pakken Iislockd.exe nå.
  2. På skjermbildet for valg av servermal klikker du Annet.
  3. Klikk Neste, og kontroller at det er merket av for Webtjeneste.
  4. Klikk Neste, og kontroller at det er merket av for Index Server Web Interface (webgrensesnitt for indeksserver).
  5. Følg instruksjonene på skjermen for å fullføre veiviseren.
  Du kan også deaktivere Webhits.dll-filen manuelt ved å gjøre den utilgjengelig for IIS. Fremgangsmåte:
  1. Stopp W3svc-tjenesten. Hvis du vil gjøre dette, skriver du inn følgende kommando ved ledeteksten og trykker ENTER:
   net stop w3svc
  2. Gå til mappen som inneholder Webhits.dll. Det gjør du ved å skrive inn følgende kommando og trykke ENTER:
   cd %WINDIR%\system32
  3. Skriv inn følgende kommando, og trykk deretter ENTER:
   cacls webhits.dll /D Everyone
   Hvis du blir bedt om å bekrefte, skriver du inn Y, og deretter trykker du ENTER.
  4. Start W3svc-tjenesten. Dette gjør du ved å skrive inn følgende kommando ved ledeteksten:
   net start w3svc

Metode 3: Kontroller indekseringstjenesten og konfigurasjonen for utheving av treff

Hvis du trenger både indekseringstjenesten og komponenten for utheving av treff, bør du kontrollere at HTW-filene krever samme type IIS-godkjenning som innholdet krever. Du bør også kontrollere at skripttilordningen for HTW-filer har alternativet Kontroller at filen finnes aktivert. Du kontrollerer de riktige innstillingene for skripttilordning ved å følge fremgangsmåten for IIS-versjonen du bruker.
 • IIS 7.0
  1. Start IIS-behandling. Klikk Start, klikk Kjør, skriv inn inetmgr, og klikk deretter OK.
  2. Dobbeltklikk Referansetilordninger i navigasjonsruten.
  3. I tabellen Referansetilordninger finner du tilordningen for .htw. Dobbeltklikk tilordningen.
  4. Klikk Forespørselsbegrensninger.
  5. Klikk Invoke handler only if requests are mapped to (start behandler bare hvis det tilordnes til forespørsler), og kontroller at det er merket av for Fil.
  6. Klikk OK to ganger.
 • IIS 6.0, IIS 5.1 og IIS 5.0
  1. I MMC-snapin-modulen (IIS Microsoft Management Console) høyreklikker du webområdet, og deretter klikker du Egenskaper.
  2. Velg kategorien Startmappe, og klikk deretter Konfigurasjon.
  3. I dialogboksen Applikasjonskonfigurasjon klikker du tilordningen for .htw, og deretter klikker du Rediger.
  4. Kontroller at det er merket av for Kontroller at filen finnes, og klikk deretter OK.

   Obs!  I IIS 6.0 kalles denne boksen Kontroller at filen eksisterer.
  5. Kontroller at IIS-godkjenningsinnstillingene for innholdet er de samme som godkjenningsinnstillingene for HTW-filene.
Status
Microsoft har bekreftet at dette er et problem i Microsoft-produktene som er oppført under Informasjonen i denne artikkelen gjelder.
Mer informasjon
Komponenten for utheving av treff er en del av indekseringstjenesten som brukes sammen med IIS for å returnere indeksert innhold fra webområder. Når komponenten for utheving av treff får tilgang til URL-adressen som skal indekseres, gjøres dette gjennom direkte tilgang til innholdet for URL-adressen, ikke ved å sende en ny forespørsel gjennom IIS. Eventuelle IIS-spesifikke godkjenninger brukes derfor ikke på URL-adressen som indekseres av komponenten for utheving av treff.

En webleser kan forespørre indeksert innhold ved å sende en forespørsel til en HTW-fil på webområdet, og ved å angi URL-adressen som skal indekseres. Hvis IIS-godkjenning ønskes for indeksert innhold, skal godkjenning angis for HTW-filen og det faktiske innholdet. Utheving av treff inkluderer en spesiell, innebygd HTW-fil som kalles Null.htw. Dette er en virtuell fil som ikke finnes på stasjonen. Siden denne filen ikke finnes, kan du ikke konfigurere IIS til å fremtvinge godkjenning for denne filen. For å unngå at Null.htw returnerer indeksert innhold, må du konfigurere IIS-skripttilordningen for .htw slik at tilordningen bruker funksjonen "Kontroller at filen finnes".

Tabellen nedenfor viser en oversikt over standard tilgjengelighet for komponenten for utheving av treff i ulike versjoner av IIS.
VersjonIndekseringstjenesteUtheving av treff
IIS 7.0Ikke installertDeaktivert når indekseringstjenesten er installert
IIS 6.0InstallertInstallert, men deaktivert
IIS 5.1Ikke installertIkke installert
IIS 5.0InstallertInstallert og aktivert
Bekreftelse: Joao Gouveia ved Telecel-Vodafone og John Omernik har bidratt til denne Microsoft Knowledge Base-artikkelen.
Mer informasjon
Hvis du vil ha mer informasjon om IIS 5.0-sikkerhet, kan du gå til følgende Microsoft TechNet-webområde: Hvis du vil ha mer informasjon om hvordan du sikrer en webserver, kan du gå til følgende webområde for Microsoft Developer Network (MSDN):
webhits web hits
Svojstva

ID članka: 328832 - posljednja izmjena: 04/07/2008 21:34:26 - verzija: 6.1

Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0, Microsoft Index Server 2.0

 • kbexpertiseadvanced kbtshoot kbprb KB328832
Povratne informacije