你目前正处于脱机状态,正在等待 Internet 重新连接

索引服务的搜索词突出显示组件可能允许对 IIS 网站内容进行意外访问

症状
索引服务的搜索词突出显示组件可能会从 Internet Information Services (IIS) 网站内容返回索引结果,但不强制实施应用于该内容的身份验证方案。
替代方法
要解决此问题,请使用下列方法之一。

方法 1:卸载索引服务

如果不需要索引服务,则应删除它。为此,请按照下列步骤操作。

注意:删除索引服务的同时还会删除搜索词突出显示组件。
  1. 在“控制面板”上单击“添加或删除程序”。
  2. 单击“添加/删除 Windows 组件”,然后单击以清除“索引服务”复选框。

方法 2:禁用搜索词突出显示组件

如果需要索引服务但不需要搜索词突出显示组件,则应禁用该搜索词突出显示组件。为此,请根据您所使用的 IIS 的版本执行下列步骤。
  • IIS 7.0

    要在安装索引服务时禁用 IIS 7.0 中的搜索词突出显示组件,请按照下列步骤操作:
    1. 启动 IIS 管理器。为此,请依次单击“开始”、“运行”,键入 inetmgr,然后单击“确定”。
    2. 在导航窗格中,双击“ISAPI 和 CGI 限制”。
    3. 请注意“状态”列中“索引服务”项的状态。如果其状态为“允许”,请单击“允许”,然后在“任务”窗口中单击“拒绝”。
  • IIS 6.0

    要在安装了索引服务的情况下禁用 IIS 6.0 中的搜索词突出显示组件,请按照下列步骤操作:
    1. 启动 IIS 管理器。为此,请依次单击“开始”、“运行”,键入 inetmgr,然后单击“确定”。
    2. 在导航窗格中,单击“Web 服务扩展”。
    3. 请注意“状态”列中“索引服务”项的状态。如果其状态为“允许”,请单击“索引服务”项,然后单击“禁止”。
  • IIS 5.1 和 IIS 5.0

    要在安装了索引服务的情况下禁用 IIS 5.1 或 IIS 5.0 中的搜索词突出显示组件,请按照下列步骤操作:
    1. 安装并运行 IIS 锁定工具。可以从 Microsoft 下载中心下载 IIS 锁定工具 2.1 版。

      可以从 Microsoft 下载中心下载以下文件:
      下载立即下载 Iislockd.exe 程序包。
    2. 在“选择服务器模板”屏幕中,单击“其他”。
    3. 单击“下一步”,确保已选中“Web 服务”复选框。
    4. 单击“下一步”,确保已选中“索引服务器 Web 接口”复选框。
    5. 按照屏幕上的说明完成该向导。
    或者,也可以通过使 Webhits.dll 文件无法访问 IIS 来手动禁用该文件。为此,请按照下列步骤操作:
    1. 停止 W3svc 服务。为此,请在命令提示符处键入以下命令,然后按 Enter:
      net stop w3svc
    2. 移动到包含 Webhits.dll 的文件夹。为此,请键入下面的命令,然后按 Enter:
      cd %WINDIR%\system32
    3. 键入下面的命令,然后按 Enter:
      cacls webhits.dll /D Everyone
      如果系统提示您确认操作,请键入 Y,然后按 Enter。
    4. 启动 W3svc 服务。为此,请在命令提示符处键入以下命令:
      net start w3svc

方法 3:验证索引服务和搜索词突出显示配置

如果您需要索引服务和搜索词突出显示组件,则应确保 .htw 文件与您的内容需要相同类型的 IIS 身份验证。此外,还应确保 .htw 文件的脚本映射启用了“检查文件是否存在”选项。要验证脚本映射设置是否正确,请根据您所使用的 IIS 版本执行下列步骤。
  • IIS 7.0
    1. 启动 IIS 管理器。为此,请依次单击“开始”、“运行”,键入 inetmgr,然后单击“确定”。
    2. 在导航窗格中,双击“处理程序映射”。
    3. 在“处理程序映射”表中,找到“.htw”的映射。双击该映射。
    4. 单击“请求限制”。
    5. 单击“仅当请求映射至以下内容时才调用处理程序”,并确保选中“文件”。
    6. 单击“确定”两次。
  • IIS 6.0、IIS 5.1 和 IIS 5.0
    1. 在 IIS Microsoft 管理控制台 (MMC) 管理单元中,右键单击相应的网站,然后单击“属性”。
    2. 单击“主目录”选项卡,然后单击“配置”。
    3. 在“应用程序配置”对话框中,单击“.htw”的映射,然后单击“编辑”。
    4. 确保选中“检查文件是否存在”复选框,然后单击“确定”。

      注意:在 IIS 6.0 中,此复选框名为“确认文件是否存在”。
    5. 确保您的内容的 IIS 身份验证设置与 .htw 文件的身份验证设置相同。
状态
Microsoft 已经确认这是在“这篇文章中的信息适用于:”部分中列出的 Microsoft 产品中存在的问题。
更多信息
搜索词突出显示组件是用于 IIS 的索引服务的一部分,可返回网站的索引内容。当搜索词突出显示组件访问要编制索引的 URL 时,该组件会通过直接访问该 URL 的内容而不是通过 IIS 发出新的请求来实现此目的。因此,特定于 IIS 的任何身份验证均不应用于由搜索词突出显示组件编制索引的 URL。

通过向网站上的 .htw 文件发出请求以及指定要编制索引的 URL,Web 浏览器可以请求索引内容。如果需要对索引内容进行 IIS 身份验证,则应对该 .htw 文件和实际内容设置身份验证。搜索词突出显示组件包括一个名为 Null.htw 的特殊内置 .htw 文件,它是一个虚拟文件,磁盘上实际并不存在该文件。由于该文件并不存在,因此无法配置 IIS 以对该文件强制进行身份验证。要防止 Null.htw 返回索引内容,则必须为 .htw 配置 IIS 脚本映射以便该映射可以使用“检查文件是否存在”功能。

下表简要介绍了各种版本的 IIS 中搜索词突出显示组件的默认可用性。
版本索引服务搜索词突出显示组件
IIS 7.0未安装安装索引服务时已禁用
IIS 6.0已安装已安装但被禁用
IIS 5.1未安装未安装
IIS 5.0已安装已安装且已启用
感谢:感谢 Telecel-Vodafone 的 Joao Gouveia 和 John Omernik 为此 Microsoft 知识库文章供稿。
更多信息
有关提高 IIS 5.0 安全性的更多信息,请访问下面的 Microsoft TechNet 网站:有关如何帮助保护 Web 服务器安全的更多信息,请访问下面的 Microsoft Developer Network (MSDN) 网站:
webhits web hits
属性

文章 ID:328832 - 上次审阅时间:04/07/2008 10:28:16 - 修订版本: 6.1

Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.0, Microsoft Index Server 2.0

  • kbexpertiseadvanced kbtshoot kbprb KB328832
反馈
ement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">