PRB:RDS 1.5、IIS 3.0 或 4.0 與 ODBC 的安全性隱含事項

本文曾發行於 CHT184375
本文已封存。本文係以「現狀」提供且不會再更新。
重要:本文包含編輯登錄的資訊。在編輯系統登錄之前,請確定萬一發生問題時,您知道如何復原系統登錄。若需還原作業的相關資訊,請參閱 Regedit.exe 中的〈還原登錄〉說明主題,或 Regedt32.exe 中的〈還原登錄機碼〉說明主題。
徵狀
因為根據預設值 RDS Datafactory (RDS 的單一元件) 容許隱含性的遠端資料存取要求,它可被利用來讓未授權的 Internet 用戶端存取伺服器上的 OLE DB 資料來源。

用意不良的使用者如果安裝了 Microsoft 遠端資料服務 (Remote Data Service,RDS) 並連線至 Internet Information Server (IIS) 4.0,有可能可以存取 ODBC 資料,例如存在 Microsoft SQL Server 或 Microsoft Access 中的資料。
解決方案

方法一:移除 RDS 功能



警告:不當使用「登錄編輯器」可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證可以解決不當使用「登錄編輯器」所造成的錯誤。請自行承擔使用「登錄編輯器」的風險。

若需如何編輯登錄的資訊,請檢視「登錄編輯器」(Regedit.exe) 的〈變更機碼與數值〉說明主題,或檢視 Regedt32.exe 中的〈新增及刪除登錄中的資訊〉與〈編輯登錄資料〉說明主題。請注意:您應該先將登錄備份,再開始編輯。

若要取消所有 RDS 功能,您必須從安裝 IIS 的伺服器上移除下面登錄項目。


  1. 執行「登錄編輯器」(Regedt32.exe)。
  2. 移除下列登錄機碼與任何子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\ADCLaunch\RDSServer.DataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\ADCLaunch\AdvancedDataFactory
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesW3SVC\Parameters\ADCLaunch\VbBusObj.VbBusObjCls

注意:上述的每一個登錄機碼都是一個路徑;為了方便讀者閱讀或許會有折行。

只依靠 ADO (ActiveX 資料物件) 來連接資料庫的 Active Server Pages (ASP) 會繼續執行。

如果做了此變更,IIS 4.0 範例站台:Exploration Air 的 Benefits 部分可能無法正確運作。IIS 4.0 中沒有其他需要 RDS 的標準功能。


方法二:施行正確的安全性原則



所有在 ASP 網頁中發佈資料的 Web 開發人員應該要遵循下列建議事項:

  • 移除所有不必要的 ODBC 驅動程式,尤其是 Microsoft Text Driver。
  • 緊縮 NTFS 權限 (ACL),限制只能存取那些您信任的站台。
  • 如果有使用 SQL Server,請實施堅固的安全性措施,例如:
  • 以低特權的使用者帳戶執行 SQL Server。
  • 不要使用延伸預存程序。
其他相關資訊

RDS Datafactory 的說明




「遠端資料服務」(RDS) 是 Windows NT 4.0 Option Pack 與 IIS 4.0 根據預設值所安裝的資料存取元件的一部分。使用 RDS,Web 用戶端可對 Web 伺服器上的 OLE DB 資料來源發出用戶端的 SQL 查詢。

DataFactory 物件可讓您使用指定的使用者識別碼與密碼連線至指定的資料來源 (例如 SQL Server),並對此伺服器執行查詢,然後將結果集傳回給用戶端。

資料來源、使用者識別碼、密碼與 SQL 陳述式是以參數方式傳給 DataFactory 物件上揭露的方法。如果移除了上述的登錄機碼,使用者就無法建立物件,也因而移除了任何濫用的可能性。
参考
本文件是根據 Microsoft Knowledgebase 文件編號 Q184375 翻譯的. 若要參考原始英文文件內容, 請至以下網址:

visual studio 98 vulnerability kbDatabase kbRDS kbMDAC
內容

文章識別碼:184375 - 最後檢閱時間:01/10/2015 11:22:13 - 修訂: 2.0

  • Microsoft Internet Information Server 4.0
  • Microsoft Remote Data Services 1.1
  • Remote Data Service for ADO 1.1, 2.0
  • Microsoft Data Access Components 2.5
  • kbnosurvey kbarchive kbprb kbgrpdsmdac kbatm kbgrpdsaspdb KB184375
意見反應