Проблемы с обновлением серверных расширений FrontPage
Введение
При обновлении компьютера под управлением предыдущей версии IIS до Windows Vista® или Windows Server® 2008 веб-службы IIS будут отключены, если на компьютере были установлены серверные расширения FrontPage (FPSE). Такое поведение является мерой безопасности для предотвращения несанкционированного доступа к файлам, в которых FPSE хранит метаданные веб-сайта. Серверные расширения FrontPage не были обновлены, но доступны на IIS.NET для скачивания, в Windows Vista и Windows Server 2008. Однако файлы и папки, содержащие метаданные и другие сведения о содержимом веб-сайта, не будут удалены во время обновления. Цель этой статьи — обсудить различные файлы и папки, которые необходимо вручную удалить или защитить перед включением веб-служб на веб-сервере IIS 7.0 или более поздней версии.
Примечание
В этом документе рассматриваются потенциальные угрозы для папок и файлов по умолчанию, которые создаются и используются серверными расширениями FrontPage. Если администраторы или авторы изменяли содержимое этих файлов и папок, риск может быть выше. Администраторы всегда должны анализировать свои среды, чтобы определить, существуют ли какие-либо угрозы.
Уровни угроз и рекомендуемые действия
При обсуждении потенциальных угроз безопасности в этом документе используются следующие уровни угроз:
| Уровень угрозы | Описание |
|---|---|
| Высокий | Если для безопасности задан высокий уровень угрозы, любой сбой в защите или удалении перечисленных папок или файлов может привести к несанкционированный доступ к конфиденциальной информации. Администраторы всегда должны следовать действиям, рекомендованным в этом документе. |
| Средний | Если для уровня угрозы задан средний уровень, перечисленные папки и файлы могут содержать сведения, которые администраторы могут не захотеть предоставлять. Администраторы должны проанализировать свою среду и, как правило, следовать действиям, рекомендованным в этом документе. |
| Низкий | Если угроза имеет низкий уровень, перечисленные папки и файлы обычно должны содержать сведения, которые являются безопасными для общего доступа. Из-за этого, как правило, не требуется выполнять никаких дополнительных действий. Администраторам следует по-прежнему анализировать свое содержимое, чтобы определить, существуют ли какие-либо угрозы, которые находятся за пределами область этого документа. |
При рекомендации действий для администраторов в этом документе используются следующие рекомендуемые определения:
| Рекомендуемое действие | Описание |
|---|---|
| Удалить | Папки и файлы, перечисленные в списке, должны быть удалены. |
| Оценка | Перечисленные папки и файлы должны быть защищены. Обычно это можно сделать на уровне папки, удалив доступ на чтение в пути с помощью средства администрирования IIS или скопировав содержимое в безопасное расположение за пределами папок содержимого веб-сайта, а затем удалив содержимое с веб-сайта. |
| Н/Д | Как правило, никаких дополнительных действий выполняться не требуется. |
Защита папок и файлов FrontPage
Папки, найденные на веб-сайте FrontPage
В следующей таблице перечислены папки, используемые серверными расширениями FrontPage, и рекомендуемые действия. Если папки, перечисленные в этой таблице, использовались для дополнительных функциональных возможностей, следует всегда защищать эти папки соответствующим образом.
| Папка | Аналитика | Действие | Примечания |
|---|---|---|---|
| _Производным | Низкий | Н/Д | FrontPage хранит производные файлы, такие как созданные изображения, в этой папке. |
| _fpclass | Средний | Оценка | Должен содержать общедоступный код FrontPage, но должен быть защищен, если пользователь изменил код. |
| _Наложения | Низкий | Н/Д | FrontPage хранит производные файлы, такие как созданные изображения, в этой папке. |
| _Частная | Высокий | Оценка | Серверные расширения FrontPage часто хранят файлы конфиденциальных данных в этой папке, поэтому их следует настроить таким образом, чтобы запретить просмотр. |
| _vti_bin | Высокий | Удалить | Это виртуальный каталог для исполняемых файлов серверных расширений FrontPage. Хотя параметры безопасности IIS должны блокировать выполнение любого неизвестного кода в этом пути, этот путь настроен таким образом, чтобы разрешить работу исполняемых файлов и должен быть удален из конфигурации веб-сайта при его наличии. |
| _vti_bot | Средний | Защита или удаление | Эта папка обычно не должна существовать для FrontPage и содержит созданные пользователем веб-боты FrontPage. Администраторы должны проверить, какие файлы находятся в этой папке, и защитить или удалить их соответствующим образом. |
| _vti_cnf | Высокий | Защита или удаление | Серверные расширения FrontPage хранят конфиденциальные файлы метаданных в этой папке, поэтому их следует удалить или настроить таким образом, чтобы запретить просмотр. Потенциальная угроза заключается в раскрытии имен доменов или пользователей и других метаданных. |
| _vti_log | Средний | Защита или удаление | Серверные расширения FrontPage хранят журналы авторов в этой папке, поэтому их следует удалить или настроить так, чтобы запретить просмотр. Потенциальная угроза заключается в выявлении доменов или пользователей и других действий, связанных с автором. |
| _vti_pvt | Высокий | Защита или удаление | Эта папка содержит несколько файлов, содержащих различные метаданные для веб-сайта, и должна быть защищена. Примечание. Дополнительные сведения см. в разделе Файлы, найденные в папке _vti_pvt. |
| _vti_script | Средний | Н/Д или Удалить | Эта папка используется FrontPage для сценариев, выполняющих поиск на веб-сайтах с помощью сервера индексирования. Администраторы, которые настраивают поиск на сервере индексирования, могут захотеть сохранить эту папку или удалить ее. Потенциальная угроза — обнаружение физических путей к файлам на сервере, перечисленных в файлах IDQ. |
| _vti_shm | Низкий | Удалить | Эта папка не должна существовать и является остатком из FrontPage 1.x, поэтому ее можно безопасно удалить. |
| _vti_txt | Высокий | Удалить | Эта папка содержит текстовые индексы и каталоги для более старого поиска FrontPage WAIS. Так как в более поздних версиях FrontPage использовался только индексный сервер, эту папку можно удалить безопасно. Потенциальная угроза заключается в раскрытии содержимого файлов на веб-сайте. |
| cgi-bin | Средний | Защита или удаление | Эта папка не должна существовать для FrontPage и может быть остатком от ранних версий FrontPage. Администраторы должны проверить, какие файлы находятся в этой папке, и защитить или удалить их соответствующим образом. Потенциальной угрозой является устаревшая версия FrontPage или другие приложения CGI, которые могут выполняться в области содержимого, которая может быть небезопасной. |
| fpdb | Высокий | Оценка | FrontPage хранит базы данных в этой папке, поэтому ее следует настроить так, чтобы запретить просмотр. Потенциальная угроза заключается в несанкционированном доступе к базам данных на веб-сайте. |
| images | Низкий | Н/Д | FrontPage хранит файлы изображений в этой папке. |
Файлы, найденные в папке _vti_pvt
В следующей таблице перечислены файлы, расположенные в папке _vti_pvt веб-сайта FrontPage. Эти файлы используются серверными расширениями FrontPage для хранения различных метаданных веб-сайта и обычно должны быть защищены или удалены на уровне папки.
| File | Аналитика | Действие | Примечания |
|---|---|---|---|
| _x_browsers.xml | Низкий | Н/Д | Содержит сведения об использовании веб-браузеров. |
| _x_domains.xml | Низкий | Н/Д | Содержит сведения об использовании доменов. |
| _x_pagehits.xml | Низкий | Н/Д | Содержит сведения об использовании отдельных страниц. Это в основном безопасно, если у вас нет страниц, которые не являются общедоступными. |
| _x_systems.xml | Низкий | Н/Д | Содержит сведения об использовании операционных систем. |
| _x_todo.htm | Высокий | Удалить | Содержит список действий для пользователей. Потенциальная угроза заключается в раскрытии имен доменов или пользователей. |
| _x_todoh.htm | Высокий | Удалить | Содержит журнал действий для пользователей. Потенциальная угроза заключается в раскрытии имен доменов или пользователей. |
| _x_users.xml | Высокий | Удалить | Содержит сведения об использовании для конкретных пользователей. Потенциальная угроза заключается в раскрытии имен доменов или пользователей. |
| access.cnf | Высокий | Удалить | Содержит сведения о доступе к веб-сайту FrontPage. |
| botinfs.cnf | Низкий | Н/Д | Содержит сведения о Веб-боте FrontPage для веб-сайта FrontPage. |
| bots.cnf | Низкий | Н/Д | Содержит сведения о Веб-боте FrontPage для веб-сайта FrontPage. |
| deptodoc.btr | Средний | Удалить | База данных зависимостей документа безопасно удаляется. |
| doctodep.btr | Средний | Удалить | База данных зависимостей документа безопасно удаляется. |
| frontpg.lck | Низкий | Удалить | Файл блокировки — безопасный для удаления. |
| linkinfo.btr | Средний | Удалить | База данных зависимостей документа безопасно удаляется. |
| service.cnf | Высокий | Оценка | Содержит метаданные для веб-сайта FrontPage. Потенциальная угроза заключается в раскрытии имен доменов или пользователей, локальных путей к файлам и других метаданных. |
| service.lck | Низкий | Удалить | Файл блокировки — безопасный для удаления. |
| services.cnf | Низкий | Н/Д | Содержит сведения о дочернем сайте FrontPage. Примечание. Если удалить его, вы потеряете иерархию веб-сайта Или дочернего сайта FrontPage, а дочерние сайты станут частью родительского веб-сайта FrontPage. |
| structure.cnf | Низкий | Н/Д | Содержит структуру веб-сайта FrontPage. |
| svcacl.cnf | Средний | Удалить | Содержит сведения о разрешениях конечного пользователя для веб-сайта FrontPage. (например, имеют ли дочерние сайты уникальные разрешения и ограничения IP-адресов.) |
| usage.lck | Низкий | Удалить | Файл блокировки — безопасный для удаления. |
| writeto.cnf | Высокий | Удалить | Содержит список файлов, в которые можно записать данные. (например, файлы результатов обработчика форм.) |
Файлы, найденные в корневой папке веб-сайта FrontPage
В следующей таблице перечислены файлы, расположенные в корневой папке веб-сайта FrontPage.
| File | Аналитика | Действие | Описание |
|---|---|---|---|
| _vti_inf.html | Низкий | Удалить | Этот файл содержит виртуальные пути к исполняемым файлам серверных расширений FrontPage и используется любым клиентом, который взаимодействует с серверными расширениями FrontPage. |
| postinfo.html | Низкий | Удалить | Этот файл содержит сведения для мастера веб-публикации Windows. |
Итоги
В этой статье вы получили инструкции о расположении серверных расширений FrontPage 2002 для Windows Vista и Windowa Server 2008. Кроме того, вы подробно узнали, какие данные имеют отношение к установке FrontPage и как точно защитить эти данные.