Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.190 Entfernen der RDS-Unterstützung des IIS - IT-Grundschutz-Kataloge - 9. EL Stand 2007
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.190 Entfernen der RDS-Unterstützung des IIS

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Remote Data Service (RDS) ist eine Komponente der Microsoft Data Access Components (MDAC). Diese Komponente ermöglicht den Fernzugriff auf Datenbanken, wie z. B. SQL-Server oder Microsoft Access, über den IIS. RDS beinhaltet die Teilkomponente DataFactory. Dieses Objekt erlaubt standardmäßig eine implizite Fernausführung von Datenzugriffsanfragen.

Dadurch besteht die Gefahr, dass unter bestimmten Umständen unbefugte Internet-Clients auf beliebige Daten innerhalb der durch den Remote Data Service zugänglichen Datenbank zugreifen bzw. beliebige Kommandos mit erhöhten Rechten auf dem Server ausführen können.

Um einen Missbrauch der RDS-Funktionalitäten zu verhindern, sind diese zu deaktivieren, sofern sie nicht unbedingt erforderlich sind. Um die RDS-Funktionalität zu deaktivieren, müssen auf dem IIS folgende Registrierungseinträge (und etwaige Teilschlüssel) entfernt werden:

Registrierung
Bereich 

HKEY_LOCAL_MACHINE\SYSTEM

Schlüssel 

CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\
RDSServer.DataFactory

Registrierung
Bereich 

HKEY_LOCAL_MACHINE\SYSTEM

Schlüssel 

CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\
AdvancedDataFactory

Registrierung
Bereich 

HKEY_LOCAL_MACHINE\SYSTEM

Schlüssel 

CurrentControlSet\Services\W3SVC\
Parameters\ADCLaunch\
VbBusObj.VbBusObjCls

Tabellen: IIS Registrierungseinträge

Die o. g. Änderungen können zu Einschränkungen einiger Beispiel-Websites des IIS 4.0 führen. Weitere Standardfunktionen von IIS werden jedoch nicht beeinträchtigt. Eine Datenbankabfrage über Active Server Pages (ASPs), die in Bezug auf die Datenbankkonnektivität nur von ADO (ActiveX Data Objects) abhängig sind, ist weiterhin möglich.

Folgende Empfehlungen sollten generell beim Datenbankzugriff mit Hilfe von ASP-Seiten beachtet werden:

Ergänzende Kontrollfragen: