FrontPage 伺服器延伸模組的升級問題
簡介
將執行舊版 IIS 的電腦升級至 Windows Vista® 或 Windows Server® 2008 時,如果電腦上安裝 FrontPage Server Extensions (FPSE) ,則會停用 IIS Web 服務。 此行為是一種安全性措施,可避免對 FPSE 保留網站中繼資料之檔案的不必要存取。 FrontPage Server Extensions 尚未更新,但在 windows Vista 和 Windows Server 2008 上,IIS.NET 可供 下載。 不過,在升級期間,將不會移除包含中繼資料和其他網站內容相關資訊的檔案和資料夾。 本文的目的是討論在 IIS 7.0 或更新版本網頁伺服器上啟用 Web 服務之前,您應該手動移除或保護的各種檔案和資料夾。
注意
本檔討論 FrontPage Server Extensions 所建立和使用之預設資料夾和檔案的潛在威脅。 如果系統管理員/作者已經修改這些檔案和資料夾中的內容,可能涉及更大的風險。 系統管理應該一律分析其環境,以判斷是否有任何威脅存在。
威脅層級和建議的動作
討論潛在的安全性風險時,本檔會使用下列威脅層級:
| 威脅層級 | Description |
|---|---|
| 高 | 當安全性的威脅設定為高時,任何保護或刪除列出的資料夾/檔案失敗可能會導致未經授權的敏感性資訊存取。 系統管理應該一律遵循本檔中建議的動作。 |
| 中 | 當威脅層級設定為中時,列出的資料夾/檔案可能包含系統管理員可能不想公開的資訊。 系統管理應該分析其環境,而且通常會遵循本檔中建議的動作。 |
| 低 | 當威脅設定為低時,列出的資料夾/檔案通常應該包含安全供公用存取的資訊。 因此,通常不需要完成其他動作。 系統管理仍應該分析其內容,以判斷是否有任何威脅存在於本檔範圍內。 |
建議系統管理員的動作時,本檔會使用下列建議的定義:
| 建議的動作 | 描述 |
|---|---|
| 刪除 | 應該刪除列出的資料夾/檔案。 |
| 安全 | 應保護列出的資料夾/檔案。 這通常可在資料夾層級完成,方法是透過 IIS 管理工具移除路徑上的讀取權限,或將內容複寫到網站內容資料夾以外的安全位置,然後從網站移除內容。 |
| N/A | 通常不需要完成其他動作。 |
保護 FrontPage 資料夾和檔案
在 FrontPage 網站中找到的資料夾
下表列出 FrontPage 伺服器擴充功能和建議動作所使用的資料夾。 如果此表格中列出的資料夾用於其他功能,您應該一律適當地保護這些資料夾。
| 資料夾 | 威脅 | 動作 | 備註 |
|---|---|---|---|
| _派生 | 低 | N/A | FrontPage 會保留衍生的檔案,例如此資料夾中產生的影像。 |
| _fpclass | 中 | 安全 | 應該包含公開可用的 FrontPage 程式碼 - 但如果使用者已修改程式碼,則應該受到保護。 |
| _覆蓋 | 低 | N/A | FrontPage 會保留衍生的檔案,例如此資料夾中產生的影像。 |
| _私人 | 高 | 安全 | FrontPage Server Extensions 通常會將此資料夾中的敏感性資料檔保留,因此應該設定為防止流覽。 |
| _vti_bin | 高 | 刪除 | 這是 FrontPage Server Extensions 可執行檔的虛擬目錄。 雖然 IIS 安全性設定應該封鎖任何未知的程式碼在此路徑內執行,但此路徑已設定為允許可執行檔運作,而且如果存在,則應從網站的組態中移除。 |
| _vti_bot | 中 | 安全或刪除 | FrontPage 通常不應該有此資料夾,而且包含使用者產生的 FrontPage Web Bot。 系統管理應該檢查此資料夾中的檔案,並適當地保護或刪除這些檔案。 |
| _vti_cnf | 高 | 安全或刪除 | FrontPage Server Extensions 會保留此資料夾中的敏感性中繼資料檔案,因此應該將其刪除或設定為防止流覽。 潛在威脅是網域/使用者名稱和其他中繼資料的威力。 |
| _vti_log | 中 | 安全或刪除 | FrontPage Server Extensions 會將作者記錄保留在此資料夾中,因此應該刪除或設定為防止流覽。 潛在威脅是網域/使用者名稱和其他作者相關活動的威力。 |
| _vti_pvt | 高 | 安全或刪除 | 此資料夾會保存數個檔案,其中包含網站的各種中繼資料,而且應該受到保護。 注意:如需詳細資訊,請參閱在 _vti_pvt 資料夾中找到的檔案一節 |
| _vti_script | 中 | N/A 或刪除 | FrontPage 會針對使用 Index Server 搜尋網站的腳本使用此資料夾。 設定索引伺服器搜尋的系統管理員可能會想要保留此資料夾,或想要將其刪除。 潛在威脅是 IDQ 檔案中所列出伺服器上的實體檔案路徑。 |
| _vti_shm | 低 | 刪除 | 此資料夾不應該存在,而且是 FrontPage 1.x 的剩餘資料夾,因此可以放心刪除。 |
| _vti_txt | 高 | 刪除 | 此資料夾包含舊版 FrontPageOLDERS 搜尋的文字索引和目錄。 由於較新版本的 FrontPage 只使用 Index Server,因此可以放心地刪除此資料夾。 潛在威脅是網站內檔案內容的威力。 |
| cgi-bin | 中 | 保護或刪除 | FrontPage 不應該有此資料夾,而且可能是舊版 FrontPage 的剩餘資料夾。 系統管理應該檢查此資料夾中有哪些檔案,並適當地保護或刪除檔案。 潛在威脅是舊版 FrontPage 或其他 CGI 應用程式,這些應用程式可以在不再安全的內容區域內執行。 |
| fpdb | 高 | 安全 | FrontPage 會將資料庫保留在此資料夾中,因此應該設定為防止流覽。 潛在威脅是未經授權存取網站中的資料庫。 |
| images | 低 | N/A | FrontPage 會將影像檔保留在此資料夾中。 |
在 _vti_pvt 資料夾中找到的檔案
下表列出位於 FrontPage 網站之 _vti_pvt 資料夾中的檔案。 FrontPage 伺服器延伸模組會使用這些檔案來儲存網站的各種中繼資料,而且通常應該在資料夾層級受到保護或刪除。
| 檔案 | 威脅 | 動作 | 備註 |
|---|---|---|---|
| _x_browsers.xml | 低 | N/A | 包含網頁瀏覽器的使用方式資訊。 |
| _x_domains.xml | 低 | N/A | 包含網域的使用方式資訊。 |
| _x_pagehits.xml | 低 | N/A | 包含個別頁面的使用方式資訊。 除非您有未公開提供的頁面,否則這是最安全的。 |
| _x_systems.xml | 低 | N/A | 包含作業系統的使用方式資訊。 |
| _x_todo.htm | 高 | 刪除 | 包含要執行的使用者清單。 潛在威脅是網域/使用者名稱的威力。 |
| _x_todoh.htm | 高 | 刪除 | 包含要為使用者執行歷程記錄的 。 潛在威脅是網域/使用者名稱的威力。 |
| _x_users.xml | 高 | 刪除 | 包含特定使用者的使用方式資訊。 潛在威脅是網域/使用者名稱的威力。 |
| access.cnf | 高 | 刪除 | 包含 FrontPage 網站的存取訊號。 |
| botinfs.cnf | 低 | N/A | 包含 FrontPage 網站的 FrontPage WebBot 資訊。 |
| bots.cnf | 低 | N/A | 包含 FrontPage 網站的 FrontPage WebBot 資訊。 |
| deptodoc.btr | 中 | 刪除 | 檔相依性資料庫 - 安全刪除。 |
| doctodep.btr | 中 | 刪除 | 檔相依性資料庫 - 安全刪除。 |
| frontpg.lck | 低 | 刪除 | 鎖定檔案 - 安全刪除。 |
| linkinfo.btr | 中 | 刪除 | 檔相依性資料庫 - 安全刪除。 |
| service.cnf | 高 | 安全 | 包含 FrontPage 網站的中繼資料。 潛在威脅是網域/使用者名稱、本機檔案路徑和其他中繼資料的威力。 |
| service.lck | 低 | 刪除 | 鎖定檔案 - 安全刪除。 |
| services.cnf | 低 | N/A | 包含 FrontPage 子網站資訊。 注意:如果您刪除此專案,將會遺失 FrontPage 網站/子網站階層,而子網站將會成為父 FrontPage 網站的一部分。 |
| structure.cnf | 低 | N/A | 包含 FrontPage 網站結構。 |
| svcacl.cnf | 中 | 刪除 | 包含 FrontPage 網站使用者權限的相關資訊。 (例如,子網站是否有唯一許可權和任何 IP 位址限制。) |
| usage.lck | 低 | 刪除 | 鎖定檔案 - 安全刪除。 |
| writeto.cnf | 高 | 刪除 | 包含可寫入的檔案清單。 (例如表單處理常式結果檔。) |
在 FrontPage 網站的根資料夾中找到的檔案
下表列出位於 FrontPage 網站根資料夾內的檔案。
| 檔案 | 威脅 | 動作 | 描述 |
|---|---|---|---|
| _vti_inf.html | 低 | 刪除 | 此檔案包含 FrontPage Server Extensions 可執行檔的虛擬路徑,而且由與 FrontPage Server Extensions 通訊的任何用戶端使用。 |
| postinfo.html | 低 | 刪除 | 此檔案包含 Windows Web 發佈精靈的資訊。 |
總結
在本文中,您已指示您找出 FrontPage Server Extensions 2002 for Windows Vista 和 Windowa Server 2008 的位置。 此外,您也會詳細看到與 FrontPage 安裝相關的資料,以及如何正確保護此資料。