Microsoft IIS 短文件/文件夾名稱信息泄漏最開始由Vulnerability Research Team(漏洞研究團隊)的Soroush Dalili在2010年8月1日發(fā)現�,并于2010年8月3日通知供應商(微軟公司)。微軟公司分別于2010年12月1日和2011年1月4日給予答復下個版本修復�。2012年6月29日,此漏洞公開披露(中危)�����。
1)通用有效方法:
禁用windows系統(tǒng)中的短文件名功能���。
打開注冊表并打開此目錄 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
修改 NtfsDisable8dot3NameCreation 的值為1 ��。
修改完成后��,需要重啟系統(tǒng)生效����。
2)簡單有效方法:CMD命令
Windows Server 2008 R2
查詢是否開啟短文件名功能:fsutil 8dot3name query
關閉該功能:fsutil 8dot3name set 1
Windows Server 2003
關閉該功能:fsutil behavior set disable8dot3 1
3)手動驗證
新建文件夾并創(chuàng)建幾個文件,打開CMD進入該文件夾呢執(zhí)行dir /x 檢測����,看不到有顯示短文件名則成功
注:
1、Windows Server 2003修改后需要重啟服務器生效���!
2、已存在的文件短文件名不會取消���,只對以后創(chuàng)建的文件有效�����!
3�����、WEB站點需要將內容拷貝到另一個位置����,如D:\www到D:\www.back���,然后刪除原文件夾D:\www�����,再重命名D:\www.back到D:\www���。如果不重新復制����,已經存在的短文件名則是不會消失的�����。
