如何彻底保护网站不受RDS攻击(3)

-解决方案 #6: 删除/禁止RDS功能
就是我在本文最开始的位置提到的方法，删除下面这个文件：
?:\Program Files\Common Files\System\Msadc\msadcs.dll
就是它提供了RDS的调用接口。下面是一些更详细彻底清除RDS（如果你确信你的网站不需要该功能的话）的步骤：

* 从IIS控制台删除/msadc虚拟目录
* 删除下面的注册表键值：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch
* 删除下面这个文件目录
?:\Program Files\Common Files\System\Msadc

----[ 3. 情况
-情况 #1: 我确实需要RDS
首先你需要升级你的系统到MDAC 2.0。记住别忘了安装JetCopkg，或者你直接升级到MDAC 2.1.
确保你修改了'HandlerRequired'注册表中的数值，解释见上。同时确保你已经删除了所有的
RDS的例子程序。同时取消匿名帐号对/msadc目录的访问权限，而使用自定义帐号来进行处理。
详细的步骤可以参考：
http://www.microsoft.com/Data/ado/rds/custhand.htm
如果你对英文感冒的话，也可以参考我发表在joy ASP精华区中的如何自定义处理RDS的文章。

-情况 #2:我还是想使用那些例子该怎么办？
那么唯一的方法就是你必须禁止匿名帐号对RDS的访问权限。但是例子中的
VbBusObjcls会跳过自定义
访问的限制，如果例子是安装在
?:\Program Files\Common Files\System\Msadc\Samples
的话，那么你应该按照下面的步骤来解决：
*删除下面这个目录下所有的东西
?:\Progam Files\Comman Files\System\Msadc\Samples
* 删除注册表中的键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W3SVC\Parameters\
ADCLaunch\VbBusObj.VbBusObjCls

----[ 4. 所有相关资源

- 官方Jet 3.5升级文件(i386)
http://www.wiretrip.net/rfp/bins/msadc/jetcopkg.exe
http://officeupdate.microsoft.com/isapi/gooffupd.asp?
TARGET=/downloaditems/JetCopkg.exe

- Microsoft数据库访问主页
http://www.microsoft.com/data/

- MDAC 2.1.2.4202.3 (GA) (aka MDAC 2.1 sp2) 升级版本 (i386)
http://www.wiretrip.net/rfp/bins/msadc/mdac_typ.exe
http://www.microsoft.com/data/download_21242023.htm

- MDAC 2.1.1.3711.11 (GA) (aka MDAC 2.1 sp1) hotfix
http://www.microsoft.com/data/download/jetODBC.exe

- MDAC 2.1
http://www.microsoft.com/data/MDAC21info/MDAC21sp2manifest.htm

- MDAC 2.1 安装常见问题
http://www.microsoft.com/data/MDAC21info/MDACinstQ.htm

- RDS 1.5, IIS 3.0 or 4.0, 和ODBC中的安全问题
http://support.microsoft.com/support/kb/articles/q184/3/75.asp

- 未授权访问ODBC Data Access 的RDS安全公告 (MS99-004)
http://www.microsoft.com/security/