Einige Leistungsmerkmale der FrontPage 98-Servererweiterungen können kontrolliert werden, indem Parameter in den entsprechenden Abschnitten der Datei frontpg.ini festgelegt werden. Die Datei frontpg.ini befindet sich im Windows NT-Ordner. Die entsprechenden Abschnitte für jeden virtuellen Server lauten: [Port <IP-Adresse>:<Port>] für Multihosting-Server oder einfach [Port <Port>] für Server ohne Multihosting. Globale Einstellungen sind im Abschnitt [FrontPage 3.0] gespeichert. Die Standardeinstellung aller dieser Parameter in der Software ist 0, solange nicht anders angegeben. Für die Parameter wird die folgende Syntax verwendet: Parameter=Wert
Zum Beispiel: Logging=1
Wenn sich der Parameter im Abschnitt [FrontPage 3.0] der Datei frontpg.ini befindet, wirkt dieser sich auf alle Ports und alle Webserver aus, die auf dem betreffenden Server installiert sind. Wenn sich der Parameter im Abschnitt [Port <IP-Adresse>:<Port>] befindet, gilt er nur für den jeweiligen Port.
Die FrontPage 98-Servererweiterungen werden mit den folgenden Parametern und den nachfolgend beschriebenen Einstellungen installiert. Diese Standardkonfiguration minimiert die Verwundbarkeit des Hostservers.
Anfangswert nach der Installation: 1. Ein Wert von 1 für diesen Parameter erzwingt, daß die Behandlungsroutinen für Standard- (Ergebnisse speichern), Registrierungs- und Diskussionsformulare von FrontPage ihre Ausgabe nur in eine Datei innerhalb des Webinhaltsbereichs des Kunden schreiben. Die Einstellung verhindert, daß diese FrontPage-Komponenten in einen absoluten Dateipfad schreiben.
Anfangswert nach der Installation: Ungleich Null. Ein Wert ungleich Null für diesen Parameter verhindert, daß die FrontPage-Komponenten zum Speichern von Ergebnissen, für Registrierung und Diskussionen ihre Ausgabe an ein anderes Programm weiterleiten können. Damit Benutzer die Ausgabe an bestimmte Programmdateien weiterleiten können, sollte statt dessen der Wert des Parameters ServerFilePipeToAllows entsprechend und der Wert des Parameters NoServerFilePipeTo auf Null festgelegt werden. Die Liste der mit ServerFilePipeToAllows angegebenen Programmdateien wird ignoriert, wenn NoServerFilePipeTo auf einen Wert ungleich Null festgelegt wird.
Anfangswert nach der Installation: 1. Ein Wert von 1 für diesen Parameter verhindert, daß die Behandlungsroutinen für Standard- (Ergebnisse speichern), Registrierungs- und Diskussionsformulare von FrontPage in den _vti_log im Stammordner für Dokumente des Benutzers schreiben (Das Festlegen des Parameters NoServerFileResults auf Null kann hilfreich sein, um Benutzern das Speichern der Ausgabe der FrontPage-Komponenten zum Speichern von Ergebnissen, für die Registrierung und Diskussionen im Ordner _vti_log im Stammweb des Servers zu ermöglichen). Als Sicherheitsmaßnahme protokolliert die Datei author.log im Ordner _vti_log alle Dokumenterstellungsvorgänge im Web, wenn der Parameter Logging festgelegt ist (siehe unten). Ein Wert ungleich Null für den Parameter NoServerFileResults hindert einen Autor daran, seine "Spuren zu verschleiern", indem er die Datei author.log überschreibt oder ändert.
Die folgenden Webkonfigurationsparameter gehören nicht zur Standardinstallation der FrontPage 98-Servererweiterungen, können aber hinzugefügt werden, indem die Konfigurationsdatei der Servererweiterungen entsprechend bearbeitet wird. Wenn die Parameter, wie unten beschrieben, festgelegt werden, können diese Optionen die Sicherheit von FrontPage insgesamt erhöhen.
Anfangswert nach der Installation: 0. Wenn dieser Parameter auf den Wert 1 eingestellt wird, können Autoren keine Dateien in einen Ordner übertragen, der als ausführbar markiert ist, und einen Ordner als ausführbar markieren. Wenn dieser Parameter auf den Wert 1 festgelegt ist, können Autoren keine Active Server Pages (ASP), Internet Database Connector-Seiten (IDC), PERL-Skripts (PL), CGI-Skripts und ISAPI-Erweiterungen übertragen und ausführen. Um nur einzuschränken, wie Autoren CGI-Skripts und ISAPI-Erweiterungen übertragen und ausführen können, verwenden Sie den unten beschriebenen Konfigurationsparameter AllowExecutableScripts.
Wenn der Parameter auf einen Wert ungleich Null festgelegt ist, werden Dokumenterstellungsvorgänge in die Datei _vti_log/author.log im Stammweb protokolliert. Jeder Vorgang wird mit den folgenden Daten protokolliert: aktuelle Uhrzeit, Remote-Host, Benutzername des Autors, Webname, durchgeführter Vorgang und die bei dem Vorgang erfolgten Änderungen. Im Falle einer Sicherheitslücke kann diese Protokolldatei hinsichtlich der Dokumenterstellungsvorgänge auf dem Web des Benutzers analysiert werden. Standardwert = 0.
Wenn dieser Parameter auf einen Wert ungleich Null festgelegt wird, aktiviert FrontPage das ausführbare Bit der Dateien in den ausführbaren Ordnern. Wenn Ordner als ausführbar markiert sind, werden alle Dateien, die sich in dem Ordner befinden, ebenfalls als ausführbar markiert. Wenn Autoren die Berechtigung besitzen, Dateien in ausführbaren Ordnern zu speichern (weil der oben erwähnte Parameter NoExecutableCgiUpload den Wert Null besitzt), bewirkt das Festlegen dieses Parameters auf einen Wert ungleich Null, daß Autoren nachträglich gespeicherte CGI-Skripts und ISAPI-Erweiterungen ausführen können, da diese als ausführbar markiert sind. Wenn dieser Parameter den Wert Null und NoExecutableCgiUpload ebenfalls den Wert Null besitzt, können Autoren ASP- und IDC-Dateien speichern und einsetzen, jedoch keine CGI- oder ISAPI-Dateien.
Wenn dieser Parameter auf Null festgelegt wird, ist die Zugriffskontrolle von FrontPage komplett deaktiviert. Dies ist in der Regel nicht zu empfehlen. Wenn die AccessControl deaktiviert ist, muß die Zugriffskontrolle für die Ordner _vti_bin manuell festgelegt werden, wenn ein neues untergeordnetes Web erstellt wird. Solange dies nicht erfolgt ist, kann jeder auf dem Web Texte erstellen. Der Vorteil des Parameters AccessControl liegt darin, daß erfahrenen Webmastern, die benutzerdefinierte Zugriffskontrollberechtigungen festgelegt haben, keine Mehrarbeit durch FrontPage entsteht. Durch diesen Parameter wird in FrontPage Explorer ebenfalls der Befehl Berechtigungen aus dem Menü Extras deaktiviert. Standardwert = 1.
Dieser Parameter ermöglicht eine Einschränkung der Benutzer- und Gruppenlisten. Dadurch werden FrontPage-Benutzer gehindert, alle NT-Konten auf dem Server anzuzeigen. Dieser Parameter kann global oder für jeden Dienst einzeln aktiviert werden. Einschränkungen können für jeden einzelnen Server überschrieben werden. Das Festlegen des Wertes auf 1 aktiviert die Einschränkungen. Wenn für einen bestimmten Dienst Einschränkungen für Benutzer und Gruppen aktiviert sind, suchen die Servererweiterungen nach einer Windows NT-Gruppe, die gemäß dem folgenden Format benannt ist:
FP_DienstName[_UntergeordnetesWeb]
Hierbei ist "Dienstname" die Kombination der IP-Adresse und der Portnummer des Dienstes auf einem Multihosting-IIS2/3-Computer, während "_UntergeordnetesWeb" den Namen des untergeordneten Webs darstellt. Auf einem Computer ohne Multihosting stellt der Bestandteil "Dienstname" die Portnummer dar. Um die Einschränkungsgruppe eines Stammwebs anzugeben, wird der Bestandteil "_UntergeordnetesWeb" nicht eingegeben.
Beispiele:
FP_157.55.49.66:80_MeinUntergeordnetesWeb
FP_80_MeinUntergeordnetesWeb
Eingeschränkte Gruppen sind globale Gruppen. Es muß sich nicht unbedingt um Gruppen auf dem lokalen Computer handeln.
Weitere Konfigurationsparameter der Servererweiterungen
Diese Konfigurationsparameter haben keine Auswirkung auf die Sicherheit von FrontPage, können jedoch für die Belange eines WPP von Interesse sein.
Das Festlegen dieses Parameter auf "Y" oder auf einen Wert ungleich Null, veranlaßt die FrontPage 98-Servererweiterungen alle HTML-Seiten neu zu formatieren, wenn diese zum Webserver übertragen werden. Wenn für diesen Parameter der Wert Null festgelegt ist, werden nur Seiten, die FrontPage-Komponenten enthalten, neu formatiert. Standardwert = "N"
Das Festlegen auf "Y" oder auf einen Wert ungleich Null bewirkt die Konvertierung aller HTML-Marken in Großbuchstaben, wenn die FrontPage 98-Servererweiterungen HTML-Seiten neu formatieren. Der Standardwert ist 0.
Beim Festlegen auf "Y" oder auf einen Wert ungleich Null bleibt die Groß-/Kleinschreibung von HTML-Marken erhalten, wenn die FrontPage 98-Servererweiterungen HTML-Seiten neu formatieren. Beachten Sie bitte, daß die Marke selbst immer Groß- oder Kleinbuchstaben verwendet. Dies hängt vom Parameter UpperCaseTags ab. Der Standardwert ist 0.
Das Festlegen auf Null schaltet die Volltext-Indizierung des Webs aus. Ein Wert ungleich Null legt die Speichergröße in MB fest, die bei der Textindizierung für Hash-Tabellen und andere Datenstrukturen verwendet wird. Der Standardwert ist 1.
Wenn der Wert dieses Parameters auf 1 festgelegt wird, wird FrontPage angewiesen, nicht den IIS Index Server und statt dessen die FreeWAIS-Suchmaschine, die im Lieferumfang von FrontPage 98 enthalten ist, zu verwenden. Der Standardwert ist 0. FrontPage verwendet in diesem Fall auf dem Server die Suchmaschine von Index Server, wenn es diesen erkennt.
Dieser Parameter dient zur Angabe des Namens oder der IP-Adresse eines Hosts, auf dem ein SMTP-Dämon, wie z. B. Exchange unter NT, ausgeführt wird. Wenn ein Benutzer ein Formular übermittelt, dessen Ergebnisse über E-Mail gesendet werden sollen, stellen die FrontPage-Servererweiterungen eine Verbindung zu dem SMTP-Dämon her, um die Nachricht zu senden. Standardmäßig geht FrontPage davon aus, daß der Dämon auf Port 25 (der Standardport für SMTP) empfängt. Sie können diesen Wert überschreiben, indem Sie an den Namen ":xx" anhängen, wobei "xx" den zu verwendenden Port bezeichnet. Normalerweise verwenden Sie entweder den Parameter SMTPHost oder den Parameter SendmailCommand, aber nicht beide Parameter, da SendmailCommand eine höhere Priorität besitzt als SMTPHost. Beispiele:
SMTPHost:mail.beispiel.microsoft.com
SMTPHost:test:10000
SMTPHost:127.0.0.1
Dieser Parameter legt den Benutzernamen fest, der als Konto "Von" verwendet werden soll, wenn eine E-Mail gesendet wird. Insbesondere wird er als Argument für den SMTP-Befehl SEND FROM: verwendet. Der Standardwert ist benutzer@host, wobei "benutzer" das aktuelle Benutzerkonto und "host" den aktuellen Hostnamen bezeichnet.
Dieser Parameter legt den Namen eines Programms fest, an das E-Mail-Nachrichten umgeleitet werden sollen. In der Regel ist dies sendmail, es kann sich aber um ein beliebiges Programm handeln. Vor dem Aufruf des Befehls, werden alle Vorkommen von "%r" mit dem Empfänger der Nachricht ersetzt. Beispiel:
SendmailCommand:/usr/lib/sendmail %r
Dieser ganzzahlige Parameter legt die maximale Anzahl der Dokumente im Cache fest. Der Standardwert beträgt 512 (Dateien).
Dieser ganzzahlige Parameter legt die Größe des Einschließen-Datei-Cache in MB fest. Der Standardwert beträgt 16.
Dieser ganzzahlige Parameter legt die Größe des Bild-Datei-Cache in MB fest. Der Standardwert beträgt 16.
Die folgenden Parameters können in FrontPage Explorer auf der Registerkarte Erweitertdes BefehlsWebeinstellungen im Menü Extrasfestgelegt werden. Mit Hilfe dieser Parameter können Sie die Standardwerte für das Web festlegen. Diese Einstellungen werden allerdings nicht in der Benutzerschnittstelle von FrontPage Explorer aktualisiert.
Wenn der Wert dieses Parameters auf 1 festgelegt ist, wird FrontPage daran gehindert, HTML-Code zu erzeugen, der eine clientseitige Verarbeitung von Imagemaps unterstützt. Standardmäßig kann FrontPage sowohl clientseitigen und serverseitigen HTML-Code erzeugen, indem dieser Parameter nicht verwendet und der serverseitige Parameter ImageMapFormat gewählt wird.
Dieser Parameter legt die Formatvorlage von Imagemaps auf dem Server fest. Gültige Parameter sind: FrontPage, NCSA, CERN, Netscape oder <Kein>. Wenn Sie <Kein> auswählen, erzeugt FrontPage keinen HTML-Code, der eine serverseitige Verarbeitung von Imagemaps unterstützt.
Dieser Parameter legt den URL der serverseitigen Behandlungsroutine für die gewählte Imagemap-Formatvorlage relativ zum Server fest. Wenn die Formatvorlage (ImageMapFormat) auf "FrontPage" eingestellt wird, werden serverseitige Imagemaps automatisch verarbeitet. Geben Sie für andere Formatenvorlagen den Namen und die Adresse der Behandlungsroutine an.
Dieser Parameter legt die Skriptsprache für die Skripts fest, die automatisch erzeugt werden, um alle Einstellungen für die Gültigkeitsüberprüfung von Daten zu erzwingen, die Sie für Formularfelder verwenden. Gültige Werte sind: VBScript, JavaScript oder Kein.