使用宣告式驗證的 Web 應用程式需要更新 (SharePoint Server 2010)

適用版本： SharePoint Foundation 2010, SharePoint Server 2010

上次修改主題的時間： 2016-11-30

規則名稱：   使用宣告式驗證的 Web 應用程式需要更新

事件識別碼：   無

摘要：   使用宣告式驗證的 Web 應用程式面臨潛在安全性弱點的風險，可能會讓使用者提升權限。主控使用宣告式驗證之 Web 應用程式的網頁伺服器可能容易受到攻擊。

原因：   當您將 Microsoft ASP.NET 2.0 Web 應用程式部署至執行 Microsoft SharePoint Server 2010 之伺服器所架設的網站，並在伺服器上以整合式模式執行 Internet Information Services (IIS) 7.0 或 IIS 7.5 時，即會發生此情況。

如果您在 SharePoint 網站上部署部分信任的網頁組件或建立外部清單，這些網頁組件或外部清單會具有比預期更多的權限。此問題可能會對 SharePoint 網站造成安全性風險。例如，這些網頁組件或外部清單可能會非預期地產生資料庫要求或 HTTP 要求。

這是因為 ASP.NET 2.0 驗證元件發生變更。此變更會導致部分信任的網頁組件或外部清單模擬應用程式集區帳戶。因此，網頁組件會具有存取 SharePoint 網站的完整權限。

解決方式：安裝更新

• 若要下載更新，請前往 KB979917 - SharePoint 問題的 QFE - 效能計數器修正與使用者模擬 (可能為英文網頁)。

• 如需更新的詳細資訊，請參閱知識庫文章 979917。