Peut mettre à jour la sécurité Microsoft faire de tels changements sérieux à la configuration IIS?

J'ai récemment remarqué un certain nombre de changements importants dans ma configuration. IIS, Dont certains ont des conséquences graves. J'ai consulté des copies de sauvegarde quotidiennes et a constaté que le changement coïncide avec l'installation de mises à jour de sécurité multiples. 12 septembre 2014 de l'année.

Les changements ne sont pas petits:

DANS

<handlers>

l'élément a été bloqué; mise à jour le déverrouillée et maintenant tout répertoire du site peut avoir un fichier web.config, qui ajoute des comparaisons de gestionnaires.

De nombreux gestionnaires par défaut ont été ajoutés à ceux qui ont hérité de mes sites. Ainsi, si plus tôt le site était interdit de courir, dites, dossier .aspx, Après cette mise à jour, tous les sites ont soudainement la possibilité d'exécuter des fichiers. .aspx De n'importe quel catalogue.


default.aspx

Ajouté à la liste des documents autorisés par défaut.

Plus quelque peu moins important, comme l'ajout d'un en-tête X-Powered-By Pour chaque site que je cours! ET
http://pastebin.com/raw.php?i=tKzjDtJ9
Disponible.

Comparaison du dernier timbre de temps modifié

applicationHost.config

et mettre à jour le journal, la mise à jour qui l'a fait ou
http://support.microsoft.com/kb/2972211
ou
http://support.microsoft.com/kb/2894854
(les deux ont la même étiquette de temps d'installation, donc je ne peux pas dire quoi exactement). Je soupçonne le premier, car la description est mentionnée IIS et ASP.NET.

Je suis relativement novice dans IIS, Par conséquent, j'ai quelques questions à ce sujet:

Est-ce normal pour les mises à jour de sécurité associées à IIS, faire de tels changements sérieux?

Était-ce vraiment KB2972211, Ou pourrait-il être un changement malveillant fait par quelqu'un qui cache leurs traces?

Était à moi. IIS Incorrectement configuré depuis tout début? Par exemple. J'ai supprimé la cartographie des gestionnaires par défaut; J'avais tort, agissant comme ça et m'attendais à rester?

Si mes sites devraient pouvoir apporter de telles modifications à la configuration racine sans perturber / Problèmes de sécurité?
</handlers>
Invité:

Agathe

Confirmation de:

Je ne connais pas ces mises à jour spécifiques, mais oui, il semble que la mise à jour .Net Peut changer web.config:
http://www.asp.net/whitepapers ... anges
.

Que faire attention à: Parfois, il existe des paramètres par défaut qui "roulent" dans l'arborescence de configuration. Peut-être quelque chose "ci-dessus", qui a été bloqué et ce que vous voyez est une tentative de garder clairement le comportement implicite précédent.

Pour répondre aux questions, connectez-vous ou registre