COMO FAZER: Usar o URLScan com o FrontPage 2000

Use este guia passo a passo para instalar e configurar o utilitário URLScan para IIS (Microsoft Internet Information Services). Você pode fazer o download do URLScan a partir do site da Microsoft na Web seguindo os passos descritos neste artigo. Após instalar o URLScan, o seu servidor da Web ficará mais seguro.

Como Fazer o Download e Instalar o URLScan

Para instalar o novo software e poder interromper ou reiniciar os serviços Web, você precisa estar conectado ao seu servidor da Web. Por isso, para instalar o utilitário URLScan, faça o logon no seu servidor da Web como administrador, e siga estes passos:

1. Faça o download do utilitário URLScan. Para fazer isso, visite o seguinte site da Microsoft na Web:
   Ferramenta de Segurança URLScan

   (http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32571)
2. Clique em Fazer o Download agora.
3. Clique em Salvar este programa em disco, e clique em OK.
4. Escolha a sua Área de trabalho como o local para salvar o arquivo, e clique em Salvar.
5. Feche o seu navegador.
6. Clique duas vezes no arquivo Urlscan.exe.
7. Leia o Contrato de Licença de Usuário Final (EULA). Se você aceitar os termos do contrato, clique em Sim.
8. Se lhe for solicitado reiniciar o IIS, clique em Sim.
9. Se você receber uma mensagem informando que a instalação foi concluída, clique em OK.

Como Modificar a Configuração Padrão do URLScan

Como a configuração padrão do URLScan pode interferir na funcionalidade do FrontPage, você precisa fazer alterações que permitam ao programa funcionar corretamente e ainda negar acesso a arquivos sensíveis do FrontPage. Estes passos são apenas uma sugestão. Para obter informações adicionais sobre as configurações do URLScan, leia a seção "Referências" posteriormente neste artigo.

1. Clique com o botão direito do mouse em Iniciar, e então clique em Explorar. Localize a seguinte pasta:
   %windir%\system32\inetsrv\urlscan
   em que %windir% é a sua pasta do Windows (por exemplo, C:\Windows ou C:\Winnt).
2. Clique com o botão direito do mouse no arquivo Urlscan.ini e depois em Copiar. Clique com o botão direito do mouse na pasta, e clique em Colar. É criada uma cópia do arquivo chamada de Cópia de Urlscan.ini.
3. Clique duas vezes no arquivo Urlscan.ini. O arquivo é aberto no Bloco de notas.
4. Faça as seguintes alterações:
   1. Na seção [options], defina os seguintes valores:

      [options]
      UseAllowVerbs=1          ; usa a seção [AllowVerbs]
      UseAllowExtensions=0     ; usa a seção [DenyExtensions]
      NormalizeUrlBeforeScan=1 ; canoniza o URL antes do processamento
      VerifyNormalization=1    ; canoniza o URL duas vezes, rejeita alterações
      AllowHighBitCharacters=0 ; nega caracteres com muitos bits (UTF8 ou MBCS) 
      AllowDotInPath=0         ; nega pontos no caminho
      EnableLogging=1          ; registra a atividade
      PerDayLogging=1          ; altera os arquivos de log diariamente
      PerProcessLogging=0      ; não altera os arquivos de log pelo ID do processo
      RemoveServerHeader=0     ; não remove o cabeçalho "Servidor"
      AlternateServerName=
      UseFastPathReject=0      ; usa RejectResponseUrl ou registra a solicitação
      RejectResponseUrl=
      AllowLateScanning=1      ; permite que o URLScan seja carregado com baixa prioridade
      						

   2. Na seção [AllowVerbs], use apenas os seguintes valores. Não inclua outros valores.

      [AllowVerbs]
      GET     ; permite GET (a maioria das solicitações Web)
      HEAD    ; permite solicitações HEAD
      OPTIONS ; permite OPTIONS (pastas da Web precisam disso)
      POST    ; permite POST (Extensões de Servidor do FrontPage e formulários HTML precisam disso)
      						

   3. Na seção [DenyHeaders], use apenas os seguintes valores. Não inclua outros valores.

      [DenyHeaders]
      If:         ; deny (usado com WebDAV)
      Lock-Token: ; deny (usado com WebDAV)
      						

   4. Na seção [DenyExtensions], defina os seguintes valores :

      [DenyExtensions]
      .asa     ; nega arquivos de definição do aplicativo de servidor ativo
      .bat     ; nega arquivos em lote
      .btr     ; nega arquivos de dependência do FrontPage
      .cer     ; nega arquivos de certificado x509
      .cdx     ; nega arquivos de definição do canal dinâmico
      .cmd     ; nega arquivos em lote
      .cnf     ; nega arquivos de metadados do FrontPage
      .com     ; nega aplicativos de linha de comando do servidor
      .dat     ; nega arquivos de dados
      .evt     ; nega logs do Visualizador de eventos
      .exe     ; nega aplicativos de linha de comando do servidor
      .htr     ; nega a ferramenta de administração de HTML herdado do IIS
      .htw     ; nega o realce do Index Server
      .ida     ; nega a ferramenta de administração de HTML herdado do Index Server
      .idc     ; nega arquivos de consulta do banco de dados herdado do IIS
      .inc     ; nega arquivos de inclusão
      .ini     ; nega arquivos de configuração
      .ldb     ; nega arquivos de informação do bloqueio contra gravação do Microsoft Access
      .log     ; nega arquivos de log
      .pol     ; nega arquivos de diretiva
      .printer ; nega serviços de impressão na Internet
      .sav     ; nega arquivos de registro de backup
      .shtm    ; nega SSI (Server Side Includes) do IIS
      .shtml   ; nega SSI (Server Side Includes) do IIS
      .stm     ; nega SSI (Server Side Includes) do IIS
      .tmp     ; nega arquivos temporários
      						

   5. Na seção [DenyUrlSequences], defina os seguintes valores:

      [DenyUrlSequences]
      ..         ; nega percursos de diretório
      ./         ; nega pontos de espaço em um nome de diretório
      \          ; nega barras invertidas no URL
      :          ; nega acesso por fluxo alternativo
      %          ; nega a saída após a normalização
      &          ; nega a execução de vários processos CGI em uma única solicitação
      /fpdb/     ; nega o acesso a arquivos de banco de dados do FrontPage
      /_private  ; nega arquivos particulares do FrontPage (em geral, resultados de formulário)
      /_vti_pvt  ; nega arquivos de configuração de Web do FrontPage
      /_vti_cnf  ; nega arquivos de metadados do FrontPage
      /_vti_txt  ; nega catálogos e índices de texto do FrontPage
      /_vti_log  ; nega arquivos de log de criação do FrontPage
      						

   6. Como essas configurações não usam as seções [DenyVerbs] e [AllowExtensions], não é mostrada nenhuma configuração para elas neste artigo. Para obter informações adicionais sobre essas seções do arquivo de configuração, clique no número abaixo para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
      307608

      (http://support.microsoft.com/kb/307608/PT-BR/ )

      INFO: Using URLScan on IIS
5. Salve o arquivo e feche o Bloco de Notas.

Como Alterar a Prioridade do URLScan (Opcional)

A prioridade padrão do utilitário URLScan no IIS é alta. Uma prioridade alta pode interferir em outros filtros ISAPI (Internet Server Application Programming Interface) que precisem executar as tarefas antes do URLScan ser chamado. O filtro ISAPI das Extensões de Servidor do FrontPage (Fpexedll.dll) é um deles. Embora as informações contidas nesta seção expliquem como configurar o URLScan para ser carregado depois do filtro ISAPI Fpexedll.dll, você pode facilmente adaptar esse procedimento para configurar o URLScan com outros filtros ISAPI. Para obter mais informações, consulte a documentação relacionada ao filtro ISAPI que você está usando.

NOTA: Antes de concluir o seguinte procedimento, você precisa definir corretamente a configuração AllowLateScanning=1 no arquivo Urlscan.ini para carregar o URLScan como um filtro com baixa prioridade. Para fazer isso, siga o procedimento descrito na seção "Como Modificar a Configuração Padrão do URLScan" deste artigo.

1. Inicie o Gerenciador de serviços de Internet. Para fazer isso, siga os passos correspondentes à sua versão do IIS:
   • No IIS 4.0:
     1. No menu Iniciar do Windows, aponte para Programas, e clique em Windows NT 4.0 Option Pack.
     2. Clique em Microsoft Internet Information Server.
     3. Selecione Internet Service Manager.
   • No IIS 5.0:
     1. No menu Iniciar do Windows, aponte para Programas, e clique em Ferramentas administrativas.
     2. Selecione Internet Services Manager.
   • No IIS 5.1:
     1. No menu Iniciar do Windows, clique em Painel de controle.
     2. Clique duas vezes em Ferramentas administrativas.
     3. Clique duas vezes em Internet Information Services.
2. Clique com o botão direito do mouse em Meu computador, e clique em Propriedades.
3. Selecione a opção WWW Service master properties, e clique no botão Edit.
4. Clique na guia ISAPI Filters.
5. Clique em UrlScan, e no botão Down para mover UrlScan para baixo de Fpexedll.dll.
6. Clique em OK.
7. Clique em OK novamente.

Como Reiniciar o IIS para Atualizar o URLScan

Quando o IIS é iniciado, o URLScan é carregado na memória e lê as configurações do arquivo Urlscan.ini. Por isso, você precisa reiniciar o IIS para que as novas configurações tenham efeito. Para fazer isso, siga os passos correspondentes à sua versão do IIS:

• No IIS 4.0:
  1. Em um prompt de comando, digite o seguinte comando:
     NET STOP "IIS Admin Service" /Y
  2. Se vir vários serviços dependentes listados na medida em que forem interrompidos, anote os nomes para que você possa reiniciá-los mais tarde.
  3. Quando você vir a seguinte mensagem
     The IIS Admin Service service was stopped successfully.
     reinicie cada serviço do IIS por nome. Para fazer isso, digite os seguintes comandos no prompt de comando, pressionando ENTER após cada linha:
     NET START "World Wide Web Publishing Service"
     NET START "Simple Mail Transport Protocol (SMTP)"
     NET START "FTP Publishing Service"
     NET START "IIS Host Helper Service"
  4. Feche o prompt de comando.
• No IIS 5.0:
  1. Clique com o botão direito do mouse no nome do seu servidor e clique em Reiniciar IIS.
  2. Clique em Reiniciar os serviços de Internet em seu computador.
  3. Clique em OK.
• No IIS 5.1:
  1. Clique com o botão direito do mouse em Meu computador, aponte para Todas as tarefas, e clique em Reiniciar IIS.
  2. Clique em Reiniciar os serviços de Internet em seu computador.
  3. Clique em OK.

Para obter mais informações sobre como reiniciar os serviços do IIS, clique nos números abaixo para visualizar os artigos na Base de Dados de Conhecimento da Microsoft:

SOLUÇÃO DE PROBLEMAS

• As configurações listadas na seção "Como Modificar a Configuração Padrão do URLScan" deste artigo especificam a configuração EnableLogging=1 na seção [Options] do arquivo Urlscan.ini. Isso permite que o URLScan mantenha um log de toda a sua atividade. Esse arquivo de log é salvo na mesma pasta do arquivo Urlscan.dll. Se você tiver alguma dificuldade com o FrontPage ou outra funcionalidade do IIS enquanto o URLScan estiver ativado, analise as entradas mais recentes no arquivo de log para obter mais informações sobre quais solicitações estão sendo rejeitadas.
• Se fizer mais alterações no arquivo Urlscan.ini, crie cópias do arquivo existente nomeando-as como Urlscan.001, Urlscan.002 e assim por diante, para que você possa ter um histórico das alterações feitas. Isso ajuda a evitar a perda de boas configurações quando se está tentando implementar novas configurações de segurança.
• Se as alterações feitas no URLScan não tiverem efeito aparente, repita o procedimento para reiniciar os serviços do IIS. Se as alterações ainda assim não tiverem efeito, reinicie o seu servidor da Web.

Para obter informações adicionais sobre como instalar e configurar o utilitário URLScan, clique nos números abaixo para visualizar os artigos na Base de Dados de Conhecimento da Microsoft: