COMO FAZER: Uso do URLScan com o FrontPage 2002

Uso do guia passo a passo para instalar e configurar o utilitário URLScan para o IIS (Internet Information Services) da Microsoft. Você pode fazer download do URLScan no site da MIcrosoft usando os passos neste artigo. Após instalar o URLScan, seu servidor Web ficará mais seguro.

Download e Instalação do URLScan

Para instalar o novo software e conseguir bloquear ou reiniciar os seviços da Web, você precisa estar conectado ao seu servidor de Web. Sendo assim, para instalar o utilitário URLScan, faça log on em seu servidor de Web como administrador, e em seguida siga estes passos:

1. Faça download do utilitário URLScan. Para fazer isto, visite o seguinte site da Web da Microsoft:
   Ferramenta de Segurança URLScan

   (http://www.microsoft.com/Downloads/Release.asp?ReleaseID=32571)
2. Clique em Fazer o Download Agora.
3. Clique em Salvar este programa em disco, e então clique em OK.
4. Escolha sua Área de Trabalho como o local para salvar o arquivo, e em seguida clique em Salvar.
5. Feche seu navegador.
6. Dê um clique duplo no arquivo Urlscan.exe.
7. Leia o Contrato de Licenciamento de Usuário Final (EULA). Se você aceita os termos do EULA, clique e Sim.
8. Quando for solicitado para reiniciar, clique em Sim.
9. Se receber uma mensagem dizendo que sua instalação foi concluída, clique em OK.

Modificação do Arquivo de Configuração Padrão URLScan

Como a configuração padrão para o URLScan pode interferir com a funcionalidade do FrontPage, você precisa fazer alterações que permitam que o FrontPage funcione corretamente e ainda assim negue acesso a arquivos sensíveis ao FrontPage. Estes passos são apenas uma sugestão. Para obter informações adicionais sobre configurações do URLScan, veja a seção "Referências posteriormente neste artigo.

1. Dê um clique com o botão direito do mouse em Iniciar, e então clique em Explorar. Localize a seguinte pasta:
   %windir%\system32\inetsrv\urlscan
   onde%windir% é sua pasta do Windows (por exemplo, C:\Windows ou C:\Winnt).
2. Clique com o botão direito do mouse no arquivo Urlscan.ini, e então clique em Copiar. Clique com o botão direito do mouse na pasta, e então clique em Colar. É criada uma cópia do arquivo chamada Cópia do Urlscan.ini.
3. Dê um clique duplo no arquivo Urlscan.ini. O arquivo abre no Bloco de Notas.
4. Faça as seguintes alterações:
   1. Na seção [opções], configure os seguintes valores:

      [opções]
      UseAllowVerbs=1          ; usa a seção [AllowVerbs]
      UseAllowExtensions=0     ; usa a seção [DenyExtensions]
      NormalizeUrlBeforeScan=1 ; parametriza antes de processar a URL
      VerifyNormalization=1    ; parametriza duas vezes a URL, rejeite na alteração
      AllowHighBitCharacters=0 ; nega os caracteres de bits mais altos (UTF8 ou MBCS)
      AllowDotInPath=0         ; nega pontos no caminho
      EnableLogging=1          ; registra atividades no log
      PerDayLogging=1          ; altera os arquivos de log diariamente
      PerProcessLogging=0      ; não altera os arquivos de log pelo código do processo
      RemoveServerHeader=0     ; não remove o cabeçalho "Server"
      AlternateServerName=
      UseFastPathReject=0      ; usa RejectResponseUrl ou registra as requisições em log
      RejectResponseUrl=
      AllowLateScanning=1      ; permite que o URLScan seja carregado com priridade baixa
      						

   2. Na seção [AllowVerbs], use somente os seguintes valores: Não inclua outros valores.

      [AllowVerbs]
      GET     ; permite o GET (a maioria das requisições de Webs)
      HEAD    ; permite reuisições de HEAD
      OPTIONS ; permite OPTIONS (Pastas Web precisam deste)
      POST    ; permite POST (formulários FPSE e HTML precisam deste)
      						

   3. Na seção [DenyHeaders], use somente os seguintes valores: Não inclua outros valores.

      [DenyHeaders]
      Se:         ; deny (usado com WebDAV)
      Lock-Token: ; deny (usado com WebDAV)
      						

   4. Na seção [DenyExtensions], configure os seguintes valores:

      [DenyExtensions]
      .asa     ; nega arquivos de definição de aplicação de servidor ativo
      .bat     ; nega arquivo de lote
      .btr     ; nega arquivos de dependência do FrontPage
      .cer     ; nega arquivos de certificados x509
      .cdx     ; nega arquivos de definição de canal dinâmico
      .cmd     ; arquivosd batch
      .cnf     ; nega arquivos de metadados do FrontPage
      .com     ; nega aplicações de linha de comando de servidor
      .dat     ; nega arquivos de dados
      .evt     ; nega registros de log do Visualizador de Eventos
      .exe     ; aplicações de linha de comando de servidor
      .htr     ; nega a ferramenta administrativa de HTML lagada do IIS
      .htw     ; nega hit-highlighting do Index Server
      .ida     ; nega a ferramenta de administração de HTML legada do Index Server
      .idc     ; nega os arquivos de consulta de banco de dados legados do IIS
      .inc     ; nega a arquivos de inclusão
      .ini     ; nega arquivos de configuração
      .ldb     ; arquivos de Informações de bloqueio de registro do Microsoft Access
      .log     ; nega arquivos de log
      .pol     ; nega arquivos de políticas
      .printer ; nega Serviços de Impressão de Internet
      .sav     ; nega arquivos de backup do registro
      .shtm    ; nega Inclusões do lado do servidor do IIS
      .shtml   ; nega Inclusões do lado do servidor do IIS
      .stm     ; nega Inclusões do lado do servidor do IIS
      .tmp     ; nega arquivos temporários
      						

   5. Na seção [negaUrlSequences], configure os seguintes valores:

      [negaUrlSequences]
      ..         ; nega cruzamento de diretórios
      ./         ; nega trilha de pontos num nome de diretório
      \          ; nega contrabarras na URL
      :          ; nega acesso de fluxo de mídia alteranada
      %          ; nega escapar após normalização
      &          ; nega múltiplos processos de CGI serem executados numa única requisição
      /fpdb/     ; nega acesso de pesquisa aos arquivos de banco de dados do FrontPage
      /_private  ; nega arquivos privados do FrontPage (frequentemente resultados de formulário)
      /_vti_pvt  ; nega arquivos de configuração de Web do FrontPage
      /_vti_cnf  ; nega arquivos de metadados do FrontPage
      /_vti_txt  ; nega índices e catálogos de texto do FrontPage
      /_vti_log  ; nega arquivos de log de autoriação de FrontPage
      						

   6. Como estas configurações não utilizam as seções [negaVerbs] e [AllowExtensions], nenhuma configuração para estas seções está incluída neste artigo. Para obter informações adicionais sobre estas seções do arquivo de configuração, clique no número abaixo para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
      307608

      (http://support.microsoft.com/kb/307608/PT-BR/ )

      INFO: Disponibilidade da Ferramenta de Segurança URLScan
5. Salve o arquivo, e então feche o Bloco de Notas.

Mudanças na Prioridade do URLScan (Opcional)

A prioridade padrão do utilitário URLScan no IIS é alta. A alta prioridade pode interferir em outros filtros do ISAPI (Internet Server Application Programming Interface) que precisam efetuar tarefas antes do URLScan ser executado. O filtro do ISAPI das Extensões do Servidor do FrontPage (Fpexedll.dll) é um desses filtros. Apesar das informações desta seção explicarem como configurar o URLScan para carregar após o filtro do ISAPI do Fpexedll.dll, você pode adaptar facilmente este procedimento para configurar o URLScan com outros filtros de ISAPI. Para obter mais informações, consulte a documentação do filtro de ISAPI que estiver usando.

NOTA: Antes de concluir o procedimento abaixo, você precisa definir corretamente a configuração AllowLateScanning=1 no arquivo Urlscan.ini para carregar o URLScan como filtro de baixa prioridade. Para fazer isto, siga o procedimento na seção "Modificação do Arquivo de Configuração URLScan Padrão" no início deste artigo.

1. Inicie o Internet Services Manager. Para fazer isto, siga os passos apropriados para a sua versão do IIS:
   • No IIS 4.0:
     1. No menu do Windows Iniciar, aponte para Programas, e depois clique em Windows NT 4.0 Option Pack.
     2. Clique em Microsoft Internet Information Server.
     3. Selecione Internet Service Manager.
   • No IIS 5,0:
     1. No menu Iniciar do Windows, aponte para Programas , e então clique em Ferramentas Administrativas.
     2. Selecione Internet Services Manager.
   • No IIS 5,1:
     1. No menu Iniciar, do Windows clique em Painel de Controle.
     2. Dê um duplo clique em Ferramentas Administrativas.
     3. Dê um clique duplo em Internet Information Services.
2. Clique com o botão direito do mouse em seu servidor, e então clique em Propriedades.
3. Selecione a opção WWW Service master properties, e em seguida clique no botão Editar.
4. Clique na guia Filtros ISAPI.
5. Clique em UrlScan, e em seguida clique no botão Down para mover o UrlScan para baixo de Fpexedll.dll.
6. Clique em OK.
7. Clique em OK novamente.

Reiniciar o IIS para Atualizar o URLScan

Quando o IIS iniciar, o URLScan é carregado na memória e lê as configurações no arquivo Urlscan.ini. Por isso, você precisa reiniciar o IIS para que as novas definições das configurações entrem em execução. Para fazer isto, siga os passos apropriados para a sua versão do IIS:

• No IIS 4.0:
  1. No prompt de comando, digite o seguinte comando:
     NET STOP "IIS Admin Service" /Y
  2. Se você vê diversos serviços dependentes listados enquanto estão bloqueados, anote os nomes para poder reiniciar estes serviços posteriormente.
  3. Quando você ver a seguinte mensagem
     O serviço IIS Admin Service foi interrompido com êxito.
     reinicie cada serviço IIS pelo nome. Para fazer isto, digite os seguintes comandos no prompt de comando, pressionando ENTER após cada linha:
     NET START "World Wide Web Publishing Service"
     NET START "Simple Mail Transport Protocol (SMTP)"
     NET START "FTP Publishing Service"
  4. Saia do prompt de comando
• No IIS 5,0:
  1. Clique com o botão direito do mouse em Meu Computador , e em seguida clique em Reiniciar IIS.
  2. Clique em Reiniciar Serviços de Internet emSeu Computador.
  3. Clique em OK.
• No IIS 5,1:
  1. Clique com o botão direito do mouse em Meu Computador aponte para Todas as Tarefas, e em seguida clique em Reiniciar IIS.
  2. Clique em Reiniciar Serviços de Internet emSeu Computador.
  3. Clique em OK.

Para obter mais informações sobre reiniciar os serviços IIS, clique no número de artigo abaixo para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:

SOLUÇÃO DE PROBLEMAS

• As configurações listadas na seção "Modificação da Configuração do URLScan Padrão" anteriormente neste artigo especificam a configuração EnableLogging=1 na seção [Options] do arquivo Urlscan.ini. Isto permite que o URLScan mantenha um registro do funcionamento de toda a atividade do URLScan. Este arquivo de registro é salvo na mesma pasta do arquivo Urlscan.dll. Se encontrar qualquer dificuldade com o FrotnPage ou outra funcionalidade enquanro o URLScan é habilitado, examine as entradas mais recentes no arquivo de registro para obter informações sobre que requisições estão sendo rejeitadas.
• Se fizer alterações posteriores no arquivo Urlscan.ini, crie cópias no arquivo Urlscan.ini nomeando os arquivos Urlscan.001, Urlscan.002, e assim por diante, para ficar com um histórico das alterações que você fez. Isto ajuda a evitar a perda de uma boa configuração ao tentar implementar uma nova configuração de segurança.
• Se as alterações que você fez ao URLScan não parecem ter efeito, repita o procedimento para reiniciar os serviços de ISS. Se as alterações ainda não fizerem efeito, reinicie seu servidor de Web.

Para obter informações adicionais sobre instalação e configuração do utilitário URLScan, clique nos números abaixo para visualizar os artigos na Base de Dados de Conhecimento da Microsoft: