Jak nakonfigurovat nástroj URLScan

Překlady článku Překlady článku
ID článku: 326444 - Produkty, které se vztahují k tomuto článku.
Důrazně doporučujeme, aby všichni uživatelé upgradovat Internetová informační služba (IIS) verze 7.0 systémem Microsoft Windows Server 2008. IIS 7.0 výrazně zvyšuje zabezpečení webové infrastruktury. Další informace o tématech souvisejících se zabezpečením Internetové informační služby naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Další informace o službě IIS 7.0 naleznete na následujícím webu:
http://www.iis.net/default.aspx?tabid=1
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento podrobný článek vysvětluje, jak nakonfigurovat nástroj URLScan chránit před útoky a software serveru.

Nainstalovat URLScan

Chcete-li nainstalovat URLScan, navštivte následující Microsoft Developer Network (MSDN) webu:
http://msdn2.microsoft.com/en-us/library/aa302368.aspx
Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
307608Pomocí URLScan na IIS

Upravte soubor URLScan.ini

Všechny konfigurace URLScan provedena prostřednictvím URLScan.ini soubor, který je umístěn ve složce %WINDIR%\System32\Inetsrv\URLscan. Konfigurovat URLScan otevřít tento soubor v textovém editoru, jako je například Poznámkový blok, proveďte příslušné změny a uložte soubor.

Poznámka: Internetová informační služba (IIS) pro změny se projeví po restartování. Můžete to rychle provést jeden způsob je příkazového řádku spusťte příkaz IISRESET.

Soubor URLScan.ini obsahuje následující oddíly:
  • [Možnosti]: Tato část popisuje obecné možnosti URLScan.
  • [AllowVerbs] a [DenyVerbs]: Tato část definuje slovesa (známé také jako metody HTTP), který umožňuje URLScan.
  • [DenyHeaders]: Tato část uvádí záhlaví HTTP nejsou povoleny v požadavku HTTP. Pokud požadavek HTTP obsahuje jeden záhlaví HTTP, které jsou uvedeny v této části, URLScan požadavek odmítne.
  • [AllowExtensions] a [DenyExtensions]: Tato část definuje přípony názvů souborů, které povoluje URLScan.
  • [DenyURLSequences]: této části jsou uvedeny řetězce, které nejsou povoleny v HTTP požadavek. URLScan odmítne požadavky HTTP, které obsahují řetězec, který se zobrazí v této části.
Každý oddíl budou popsány podrobněji v tomto dokumentu.

Oddíl [Options]

V oddílu [Options] můžete konfigurovat počet možností URLScan. Každý řádek v této části má následující formát:
OptionName= OptionValue
Dostupné možnosti a jejich výchozí hodnoty jsou následující:
  • UseAllowVerbs = 1

    Ve výchozím nastavení je tato možnost nastavena na 1. Pokud tato možnost nastavena na 1, povolí URLScan pouze požadavky HTTP použít slovesa jsou uvedeny v části [AllowVerbs]. URLScan blokuje požadavky, které nepoužívají tyto slovesa. Tato možnost nastavena na 0, URLScan ignoruje oddílu [AllowVerbs] a místo toho blokuje pouze požadavky použít slovesa, které jsou uvedeny v části [DenyVerbs].
  • UseAllowExtensions = 0

    Ve výchozím nastavení je tato možnost nastavena na 0. Pokud tato možnost nastavena na 0, URLScan blokuje požadavky přípon souborů, které jsou uvedeny v části [DenyExtensions], ale umožňuje požadavky jakékoli jiné přípony názvů souborů. Tato možnost nastavena na 1, URLScan povoluje pouze požadavky na soubory s příponami, které jsou uvedeny v části [AllowExtensions] a blokuje požadavky pro jiné soubory.
  • NormalizeUrlBeforeScan = 1

    Přijetí požadavků, které jsou kódované URL. To znamená, že se znakem procenta (%) následovaný konkrétní číslo může být nahrazen určité znaky. Například % 20 odpovídá místa, takže požadavek http://myserver/My%20Dir/My%20File.htm je stejné jako požadavek http://myserver/My Dir/My File.htm. Normalizace je proces dekódování žádosti s kódováním URL. Ve výchozím nastavení je tato možnost nastavena na 1. Pokud je možnost NormalizeUrlBeforeScan nastavena na 1, analyzuje URLScan dekódovanou požadavek. Pokud je nastavena na 0, analyzuje URLScan undecoded požadavek. Nastavení této možnosti 0 hinders schopnost URLScan blokuje určité typy útoků.
  • VerifyNormalization = 1

    Protože znak procenta (%) samotné může být URL kódované, může útočník odeslat pečlivě vytvořený požadavek na server je podstatě dvojité kódováním. Pokud k tomu dojde, IIS může přijmout požadavek jinak odmítnout jako není platný. Ve výchozím nastavení je tato možnost nastavena na 1. Pokud je možnost VerifyNormalization nastavena na 1, URLScan normalizuje adresu dvakrát. Pokud po druhé normalizace je odlišné od adresu URL po první normalizace, URLScan požadavek odmítne. Tím zabráníte útoky spoléhají na dvojité kódované požadavky.
  • AllowHighBitCharacters = 0

    Ve výchozím nastavení je tato možnost nastavena na 0. Pokud tato možnost nastavena na 0, odmítne URLScan požadavky, které obsahují znaky ASCII. To může zabránit určité typy útoků, ale může také blokovat mimo požadavky určitých legitimní soubory, například soubory s názvy neanglické.
  • AllowDotInPath = 0

    Ve výchozím nastavení je tato možnost nastavena na 0. Pokud tato možnost nastavena na 0, URLScan odmítne požadavek, který obsahuje více teček (.). Tím zabráníte pokusy vložíte bezpečné příponu cestu informace nebo dotazu řetězec část URL Maskujte požadavky nebezpečných přípon. Například pokud tato možnost nastavena na 1, URLScan může povolit požadavek http://servername/BadFile.exe/SafeFile.htm protože thinks jej je požadavek stránky HTML, pokud je ve skutečnosti požadavek pro soubor (.exe) s názvem stránky HTML v oblasti PATH_INFO. Tato možnost nastavena 0, URLScan může také odmítnout požadavky u adresářů obsahujících období.
  • RemoveServerHeader = 0

    Výchozí server WWW vrací záhlaví identifikuje jaký software webového serveru je spuštěna v všechny odpovědi. Chybu zabezpečení serveru to můžete zvýšit, protože útočník může určit spuštěné na serveru IIS a potom útoku známé problémy s IIS namísto pokusu o napadení serveru IIS pomocí softwaru, které jsou navrženy pro jiných webových serverech. Ve výchozím nastavení je tato možnost nastavena na 0. Pokud nastavíte možnost RemoveServerHeader 1, zabránit serveru v odesílání záhlaví, které označuje jako IIS server. Pokud RemoveServerHeader nastavena na 0, bude toto záhlaví stále odeslána.
  • AlternateServerName =(not specified by default)

    Pokud RemoveServerHeader nastavena na 0, můžete zadat řetězec v AlternateServerName možnost určit, co bude předán v záhlaví server. RemoveServerHeader nastavena na 1, tato možnost je ignorována.
  • EnableLogging = 1

    Ve výchozím nastavení ponechá URLScan dokončení protokolu všechny Blokované požadavky v % WINDIR%\System32\Inetsrv\URLScan. EnableLogging můžete nastavit na 0, pokud nechcete zachovat tohoto protokolu.
  • PerProcessLogging = 0

    Ve výchozím nastavení je tato možnost nastavena na 0. Pokud tato možnost nastavena na 1, vytvoří URLScan samostatné protokolu pro každý proces hostí URLScan.dll. Pokud je nastavena na 0, všechny procesy protokolu do stejného souboru.
  • PerDayLogging = 1

    Ve výchozím nastavení je tato možnost nastavena na 1. Pokud je nastavena hodnota 1, URLScan vytvoří nový soubor protokolu každý den. Každý soubor protokolu nazvaný Urlscan MMDDYY .log, kde MMDDYY je datum souboru protokolu. Pokud tato hodnota nastavena na 0, všechny protokolování uloženy ve stejném souboru bez ohledu na datum.
  • AllowLateScanning = 0

    Ve výchozím nastavení je tato možnost nastavena na 0. Pokud tato možnost nastavena na 0, spustí URLScan jako filtr s vysokou prioritou, což znamená provede před libovolné jiné Application Programming Interface ISAPI (Internet Server) filtry, které jsou nainstalovány na serveru. Pokud tato možnost nastavena na 1, spustí URLScan jako filtr s nízkou prioritou, takže jiné filtry můžete změnit adresu, před URLScan provádí veškeré analýzy. Rozšíření FPSE (FrontPage Server Extensions) vyžaduje tuto možnost nastavíte na 1.
  • RejectResponseUrl =(not specified by default)

    Tato možnost určuje virtuální cestu k souboru, která se spouští při URLScan blokuje požadavek. Umožňuje přizpůsobit odpovědi odeslané klientovi Blokované požadavky. RejectResponseUrl musíte zadat jako virtuální cestu k příslušnému souboru, jako například /Path/To/RejectResponseHandler.asp. Můžete určit soubor URLScan obvykle blokuje, například stránky Active Server Pages (ASP). Můžete také použít následující proměnné server ze stránky:
    • HTTP_URLSCAN_STATUS_HEADER: Určuje, proč byl zablokován požadavek.
    • HTTP_URLSCAN_ORIGINAL_VERB: Určuje toto sloveso původní z blokovaných požadavku (například GET, POST, HEAD nebo DEBUG).
    • HTTP_URLSCAN_ORIGINAL_URL: to Určuje původní URL z blokovaných požadavek.
    Nastavit RejectResponseUrl zvláštní hodnotu / ~ *, URLScan používá režimu pouze pro protokolování. To umožňuje služba IIS obsluhovala všechny požadavky, ale přidá položku do protokolu URLScan požadavků, které jsou obvykle blokovány. To je užitečné, pokud chcete testovat vaše URLScan.ini souboru.

    Pokud nezadáte hodnotu RejectResponseUrl, URLScan použije výchozí hodnotu /<Rejected-By-UrlScan>.

  • UseFastPathReject = 0

    Ve výchozím nastavení je tato možnost nastavena na 0. Pokud tato možnost nastavena na 1, URLScan ignoruje nastavení RejectResponseUrl a okamžitě vrátí chybu 404 zprávu do prohlížeče. Toto je rychlejší než zpracování RejectResponseUrl, ale nepovoluje tolik možností protokolování. Pokud tato možnost nastavena na 0, použije URLScan RejectResponseUrl nastavení ke zpracování požadavku.

[AllowVerbs] a [DenyVerbs] sekcí

Oddíly [AllowVerbs] a [DenyVerbs] definovat akce protokolu HTTP (metody), který umožňuje URLScan. Běžné akce protokolu HTTP patří GET, POST, HEAD a PUT. Ostatní aplikace, jako například FPSE a protokol WebDAV (Web Distributed Authoring and Versioning) (WebDAV) použít další slovesa.

[AllowVerbs] a [DenyVerbs] oddíly mají stejnou syntaxi. Jejich provedené nahoru seznamu HTTP slovesa a každý sloveso zobrazí na vlastním řádku.

URLScan rozhodne, která část použít na základě hodnoty v oddílu [Options] možností UseAllowVerbs. Ve výchozím nastavení je tato možnost nastavena na 1. Pokud UseAllowVerbs nastavena na 1, povolí URLScan pouze požadavky použít slovesa jsou uvedeny v části [AllowVerbs]. Požadavek, který nepoužívá jeden z těchto sloves zamítnut. V tomto případě oddíl [DenyVerbs] je ignorována.

Pokud UseAllowVerbs nastavena na 0, URLScan odepře požadavků použít slovesa, které jsou výslovně uvedeny v části [DenyVerbs]. Požadavky, použít slovesa nezobrazí v této části jsou povoleny. V tomto případě ignoruje URLScan oddílu [AllowVerbs].

Oddíl [DenyHeaders]

Pokud klient požádá o stránku z webového serveru, odešle ji obvykle přes některé záhlaví HTTP, které obsahují další informace o požadavku. Běžné záhlaví HTTP patří:
  • Hostitele:

    Toto záhlaví obsahuje název serveru.
  • Přijmout:

    Toto záhlaví definuje typy souborů, které klient může zpracovat.
  • Agent uživatele:

    Toto záhlaví obsahuje název prohlížeč požaduje stránku.
  • Autorizace:

    Toto záhlaví definuje metody ověřování klient podporuje.
Klienti může odeslat jiné záhlaví serveru zadat další informace.

V oddílu [DenyHeaders] definovat záhlaví HTTP URLScan odmítne. Pokud URLScan obdrží požadavek obsahuje hlavičku, která je uvedena v této části, odmítne požadavek. Tato část je tvořena seznamu HTTP záhlaví s každé záhlaví zobrazování na samostatném řádku. Názvy záhlaví musí následovat dvojtečka (:) (například název hlavičky:).

[AllowExtensions] a [DenyExtensions] sekcí

Většina souborů mají příponu názvu souboru, který identifikuje druh souboru jsou. Názvy souborů pro Word dokumenty obvykle end .doc, názvy souborů HTML obvykle končit htm nebo HTML a názvy souborů ve formátu prostého textu obvykle končit txt. Oddíly [AllowExtensions] a [DenyExtensions] umožňují definovat rozšíření bude blokovat URLScan. Můžete například nakonfigurovat URLScan odmítnout požadavky na soubory EXE webové uživatelům zabránit v provádění aplikací v systému.

[AllowExtensions] a [DenyExtensions] oddíly mají stejnou syntaxi. Tyto jsou tvořeny z seznam přípon souborů a každé rozšíření se zobrazí na samostatném řádku. Přípona začíná období (.) (například .ext).

URLScan rozhodne, která část použít na základě hodnoty v oddílu [Options]UseAllowExtensions. Ve výchozím nastavení je tato možnost nastavena na 0. Pokud UseAllowExtensions nastavena na 0, URLScan pouze odepře požadavky pro soubor při přípony názvů, které jsou uvedeny v části [DenyExtensions]. Jsou povoleny všechny přípony názvů souborů, které nejsou uvedeny v této části. Oddíl [AllowExtensions] je ignorována.

Pokud UseAllowExtensions nastavena na 1, URLScan odepře požadavky jakýkoli soubor přípony názvů, které nejsou výslovně uvedeny v části [AllowExtensions]. Jsou povoleny pouze požadavky pro příponu souboru, který je uveden v této části. Oddíl [DenyExtensions] je ignorována.

Další informace o konfiguraci URLScan povolit požadavky na soubory, které nemají rozšíření klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
312376Jak konfigurovat URLScan povolit požadavky s null rozšíření IIS

Oddíl [DenyUrlSequences]

Můžete nakonfigurovat URLScan blokování žádostí, které obsahují určité posloupnosti znaků v adrese URL. Můžete například blokovat požadavky obsahovat dvě po sobě jdoucí tečky (.), často používané s zneužití využít chyby zabezpečení funkce traversal adresáře. Určit posloupnost znaků blokování umístit pořadí na řádku samostatně v oddílu [DenyUrlSequences].

Všimněte si, že přidání sekvence znaků může nepříznivě ovlivnit Outlook Web Access (OWA) pro Microsoft Exchange. Při otevření zprávy z OWA řádek Předmět zprávy obsažené v URL požadované ze serveru. Protože soubor URLScan.ini blokuje požadavky, které obsahují znak procenta (%) a znak ampersand (&), uživatelé 404 chybová zpráva při pokusu o otevření zprávy s předmětem, jako například "Prodej zvýšit 100 %" nebo "Petr & Sue jsou přicházejících do města". Chcete-li tento problém vyřešit, můžete odebrat z těchto číselných řadOddíl [DenyUrlSequences]. Poznámka: To snižuje zabezpečení protože potenciálně umožňuje ničivého požadavky k dosažení serveru.

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
325965Nástroj URLScan způsobuje potíže v aplikaci Outlook Web Access (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

Konfigurovat pro použití s aplikací IIS závislé URLScan

Aplikace například Exchange, FPSE a Microsoft Visual Studio .NET pro správnou funkčnost závisí na IIS. Pokud nenakonfigurujete URLScan správně, mohou tyto aplikace přestat fungovat správně.

Další informace o konfiguraci URLScan pracovat tyto aplikace klepněte na následující čísla následujících článcích databáze Microsoft Knowledge Base:
309508Konfigurace nástrojů IIS Lockdown a URLScan v prostředí serveru Exchange (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)
309394Jak používat URLScan FrontPage 2000
318290Jak používat URLScan FrontPage 2002
310588Sada toolkit zabezpečení konce ladění ASP.NET v aplikaci Visual Studio .NET

Další informace

Pokud urlscan.ini neexistuje ve složce %WINDIR%\System32\Inetsrv\URLscan, klient obdrží odpověď chybu 404. Chcete-li tento problém vyřešit, soubor urlscan.ini obnovit ze zálohy nebo zkopírujte soubor urlscan.ini z identické serveru.

Odkazy

Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
325864Jak nainstalovat a používat Průvodce uzamčením služby IIS

Vlastnosti

ID článku: 326444 - Poslední aktualizace: 7. července 2008 - Revize: 6.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
Klíčová slova: 
kbmt kbhowtomaster KB326444 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:326444

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com