כיצד לקבוע את תצורת הכלי URLScan

תרגומי מאמרים תרגומי מאמרים
Article ID: 326444 - View products that this article applies to.
אנו ממליצים לכל המשתמשים לשדרג אל Microsoft Internet Information Services (IIS) גירסה 7.0 פועל Microsoft Windows Server 2008. IIS 7.0 מגדיל באופן משמעותי את אבטחת תשתית האינטרנט. לקבלת מידע נוסף אודות נושאים הקשורים לאבטחה של IIS, בקר באתר האינטרנט הבא של Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
לקבלת מידע נוסף אודות IIS 7.0, בקר באתר האינטרנט הבא של Microsoft:
http://www.iis.net/default.aspx?tabid=1
הרחב הכל | כווץ הכל

On This Page

תקציר

מאמר זה מסביר כיצד להגדיר הכלי URLScan כדי להגן על שרת האינטרנט שלך מפני תקיפות ו תוכנות המנצלות לרעה.

התקנת הכלי URLScan

כדי להתקין את הכלי URLScan, בקר המפתח הבאות של Microsoft אתר האינטרנט של הרשת (MSDN):
http://msdn2.microsoft.com/en-us/library/aa302368.aspx
לקבלת מידע נוסף, לחץ על מספרי המאמרים הבאים כדי להציג מאמרים מתוך מאגר הידע Microsoft Knowledge Base:
307608שימוש ב- URLScan ב- IIS

לשנות את הקובץ URLScan.ini

כל הגדרות התצורה של URLScan מתבצע באמצעות URLScan.ini קובץ, הממוקמת בתיקיה %WINDIR%\System32\Inetsrv\URLscan. כדי לקבוע את תצורת הכלי URLScan, לפתוח קובץ זה בעורך טקסט כגון פנקס רשימות, להפוך מתאים את השינויים ולאחר מכן שמור את הקובץ.

הערה עליך להפעיל מחדש את Internet Information Services (IIS) עבור שלך השינויים ייכנסו לתוקף. באפשרותך לעשות זאת במהירות דרך אחת היא להפעיל את הפקודה IISRESET בשורת הפקודה.

קובץ URLScan.ini כולל את הסעיפים הבאים:
  • [אפשרויות]: סעיף זה מתאר את אפשרויות הכלי URLScan כלליות.
  • [AllowVerbs] ו [DenyVerbs]: סעיף זה מגדיר את הפעלים (המכונה גם שיטות HTTP) אשר URLScan מתיר.
  • [DenyHeaders]: סעיף זה מפרט כותרות HTTP בלתי מורשות בקשת HTTP. אם בקשת HTTP מכיל אחד של כותרות HTTP שהם המפורטים בסעיף זה, URLScan דוחה את הבקשה.
  • [AllowExtensions] ו [DenyExtensions]: סעיף זה מגדיר סיומות שם קובץ זה URLScan מאפשר.
  • [DenyURLSequences]: סעיף זה מפרט מחרוזות אסורים ב- HTTP הבקשה. URLScan דוחה בקשות HTTP המכילות מחרוזת המופיע ב סעיף זה.
כל מקטע יתוארו בפירוט רב יותר זו המסמך.

המקטע [אפשרויות]

במקטע [Options] , באפשרותך להגדיר מספר אפשרויות URLScan. כל שורה סעיף זה כולל את התבנית הבאה:
OptionName=OptionValue
האפשרויות הזמינות וערכי ברירת המחדל שלהם הם כדלהלן:
  • UseAllowVerbs = 1

    כברירת מחדל, אפשרות זו מוגדרת ל- 1. אם אפשרות זו מוגדר כ- 1, URLScan מתירה רק בקשות HTTP המשתמשות פעלים המפורטים במקטע [AllowVerbs] . URLScan תחסום בקשות שאינם משתמשים אלה הפעלים. אם אפשרות זו מוגדרת ל- 0, URLScan מתעלם המקטע [AllowVerbs] , וחוסמת במקום זאת רק בקשות המשתמשות הפעלים שהם המפורטות במקטע [DenyVerbs] .
  • UseAllowExtensions = 0

    כברירת מחדל, אפשרות זו מוגדרת ל- 0. אם אפשרות זו הגדר לבקשות 0, URLScan בלוקים סיומות שמות הקבצים המופיעים ברשימה המקטע [DenyExtensions] , אך בקשות להיתרים עבור כל קובץ אחר שם הרחבות. אם אפשרות זו מוגדרת ל- 1, URLScan מתירה רק בקשות עבור קבצים עם הרחבות המפורטות במקטע [AllowExtensions] , ואת אותו חוסמת בקשות לקבצים אחרים.
  • NormalizeUrlBeforeScan = 1

    IIS מקבל בקשות URL מקודד. משמעות הדבר היא ייתכן כי יוחלפו בתווים מסוימים עם סימן אחוז (%) ואחריו מספר מסוים. לדוגמה, % 20 מתאים לשטח, כך בקשה http://myserver/My%20Dir/My%20File.htm זהה בקשה http://myserver/My File.htm שלי/Dir. נרמול הוא התהליך של פענוח בקשות מקודד ה-URL. כברירת מחדל, אפשרות זו מוגדרת ל- 1. אם האפשרות NormalizeUrlBeforeScan מוגדר כ- 1, URLScan מנתחת את הבקשה לפענח. אם אותו מוגדר כ- 0, URLScan מנתחת את הבקשה undecoded במקום זאת. הגדרה זו אפשרות ל- 0 מעכבת את היכולת של URLScan לחסום סוגים מסוימים של התקפות.
  • VerifyNormalization = 1

    מאחר אחוז לחתום (%) עצמו יכול להיות כתובת URL מקודדים, תוקף יכול לשלוח בקשה בעלת מבנה בקפידה לשרת בו הוא ביסודו של דבר כפול מקודד. במקרה זה, ייתכן IIS מקבל בקשה אותו לדחות אחרת לא חוקית. כברירת מחדל, אפשרות זו מוגדרת ל- 1. אם האפשרות VerifyNormalization מוגדר כ- 1, URLScan normalizes כתובת ה-URL פעמיים. אם כתובת URL לאחר נירמול הראשון הוא שונה מכתובת ה-URL לאחר השני נרמול, URLScan דוחה את הבקשה. פעולה זו מונעת התקפות המסתמכים על בקשות מקודדת כפול.
  • AllowHighBitCharacters = 0

    כברירת מחדל, אפשרות זו מוגדרת ל- 0. אם אפשרות זו הגדר כ- 0, URLScan דוחה בקשות המכילים תווים שאינם תווי ASCII. פעולה זו ניתן למנוע התקפות מסוגים מסוימים, אך היא עלולה לחסום גם בקשות עבור לגיטימיות קבצים מסוימים, כגון קבצים בעלי שמות שאינם באנגלית.
  • AllowDotInPath = 0

    כברירת מחדל, אפשרות זו מוגדרת ל- 0. אם אפשרות זו הגדר כ- 0, URLScan דוחה כל בקשה המכילה מספר נקודות (.). פעולה זו מונע ניסיונות להסוות בקשות עבור סיומות שמות קבצים מסוכנים על-ידי מוסיף סיומת שם קובץ בטוח מחרוזת מידע או שאילתה של נתיב החלק של כתובת ה-URL. לדוגמה, אם אפשרות זו מוגדרת ל- 1, URLScan ייתכן אפשר בקשה http://servername/BadFile.exe/SafeFile.htm מכיוון שהוא מניח הוא לבקשת דף HTML, כאשר הוא למעשה בקשה קובץ הפעלה (.exe) עם השם של דף HTML באזור PATH_INFO. כאשר אפשרות זו מוגדרת 0, URLScan עלולה גם למנוע בקשות עבור ספריות אשר מכיל נקודות.
  • RemoveServerHeader = 0

    כברירת מחדל, שרת האינטרנט מחזיר כותרת אשר מזהה אילו תוכנות שרת האינטרנט פועל בכל התגובות. אפשרות זו הגדלת הפגיעות השרת מאחר תוקף יכול לבדוק השרת פועל IIS ולאחר מכן התקפה מוכרות בעיות IIS, במקום לנסות תקיפת שרת IIS באמצעות תוכנות המנצלות לרעה את שתוכננו עבור שרתי אינטרנט אחרים. כברירת מחדל, אפשרות זו מוגדרת ל- 0. אם תגדיר את האפשרות RemoveServerHeader ל- 1, באפשרותך למנוע השרת שלך לשלוח הכותרת אשר המזהה אותו כשרת IIS. אם תגדיר RemoveServerHeader ל- 0, כותרת זו עדיין נשלחת.
  • AlternateServerName = (לא צוין כברירת מחדל)

    אם RemoveServerHeader מוגדר כ- 0, באפשרותך לציין מחרוזת באפשרות AlternateServerName כדי לציין מה יועברו בחזרה בכותרת העליונה של השרת. אם RemoveServerHeader מוגדר כ- 1, המערכת מתעלמת אפשרות זו.
  • EnableLogging = 1

    כברירת מחדל, הכלי URLScan שומר יומן רישום מלא של כל נחסם בקשות ב- % WINDIR%\System32\Inetsrv\URLScan. באפשרותך להגדיר EnableLogging ל- 0 אם אין ברצונך לשמור יומן רישום זה.
  • PerProcessLogging = 0

    כברירת מחדל, אפשרות זו מוגדרת ל- 0. אם אפשרות זו מוגדר כ- 1, URLScan יוצר יומן רישום נפרדים עבור כל תהליך המארח URLScan.dll. אם הוא מוגדר כ- 0, כל יומן רישום של תהליכים באותו קובץ.
  • PerDayLogging = 1

    כברירת מחדל, אפשרות זו מוגדרת ל- 1. אם ערך זה הוא מוגדר כ- 1, URLScan יוצר קובץ יומן רישום חדש כל יום. בשם כל קובץ יומן רישום Urlscan.MMDDYYה-. log, בוMMDDYY הוא התאריך של קובץ יומן הרישום. אם ערך זה הוא הגדר כ- 0, כל רישום נשמר באותו קובץ, בלי קשר של תאריך.
  • AllowLateScanning = 0

    כברירת מחדל, אפשרות זו מוגדרת ל- 0. אם אפשרות זו URLScan מוגדרת ל- 0, פועל כמסנן בעדיפות גבוהה, כלומר שהיא מבצעת לפני כל אחרים שרת יישום תיכנות ממשק אינטרנט (ISAPI) המסננים המותקנים בשרת. אם אפשרות זו מוגדרת ל- 1, URLScan פועל כמסנן בעדיפות נמוכה, כך מסננים אחרים יכולים לשנות את כתובת ה-URL לפני URLScan מבצע ניתוח כלשהו. הדבר מחייב הרחבות השרת של FrontPage (FPSE) אפשרות להגדיר ל- 1.
  • RejectResponseUrl = (לא צוין כברירת מחדל)

    אפשרות זו מציינת את הנתיב הווירטואלי בקובץ זה מופעל כאשר URLScan תחסום בקשה. פעולה זו מאפשרת לך להתאים אישית את התגובה אשר נשלחת ללקוח עבור בקשות חסומים. עליך לציין RejectResponseUrl בשם נתיב וירטואלי לקובץ המתאים, כגון / Path/To/RejectResponseHandler.asp. באפשרותך לציין קובץ זה URLScan בדרך כלל בלוקים, כגון דף של Active Server Pages (ASP). באפשרותך גם להשתמש משתני שרת הבאות מתוך הדף:
    • HTTP_URLSCAN_STATUS_HEADER: ציון מדוע נחסם את הבקשה.
    • HTTP_URLSCAN_ORIGINAL_VERB: תכונה זו מציינת את הפועל המקורי מהבקשה חסומים (עבור לדוגמה, GET, הצבה, ראש או איתור באגים).
    • HTTP_URLSCAN_ORIGINAL_URL: תכונה זו מציינת את כתובת ה-URL המקורי מתוך חסומים הבקשה.
    אם תגדיר RejectResponseUrl לערך מיוחדת של / ~ *, URLScan משתמשת במצב רישום בלבד. פעולה זו מאפשרת IIS כך שישרת את כל בקשות, אך הוא מוסיף ערך ליומן URLScan עבור כל בקשות בדרך כלל חסומה. אפשרות זו שימושית אם ברצונך מחשב URLScan.ini שלך קובץ.

    אם לא תציין ערך עבור RejectResponseUrl, URLScan תשתמש בערך ברירת המחדל של /<Rejected-By-UrlScan></Rejected-By-UrlScan>.

  • UseFastPathReject = 0

    כברירת מחדל, אפשרות זו מוגדרת ל- 0. אם אפשרות זו מוגדר כ- 1, URLScan מתעלם בהגדרה RejectResponseUrl ומחזירה מיד הודעה שגיאה 404 דפדפן. זוהי מהיר יותר עיבוד RejectResponseUrl, אך אינו מתיר כמה אפשרויות רישום. אם אפשרות זו הוא מוגדר כ- 0, נעשה שימוש URLScan RejectResponseUrl הגדרת לעבד את הבקשה.

[AllowVerbs] ו [DenyVerbs]

הגדר המקטעים [AllowVerbs] ו [DenyVerbs] פעלים HTTP (המכונה גם שיטות) אשר URLScan מתיר. פעלים HTTP נפוצים כוללים, הצבה, ראש, העלאה והורדה. אחרים יישומים, כגון FPSE מבוזרת עריכת אינטרנט ואת ניהול גירסאות (WebDAV), להשתמש בפעלים נוספים.

[AllowVerbs] ומקטעים [DenyVerbs] להיות באותו התחביר. הן מורכבות של רשימה של HTTP פעלים, הפועל בכל מופיעה בשורה משלה.

URLScan מחליט אילו מקטע לשימוש בהתבסס על הערך של האפשרות UseAllowVerbs במקטע [Options] . כברירת מחדל, אפשרות זו מוגדרת ל- 1. אם UseAllowVerbs מוגדר כ- 1, URLScan מתירה רק בקשות המשתמשות את הפעלים המפורטות במקטע [AllowVerbs] . בקשה שאינה משתמשת באחד פעלים אלה הוא נדחה. במקרה זה, אין התייחסות המקטע [DenyVerbs] .

אם UseAllowVerbs מוגדר כ- 0, URLScan דוחה בקשות המשתמשות הפעלים שהם רשום באופן מפורש במקטע [DenyVerbs] . כל בקשות המשתמשות פעלים שאינם מופיעים זו מקטע מותר. במקרה זה, URLScan מתעלם המקטע [AllowVerbs] .

המקטע [DenyHeaders]

כאשר לקוח מבקש דף משרת אינטרנט, הוא בדרך כלל שולחת מעל כמה כותרות HTTP המכילות מידע נוסף אודות הבקשה. כותרות HTTP נפוצות כוללות:
  • מחשב מארח:

    כותרת זו מכילה את השם של שרת האינטרנט.
  • קבל:

    כותרת זו מגדירה את סוגי הקבצים שניתן הלקוח נקודת האחיזה.
  • סוכן משתמש:

    כותרת זו מכיל את השם של הדפדפן אשר מבקש את העמוד.
  • ההרשאות:

    כותרת זו מגדירה את שיטות האימות בה הלקוח תומך.
לקוחות ישלחו לשרת כדי לציין כותרות אחרות מידע נוסף.

במקטע [DenyHeaders] , באפשרותך להגדיר כותרות HTTP URLScan ידחה. אם URLScan מקבל בקשה המכילה כותרת כלשהי המופיעה זו מקטע, הוא דוחה את הבקשה. סעיף זה מורכב רשימה של HTTP כותרות, עם כל כותרת מופיע בשורה משלה. חייב להיות שמות מקוצרים של כותרות ואחריה נקודתיים (:) (לדוגמה, שם כותרת:).

[AllowExtensions] ו [DenyExtensions]

רוב הקבצים בעלי סיומת שם קובץ המזהה את סוג קובץ שהם. לדוגמה, שמות קבצים עבור מסמכי Word מסתיימות בדרך כלל . doc, שמות קובץ HTML מסתיימות בדרך כלל. htm או. html ושמות הקובץ טקסט רגיל בדרך כלל מסתיימים ב-. txt. הסעיפים [AllowExtensions] ו [DenyExtensions] מאפשר לך להגדיר סיומות של URLScan יחסום. לדוגמה, באפשרותך לקבוע תצורה של URLScan לדחות בקשות עבור קבצי .exe כדי למנוע ממשתמשים אינטרנט להפעיל יישומים במערכת שלך.

שניהם [AllowExtensions] ו [DenyExtensions] להיות באותו התחביר. הן מורכבות של רשימה של קבצים סיומות שמות, כל הרחבה מופיעה בשורה משלה. הסיומת מתחיל עם נקודה (.) (לדוגמה, .ext).

URLScan מחליט אילו מקטע לשימוש בהתבסס על הערך של UseAllowExtensions במקטע [Options] . כברירת מחדל, אפשרות זו מוגדרת ל- 0. אם UseAllowExtensions מוגדר כ- 0, URLScan דוחה בקשות עבור שם קובץ בלבד הרחבות המפורטות במקטע [DenyExtensions] . כל סיומות שמות קבצים אינם מופיעים ברשימה זו מקטע מותר. המערכת תתעלם המקטע [AllowExtensions] .

אם UseAllowExtensions מוגדר כ- 1, URLScan דוחה בקשות עבור כל קובץ סיומות לא במפורש המפורטות במקטע [AllowExtensions] . בקשות רק עבור קובץ שם ההרחבה המופיעה מקטע זה אסורה. המערכת תתעלם המקטע [DenyExtensions] .

לקבלת מידע נוסף אודות אופן קביעת התצורה של URLScan כדי לאפשר בקשות עבור קבצים שאינם כוללים סיומת, לחץ על מספר המאמר שלהלן כדי להציג את המאמר ב- מתוך Microsoft Knowledge Base:
312376כיצד לקבוע את תצורת הכלי URLScan כדי לאפשר בקשות עם סיומת null ב- IIS

המקטע [DenyUrlSequences]

באפשרותך לקבוע תצורה של URLScan כדי לחסום בקשות המכילות מסוימות רצף של תווי בכתובת ה-URL. לדוגמה, באפשרותך לחסום בקשות אשר להכיל שתי נקודות עוקבות (.), אשר משמשים לעתים קרובות עם תוכנות המנצלות לרעה אשר מנצל פגיעויות חציית ספריות. כדי לציין רצף התווים כדי לחסום, לשים את הרצף בשורה בפני עצמה במקטע [[DenyUrlSequences]] .

הערה הוספת תו sequences במאי Outlook Web Access (OWA) להשפיע לרעה עבור Microsoft Exchange. בעת פתיחת הודעה מ- OWA, שורת הנושא של ההודעה כלולה כתובת ה-URL אשר מבקש מהשרת. מאחר שהקובץ URLScan.ini חוסמת את כל בקשות המכילות סימן האחוז (%) ואת סימן אמפרסנד (&) משתמשים מקבלים הודעת שגיאה 404 כאשר הם מנסים לפתוח הודעה עם בשורה נושא כגון "להגדיל מכירות ב- 100 %" או "בוב & Sue מגיעים town". כדי לפתור בעיה זו, באפשרותך להסיר רצפים אלה מתוך המקטע [DenyUrlSequences] . הערה פעולה זו מפחיתה אבטחה מכיוון שהוא העלול מאפשר נזק בקשות כדי להגיע אל השרת.

עבור מידע נוסף, לחץ על מספר המאמר שלהלן כדי להציג את המאמר מתוך מאגר הידע Microsoft Knowledge Base:
325965הכלי URLScan עלולה לגרום לבעיות ב- Outlook Web Access

קביעת תצורה של URLScan לשימוש עם יישומים תלויי-IIS

יישומים כגון Microsoft Visual Studio, Exchange ו- FPSE .NET תלוי ב- IIS עבור פונקציונליות הנכון. אם לא תקבע URLScan נכון, יישומים אלה עלולות להפסיק לפעול כראוי.

עבור נוספים מידע אודות אופן קביעת התצורה של URLScan כדי לעבוד עם יישומים אלה, לחץ על מספרי המאמרים הבאים כדי להציג את המאמרים ב- Microsoft Knowledge Base:
309508IIS Lockdown והתצורה URLscan בסביבת Exchange
309394 כיצד להשתמש ב- URLScan באמצעות FrontPage 2000
318290 כיצד להשתמש ב- URLScan באמצעות FrontPage 2002
310588 ערכת אבטחה מעברי ASP.NET איתור באגים ב- Visual Studio .NET

מידע נוסף

אם Urlscan.ini אינו קיים ב- התיקיה %WINDIR%\System32\Inetsrv\URLscan, הלקוח יקבל שגיאה 404 תגובה. כדי לפתור בעיה זו, שחזר את הקובץ Urlscan.ini מגיבוי או העתק את הקובץ Urlscan.ini משרת זהים.

מידע נוסף

עבור נוספים מידע, לחץ על מספר המאמר שלהלן כדי להציג את המאמר ב- מתוך Microsoft Knowledge Base:
325864כיצד להתקין ולהשתמש באשף IIS Lockdown

מאפיינים

Article ID: 326444 - Last Review: יום שישי 07 יוני 2013 - Revision: 1.0
המידע במאמר זה חל על:
  • Microsoft Internet Information Services 5.0
מילות מפתח 
kbhowtomaster kbmt KB326444 KbMthe
תרגום מכונה
חשוב: מאמר זה תורגם באמצעות תוכנת תרגום מכונה של Microsoft וייתכן שנערך לאחר מכן על-ידי קהילת Microsoftבאמצעות טכנולוגייתCommunity Translation Framework (CTF) או באמצעות תרגום אנושי. Microsoft מציעה לך גם מאמרים בתרגום אנושי, מאמרים בתרגום מכונה ומאמרים שנערכו על ידי הקהילה כדי לאפשר גישה למאמרים הקיימים במאגר הידע (Knowledge Base) שלMicrosoft בשפות שונות. מאמרים מתורגמים יכולים להכיל שגיאות באוצר המילים, בתחביר או בדקדוק. Microsoft אינה אחראית לחוסר דיוק, שגיאות או נזקים שייגרמו כתוצאה מטעויות בתכנים או משימוש בתכנים על ידי לקוחותיה.
כותרת מאמר זה באנגלית: 326444

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com