Cara mengkonfigurasi perangkat URLScan

Artikel ini selangkah demi selangkah menjelaskan cara mengkonfigurasi URLScan alat untuk melindungi server Web Anda dari serangan dan eksploitasi.

Menginstal URLScan

Untuk menginstal URLScan, kunjungi Website Microsoft berikut pengembang Situs Web Network (MSDN):Untuk informasi tambahan, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:

Memodifikasi URLScan.ini file

Semua konfigurasi URLScan dilakukan melalui URLScan.ini file, yang terletak di map %WINDIR%\System32\Inetsrv\URLscan. Pada mengkonfigurasi URLScan, membuka file ini di editor teks seperti Notepad, membuat perubahan yang sesuai, dan kemudian menyimpan file.

Catatan Anda harus me-restart Internet Information Services (IIS) untuk Anda perubahan berlaku. Salah satu cara Anda dapat melakukan ini dengan cepat adalah untuk menjalankan IISRESET perintah pada prompt perintah.

Berkas URLScan.ini berisi bagian berikut:

• [Opsi]: Bagian ini menggambarkan pilihan URLScan umum.
• [AllowVerbs] dan [DenyVerbs]: Bagian ini mendefinisikan verba (juga dikenal sebagai metode HTTP) yang URLScan izin.
• [DenyHeaders]: Bagian ini daftar HTTP header yang tidak diperbolehkan di Permintaan HTTP. Jika permintaan HTTP memiliki salah satu header HTTP yang terdaftar di bagian ini, URLScan menolak permintaan.
• [AllowExtensions] dan [DenyExtensions]: Bagian ini mendefinisikan ekstensi nama berkas URLScan yang izin.
• [DenyURLSequences]: Bagian ini daftar string yang tidak diperbolehkan di HTTP permintaan. URLScan menolak permintaan HTTP yang berisi string yang muncul di bagian ini.

Setiap bagian akan dijelaskan secara lebih rinci dalam hal ini dokumen.

Bagian [opsi]

Dalam [Opsi] bagian, Anda dapat mengkonfigurasi jumlah pilihan URLScan. Setiap baris dalam bagian ini memiliki format berikut: Pilihan yang tersedia dan nilai-nilai default adalah sebagai berikut:

• UseAllowVerbs = 1
  
  Secara default, opsi ini diatur ke 1. Jika opsi ini diatur ke 1, URLScan hanya mengizinkan permintaan HTTP yang menggunakan kata yang terdaftar dalam [AllowVerbs] bagian. URLScan blok setiap permintaan yang tidak menggunakan kata ini. Jika opsi ini diatur ke 0, URLScan mengabaikan [AllowVerbs] bagian, dan alih-alih blok hanya permintaan yang menggunakan kata yang terdaftar di [DenyVerbs] bagian.
• UseAllowExtensions = 0
  
  Secara default, pilihan ini ditetapkan ke 0. Jika opsi ini set ke 0, URLScan blok permintaan untuk ekstensi nama berkas yang terdaftar di The [DenyExtensions] bagian, tapi permintaan izin file lainnya nama ekstensi. Jika opsi ini diatur ke 1, URLScan hanya mengizinkan permintaan untuk file dengan ekstensi yang tercantum dalam [AllowExtensions] bagian, dan blok permintaan untuk file lainnya.
• NormalizeUrlBeforeScan = 1
  
  IIS menerima permintaan yang URL dikodekan. Ini berarti bahwa karakter tertentu mungkin akan digantikan dengan tanda persen (%) diikuti oleh jumlah tertentu. Sebagai contoh, % 20 sesuai dengan ruang, jadi permintaan untuk http://myserver/My%20Dir/My%20File.htm adalah sama dengan permintaan untuk http://myserver/My Dir/My File.htm. Normalisasi adalah proses decoding URL-encoded permintaan. Secara default, opsi ini diatur ke 1. Jika NormalizeUrlBeforeScan pilihan diset ke 1, URLScan menganalisis permintaan berkode. Jika itu diatur ke 0, URLScan menganalisis permintaan undecoded sebagai gantinya. Pengaturan ini pilihan untuk 0 menghalangi kemampuan URLScan untuk memblokir jenis tertentu dari serangan.
• VerifyNormalization = 1
  
  Karena tanda persen (%) itu sendiri dapat URL dikodekan, penyerang dapat mengirim carefully crafted permintaan ke server yang pada dasarnya dikodekan ganda. Jika hal ini terjadi, IIS dapat menerima permintaan itu Jika tidak akan menolak sebagai tidak sah. Secara default, opsi ini diatur ke 1. Jika The VerifyNormalization pilihan diset ke 1, URLScan normal URL dua kali. Jika URL setelah normalisasi pertama berbeda dari URL setelah kedua normalisasi, URLScan menolak permintaan. Hal ini untuk mencegah serangan yang mengandalkan dikodekan ganda permintaan.
• AllowHighBitCharacters = 0
  
  Secara default, pilihan ini ditetapkan ke 0. Jika opsi ini set ke 0, URLScan menolak permintaan yang mengandung karakter non-ASCII. Ini dapat mencegah beberapa jenis serangan, tapi itu mungkin juga menghalangi permintaan untuk sah berkas tertentu, seperti file dengan nama-nama non-Inggris.
• AllowDotInPath = 0
  
  Secara default, pilihan ini ditetapkan ke 0. Jika opsi ini set ke 0, URLScan menolak permintaan yang berisi beberapa periode (.). Ini mencegah upaya untuk menyamarkan permintaan untuk ekstensi nama berkas berbahaya oleh menempatkan ekstensi nama berkas yang aman di jalan informasi atau permintaan string bagian dari URL. Sebagai contoh, jika opsi ini diatur ke 1, URLScan mungkin mengizinkan permintaan untuk http://servername/BadFile.exe/SafeFile.htm karena itu berpikir bahwa itu adalah meminta halaman HTML, ketika itu benar-benar permintaan file eksekusi (.exe) dengan nama halaman HTML di daerah PATH_INFO. Bila opsi ini diatur 0, URLScan dapat juga menolak permintaan untuk direktori yang berisi periode.
• RemoveServerHeader = 0
  
  Secara default, Web server kembali judul yang mengidentifikasi apa software server Web yang berjalan di semua tanggapan. Ini dapat meningkatkan kerentanan server karena seorang penyerang dapat menentukan yang Server menjalankan IIS dan kemudian serangan dikenal IIS masalah, alih-alih mencoba untuk menyerang sebuah IIS server dengan menggunakan eksploitasi yang dirancang untuk server Web lain. Secara default, pilihan ini ditetapkan ke 0. Jika Anda menetapkan RemoveServerHeader pilihan untuk 1, Anda mencegah server Anda mengirim header yang mengidentifikasi sebagai IIS server. Jika Anda menetapkan RemoveServerHeader ke 0, header ini masih dikirim.
• AlternateServerName = (tidak ditentukan secara default)
  
  Jika RemoveServerHeader diatur ke 0, Anda dapat menentukan string di AlternateServerName pilihan untuk menentukan apa yang akan terjadi kembali di Server header. Jika RemoveServerHeader diatur ke 1, opsi ini diabaikan.
• EnableLogging = 1
  
  Secara default, URLScan menyimpan log lengkap semua diblokir permintaan dalam % WINDIR%\System32\Inetsrv\URLScan. Anda dapat mengatur EnableLogging ke 0 jika Anda tidak ingin menyimpan log ini.
• PerProcessLogging = 0
  
  Secara default, pilihan ini ditetapkan ke 0. Jika opsi ini diatur ke 1, URLScan menciptakan log terpisah untuk setiap proses yang host URLScan.dll. jika diatur ke 0, semua proses log untuk file yang sama.
• PerDayLogging = 1
  
  Secara default, opsi ini diatur ke 1. Jika nilai ini diatur ke 1, URLScan menciptakan sebuah file log yang baru setiap hari. Setiap file log bernama Urlscan.MMDDYY.log, di manaMMDDYY adalah tanggal log file. Jika nilai ini set ke 0, penebangan semua disimpan dalam file yang sama, terlepas dari tanggal.
• AllowLateScanning = 0
  
  Secara default, pilihan ini ditetapkan ke 0. Jika opsi ini set ke 0, URLScan berjalan sebagai prioritas filter, yang berarti bahwa menjalankan sebelum setiap lain Internet Server Application Programming Interface (ISAPI) filter yang diinstal pada server. Jika opsi ini diset ke 1, URLScan berjalan sebagai penyaring prioritas rendah, sehingga filter lain dapat memodifikasi URL sebelum URLScan melakukan analisis apapun. FrontPage Server Extension (FPSE) memerlukan ini pilihan untuk diatur ke 1.
• RejectResponseUrl = (tidak ditentukan secara default)
  
  Opsi ini menentukan virtual path ke file yang berjalan ketika URLScan blok permintaan. Ini memungkinkan Anda untuk menyesuaikan tanggapan yang dikirim ke klien untuk permintaan diblokir. Anda harus menentukan RejectResponseUrl sebagai jalan virtual file yang sesuai, seperti / Path/To/RejectResponseHandler.asp. Anda dapat menentukan file yang URLScan biasanya blok, seperti halaman Active Server Pages (ASP). Anda juga dapat menggunakan variabel server berikut dari halaman:
  • HTTP_URLSCAN_STATUS_HEADER: Ini menunjukkan mengapa permintaan telah diblokir.
  • HTTP_URLSCAN_ORIGINAL_VERB: Ini menentukan kata asli dari diblokir permintaan ( misalnya, Dapatkan, posting, kepala, atau DEBUG).
  • HTTP_URLSCAN_ORIGINAL_URL: Ini menentukan URL asli dari diblokir permintaan.
  Jika Anda menetapkan RejectResponseUrl nilai khusus /~*URLScan menggunakan mode login-saja. Ini memungkinkan IIS untuk melayani semua permintaan, tetapi menambahkan entri log URLScan untuk setiap permintaan yang biasanya diblokir. Hal ini berguna jika Anda ingin menguji URLScan.ini Anda file.
  
  Jika Anda tidak menetapkan nilai untuk RejectResponseUrlURLScan menggunakan nilai default /<rejected-by-urlscan></rejected-by-urlscan>.
  
  
• UseFastPathReject = 0
  
  Secara default, pilihan ini ditetapkan ke 0. Jika opsi ini diatur ke 1, URLScan mengabaikan RejectResponseUrl menetapkan dan segera mengembalikan kesalahan 404 pesan untuk browser. Ini lebih cepat daripada pengolahan RejectResponseUrl, tapi tidak mengizinkan banyak penebangan pilihan. Jika opsi ini adalah diatur ke 0, menggunakan URLScan RejectResponseUrl pengaturan untuk memproses permintaan.

[AllowVerbs] dan [DenyVerbs]

The [AllowVerbs] dan [DenyVerbs] bagian mendefinisikan kata HTTP (juga dikenal sebagai metode) yang URLScan izin. Umum HTTP verba termasuk GET, posting, kepala, dan PUT. Lainnya aplikasi, seperti FPSE dan Web didistribusikan Authoring dan versi (WebDAV), menggunakan kata tambahan.

Kedua [AllowVerbs] dan [DenyVerbs] bagian memiliki sintaks yang sama. Mereka terdiri dari daftar HTTP kata kerja, dan setiap kata muncul pada baris sendiri.

URLScan memutuskan yang bagian untuk menggunakan berdasarkan nilai UseAllowVerbs pilihan di [Opsi] bagian. Secara default, opsi ini diatur ke 1. Jika UseAllowVerbs diatur ke 1, URLScan hanya izin permintaan yang menggunakan verba yang tercantum di dalam [AllowVerbs] bagian. Permintaan yang tidak menggunakan salah satu kata ini ditolak. Dalam kasus ini, [DenyVerbs] bagian diabaikan.

Jika UseAllowVerbs diatur ke 0, URLScan menolak permintaan yang menggunakan kata yang secara eksplisit tercantum dalam [DenyVerbs] bagian. Setiap permintaan yang menggunakan kata kerja yang tidak muncul dalam hal ini bagian yang diizinkan. Dalam kasus ini, URLScan mengabaikan [AllowVerbs] bagian.

Bagian [DenyHeaders]

Ketika seorang klien meminta halaman dari Web server, itu biasanya mengirim lebih dari beberapa HTTP header yang berisi informasi tambahan tentang permintaan. Header HTTP umum meliputi:

• Penyelenggara:
  
  Header ini berisi nama Web server.
• Menerima:
  
  Header ini mendefinisikan jenis berkas yang klien dapat menangani.
• Agen pengguna:
  
  Header ini berisi nama browser yang permintaan halaman.
• Otorisasi:
  
  Header ini mendefinisikan metode otentikasi yang klien mendukung.

Klien dapat mengirim header lain ke server untuk menentukan informasi tambahan.

Dalam [DenyHeaders] bagian, Anda menentukan header HTTP yang URLScan akan menolak. Jika URLScan menerima permintaan yang berisi header apapun yang tercantum dalam hal ini bagian, itu menolak permintaan. Bagian ini terdiri dari daftar HTTP header, dengan setiap judulnya muncul pada baris sendiri. Harus memiliki nama header diikuti dengan tanda titik dua (:)) (misalnya, Nama header:).

[AllowExtensions] dan [DenyExtensions]

Kebanyakan berkas yang memiliki ekstensi nama berkas yang mengidentifikasi apa file mereka. Sebagai contoh, nama berkas untuk dokumen Word biasanya berakhir pada .doc, nama file HTML biasanya berakhir dengan ekstensi .htm atau .html, dan nama file teks biasanya berakhir di .txt. The [AllowExtensions] dan [DenyExtensions] bagian mengizinkan Anda untuk menentukan ekstensi yang URLScan akan memblokir. Sebagai contoh, Anda dapat mengkonfigurasi URLScan untuk menolak permintaan untuk berkas .exe mencegah pengguna Web mengeksekusi aplikasi pada sistem Anda.

Keduanya The [AllowExtensions] dan [DenyExtensions] bagian memiliki sintaks yang sama. Mereka terdiri dari daftar file ekstensi nama, dan ekstensi masing-masing muncul pada baris sendiri. Ekstensi dimulai dengan titik (.) (misalnya, .ext).

URLScan memutuskan yang bagian untuk menggunakan berdasarkan nilai UseAllowExtensions dalam [Opsi] bagian. Secara default, pilihan ini ditetapkan ke 0. Jika UseAllowExtensions diatur ke 0, URLScan hanya menolak permintaan untuk nama file ekstensi yang tercantum dalam [DenyExtensions] bagian. Ekstensi nama berkas yang tidak terdaftar dalam hal ini bagian yang diizinkan. The [AllowExtensions] bagian diabaikan.

Jika UseAllowExtensions diatur ke 1, URLScan menolak permintaan untuk file ekstensi nama yang tidak secara eksplisit tercantum di dalam [AllowExtensions] bagian. Hanya permintaan untuk file nama ekstensi yang tercantum di bagian tersebut diperbolehkan. The [DenyExtensions] bagian diabaikan.

Untuk informasi tambahan tentang cara mengkonfigurasi URLScan untuk mengizinkan permintaan untuk file yang tidak memiliki ekstensi, klik nomor artikel di bawah ini untuk melihat artikel di Basis Pengetahuan Microsoft:

Bagian [DenyUrlSequences]

Anda dapat mengkonfigurasi URLScan untuk memblokir permintaan yang mengandung tertentu urutan karakter dalam URL. Sebagai contoh, Anda dapat memblokir permintaan yang berisi dua berturut-turut periode (.), yang sering digunakan dengan eksploitasi yang mengambil keuntungan dari direktori traversal kerentanan. Untuk menentukan karakter berurutan untuk memblokir, menempatkan urutan pada baris dengan sendirinya dalam [DenyUrlSequences] bagian.

Perhatikan bahwa menambahkan karakter urutan Mei mempengaruhi Outlook Web Access (OWA) untuk Microsoft Exchange. Ketika Anda membuka sebuah pesan dari OWA, baris subjek pesan yang terkandung dalam URL yang diminta dari server. Karena berkas URLScan.ini blok apapun Permintaan berisi tanda persen (%) dan tanda ampersand (&), pengguna menerima pesan kesalahan 404 ketika mereka mencoba untuk membuka pesan dengan subjek baris seperti "Penjualan meningkat dengan 100 %" atau "Bob & Sue datang ke kota". Untuk mengatasi masalah ini, Anda dapat menghapus urutan-urutan ini dari [DenyUrlSequences] bagian. Catatan bahwa ini mengurangi keamanan karena itu berpotensi izin merusak permintaan untuk mencapai server.

Untuk informasi tambahan, klik nomor artikel di bawah ini untuk melihat artikel pada Basis Pengetahuan Microsoft:

Mengkonfigurasi URLScan untuk digunakan dengan IIS bergantung aplikasi

Aplikasi seperti Exchange, FPSE, dan Microsoft Visual Studio .NET tergantung pada IIS untuk fungsionalitas yang benar. Jika Anda tidak mengkonfigurasi URLScan dengan benar, aplikasi ini akan berhenti bekerja dengan benar.

Untuk tambahan informasi tentang cara mengkonfigurasi URLScan untuk bekerja dengan aplikasi ini, klik nomor artikel di bawah ini untuk melihat artikel di Microsoft Basis Pengetahuan:

Jika Urlscan.ini tidak ada di %Windir%\System32\Inetsrv\URLscan folder, klien akan menerima kesalahan 404 respon. Untuk mengatasi masalah ini, memulihkan berkas Urlscan.ini dari cadangan atau Salin Urlscan.ini file dari server identik.

Untuk tambahan informasi, klik nomor artikel di bawah ini untuk melihat artikel di Basis Pengetahuan Microsoft: