Как настроить средство URLScan

Переводы статьи Переводы статьи
Код статьи: 326444 - Vizualiza?i produsele pentru care se aplic? acest articol.
Корпорация Майкрософт настоятельно рекомендует всем пользователям провести обновление до Microsoft Internet информации СЛУЖБ версии 7.0 на Microsoft Windows Server 2008. IIS 7.0 существенно укрепляют безопасность веб-инфраструктуры. Дополнительные сведения по вопросам безопасности IIS посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/TechNet/Security/prodtech/IIS.mspx
Для получения дополнительных сведений о IIS 7.0 посетите следующий веб-узел корпорации Майкрософт:
http://www.iis.net/default.aspx?tabid=1
Развернуть все | Свернуть все

В этой статье

Аннотация

Эта статья содержит пошаговые инструкции по настройке Средство URLScan для защиты от атак на веб-сервере и атаки.

Установки средства URLScan

Для установки средства URLScan, посетите следующие разработки корпорации Майкрософт Веб-узел сети MSDN:
http://msdn2.Microsoft.com/en-us/library/aa302368.aspx
Для получения дополнительных сведений щелкните следующие номера просмотра статьи базы знаний Майкрософт:
307608С помощью средства URLScan в IIS

Измените файл URLScan.ini

Все средства URLScan производится через URLScan.ini файл, который находится в папке %WINDIR%\System32\Inetsrv\URLscan. Для настроить средство URLScan, откройте этот файл в текстовом редакторе «Блокнот», убедитесь, соответствующие изменения, а затем сохраните файл.

Примечание Необходимо перезапустить Internet Information Services (IIS) для вашего изменения вступили в силу. Это можно сделать быстро один способ заключается в запуске IISRESET команды в командной строке.

В файле URLScan.ini содержит следующие разделы:
  • [Параметры]: В этом разделе описываются общие параметры средства URLScan.
  • [AllowVerbs] и [DenyVerbs]: В этом разделе определяет команд (также известный как методы HTTP), Разрешает URLScan.
  • [DenyHeaders]: В этом разделе перечислены заголовки HTTP, которые не разрешены в HTTP-запроса. Если HTTP-запрос HTTP-заголовков, которые они перечисленные в этом разделе URLScan отклоняет запрос.
  • [AllowExtensions] и [DenyExtensions]: В этом разделе определяет расширения имен файлов, URLScan Разрешает.
  • [DenyURLSequences]: В этом разделе перечислены строки, которые не разрешены в HTTP запрос. URLScan отклоняет HTTP-запросов, содержащих строки, которая отображается в в этом разделе.
Каждый раздел будут описаны более подробно в этом документ.

Раздел [Options]

В [Параметры] разделе, можно настроить ряд параметров URLScan. Каждая строка в этом разделе имеет следующий формат:
Параметра OptionName=(OptionValue)
Доступные параметры и их значения по умолчанию, как показано ниже:
  • UseAllowVerbs = 1

    По умолчанию этот параметр имеет значение 1. Если этот параметр значение 1, средства URLScan позволяет запросам HTTP, использующим команд, перечисленных В диалоговом окне [AllowVerbs] раздел. URLScan блокирует все запросы, которые не используют эти команды. Если этот параметр имеет значение 0, игнорирует URLScan [AllowVerbs] в разделе и вместо этого блокирует только запросы, использующие команды, которые являются в списке [DenyVerbs] раздел.
  • UseAllowExtensions = 0

    По умолчанию этот параметр имеет значение 0. Если этот параметр значение 0, запросы блоки URLScan для расширений имен файлов, перечисленных в очередь [DenyExtensions] расширения имен для раздела, но разрешает запросы для любого другого файла. Если этот параметр имеет значение 1, средства URLScan позволяет только запросы на файлы с расширений, указанных в [AllowExtensions] раздел и блокирует запросы на другие файлы.
  • NormalizeUrlBeforeScan = 1

    IIS получает запрос, закодированный URL-адрес. Это означает, что следуют, некоторые символы могут быть заменены знак процента (%) определенный номер. Например % 20 соответствует пробел, таким образом запрос http://myserver/My%20Dir/My%20File.htm является таким же, как запрос Dir/My File.htm http://myserver/My. Нормализация — это процесс декодирования Запросы, закодированные в URL-АДРЕСЕ. По умолчанию этот параметр имеет значение 1. Если NormalizeUrlBeforeScan параметр имеет значение 1, URLScan анализирует декодированные запроса. Если он имеет значение 0, URLScan анализирует запрос undecoded вместо. Это задание параметр 0 уменьшает возможность блокировать определенные типы URLScan из атаки.
  • VerifyNormalization = 1

    Поскольку знак процента (%), сама может URL кодируются, Злоумышленник может отправить тщательно сконструированный запрос к серверу по сути двойной кодировке. В этом случае IIS может принять запрос, что он в противном случае будет отклонять как недопустимый. По умолчанию этот параметр имеет значение 1. Если очередь VerifyNormalization параметр имеет значение 1, URLScan нормализует URL-адрес, два раза. Если URL-адрес после первого нормализации отличается от URL-адрес после второй Нормализация, URLScan отклоняет запрос. Это позволяет предотвратить атаки, основанные на закодированные двойной запросов.
  • AllowHighBitCharacters = 0

    По умолчанию этот параметр имеет значение 0. Если этот параметр значение 0, URLScan отклоняет все запросы, содержащие символы, не входящие в набор ASCII. Это можно запретить определенные типы атак, но он может блокировать запросы Некоторые законные файлы, такие как файлы с именами, отличных от английской.
  • AllowDotInPath = 0

    По умолчанию этот параметр имеет значение 0. Если этот параметр значение 0, URLScan отклоняет любой запрос, который содержит несколько точек (.). Это предотвращает попытки скрыть запросов для опасных расширений помещения безопасный расширение строки пути сведения или запрос часть URL-адреса. Например если этот параметр имеет значение 1, URLScan может Разрешить запрос на http://servername/BadFile.exe/SafeFile.htm, так как он думает, что это запрос страницы HTML, когда запрос на исполняемый (.exe) файл с именем страницы HTML в области PATH_INFO. Если этот параметр имеет значение 0, URLScan может также блокировать запросы к каталогам содержать точек.
  • RemoveServerHeader = 0

    По умолчанию веб-сервер возвращает заголовок Определяет, какие он работает во все ответы по веб-сервера. Это может увеличить уязвимость сервера, так как злоумышленник может определить, что сервер работает под управлением служб IIS, а затем известные проблемы при работе IIS, вместо попыток атаки атаки на сервер IIS с использованием уязвимостей, которые предназначены для других веб-серверов. По умолчанию этот параметр имеет значение 0. Если для свойства RemoveServerHeader вариант 1, можно предотвратить отправку заголовка идентифицирует его как сервер IIS. Если установить RemoveServerHeader 0 отправляется этого заголовка.
  • AlternateServerName = (не указано, по умолчанию)

    Если RemoveServerHeader имеет значение 0, можно указать строку в AlternateServerName параметр, чтобы указать, что будет передан обратно в заголовке сервера. Если RemoveServerHeader имеет значение 1, этот параметр игнорируется.
  • EnableLogging = 1

    По умолчанию URLScan сохраняет полный журнал всех заблокированных запросы в папке % WINDIR%\System32\Inetsrv\URLScan. Можно установить EnableLogging в 0, если не требуется сохранять данный журнал.
  • PerProcessLogging = 0

    По умолчанию этот параметр имеет значение 0. Если этот параметр значение 1, URLScan создает отдельный журнал для каждого процесса, на котором размещен URLScan.dll. Если он равен 0, все процессы журналов для того же файла.
  • PerDayLogging = 1

    По умолчанию этот параметр имеет значение 1. Если это значение равно значение 1, URLScan создает новый файл журнала каждый день. Имя каждого файла журнала URLScan.ММДДГГ.log, гдеММДДГГ Дата файла журнала. Если это значение равно значение 0, ведение журнала сохраняются в один и тот же файл, независимо от Дата.
  • AllowLateScanning = 0

    По умолчанию этот параметр имеет значение 0. Если этот параметр значение 0, URLScan работает как фильтр высокий приоритет, который означает, что он выполняет Прежде чем любые другие Интернет-сервера прикладной программный интерфейс (ISAPI) фильтры, установленные на сервере. Если этот параметр имеет значение 1, URLScan работает как фильтр низким приоритетом, таким образом, чтобы другие фильтры могут изменять URL-адрес перед URLScan выполняет любые аналитики. Это требует серверные расширения FrontPage (FPSE) параметр значение 1.
  • RejectResponseUrl = (не указано, по умолчанию)

    Этот параметр задает виртуальный путь к файлу, запускается, когда средство URLScan блокирует запрос. Это позволяет настроить ответ отправляемая клиенту для заблокированных запросах. Необходимо указать RejectResponseUrl как виртуальный путь к соответствующему файлу например / Path/To/RejectResponseHandler.asp. Укажите файл, URLScan Обычно блоков, таких как страницы Active Server Pages (ASP). Можно также использовать Следующие серверные переменные со страницы:
    • HTTP_URLSCAN_STATUS_HEADER: Это указывает, почему запрос был блокирован.
    • HTTP_URLSCAN_ORIGINAL_VERB: Указывает исходные команды из заблокированных запрос (для пример, GET, POST, HEAD или DEBUG).
    • HTTP_URLSCAN_ORIGINAL_URL: Указывает исходный URL-адрес из заблокированных запрос.
    Если установить RejectResponseUrl специальные значения /~*Средство URLScan используется только для ведения журнала. Это позволяет службам IIS обрабатывать все запросы, но добавляет запись в журнал URLScan для запросов, которые являются обычно заблокирован. Это полезно, если вы хотите проверить ваш URLScan.ini файл.

    Если не указать значение для RejectResponseUrlСредство URLScan используется значение по умолчанию /<rejected-by-urlscan></rejected-by-urlscan>.

  • UseFastPathReject = 0

    По умолчанию этот параметр имеет значение 0. Если этот параметр значение 1, игнорирует URLScan RejectResponseUrl Установка и немедленно возвращает сообщение об ошибке 404 обозреватель. Это быстрее, чем обработка RejectResponseUrl, но не допускает столько параметров ведения журнала. Если этот параметр имеет значение 0, используется средство URLScan RejectResponseUrl Установка для обработки запроса.

[AllowVerbs] и [DenyVerbs]

В [AllowVerbs] и [DenyVerbs] разделы определяют HTTP-команд (также известный как методы), Разрешает URLScan. Общих команд HTTP: GET, POST, ГОЛОВКИ и PUT. Другие приложения, такие как FPSE и Web протокол WebDAV (WebDAV), использовать дополнительные команды.

Оба [AllowVerbs] и [DenyVerbs] разделы имеют тот же синтаксис. Они состоят из списка HTTP команд и команд отображается в отдельной строке.

URLScan решает, что раздел для использования на основе значения UseAllowVerbs параметр в [Параметры] раздел. По умолчанию этот параметр имеет значение 1. Если UseAllowVerbs имеет значение 1, URLScan только разрешает запросы, использующие команды Приведенные в [AllowVerbs] раздел. Запрос, который не используется ни один из этих команд Отклонено. В этом случае [DenyVerbs] раздел игнорируется.

Если UseAllowVerbs имеет значение 0, URLScan запрещает запросы, использующие команды, явно перечислены в [DenyVerbs] раздел. Любые запросы, которые используют команды, которые не отображаются в этом раздел разрешены. В этом случае игнорирует URLScan [AllowVerbs] раздел.

В разделе [DenyHeaders]

Когда клиент запрашивает страницу с веб-сервера, он обычно Отправка через некоторые заголовки HTTP, которые содержат дополнительные сведения о запрос. Ниже перечислены общие заголовки HTTP.
  • Узел:

    Этот заголовок содержит имя веб-сервера.
  • Прием:

    Этот заголовок определяет типы файлов, которые клиент может дескриптор.
  • Агент пользователя:

    Этот заголовок содержит имя обозревателя, запрашивает страницу.
  • Авторизации:

    Этот заголовок определяет методы проверки подлинности, клиент поддерживает.
Клиенты могут отправлять другие заголовки сервера для указания Дополнительные сведения.

В [DenyHeaders] раздел, необходимо определить заголовки HTTP, которые будет отклонять URLScan. Если URLScan получает запрос, содержащий любой заголовок, указанный в этом раздел, отклоняет запрос. Этот раздел включает в себя список HTTP заголовков с каждым заголовком, не отображаются в отдельной строке. Имена заголовков должен быть двоеточие (:)) (например, Имя заголовка:).

[AllowExtensions] и [DenyExtensions]

Большинство файлов имеют расширение имени файла, определяющий тип они являются файла. Например имена файлов для документов Word обычно в конце .doc, имена файлов HTML обычно заканчиваются .htm или .html и имена файлов в формате обычного текста Обычно заканчиваются .txt. В [AllowExtensions] и [DenyExtensions] разделы позволяют определить расширения, которые средство URLScan будет блокировать. Например можно настроить средство URLScan отклонять запросы на файлы .exe для запретить выполнение приложений в системе веб-пользователей.

Оба очередь [AllowExtensions] и [DenyExtensions] разделы имеют тот же синтаксис. Они состоят из списка файлов расширения имен и каждое расширение отображается в отдельной строке. Расширение начинается с точкой (.) (например, .ext).

URLScan решает, что раздел для использования на основе значения UseAllowExtensions В диалоговом окне [Параметры] раздел. По умолчанию этот параметр имеет значение 0. Если UseAllowExtensions имеет значение 0, URLScan только обрабатывать запросы для имени файла расширений, указанных в [DenyExtensions] раздел. Все расширения имен файлов, которые не перечислены в этом раздел разрешены. В [AllowExtensions] раздел игнорируется.

Если UseAllowExtensions имеет значение 1, URLScan обрабатывать запросы для любого файла с расширениями четко не перечислены в [AllowExtensions] раздел. Только запросы для файла расширение, перечисленных в этом разделе являются допустимыми. В [DenyExtensions] раздел игнорируется.

Для получения дополнительных сведений сведения о настройке URLScan для разрешения запросов на файлы, у которых нет расширение, щелкните следующий номер статьи в База знаний корпорации Майкрософт:
312376Как настроить средство URLScan, чтобы разрешить запросы с расширением null в IIS

В разделе [DenyUrlSequences]

Можно настроить средство URLScan блокирует запросы, содержащие определенные последовательность символов в URL-адрес. Например, можно блокировать запросы, содержать две точки подряд (.), которые часто используются Эксплойты что преимущества каталога обхода уязвимости. Чтобы указать последовательность для блокирования, поместить последовательности строки сам по себе в символов [DenyUrlSequences] раздел.

Обратите внимание, что добавление символа последовательности мая неблагоприятно повлиять на Outlook Web Access (OWA) для Microsoft Exchange. При открытии сообщение от OWA, строка темы сообщения содержатся в URL-адрес запрашиваемый с сервера. Так как файл URLScan.ini блокирует все запросы, содержащие знак процента (%) и знак амперсанда (&) пользователи получают сообщение об ошибке 404, при попытке открыть сообщение с Тема линии, такие как «Увеличение продаж на 100%» или «Боб & Ольга приходят Город». Чтобы решить эту проблему, можно удалить эти последовательности из [DenyUrlSequences] раздел. Обратите внимание, что это снижает безопасность, поскольку он потенциально Разрешает опасными запросы к серверу.

Для Дополнительные сведения, щелкните следующий номер статьи в Microsoft Knowledge Base:
325965Средство URLScan может привести к проблемам в Outlook Web Access

Настройки URLScan для работы с приложениями, зависящие от служб IIS

Приложения, такие как Exchange, FPSE и Microsoft Visual Studio .NET зависят от служб IIS для правильного функционирования. Если не настроить средство URLScan правильно эти приложения может перестать правильно работать.

Для дополнительной сведения о настройке URLScan для работы с этими приложениями щелкните следующие номера статей в Microsoft База знаний:
309508Блокирование IIS и средства URLscan конфигураций в среде Exchange
309394 Как использовать средство URLScan с помощью FrontPage 2000
318290 Как использовать средство URLScan с помощью FrontPage 2002
310588 Разбиение набора средств безопасности ASP.NET в Visual Studio.NET

Дополнительная информация

Если Urlscan.ini не существует в Папка %windir%\System32\Inetsrv\URLscan, он получит сообщение об ошибке 404 ответ. Чтобы устранить эту проблему, восстановите файл Urlscan.ini из резервной копии или Скопируйте файл Urlscan.ini с идентичными сервера.

Ссылки

Для дополнительной сведения, щелкните следующий номер статьи в База знаний корпорации Майкрософт:
325864Инструкции по установке и использованию мастера блокирования служб IIS

Свойства

Код статьи: 326444 - Последний отзыв: 8 июня 2011 г. - Revision: 3.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Internet Information Services 5.0
Ключевые слова: 
kbhowtomaster kbmt KB326444 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:326444

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com