URLScan aracý'ný yapýlandýrma hakkýnda

Bu adým adým makalede, URLScan aracý, Web sunucunuz saldýrýlarý ve davetsiz giriþlere korumak için yapýlandýrýlacak açýklar.

URLScan yükleyin.

URLScan yüklemek için aþaðýdaki Microsoft Developer ziyaret Network (MSDN) Web sitesi:Ek bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

URLScan.ini dosyasýný deðiþtirme

URLScan ile ilgili tüm yapýlandýrmasýný URLScan.ini gerçekleþtirilir dosyasý %WINDIR%\System32\Inetsrv\URLscan klasöründe bulunur. URLScan yapýlandýrmak için <a0></a0>, bu dosyayý, Notepad gibi bir metin düzenleyicisinde açýn, sonra da uygun deðiþiklikleri yapýn ve sonra dosyayý kaydedin.

Not Internet ýnformation Services (etkili olmasý için IIS) için deðiþikliklerinizi yeniden baþlatmanýz gerekir. Hýzlý bir þekilde bunun bir yolu, komut isteminde IISRESET komut çalýþtýrmaktýr.

URLScan.ini dosyasýna aþaðýdaki bölümleri içerir:

• [Seçenekler]: Bu bölümde, genel URLScan seçenekler açýklanýr.
• [AllowVerbs] ve [DenyVerbs]: Bu bölüm, URLScan veren fiiller (HTTP yöntemleri de denir) tanýmlar.
• [DenyHeaders]: Bu bölüm, bir HTTP isteðine izin verilen HTTP üstbilgileri listeler. URLScan, bir HTTP isteði, bu bölümde listelenen HTTP üstbilgileri birini içeriyorsa, isteði reddeder.
• [AllowExtensions] ve [DenyExtensions]: Bu bölüm, URLScan izin veren dosya adý uzantýlarý tanýmlar.
• [DenyURLSequences]: Bu bölüm, bir HTTP izin verilmedi dizelerini listeler isteði. URLScan, bu bölümde görüntülenen bir dize içeren HTTP isteklerini reddeder.

Her bölüm, bu belgede daha ayrýntýlý açýklanacaktýr.

[Options] bölümüne

[Options]</a0> bölümünde, URLScan seçenekleri yapýlandýrabilirsiniz. Bu bölümdeki her satýrýn aþaðýdaki biçimdedir: Kullanýlabilir seçenekleri ve varsayýlan deðerleri aþaðýdaki gibidir:

• UseAllowVerbs = 1
  
  Varsayýlan olarak, bu seçeneði 1 olarak ayarlanýr. URLScan, bu seçeneði 1 olarak ayarlanýrsa, yalnýzca [AllowVerbs] bölümünde listelenen fiiller kullanan HTTP istekleri verir. URLScan, bu fiiller kullanan tüm istekleri engeller. Bu seçenek 0 olarak ayarlanýrsa, URLScan [AllowVerbs] bölümünde yoksayar ve bunun yerine [DenyVerbs] bölümünde listelenen fiiller kullanmak istekleri engeller.
• UseAllowExtensions = 0
  
  Varsayýlan olarak, bu seçenek 0 olarak ayarlanýr. Bu seçenek 0 olarak ayarlanýrsa, URLScan bloklarý [DenyExtensions] bölümünde listelenen bir dosya adý uzantýlarý için ister, ancak istekleri baþka bir dosya adý uzantýlarý saðlar. Bu seçeneði 1 olarak ayarlanýrsa, URLScan yalnýzca istekleri [AllowExtensions] bölümünde listelenen uzantýlý dosyalar için izin verir ve onu baþka bir dosya istekleri engeller.
• NormalizeUrlBeforeScan = 1
  
  IIS, URL olarak kodlanmýþ istekleri alýr. Yani, bazý karakterler, ardýndan belirli bir sayý yüzde iþaretiyle (%) ile deðiþtirilebilir. Örneðin, % 20 http://myserver/My%20Dir/My%20File.htm isteði http://myserver/My Dir/My File.htm isteði ile ayný olacak þekilde bir alana karþýlýk gelir. Normalleþtirme URL olarak kodlanmý㾠istekleri kod çözme iþlemidir. Varsayýlan olarak, bu seçeneði 1 olarak ayarlanýr. URLScan, NormalizeUrlBeforeScan seçeneði 1 olarak ayarlanýrsa, kodu çözülen isteði çözümler. URLScan undecoded isteði 0'a ayarlý ise, bunun yerine çözümler. Bu seçenek 0 olarak ayarlamak, belirli bir türdeki saldýrýlarýn engellenmesine URLScan yeteneði yavaþlattýðýný.
• VerifyNormalization = 1
  
  Yüzde iþareti (%) kendisini kodlanmýþ URL olabileceðinden, bir saldýrganýn, temel olarak iki kodlanmýþ bir sunucuda dikkatli üretilmiþ bir isteði gönderebilir. Bu durum ortaya çýkarsa, IIS, aksi halde geçerli olarak reddetmek kabul. Varsayýlan olarak, bu seçeneði 1 olarak ayarlanýr. URLScan VerifyNormalization seçeneði 1 olarak ayarlarsanýz, iki kez URL normalleþtirir. URLScan, ilk normalleþtirme sonra URL sonra ikinci olan normalleþtirme URL'DEN farklýysa, isteði reddeder. Bu çift olarak kodlanmýþ istekleri kullanan saldýrýlarý engeller.
• AllowHighBitCharacters = 0
  
  Varsayýlan olarak, bu seçenek 0 olarak ayarlanýr. URLScan, bu seçenek 0 olarak ayarlanýrsa, ASCII olmayan karakterler içeren tüm istekleri reddeder. Bu, belirli bir saldýrý türlerini engelleyebilir, ancak ingilizce dýþýndaki adlara sahip dosyalarý gibi bazý meþru dosya istekleri dýþýnda da engelleyebilir.
• Allowdotýnpath = 0
  
  Varsayýlan olarak, bu seçenek 0 olarak ayarlanýr. URLScan, bu seçenek, 0'a ayarlý ise, birden fazla nokta (.) içeren herhangi bir isteði reddeder. Bu, tehlikeli bir dosya adý uzantýlarýný isteklerde yol bilgileri veya sorgu dizesi bölümü URL güvenli bir dosya adý uzantýsýný yerleþtirerek kamuflaj giriþimlerini engeller. Bu seçeneði 1 olarak ayarlanýrsa, gerçekte PATH_INFO alanýnda HTML sayfasý adlý bir yürütülebilir (.exe) dosya için istek olduðunda, bir HTML sayfasý için bir istek olduðunu düþünmesi nedeniyle, URLScan http://servername/BadFile.exe/SafeFile.htm isteðine izin verebilir. URLScan, bu seçenek 0 olarak ayarlandýðýnda, istekleri dönemleri içeren dizinler için de reddedebilir.
• RemoveServerHeader = 0
  
  Varsayýlan olarak, Web sunucusu çalýþtýran tüm yanýtlarýnda hangi Web sunucusu yazýlýmý tanýmlayan bir üstbilgi döndürür. Bir saldýrganýn bir sunucu, IIS ve diðer Web sunucularý için tasarlanmýþ açýðýndan yararlanan yazýlýmlarý kullanarak, bir IIS sunucusuna saldýrmak yerine IIS sorunlarý, bilinen saldýrý çalýþýp çalýþmadýðýný belirlemek için bu sunucunun güvenlik açýðýndan artýrabilir. Varsayýlan olarak, bu seçenek 0 olarak ayarlanýr. RemoveServerHeader seçeneði 1 olarak ayarlarsanýz, sunucunuzun bir IIS sunucusu olarak tanýmlayan bir üstbilgi göndermesini engeller. Bu üstbilgi, RemoveServerHeader 0 olarak ayarlayýn, yine de gönderilir.
• AlternateServerName =(not specified by default)
  
  RemoveServerHeader 0 olarak ayarlanýrsa, bir dize geri Server üstbilgisinde geçirilecek belirtmek için AlternateServerName seçeneði belirtebilirsiniz. RemoveServerHeader 1 olarak ayarlanýrsa, bu seçeneði göz ardý edilir.
• EnableLogging = 1
  
  Varsayýlan olarak, URLScan WINDIR%\System32\Inetsrv\URLScan % alaný'nda engellenmiþ olan tüm isteklerin tam bir günlüðünü tutar. Bu günlük tutmak istemiyorsanýz, EnableLogging 0 olarak ayarlayabilirsiniz.
• PerProcessLogging = 0
  
  Varsayýlan olarak, bu seçenek 0 olarak ayarlanýr. URLScan, bu seçeneði 1 olarak ayarlanýrsa, URLScan.dll barýndýran her iþlem için ayrý bir günlük oluþturur. 0 Olarak ayarlanýrsa, tüm iþlemleri ayný dosyaya günlüðe yazýlýr.
• PerDayLogging = 1
  
  Varsayýlan olarak, bu seçeneði 1 olarak ayarlanýr. URLScan, bu deðer 1 olarak ayarlanýrsa, her gün yeni günlük dosyasý oluþturur. Her günlük dosyasý, tarihi günlük dosyasýnýn bulunduðu MMDDYY URLScan. MMDDYY .log olarak adlandýrýlýr. Bu deðeri 0 olarak ayarlanýrsa, tüm oturum açma tarihi ne olursa olsun ayný dosyada kaydedilir.
• AllowLateScanning = 0
  
  Varsayýlan olarak, bu seçenek 0 olarak ayarlanýr. Bu seçenek, 0 olarak ayarlanýrsa, tüm diðer ýnternet sunucusu uygulama programlama arabirimi (ISAPI önce) yürütür hangi anlamýna gelir, filtreleri, yüksek ã¶ncelikli süzgeçle URLScan çalýþýrken sunucuda yüklenir. Bu seçeneði 1 olarak ayarlanýrsa, herhangi bir çözümleme URLScan gerçekleþtirmeden önce di?er süzgeçler URL'YI deðiþtirebilirsiniz URLScan düþük öncelikli süzgeç gibi çalýþýr. FrontPage Server Extensions (FPSE), bu seçeneði 1 olarak ayarlanmasý gerekir.
• RejectResponseUrl =(not specified by default)
  
  Bu seçenek, URLScan isteði engellediðinde, bir dosyaya sanal yolu belirtir. Bu Engellenen istekler için istemciye gönderilen yanýtý özelleþtirmenize olanak verir. Uygun dosyayý /Path/To/RejectResponseHandler.asp gibi sanal yolu olarak RejectResponseUrl belirtmeniz gerekir. URLScan genellikle, bir Active Server Pages (ASP) sayfasý gibi engelleyen bir dosya belirtebilirsiniz. Aþaðýdaki sunucu deðiþkenlerini sayfasýndan da kullanabilirsiniz:
  • HTTP_URLSCAN_STATUS_HEADER: Bu isteði durdurulma belirtir.
  • HTTP_URLSCAN_ORIGINAL_VERB: Bu engellenen istek (örneðin, GET, POST, HEAD veya hata AYýKLAMA) gelen özgün fiil belirtir.
  • HTTP_URLSCAN_ORIGINAL_URL: Bu engellenen istek özgün URL'DEN belirtir.
  Özel deðerinin RejectResponseUrl ayarlarsanýz / ~ *, URLScan yalnýzca günlüðe kaydetme modu kullanýr. Bu, ýýS'NIN, tüm isteklere hizmet verir, ancak genellikle engellenen tüm istekleri için URLScan günlük için bir girdi ekler. Bu sizin URLScan.ini sýnamak isterseniz kullanýþlýdýr dosya.
  
  RejectResponseUrl için deðer belirtmezseniz, URLScan /<Rejected-By-UrlScan> varsayýlan deðerini kullanýr..
  
  
• UseFastPathReject = 0
  
  Varsayýlan olarak, bu seçenek 0 olarak ayarlanýr. Bu seçeneði 1 olarak ayarlanýrsa, URLScan RejectResponseUrl ayarýný yoksayar ve hemen bir 404 hata iletisi, tarayýcýya döndürür. Bu RejectResponseUrl iþleme daha hýzlýdýr, ancak çok günlüðe kaydetme seçeneklerini izin vermiyor. Bu seçenek 0 olarak ayarlanýrsa, URLScan RejectResponseUrl ayarý isteði iþlemek için kullanýr.

[AllowVerbs] ve [DenyVerbs] bölümleri

[AllowVerbs] ve [DenyVerbs] bölümleri URLScan veren HTTP fiillerini (yöntemleri de denir) tanýmlayýn. Sýk kullanýlan HTTP fiillerini, GET, POST, HEAD ve PUT içerir. FPSE ve Web üzerinde Daðýtýlmýþ Yazma ve sürüm oluþturma gibi baþka uygulamalar da (WebDAV), ek fiiller kullanýn.

[AllowVerbs] ve [DenyVerbs] bölümleri de ayný sözdizimi vardýr. Bunlar yapýlan oluþturan bir HTTP listesinden yüklemleri ve her bir fiil görünür kendi satýrýnda.

URLScan, [Options]</a0> bölümündeki <a2>UseAllowVerbs</a2> seçeneðinin deðeri kullanmak için hangi bölümün temel karar verir. Varsayýlan olarak, bu seçeneði 1 olarak ayarlanýr. URLScan, UseAllowVerbs 1 olarak ayarlanýrsa, yalnýzca [AllowVerbs] bölümünde listelenen fiiller kullanan istekleri verir. Bu fiilleri birini kullanmayan BIR isteði reddetti. Bu durumda, [DenyVerbs] bölümü yok sayýlýr.

URLScan, UseAllowVerbs 0 olarak ayarlanýrsa, açýkça listelenen fiiller [DenyVerbs] bölümünde kullanan isteklerini reddeder. Fiiller görünmüyor, bu bölümde kullandýðýnýz tüm isteklere izin verilir. Bu durumda, URLScan [AllowVerbs] bölümünde yoksayar.

[DenyHeaders]</a0> bölümü

Bir istemci bir Web sunucusundan bir sayfayý istediðinde, genellikle üzerinden istek hakkýnda ek bilgi içeren bazý HTTP üstbilgilerini gönderir. Sýk kullanýlan HTTP üstbilgileri þunlardýr:

• Ana bilgisayar:
  
  Bu baþlýk, Web sunucusu adýný içerir.
• Kabul et:
  
  Bu üstbilgi, istemci iþleyebileceði dosya türlerini tanýmlar.
• Kullanýcý-Aracýsý:
  
  Bu üstbilgiyi sayfa isteyen tarayýcýnýn adýný içerir.
• Yetkilendirme:
  
  Bu üstbilgi, istemcinin desteklediði kimlik doðrulama yöntemleri tanýmlar.

Istemciler, diðer üstbilgileri ek bilgileri belirtmek için sunucuya gönderebilir.

[DenyHeaders]</a0> bölümünde, URLScan geri HTTP üstbilgileri tanýmlarsýnýz. URLScan, bu bölümde listelenen herhangi bir baþlýk içeren bir istek alýrsa, bu isteði reddeder. Bu bölümde bir HTTP listesinden oluþur kendi satýrýnda görünen her baþlýk ile üstbilgileri. Üstbilgi adlarýný iki nokta üst üste (:) gelmelidir. (örneðin, üstbilgi adý:).

[AllowExtensions] ve [DenyExtensions] bölümleri

Çoðu dosya, olduklarý dosya türünü tanýmlayan bir dosya adý uzantýsýna sahiptir. Örneðin, dosya adlarý, .htm veya .html Word genellikle son .doc, HTML dosya adlarý, genellikle belgeler için son ve düz metin dosya adlarý, genellikle .txt içinde son. [AllowExtensions] ve [DenyExtensions] bölümleri URLScan engelleyen uzantýlarý tanýmlamak için izin verir. Örneðin, .exe dosyalarý, Web kullanýcýlarýn uygulamalarý, sistemde yürütmesine engel olmak için istekleri reddetmeye URLScan yapýlandýrabilirsiniz.

[AllowExtensions] ve [DenyExtensions] bölümleri de ayný sözdizimi vardýr. Bunlar bir dosya adý uzantýlarý listesinden oluþur ve her bir uzantý kendi satýrýnda görüntülenir. Uzantýnýn nokta (.) ile baþlar. (örneðin, .ext).

URLScan, hangi bölümünü kullanmak için deðeri UseAllowExtensions[Options]</a0> bölümündeki temel karar verir. Varsayýlan olarak, bu seçenek 0 olarak ayarlanýr. UseAllowExtensions 0 olarak ayarlanýrsa, URLScan yalnýzca [DenyExtensions] bölümünde listelenen adý uzantýlarý dosya istekleri reddeder. Bu bölümde listelenen herhangi bir dosya adý uzantýlarýný izin verilir. [AllowExtensions] bölümü yok sayýlýr.

URLScan, UseAllowExtensions 1 olarak ayarlanýrsa, tüm dosya istekleri açýkça [AllowExtensions] bölümünde listelenen uzantýlarýný reddeder. Bu bölümde listelenen bir dosya adý uzantýsý yalnýzca istekleri izin verilir. [DenyExtensions] bölümüne göz ardý edilir.

Istekleri bir uzantýya sahip dosyalarý için izin vermek için URLScan yapýlandýrma hakkýnda ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

[DenyUrlSequences]</a0> bölümü

URLScan, belirli bir URL'NIN karakterlerini dizisi içeren isteklerini engellemek için yapýlandýrabilirsiniz. Örneðin, Dizin Çapraz geçiþ güvenlik açýklarýndan yararlanmak açýklarýný ile sýk kullanýlan iki ardýþýk nokta (.) içeren istekleri engelleyebilirsiniz. Engellemek için bir karakter sýrasýný belirtmek için <a0></a0>, sýra bir satýrda kendi [DenyUrlSequences] bölümünde yerleþtirin.

Karakter sýra numaralarý ekleme olumsuz Outlook Web Access (OWA) için Microsoft Exchange etkileyebileceðini unutmayýn. OWA bir iletiyi açtýðýnýzda, iletinin konu satýrýnda sunucu istenen URL'ye yer alýyor. Çünkü URLScan.ini dosyasýný yüzde iþareti (%) içeren tüm istekleri engeller ve "Satýþ 100 oranýnda artýrýn"veya "Kemal & Ercu için þehir geldiðini"gibi bir ileti ile bir konu sat?r? açmaya çalýþtýklarýnda ve iþareti (&), kullanýcýlarýn bir 404 hata iletisi alýrsýnýz. Bu sorunu gidermek için <a0></a0>, bu sýralar gelen kaldýrabilirsiniz[DenyUrlSequences] bölümünde. Olasý zararlý olabilecek isteklerin sunucu eriþmeye izin verir, çünkü bu güvenlik azaltýr unutmayýn.

Ek bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

URLScan, IIS baðýmlý uygulamalarý ile kullanmak için yapýlandýrma

Exchange (FPSE) ve Microsoft Visual Studio gibi uygulamalar için doðru iþlev ýýS'DE .NET baðlýdýr. URLScan doðru yapýlandýrmazsanýz, bu uygulamalar düzgün çalýþmayabilir.

URLScan, bu uygulamalarýyla çalýþacak biçimde yapýlandýrma hakkýnda ek bilgi için Microsoft Knowledge Base'deki makaleleri görüntülemek üzere aþaðýdaki makale numaralarýný týklatýn:

URLScan.ini %WINDIR%\System32\Inetsrv\URLscan klasöründe yoksa, istemci bir 404 hatasý yanýt alýrsýnýz. Bu sorunu gidermek için <a0></a0>, URLScan.ini dosyasýný bir yedekten geri yükleyin veya benzer bir sunucudan URLScan.ini dosyasýný kopyalayýn.

Ek bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: