URLScan aracı'nı yapılandırma hakkında

Makale çevirileri Makale çevirileri
Makale numarası: 326444 - Bu makalenin geçerli olduğu ürünleri görün.
Tüm kullanıcıların Microsoft ınternet ınformation Services (IIS) sürüm 7.0 yükseltmenizi öneririz Microsoft Windows Server 2008 çalışan. IIS 7.0, Web altyapı güvenliği önemli ölçüde artırır. IIS güvenliği ile ilgili konular hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
IIS 7.0 hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://www.iis.net/default.aspx?tabid=1
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Bu adım adım makalede, URLScan aracı, Web sunucunuz saldırıları ve davetsiz girişlere korumak için yapılandırılacak açıklar.

URLScan yükleyin.

URLScan yüklemek için aşağıdaki Microsoft Developer ziyaret Network (MSDN) Web sitesi:
http://msdn2.microsoft.com/en-us/library/aa302368.aspx
Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
307608URLScan, IIS kullanma

URLScan.ini dosyasını değiştirme

URLScan ile ilgili tüm yapılandırmasını URLScan.ini gerçekleştirilir dosyası %WINDIR%\System32\Inetsrv\URLscan klasöründe bulunur. URLScan yapılandırmak için <a0></a0>, bu dosyayı, Notepad gibi bir metin düzenleyicisinde açın, sonra da uygun değişiklikleri yapın ve sonra dosyayı kaydedin.

Not Internet ınformation Services (etkili olması için IIS) için değişikliklerinizi yeniden başlatmanız gerekir. Hızlı bir şekilde bunun bir yolu, komut isteminde IISRESET komut çalıştırmaktır.

URLScan.ini dosyasına aşağıdaki bölümleri içerir:
  • [Seçenekler]: Bu bölümde, genel URLScan seçenekler açıklanır.
  • [AllowVerbs] ve [DenyVerbs]: Bu bölüm, URLScan veren fiiller (HTTP yöntemleri de denir) tanımlar.
  • [DenyHeaders]: Bu bölüm, bir HTTP isteğine izin verilen HTTP üstbilgileri listeler. URLScan, bir HTTP isteği, bu bölümde listelenen HTTP üstbilgileri birini içeriyorsa, isteği reddeder.
  • [AllowExtensions] ve [DenyExtensions]: Bu bölüm, URLScan izin veren dosya adı uzantıları tanımlar.
  • [DenyURLSequences]: Bu bölüm, bir HTTP izin verilmedi dizelerini listeler isteği. URLScan, bu bölümde görüntülenen bir dize içeren HTTP isteklerini reddeder.
Her bölüm, bu belgede daha ayrıntılı açıklanacaktır.

[Options] bölümüne

[Options]</a0> bölümünde, URLScan seçenekleri yapılandırabilirsiniz. Bu bölümdeki her satırın aşağıdaki biçimdedir:
OptionNameOptionValue =
Kullanılabilir seçenekleri ve varsayılan değerleri aşağıdaki gibidir:
  • UseAllowVerbs = 1

    Varsayılan olarak, bu seçeneği 1 olarak ayarlanır. URLScan, bu seçeneği 1 olarak ayarlanırsa, yalnızca [AllowVerbs] bölümünde listelenen fiiller kullanan HTTP istekleri verir. URLScan, bu fiiller kullanan tüm istekleri engeller. Bu seçenek 0 olarak ayarlanırsa, URLScan [AllowVerbs] bölümünde yoksayar ve bunun yerine [DenyVerbs] bölümünde listelenen fiiller kullanmak istekleri engeller.
  • UseAllowExtensions = 0

    Varsayılan olarak, bu seçenek 0 olarak ayarlanır. Bu seçenek 0 olarak ayarlanırsa, URLScan blokları [DenyExtensions] bölümünde listelenen bir dosya adı uzantıları için ister, ancak istekleri başka bir dosya adı uzantıları sağlar. Bu seçeneği 1 olarak ayarlanırsa, URLScan yalnızca istekleri [AllowExtensions] bölümünde listelenen uzantılı dosyalar için izin verir ve onu başka bir dosya istekleri engeller.
  • NormalizeUrlBeforeScan = 1

    IIS, URL olarak kodlanmış istekleri alır. Yani, bazı karakterler, ardından belirli bir sayı yüzde işaretiyle (%) ile değiştirilebilir. Örneğin, % 20 http://myserver/My%20Dir/My%20File.htm isteği http://myserver/My Dir/My File.htm isteği ile aynı olacak şekilde bir alana karşılık gelir. Normalleştirme URL olarak kodlanmý㾠istekleri kod çözme işlemidir. Varsayılan olarak, bu seçeneği 1 olarak ayarlanır. URLScan, NormalizeUrlBeforeScan seçeneği 1 olarak ayarlanırsa, kodu çözülen isteği çözümler. URLScan undecoded isteği 0'a ayarlı ise, bunun yerine çözümler. Bu seçenek 0 olarak ayarlamak, belirli bir türdeki saldırıların engellenmesine URLScan yeteneği yavaşlattığını.
  • VerifyNormalization = 1

    Yüzde işareti (%) kendisini kodlanmış URL olabileceğinden, bir saldırganın, temel olarak iki kodlanmış bir sunucuda dikkatli üretilmiş bir isteği gönderebilir. Bu durum ortaya çıkarsa, IIS, aksi halde geçerli olarak reddetmek kabul. Varsayılan olarak, bu seçeneği 1 olarak ayarlanır. URLScan VerifyNormalization seçeneği 1 olarak ayarlarsanız, iki kez URL normalleştirir. URLScan, ilk normalleştirme sonra URL sonra ikinci olan normalleştirme URL'DEN farklıysa, isteği reddeder. Bu çift olarak kodlanmış istekleri kullanan saldırıları engeller.
  • AllowHighBitCharacters = 0

    Varsayılan olarak, bu seçenek 0 olarak ayarlanır. URLScan, bu seçenek 0 olarak ayarlanırsa, ASCII olmayan karakterler içeren tüm istekleri reddeder. Bu, belirli bir saldırı türlerini engelleyebilir, ancak ingilizce dışındaki adlara sahip dosyaları gibi bazı meşru dosya istekleri dışında da engelleyebilir.
  • Allowdotınpath = 0

    Varsayılan olarak, bu seçenek 0 olarak ayarlanır. URLScan, bu seçenek, 0'a ayarlı ise, birden fazla nokta (.) içeren herhangi bir isteği reddeder. Bu, tehlikeli bir dosya adı uzantılarını isteklerde yol bilgileri veya sorgu dizesi bölümü URL güvenli bir dosya adı uzantısını yerleştirerek kamuflaj girişimlerini engeller. Bu seçeneği 1 olarak ayarlanırsa, gerçekte PATH_INFO alanında HTML sayfası adlı bir yürütülebilir (.exe) dosya için istek olduğunda, bir HTML sayfası için bir istek olduğunu düşünmesi nedeniyle, URLScan http://servername/BadFile.exe/SafeFile.htm isteğine izin verebilir. URLScan, bu seçenek 0 olarak ayarlandığında, istekleri dönemleri içeren dizinler için de reddedebilir.
  • RemoveServerHeader = 0

    Varsayılan olarak, Web sunucusu çalıştıran tüm yanıtlarında hangi Web sunucusu yazılımı tanımlayan bir üstbilgi döndürür. Bir saldırganın bir sunucu, IIS ve diğer Web sunucuları için tasarlanmış açığından yararlanan yazılımları kullanarak, bir IIS sunucusuna saldırmak yerine IIS sorunları, bilinen saldırı çalışıp çalışmadığını belirlemek için bu sunucunun güvenlik açığından artırabilir. Varsayılan olarak, bu seçenek 0 olarak ayarlanır. RemoveServerHeader seçeneği 1 olarak ayarlarsanız, sunucunuzun bir IIS sunucusu olarak tanımlayan bir üstbilgi göndermesini engeller. Bu üstbilgi, RemoveServerHeader 0 olarak ayarlayın, yine de gönderilir.
  • AlternateServerName =(not specified by default)

    RemoveServerHeader 0 olarak ayarlanırsa, bir dize geri Server üstbilgisinde geçirilecek belirtmek için AlternateServerName seçeneği belirtebilirsiniz. RemoveServerHeader 1 olarak ayarlanırsa, bu seçeneği göz ardı edilir.
  • EnableLogging = 1

    Varsayılan olarak, URLScan WINDIR%\System32\Inetsrv\URLScan % alanı'nda engellenmiş olan tüm isteklerin tam bir günlüğünü tutar. Bu günlük tutmak istemiyorsanız, EnableLogging 0 olarak ayarlayabilirsiniz.
  • PerProcessLogging = 0

    Varsayılan olarak, bu seçenek 0 olarak ayarlanır. URLScan, bu seçeneği 1 olarak ayarlanırsa, URLScan.dll barındıran her işlem için ayrı bir günlük oluşturur. 0 Olarak ayarlanırsa, tüm işlemleri aynı dosyaya günlüğe yazılır.
  • PerDayLogging = 1

    Varsayılan olarak, bu seçeneği 1 olarak ayarlanır. URLScan, bu değer 1 olarak ayarlanırsa, her gün yeni günlük dosyası oluşturur. Her günlük dosyası, tarihi günlük dosyasının bulunduğu MMDDYY URLScan. MMDDYY .log olarak adlandırılır. Bu değeri 0 olarak ayarlanırsa, tüm oturum açma tarihi ne olursa olsun aynı dosyada kaydedilir.
  • AllowLateScanning = 0

    Varsayılan olarak, bu seçenek 0 olarak ayarlanır. Bu seçenek, 0 olarak ayarlanırsa, tüm diğer ınternet sunucusu uygulama programlama arabirimi (ISAPI önce) yürütür hangi anlamına gelir, filtreleri, yüksek ã¶ncelikli süzgeçle URLScan çalışırken sunucuda yüklenir. Bu seçeneği 1 olarak ayarlanırsa, herhangi bir çözümleme URLScan gerçekleştirmeden önce di?er süzgeçler URL'YI değiştirebilirsiniz URLScan düşük öncelikli süzgeç gibi çalışır. FrontPage Server Extensions (FPSE), bu seçeneği 1 olarak ayarlanması gerekir.
  • RejectResponseUrl =(not specified by default)

    Bu seçenek, URLScan isteği engellediğinde, bir dosyaya sanal yolu belirtir. Bu Engellenen istekler için istemciye gönderilen yanıtı özelleştirmenize olanak verir. Uygun dosyayı /Path/To/RejectResponseHandler.asp gibi sanal yolu olarak RejectResponseUrl belirtmeniz gerekir. URLScan genellikle, bir Active Server Pages (ASP) sayfası gibi engelleyen bir dosya belirtebilirsiniz. Aşağıdaki sunucu değişkenlerini sayfasından da kullanabilirsiniz:
    • HTTP_URLSCAN_STATUS_HEADER: Bu isteği durdurulma belirtir.
    • HTTP_URLSCAN_ORIGINAL_VERB: Bu engellenen istek (örneğin, GET, POST, HEAD veya hata AYıKLAMA) gelen özgün fiil belirtir.
    • HTTP_URLSCAN_ORIGINAL_URL: Bu engellenen istek özgün URL'DEN belirtir.
    Özel değerinin RejectResponseUrl ayarlarsanız / ~ *, URLScan yalnızca günlüğe kaydetme modu kullanır. Bu, ııS'NIN, tüm isteklere hizmet verir, ancak genellikle engellenen tüm istekleri için URLScan günlük için bir girdi ekler. Bu sizin URLScan.ini sınamak isterseniz kullanışlıdır dosya.

    RejectResponseUrl için değer belirtmezseniz, URLScan /<Rejected-By-UrlScan> varsayılan değerini kullanır..

  • UseFastPathReject = 0

    Varsayılan olarak, bu seçenek 0 olarak ayarlanır. Bu seçeneği 1 olarak ayarlanırsa, URLScan RejectResponseUrl ayarını yoksayar ve hemen bir 404 hata iletisi, tarayıcıya döndürür. Bu RejectResponseUrl işleme daha hızlıdır, ancak çok günlüğe kaydetme seçeneklerini izin vermiyor. Bu seçenek 0 olarak ayarlanırsa, URLScan RejectResponseUrl ayarı isteği işlemek için kullanır.

[AllowVerbs] ve [DenyVerbs] bölümleri

[AllowVerbs] ve [DenyVerbs] bölümleri URLScan veren HTTP fiillerini (yöntemleri de denir) tanımlayın. Sık kullanılan HTTP fiillerini, GET, POST, HEAD ve PUT içerir. FPSE ve Web üzerinde Dağıtılmış Yazma ve sürüm oluşturma gibi başka uygulamalar da (WebDAV), ek fiiller kullanın.

[AllowVerbs] ve [DenyVerbs] bölümleri de aynı sözdizimi vardır. Bunlar yapılan oluşturan bir HTTP listesinden yüklemleri ve her bir fiil görünür kendi satırında.

URLScan, [Options]</a0> bölümündeki <a2>UseAllowVerbs</a2> seçeneğinin değeri kullanmak için hangi bölümün temel karar verir. Varsayılan olarak, bu seçeneği 1 olarak ayarlanır. URLScan, UseAllowVerbs 1 olarak ayarlanırsa, yalnızca [AllowVerbs] bölümünde listelenen fiiller kullanan istekleri verir. Bu fiilleri birini kullanmayan BIR isteği reddetti. Bu durumda, [DenyVerbs] bölümü yok sayılır.

URLScan, UseAllowVerbs 0 olarak ayarlanırsa, açıkça listelenen fiiller [DenyVerbs] bölümünde kullanan isteklerini reddeder. Fiiller görünmüyor, bu bölümde kullandığınız tüm isteklere izin verilir. Bu durumda, URLScan [AllowVerbs] bölümünde yoksayar.

[DenyHeaders]</a0> bölümü

Bir istemci bir Web sunucusundan bir sayfayı istediğinde, genellikle üzerinden istek hakkında ek bilgi içeren bazı HTTP üstbilgilerini gönderir. Sık kullanılan HTTP üstbilgileri şunlardır:
  • Ana bilgisayar:

    Bu başlık, Web sunucusu adını içerir.
  • Kabul et:

    Bu üstbilgi, istemci işleyebileceği dosya türlerini tanımlar.
  • Kullanıcı-Aracısı:

    Bu üstbilgiyi sayfa isteyen tarayıcının adını içerir.
  • Yetkilendirme:

    Bu üstbilgi, istemcinin desteklediği kimlik doğrulama yöntemleri tanımlar.
Istemciler, diğer üstbilgileri ek bilgileri belirtmek için sunucuya gönderebilir.

[DenyHeaders]</a0> bölümünde, URLScan geri HTTP üstbilgileri tanımlarsınız. URLScan, bu bölümde listelenen herhangi bir başlık içeren bir istek alırsa, bu isteği reddeder. Bu bölümde bir HTTP listesinden oluşur kendi satırında görünen her başlık ile üstbilgileri. Üstbilgi adlarını iki nokta üst üste (:) gelmelidir. (örneğin, üstbilgi adı:).

[AllowExtensions] ve [DenyExtensions] bölümleri

Çoğu dosya, oldukları dosya türünü tanımlayan bir dosya adı uzantısına sahiptir. Örneğin, dosya adları, .htm veya .html Word genellikle son .doc, HTML dosya adları, genellikle belgeler için son ve düz metin dosya adları, genellikle .txt içinde son. [AllowExtensions] ve [DenyExtensions] bölümleri URLScan engelleyen uzantıları tanımlamak için izin verir. Örneğin, .exe dosyaları, Web kullanıcıların uygulamaları, sistemde yürütmesine engel olmak için istekleri reddetmeye URLScan yapılandırabilirsiniz.

[AllowExtensions] ve [DenyExtensions] bölümleri de aynı sözdizimi vardır. Bunlar bir dosya adı uzantıları listesinden oluşur ve her bir uzantı kendi satırında görüntülenir. Uzantının nokta (.) ile başlar. (örneğin, .ext).

URLScan, hangi bölümünü kullanmak için değeri UseAllowExtensions[Options]</a0> bölümündeki temel karar verir. Varsayılan olarak, bu seçenek 0 olarak ayarlanır. UseAllowExtensions 0 olarak ayarlanırsa, URLScan yalnızca [DenyExtensions] bölümünde listelenen adı uzantıları dosya istekleri reddeder. Bu bölümde listelenen herhangi bir dosya adı uzantılarını izin verilir. [AllowExtensions] bölümü yok sayılır.

URLScan, UseAllowExtensions 1 olarak ayarlanırsa, tüm dosya istekleri açıkça [AllowExtensions] bölümünde listelenen uzantılarını reddeder. Bu bölümde listelenen bir dosya adı uzantısı yalnızca istekleri izin verilir. [DenyExtensions] bölümüne göz ardı edilir.

Istekleri bir uzantıya sahip dosyaları için izin vermek için URLScan yapılandırma hakkında ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
312376Boş bir uzantısı olan istekleri, ııS'DE izin vermek için URLScan yapılandırma hakkında

[DenyUrlSequences]</a0> bölümü

URLScan, belirli bir URL'NIN karakterlerini dizisi içeren isteklerini engellemek için yapılandırabilirsiniz. Örneğin, Dizin Çapraz geçiş güvenlik açıklarından yararlanmak açıklarını ile sık kullanılan iki ardışık nokta (.) içeren istekleri engelleyebilirsiniz. Engellemek için bir karakter sırasını belirtmek için <a0></a0>, sıra bir satırda kendi [DenyUrlSequences] bölümünde yerleştirin.

Karakter sıra numaraları ekleme olumsuz Outlook Web Access (OWA) için Microsoft Exchange etkileyebileceğini unutmayın. OWA bir iletiyi açtığınızda, iletinin konu satırında sunucu istenen URL'ye yer alıyor. Çünkü URLScan.ini dosyasını yüzde işareti (%) içeren tüm istekleri engeller ve "Satış 100 oranında artırın"veya "Kemal & Ercu için şehir geldiğini"gibi bir ileti ile bir konu sat?r? açmaya çalıştıklarında ve işareti (&), kullanıcıların bir 404 hata iletisi alırsınız. Bu sorunu gidermek için <a0></a0>, bu sıralar gelen kaldırabilirsiniz[DenyUrlSequences] bölümünde. Olası zararlı olabilecek isteklerin sunucu erişmeye izin verir, çünkü bu güvenlik azaltır unutmayın.

Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
325965URLScan aracı Outlook Web Access'te sorunlara yol açabilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir.)

URLScan, IIS bağımlı uygulamaları ile kullanmak için yapılandırma

Exchange (FPSE) ve Microsoft Visual Studio gibi uygulamalar için doğru işlev ııS'DE .NET bağlıdır. URLScan doğru yapılandırmazsanız, bu uygulamalar düzgün çalışmayabilir.

URLScan, bu uygulamalarıyla çalışacak biçimde yapılandırma hakkında ek bilgi için Microsoft Knowledge Base'deki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
309508Exchange ortamında IIS Kilitleme ve URLscan yapılandırmaları
309394FrontPage 2000'le URLScan nasıl kullanılır
318290URLScan, FrontPage 2002 ile kullanma
310588ASP.NET Visual Studio .NET ile hata ayıklama güvenlik araç seti keser.

Daha fazla bilgi

URLScan.ini %WINDIR%\System32\Inetsrv\URLscan klasöründe yoksa, istemci bir 404 hatası yanıt alırsınız. Bu sorunu gidermek için <a0></a0>, URLScan.ini dosyasını bir yedekten geri yükleyin veya benzer bir sunucudan URLScan.ini dosyasını kopyalayın.

Referanslar

Ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
325864Nasıl yükleneceği ve IIS Kilitleme Sihirbazı'nı kullanın.

Özellikler

Makale numarası: 326444 - Last Review: 7 Temmuz 2008 Pazartesi - Gözden geçirme: 6.1
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
Anahtar Kelimeler: 
kbmt kbhowtomaster KB326444 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:326444

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com