Cómo configurar URLScan para proteger las aplicaciones Web ASP.NET

Seleccione idioma Seleccione idioma
Id. de artículo: 815155 - Ver los productos a los que se aplica este artículo
Recomendamos encarecidamente que todos los usuarios actualizar a Microsoft Internet Information Services (IIS) versión 7.0 que se ejecutan en Microsoft Windows Server 2008. IIS 7.0 aumenta notablemente la seguridad de la infraestructura Web. Para obtener más información acerca de temas relacionados con la seguridad IIS, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/library/dd450371.asp
Para obtener más información acerca de IIS 7.0, visite el siguiente sitio Web de Microsoft:
http://www.iis.net/default.aspx?tabid=1

En esta tarea

Expandir todo | Contraer todo

En esta página

Resumen

Este artículo paso a paso describe cómo configurar la herramienta de seguridad de URLScan para proteger las aplicaciones Web ASP.NET.

URLScan es un filtro ISAPI (Internet Server API) que analiza y supervisa las solicitudes HTTP para Internet Information Server 4.0, IIS 5.0 y 5.1 de Internet Information Services (IIS). URLScan se utiliza para reducir la exposición de IIS a posibles ataques de Internet.

De forma predeterminada, URLScan no realiza el alojamiento especial para extensiones de nombre de archivo que las aplicaciones Web ASP.NET utilizan. Puede cambiar la configuración de URLScan para agregar una capa adicional de seguridad para estas aplicaciones. Debe deshabilitar o habilitar extensiones de nombre de archivo diferente para seguimiento de nivel de aplicación, servicios Web XML y remotos.

back to the top

Configurar URLScan

Para configurar URLScan para habilitar estándar ASP.NET extensiones de nombre de archivo que los usuarios pueden solicitadas, siga estos pasos:
  1. Instalar la herramienta URLScan. Para obtener información e instrucciones, visite el siguiente sitio Web:
    http://technet.microsoft.com/en-us/security/cc242650.aspx
  2. Abra el archivo URLScan.ini en un editor de texto (como el Bloc de notas). Este archivo se encuentra en el \ carpeta \System32\Inetsrv\Urlscan\ de System Root.
  3. En la sección [AllowExtensions], agregue las siguientes extensiones de nombre de archivo:
    • .ashx
    • .aspx
  4. En la sección [DenyExtensions], agregue las siguientes extensiones de nombre de archivo:
    • asax
    • .ascx
    • .config
    • cs
    • .csproj
    • .dll
    • .licx
    • .pdb
    • .resx
    • .resources
    • .vb
    • .vbproj
    • .vsdisco
    • .webinfo
    • .xsd
    • .xsx
  5. Para activar el seguimiento de nivel de aplicación, agregue la extensión de nombre de archivo .axd a la sección [AllowExtensions]. Si desea activar el seguimiento de nivel de aplicación, agregue .axd a la sección [DenyExtensions].
  6. Para permitir servicios Web, agregar la extensión de nombre de archivo .asmx a la sección [AllowExtensions]. Si desea permitir servicios Web, agregue .asmx a la sección [DenyExtensions].
  7. Para activar la interacción remota, agregue la extensión de nombre de archivo de .rem y .SOAP la extensión del nombre del archivo a la sección [AllowExtensions]. Si desea activar la interacción remota, agregue .rem y .SOAP a la sección [DenyExtensions].
  8. Guarde y cierre el archivo URLScan.ini. Debe reiniciar IIS para que los cambios surtan efecto.
Nota Estos pasos están diseñados para ofrecer protección óptima, independientemente de si está activada la opción UseAllowVerbs en URLScan.

back to the top

Referencias

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
315736Cómo proteger una aplicación ASP.NET mediante Windows Security
315588Cómo proteger una aplicación ASP.NET mediante certificados de cliente
818014Cómo proteger las aplicaciones integradas en .NET Framework
back to the top

Propiedades

Id. de artículo: 815155 - Última revisión: jueves, 3 de julio de 2008 - Versión: 6.4
La información de este artículo se refiere a:
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
  • Microsoft ASP.NET 1.1
Palabras clave: 
kbmt kbscan kbsecurity kbconfig kbweb kbhowtomaster KB815155 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 815155

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com