Comment faire pour configurer URLScan pour protéger les applications Web ASP.NET

Numéro d'article: 815155 - Voir les produits auxquels s'applique cet article
Traduction automatiqueATTENTION : Cet article est issu du système de traduction automatique
Nous vous recommandons vivement de que tous les utilisateurs mettre à niveau pour Microsoft Internet Information Services (IIS) version 7.0 s'exécutant sur Microsoft Windows Server 2008. IIS 7.0 augmente considérablement la sécurité de l'infrastructure Web. Pour plus savoir sujets liés à la sécurité IIS, reportez-vous au adresse site Web de Microsoft à l'adresse suivante :
http://technet.microsoft.com/en-us/library/dd450371.asp
(http://technet.microsoft.com/en-us/library/dd450371.aspx)
Pour plus d'informations sur IIS 7.0, reportez-vous au site de Web Microsoft suivant :
http://www.iis.net/default.aspx?tabid=1
(http://www.iis.net/default.aspx?tabid=1)

DE CETTE TÂCHE

Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article étape par étape explique comment configurer l'outil de sécurité URLScan pour protéger les applications Web ASP.NET.

URLScan est un filtre interactif ISAPI (Internet Server API) qui écrans et surveille les demandes HTTP pour Internet Information Server 4.0, Internet Information Services 5.0 et Internet Information Services 5.1 (IIS). URLScan est utilisée pour réduire l'exposition des services Internet (IIS) aux attaques potentielles Internet.

Par défaut, URLScan ne fait pas accommodations spéciales pour les extensions nom de fichier que les applications Web ASP.NET utilisent. Vous pouvez modifier la configuration d'URLscan pour ajouter une couche supplémentaire de sécurité pour ces applications. Vous devez désactiver ou activer les extensions de fichier différent pour le suivi au niveau application, les services Web XML et accès distant.

back to the top

Configurer URLScan

Pour configurer URLScan pour activer standard ASP.NET fichier nom extensions que les utilisateurs peuvent demandées, procédez comme suit :
  1. Installez l'outil URLScan. Pour les informations et des instructions, reportez-vous au site de Web Microsoft suivant :
    http://technet.microsoft.com/en-us/security/cc242650.aspx
    (http://technet.microsoft.com/en-us/security/cc242650.aspx)
  2. Ouvrez le fichier URLScan.ini dans un éditeur de texte (tel que le Bloc-notes). Ce fichier se trouve dans le \ dossier \System32\Inetsrv\Urlscan\ System Root.
  3. Dans la section [AllowExtensions], ajoutez les extensions de nom de fichier suivantes :
    • .ashx
    • .aspx
  4. Dans la section [DenyExtensions], ajoutez les extensions de nom de fichier suivantes :
    • .asax
    • .ascx
    • .config
    • .cs
    • .csproj
    • .dll
    • .licx
    • .PDB
    • fichiers .resx
    • .Resources
    • .vb
    • .vbproj
    • .vsdisco
    • .webinfo
    • .xsd
    • .xsx
  5. Pour activer le suivi de niveau application, ajouter l'extension de nom de fichier .axd à la section [AllowExtensions]. Si vous ne souhaitez pas activer le suivi au niveau application, ajoutez .axd à la section [DenyExtensions].
  6. Pour autoriser les services Web, ajouter l'extension de nom de fichier .asmx à la section [AllowExtensions]. Si vous ne souhaitez pas autoriser les services Web, ajoutez .asmx à la section [DenyExtensions].
  7. Pour activer l'accès distant, ajoutez l'extension de nom de fichier .rem et l'extension de nom de fichier .SOAP à la section [AllowExtensions]. Si vous ne souhaitez pas activer l'accès distant, ajoutez .rem et .SOAP à la section [DenyExtensions].
  8. Enregistrez, puis fermez le fichier URLScan.ini. Vous devez redémarrer IIS pour que les modifications soient prises en compte.
note Ces étapes sont conçus pour offrir protection optimale, indépendamment de si le paramètre UseAllowVerbs est activé dans URLScan.

back to the top
Retour au début | Envoyer des commentaires

Références

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
315736
(http://support.microsoft.com/kb/315736/ )
Comment faire pour sécuriser une application ASP.NET à l'aide de Windows Security
315588
(http://support.microsoft.com/kb/315588/ )
Comment faire pour sécuriser une application ASP.NET à l'aide de certificats côté client
818014
(http://support.microsoft.com/kb/818014/ )
Comment faire pour sécuriser applications construites sur le .NET Framework
back to the top
Retour au début | Envoyer des commentaires

Propriétés

Numéro d'article: 815155 - Dernière mise à jour: jeudi 3 juillet 2008 - Version: 6.4
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
  • Microsoft ASP.NET 1.1
Mots-clés : 
kbmt kbscan kbsecurity kbconfig kbweb kbhowtomaster KB815155 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 815155
(http://support.microsoft.com/kb/815155/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retour au début | Envoyer des commentaires

Envoyer des commentaires

 
Retour au débutRetour au début