Como configurar o URLScan para proteger aplicativos da Web ASP.NET

Traduções deste artigo Traduções deste artigo
ID do artigo: 815155 - Exibir os produtos aos quais esse artigo se aplica.
É altamente recomendável que todos os usuários atualizem para Microsoft (IIS) versão 7.0 em execução no Microsoft Windows Server 2008. O IIS 7.0 aumenta significativamente a segurança de infra-estrutura da Web. Para obter mais informações sobre tópicos relacionados à segurança do IIS, visite o seguinte site:
http://technet.microsoft.com/en-us/library/dd450371.asp
Para obter mais informações sobre o IIS 7.0, visite o seguinte site:
http://www.iis.net/default.aspx?tabid=1

NESTA TAREFA

Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo passo a passo descreve como configurar a ferramenta de segurança URLScan para proteger aplicativos da Web ASP.NET.

O URLScan é um filtro de servidores da Internet (ISAPI) que telas e monitora as solicitações HTTP para Internet Information Server 4.0, Internet Information Services 5.0 e 5.1 (IIS). URLScan é usado para reduzir a exposição do IIS a possíveis ataques da Internet.

Por padrão, o URLScan não faz acomodações especiais para extensões de nome de arquivo usado por aplicativos ASP.NET. Você pode alterar a configuração do URLScan para adicionar uma camada extra de segurança para esses aplicativos. Você deve desabilitar ou habilitar extensões de nome de arquivo diferente para rastreamento de nível de aplicativo, XML Web services e sistema de interação remota.

back to the top

Configurar o URLScan

Para configurar o URLScan para habilitar padrão arquivo extensões ASP.NET que os usuários podem solicitadas, execute estas etapas:
  1. Instale a ferramenta URLScan. Para obter informações e instruções, visite o seguinte site da Microsoft:
    http://technet.microsoft.com/en-us/security/cc242650.aspx
  2. Abra o arquivo URLScan.ini em um editor de texto (como o bloco de notas). Esse arquivo está localizado no \ System Root \System32\Inetsrv\Urlscan\ pasta.
  3. Na seção [AllowExtensions], adicione as seguintes extensões de nome de arquivo:
    • .ashx
    • .aspx
  4. Na seção [DenyExtensions], adicione as seguintes extensões de nome de arquivo:
    • .asax
    • .ascx
    • .config
    • .cs
    • .csproj
    • .dll
    • .licx
    • .pdb
    • .resx
    • .Resources
    • .vb
    • .vbproj
    • .vsdisco
    • .webinfo
    • .xsd
    • .XSX
  5. Para ativar o rastreamento de nível de aplicativo, adicione a extensão de nome de arquivo .axd à seção [AllowExtensions]. Se você não deseja ativar o rastreamento de nível de aplicativo, adicione .axd à seção [DenyExtensions].
  6. Para permitir que serviços da Web, adicione a extensão de nome de arquivo .asmx à seção [AllowExtensions]. Se você não deseja permitir serviços da Web, adicione .asmx à seção [DenyExtensions].
  7. Para ativar o sistema de interação remota, adicione a extensão de nome de arquivo .rem e a extensão de nome de arquivo .SOAP à seção [AllowExtensions]. Se você não deseja ativar o sistema de interação remota, adicione .rem e .SOAP à seção [DenyExtensions].
  8. Salve e feche o arquivo URLScan.ini. Você deve reiniciar o IIS para que as alterações entrem em vigor.
Observação Essas etapas são projetadas para oferecer proteção ideal, independentemente se a configuração UseAllowVerbs está ativada no URLScan.

back to the top

Referências

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
315736Como proteger um aplicativo ASP.NET usando o Windows Security
315588Como proteger um aplicativo ASP.NET usando certificados do lado do cliente
818014Como proteger aplicativos que são criados no .NET Framework
back to the top

Propriedades

ID do artigo: 815155 - Última revisão: quinta-feira, 3 de julho de 2008 - Revisão: 6.4
A informação contida neste artigo aplica-se a:
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
  • Microsoft ASP.NET 1.1
Palavras-chave: 
kbmt kbscan kbsecurity kbconfig kbweb kbhowtomaster KB815155 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 815155

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com