COMMENT FAIRE : Utiliser URLScan avec FrontPage 2003

Utilisez ce guide pas à pas pour installer et configurer l'utilitaire URLScan pour Microsoft Internet Information Services (IIS). Vous pouvez télécharger URLScan à partir du site Web de Microsoft en suivant les étapes de cet article. URLScan a pour but de renforcer la sécurité de votre serveur Web.

Téléchargement et installation de l'Assistant IIS Lockdown

URLScan fait maintenant partie de l'Assistant IIS Lockdown. Pour plus d'informations sur la façon d'installer l'Assistant IIS Lockdown, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.

Modification de la configuration par défaut d'URLScan

La configuration par défaut d'URLScan peut interférer avec les fonctionnalités de FrontPage. Pour permettre à FrontPage de fonctionner correctement tout en refusant l'accès aux fichiers FrontPage sensibles, vous devez apporter les modifications décrites dans cette section. Il ne s'agit là que de suggestions. Pour plus d'informations sur les paramètres d'URLScan, reportez-vous à la section "Références" de cet article.

1. Cliquez avec le bouton droit sur le menu Démarrer, cliquez sur Explorer, puis recherchez le dossier suivant (où %windir% correspond à votre dossier Windows, tel que C:\Windows ou C:\Winnt) :
   %windir% \system32\inetsrv\urlscan
2. Cliquez avec le bouton droit sur le fichier Urlscan.ini, puis cliquez sur Copier.
3. Cliquez avec le bouton droit sur le dossier, puis cliquez sur Coller.
   
   Une copie du fichier est créée et nommée Copie de Urlscan.ini.
4. Double-cliquez sur le fichier Urlscan.ini (il s'ouvre alors dans le Bloc-notes).
5. Apportez les modifications suivantes :
   1. Dans la section [options], définissez les valeurs suivantes :

      [options] 
      UseAllowVerbs=1          ; use the [AllowVerbs] section 
      UseAllowExtensions=0     ; use the [DenyExtensions] section 
      NormalizeUrlBeforeScan=1 ; canonicalize URL before processing 
      VerifyNormalization=1    ; canonicalize URL twice, reject on change 
      AllowHighBitCharacters=0 ; deny high bit (UTF8 or MBCS) characters 
      AllowDotInPath=0         ; deny dots in path 
      EnableLogging=1          ; log activity 
      PerDayLogging=1          ; change log files daily 
      PerProcessLogging=0      ; do not change log files by process ID 
      RemoveServerHeader=0     ; do not remove"Server" header 
      AlternateServerName= 
      UseFastPathReject=0      ; use RejectResponseUrl or log the request 
      RejectResponseUrl= 
      AllowLateScanning=1      ; allow URLScan to be loaded low priority

   2. Dans la section [AllowVerbs], utilisez uniquement les valeurs suivantes. N'incluez pas d'autres valeurs.

      [AllowVerbs] 
      GET ; allow GET (most Web requests) 
      HEAD ; allow HEAD requests 
      OPTIONS ; allow OPTIONS (Web Folders need this) 
      POST ; allow POST (FPSE and HTML forms need this)
      

   3. Dans la section [DenyHeaders], utilisez uniquement les valeurs suivantes. N'incluez pas d'autres valeurs.

      [DenyHeaders] 
      If:         ; deny (used with WebDAV) 
      Lock-Token: ; deny (used with WebDAV)

   4. Dans la section [DenyExtensions], définissez les valeurs suivantes :

      [DenyExtensions]
       .asa     ; deny active server application definition files
       .bat     ; deny batch files
       .btr     ; deny FrontPage dependency files
       .cer     ; deny x509 certificate files
       .cdx     ; deny dynamic channel definition files
       .cmd     ; deny batch files
       .cnf     ; deny FrontPage metadata files
       .com     ; deny server command-line applications
       .dat     ; deny data files
       .evt     ; deny Event Viewer logs
       .exe     ; deny server command-line applications
       .htr     ; deny IIS legacy HTML admin tool
       .htw     ; deny Index Server hit-highlighting
       .ida     ; deny Index Server legacy HTML admin tool
       .idc     ; deny IIS legacy database query files
       .inc     ; deny include files
       .ini     ; deny configuration files
       .ldb     ; deny Microsoft Access Record-Locking Information files
       .log     ; deny log files
       .pol     ; deny policy files
       .printer ; deny Internet Printing Services
       .sav     ; deny backup registry files
       .shtm    ; deny IIS Server Side Includes
       .shtml   ; deny IIS Server Side Includes
       .stm     ; deny IIS Server Side Includes
       .tmp     ; deny temporary files

   5. Dans la section [DenyUrlSequences], définissez les valeurs suivantes :

      [DenyUrlSequences]
       ..        ; deny directory traversals
       ./        ; deny trailing dot on a directory name
       \         ; deny backslashes in URL
       :         ; deny alternate stream access
       %         ; deny escaping after normalization
       &         ; deny multiple CGI processes to run on a single request
       /fpdb/    ; deny browse access to FrontPage database files
       /_private ; deny FrontPage private files (often form results)
       /_vti_pvt ; deny FrontPage Web configuration files
       /_vti_cnf ; deny FrontPage metadata files
       /_vti_txt ; deny FrontPage text catalogs and indices
       /_vti_log ; deny FrontPage authoring log files

   6. Ces paramètres n'utilisant pas les sections [DenyVerbs] et [AllowExtensions], aucun paramètre de ces sections n'est inclus dans cet article. Pour plus d'informations sur ces sections du fichier de configuration, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
      307608

      (http://support.microsoft.com/kb/307608/ )

      INFO : Disponibilité de l'outil de sécurité URLScan
6. Enregistrez le fichier, puis fermez le Bloc-notes.

Modification de la priorité d'URLScan (facultatif)

La priorité par défaut affectée à l'outil URLScan dans les services Internet (IIS) est élevée. Une priorité élevée peut interférer avec d'autres filtres ISAPI (Internet Server Application Programming Interface) qui doivent effectuer des tâches avant qu'URLScan soit appelé. Le filtre ISAPI des extensions serveur FrontPage (Fpexedll.dll) en est un exemple. Bien que les informations de cette section expliquent comment configurer URLScan pour qu'il se charge après le filtre ISAPI Fpexedll.dll, vous pouvez adapter facilement cette procédure pour configurer URLScan avec d'autres filtres ISAPI. Pour plus d'informations, reportez-vous à la documentation du filtre ISAPI que vous utilisez.

Remarque Pour pouvoir effectuer les étapes suivantes, vous devez définir correctement le paramètre "AllowLateScanning=1" dans le fichier Urlscan.ini afin de charger URLScan en tant que filtre de faible priorité. Pour cela, suivez les étapes de la section "Modification de la configuration par défaut d'URLScan" de cet article.

1. Démarrez le Gestionnaire des services Internet. Pour cela, appliquez la procédure correspondant à votre version des services Internet (IIS) :
   • Dans IIS 4.0 :
     1. Dans Windows, cliquez sur Démarrer, pointez sur Programmes, puis cliquez sur Windows NT 4.0 Option Pack.
     2. Pointez sur Microsoft Internet Information Server, puis cliquez sur Gestionnaire des services Internet.
   • Dans IIS 5.0 :
     1. Dans Windows, cliquez sur Démarrer, pointez sur Programmes, puis cliquez sur Outils d'administration.
     2. Cliquez sur Gestionnaire des services Internet.
   • Dans IIS 5.1 :
     1. Dans Windows, cliquez sur Démarrer, puis sur Panneau de configuration.
     2. Double-cliquez sur Outils d'administration.
     3. Double-cliquez sur Services Internet (IIS).
2. Cliquez avec le bouton droit sur le nom de votre serveur, puis cliquez sur Propriétés.
3. Sélectionnez l'option Propriétés principales du service WWW, puis cliquez sur Edition.
4. Cliquez sur l'onglet Filtres ISAPI.
5. Cliquez sur UrlScan, puis sur Bas pour déplacer UrlScan au-dessous de Fpexedll.dll.
6. Cliquez sur OK.
7. Cliquez de nouveau sur OK.

Redémarrage des services Internet (IIS) pour mettre à jour URLScan

Lors du démarrage des Services Internet (IIS), URLScan est chargé en mémoire et lit les paramètres du fichier Urlscan.ini. Vous devez par conséquent redémarrer les services Internet (IIS) pour que les nouveaux paramètres de configuration entrent en vigueur. Pour cela, appliquez la procédure correspondant à votre version des services Internet (IIS) :

• Dans IIS 4.0 :
  1. À l'invite de commandes, tapez la commande suivante :
     NET STOP "Service d'administration IIS" /Y
  2. Si vous voyez plusieurs services dépendants répertoriés à mesure qu'ils sont arrêtés, notez leurs noms afin de pouvoir redémarrer ces services ultérieurement.
  3. Lorsque le message suivant s'affiche :
     Le service Service d'administration IIS a été arrêté.
     redémarrez chaque service IIS par nom. Pour cela, tapez les commandes suivantes à l'invite et appuyez sur ENTRÉE après chaque ligne :
     NET START "Service de publication World Wide Web"
     NET START "SMTP (Simple Mail Transfer Protocol)"
     NET START "Service de publication FTP"
  4. Quittez l'invite de commandes.
• Dans IIS 5.0 :
  1. Cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Redémarrage de IIS.
  2. Cliquez sur Redémarrer les services Internet (IIS) sur votre_ordinateur.
  3. Cliquez sur OK.
• Dans IIS 5.1 :
  1. Cliquez avec le bouton droit sur Poste de travail, pointez sur Toutes les tâches, puis cliquez sur Redémarrage d'IIS.
  2. Cliquez sur Redémarrer les services Internet (IIS) sur votre_ordinateur.
  3. Cliquez sur OK.

Pour plus d'informations sur la façon de redémarrer les services Internet (IIS), cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.

DÉPANNAGE

• Les paramètres répertoriés dans la section "Modification de la configuration par défaut d'URLScan de cet article spécifient le paramètre "EnableLogging=1" de la section [Options] du fichier Urlscan.ini. Ce paramètre permet à URLScan de conserver un journal de toute l'activité d'URLScan. Ce fichier journal est enregistré dans le même dossier que le fichier Urlscan.dll. Si vous rencontrez des problèmes avec FrontPage ou avec d'autres fonctionnalités des services Internet (IIS) pendant qu'URLScan est activé, examinez les entrées les plus récentes du fichier journal afin d'en savoir plus sur les requêtes qui sont rejetées.
• Si vous apportez des modifications supplémentaires au fichier Urlscan.ini, créez des copies du fichier Urlscan.ini existant et nommez les fichiers copiés Urlscan.001, Urlscan.002, et ainsi de suite afin de disposer d'un historique des modifications apportées. Cette pratique peut vous empêcher de perdre une bonne configuration lorsque vous essayez d'implémenter une nouvelle configuration de sécurité.
• Si les modifications apportées à URLScan ne semblent pas entrer en vigueur, répétez la procédure pour redémarrer les services Internet (IIS). Si les modifications n'entrent toujours pas en vigueur, redémarrez votre serveur Web.

Pour plus d'informations sur la façon d'installer et de configurer l'outil URLScan, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.