Feltöltések konfigurálása IIS-alapú webalkalmazásokhoz

A cikk fordítása A cikk fordítása
Cikk azonosítója: 979124 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

BEVEZETÉS

A cikk azt ismerteti, hogy hogyan konfigurálhatja az Internet Information Services (IIS) szolgáltatást oly módon, hogy az biztonságosabb fájlfeltöltést tegyen lehetővé egy webalkalmazáson keresztül. Számos webalkalmazáshoz, például a tartalomkezelési rendszerekhez szükség van az adott webalkalmazást használó webkiszolgálóra történő fájlfeltöltések támogatására. Annak engedélyezése, hogy fájlokat lehessen feltölteni a webalkalmazást használó webkiszolgálóra, számos biztonsági következménnyel jár a kiszolgálóra nézve, amelyek fontosságát nem hagyhatja figyelmen kívül. A jelen cikkben ismertetett lépésekkel az IIS konfigurálásán keresztül biztonságossá teheti a webalkalmazásokból történő feltöltéseket. Ha a webalkalmazáshoz automatizált telepítőprogram tartozik, a jelen cikkben bemutatott konfigurációt be is építheti a telepítőprogramba.

Megjegyzés: Egyes webalkalmazások adatbázisokat használnak a feltöltött tartalom kezeléséhez. A jelen cikk ugyanakkor a fájlrendszert használó alkalmazásokra összpontosít.

További információ

Külön mappa létrehozása a feltöltött tartalom számára, valamint az NTFS fájlrendszer engedélyeinek módosítása a feltöltött mappához

Ezzel a művelettel a többi webalkalmazásétól eltérően konfigurálhatja a feltöltött tartalom viselkedését. Adjon a feltöltött mappának olvasási és írási engedélyeket az IIS munkavégző folyamatának identitására vonatkozóan. Windows Server 2003 rendszeren futó IIS 6.0 szolgáltatás esetén ehhez az IIS_WPG felhasználói csoportot, az IIS 7.0-s vagy újabb verziói esetén pedig az IIS_IUSRS felhasználói csoportot használhatja.

Az IIS_WPG felhasználói csoportról a Microsoft következő webhelye nyújt bővebb információt:
Az alkalmazáskészlet identitásának konfigurálása az IIS 6.0-s verziójában
Az IIS_ISURS felhasználói csoportról a Microsoft következő webhelye nyújt bővebb információt:
A beépített felhasználói és csoportfiókok az IIS 7.0-s verziójában
A fájlok védelmének NTFS-engedélyekkel történő biztosításáról a Microsoft következő webhelye nyújt bővebb információt:
Fájlok védelmének biztosítása NTFS-engedélyekkel
Megjegyzés: Egyes esetekben, például megszemélyesítés használatakor a hitelesített felhasználói környezetnek is írási engedélyt kell adnia.

Parancsfájlengedélyek letiltása a feltöltött mappán

A feltöltött tartalmak a legtöbb webalkalmazás esetében statikus tartalmak, például képek és dokumentumok. A feltöltött tartalmak általában nem futtatható tartalmak, azaz például nem parancsfájlok vagy végrehajtható fájlok. Ezért fontos, hogy a mappának ne adjon parancsfájlengedélyeket. Ellenkező esetben a tartalomfeltöltésre képes felhasználók parancsfájlokat futtathatnának a kiszolgálón a munkavégző folyamat identitásának környezetében. Ha a webalkalmazás logikája lehetővé teszi a feltöltések fájlnévkiterjesztés alapján történő korlátozását, célszerű ezt a korlátozást igénybe venni másodlagos óvintézkedésként. Még ebben az esetben is érdemes ugyanakkor meggyőződni arról, hogy az alkalmazás feltöltési könyvtárához le vannak tiltva a parancsfájlengedélyek.

A parancsfájlengedélyeknek az IIS-kezelő felhasználói felületén (inetmgr) való letiltásához az IIS 5.x és 6.0 szolgáltatásban hajtsa végre az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára.
  2. Írja be az inetmgr parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  3. A navigációs ablaktábla fanézetében jelölje ki a webalkalmazás feltöltési könyvtárának elérési útját.
  4. Kattintson a jobb gombbal erre az elérési útra, majd válassza a Tulajdonságok parancsot.
  5. Kattintson a Könyvtár fülre, majd jelölje ki a Nincs elemet a Végrehajtási engedélyek listában.
Az IIS-engedélyek adott objektumokhoz való beállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
324068 IIS-engedélyek beállítása adott objektumokhoz (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A parancsfájlengedélyeket metabázis-konfiguráció használatával is letilthatja az IIS 6.0 szolgáltatásban. Ehhez állítsa az AccessFlags tulajdonság AccessScript jelzőjét False (Hamis) értékre a feltöltési könyvtár szintjén. További információért és az e célra módosítható mintaparancsfájlok megtekintéséért látogasson el a Microsoft következő webhelyére:
Az AccessFlags metabázis-tulajdonság (IIS 6.0)
A parancsfájlengedélyeknek az IIS 7.0-s vagy újabb verziójában való letiltásához állítsa be úgy az accessPolicy jelzőt a kezelőket tartalmazó csoportban, hogy ne a Script (Parancsfájl) érték tartozzon hozzá.

Ennek az IIS 7.0-s és újabb verzióiban való végrehajtásáról a Microsoft következő webhelyén olvashat bővebben:
Kérelemkorlátozások konfigurálása kezelőtársításhoz
Megjegyzés: Ne feledje elolvasni a hozzáférésjelzők Script értékével foglalkozó részt.

Az engedélyek beállításáról további tudnivalókat a Microsoft következő webhelyén talál:
Webhelyek védelmének biztosítása webhelyengedélyek segítségével

A webalkalmazás beállítása úgy, hogy csak a hitelesített és engedélyezett felhasználókra korlátozza a feltöltéseket

Ezáltal lehetővé válik a kiszolgáló rendszergazdája számára a webalkalmazáson keresztüli feltöltések naplózása. Ha egy felhasználó kártékony tevékenységgel próbálkozik, a korlátozásnak köszönhetően a kiszolgáló rendszergazdája az alkalmazás működőképességének megőrzése mellett egyszerűen letilthatja az ártalmas tevékenységet folytató felhasználókat. Ha a felhasználóknak lehetőségük van parancsfájlok feltöltésére és végrehajtására a webalkalmazáson keresztül, hitelesítést kell megkövetelni, valamint az IIS szolgáltatásnak a webalkalmazást tároló alkalmazáskészlet-identitását a Rendszergazda fióktól eltérő fiókra kell beállítani.

Az alkalmazáskészlet-identitások konfigurálásáról a Microsoft következő webhelye nyújt bővebb információt:
A munkavégző folyamatok identitásának konfigurálása (IIS 6.0)
Alkalmazáskészlet identitásának megadása (IIS 7.0 és újabb verziók)

A webalkalmazásra vonatkozó biztonsági gyakorlati tanácsok követése

Nem csak a feltöltési logika, hanem a webalkalmazás minden összetevője szempontjából célszerű követni a biztonságra vonatkozó gyakorlati tanácsokat. A gyakorlati tanácsokról további információt a Microsoft következő webhelyein talál:
Az IIS 5.0 védelme – Útmutató erőforrásokhoz
Az IIS 6.0 szolgáltatással kapcsolatos biztonsági gyakorlati tanácsok
Az IIS 7.0 biztonságának konfigurálása

Tulajdonságok

Cikk azonosítója: 979124 - Utolsó ellenőrzés: 2010. január 11. - Verziószám: 2.1
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Internet Information Services 7.5 a következő platformokon
    • Windows 7 Enterprise
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Microsoft Internet Information Services 7.0 a következő platformokon
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Internet Information Services 6.0 a következő platformokon
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Internet Information Services 5.1 a következő platformokon
    • Microsoft Windows XP Professional
  • Microsoft Internet Information Services 5.0 a következő platformokon
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Kulcsszavak: 
kbhowto kbsecvulnerability kbsecurity kbexpertiseinter kbsurveynew KB979124
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com