Uploads configureren voor IIS-webtoepassingen

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 979124 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Inleiding

In dit artikel wordt beschreven hoe IIS (Internet Information Services) kan worden geconfigureerd voor het toestaan van veiligere bestanduploads via een webtoepassing. Veel webtoepassingen, zoals Content Management Systems, vereisen ondersteuning voor bestanduploads naar de webserver die gebruikmaakt van de webtoepassing. Toestaan dat bestanden worden geüpload naar de webserver die gebruikmaakt van de webtoepassing heeft beveiligingsgevolgen voor de server, en u dient alle gevolgen te begrijpen voordat u dit toestaat. Dit artikel helpt u bij het beveiligen van de uploads van uw webtoepassing via configuratie van IIS. Als uw webtoepassing een geautomatiseerd installatieprogramma heeft, kunt u de configuratie in dit artikel ook toevoegen aan het installatieprogramma.

Opmerking sommige webtoepassingen maken gebruik van databases om geüploade inhoud te beheren. Dit artikel richt zich echter op toepassingen die gebruikmaken van het bestandssysteem.

Meer informatie

Maak een aparte map voor de geüploade inhoud en wijzig de NTFS-bestandsmachtigingen in de uploadmap

Door dit te doen, kunt u het gedrag van geüploade inhoud anders configureren dan de rest van uw webtoepassing. Verleen de uploadmap de machtigingen Lezen en Schrijven voor de IIS-werkprocesidentiteit. Voor IIS 6.0 in Windows Server 2003 kunt u hiervoor de gebruikersgroep IIS_WPG gebruiken. Voor IIS 7.0 en hoger kunt u de gebruikersgroep IIS_IUSRS gebruiken.

Ga voor meer informatie over IIS_WPG naar de volgende Microsoft-webpagina:
Identiteit van een groep toepassingen configureren in IIS 6.0
Ga voor meer informatie over IIS_ISURS naar de volgende Microsoft-webpagina:
Ingebouwde gebruikers- en groepsaccounts in IIS 7.0
Meer informatie over het beveiligen van bestanden met NTFS-machtigingen vindt u op de volgende Microsoft-website:
Bestanden beveiligen met NTFS-machtigingen
Opmerking in sommige gevallen, bijvoorbeeld wanneer imitatie wordt gebruikt, moet u de context van de geverifieerde gebruiker ook schrijftoegang verlenen.

Scriptmachtigingen niet toestaan in de uploadmap

Voor de meeste webtoepassingen is geüploade inhoud statische inhoud, zoals afbeeldingen en documenten. Geüploade inhoud is niet bedoeld als inhoud die kan worden uitgevoerd, zoals scripts of uitvoerbare bestanden. Daarom is het belangrijk om geen scriptmachtigingen voor deze map te verlenen. Anders kunnen gebruikers die inhoud kunnen uploaden scripts uitvoeren in de context van uw werkprocesidentiteit op de server. Als uw webtoepassing logica heeft voor het beperken van uploads op bestandsnaamextensie, moet u deze beperking als een tweede beveiligingsmaatregel gebruiken. U moet ook controleren of voor de uploadmap van uw toepassing scriptmachtigingen zijn uitgeschakeld.

Voer de volgende stappen uit om scriptmachtigingen uit te schakelen in de gebruikersinterface van IIS-beheer in IIS 5.x en 6.0:
  1. Klik op Start en vervolgens op Uitvoeren.
  2. Typ inetmgr in het vak Openen en klik op OK.
  3. Selecteer in de structuurweergave in het navigatiedeelvenster het pad van de uploadmap van uw webtoepassing.
  4. Klik met de rechtermuisknop op dit pad en klik op Eigenschappen.
  5. Klik op het tabblad Map en selecteer Geen in de lijst Machtigingen tot uitvoeren.
Klik voor meer informatie over het instellen van IIS-machtigingen voor specifieke objecten op het volgende artikelnummer in de Microsoft Knowledge Base:
324068 IIS-machtigingen instellen voor specifieke objecten (Het Engels)
U kunt scriptmachtigingen ook uitschakelen door middel van metabaseconfiguratie in IIS 6.0 door de vlag AccessScript van de eigenschap AccessFlags op Onwaar in te stellen op het niveau van de uploadmap. Ga voor meer informatie en voor voorbeeldscripts die voor dit gebruik kunnen worden gewijzigd naar de volgende Microsoft-webpagina:
Metabase-eigenschap AccessFlags (IIS 6.0)
Als u scirptmachtigingen wilt uitschakelen in een configuratie voor IIS 7.0 en hogere versie, moet u de vlag accessPolicy in de sectie handlers zo instellen dat deze niet de waarde Script heeft.

Ga voor meer informatie over hoe u dit kunt doen in IIS 7.0 en hogere versies naar de volgende Microsoft-webpagina:
Aanvraagbeperkingen configureren voor een handlertoewijzing
Opmerking zorg dat u de waarde Script leest voor de vlaggen voor toegang.

Ga voor meer informatie over het instellen van machtigingen naar de volgende Microsoft-webpagina:
Sites beveiligen met websitemachtigingen

Door de webtoepassing moeten uploads worden beperkt tot uitsluitend geverifieerde en geautoriseerde gebruikers

Dit biedt de serverbeheerder de mogelijkheid om uploads via de webtoepassing te controleren. In het geval waarin een gebruiker een kwaadwillende activiteit probeert uit te voeren, geeft dit de serverbeheerder een eenvoudig mechanisme om de toepassing werkend te houden terwijl de gebruiker die de kwaadwillende activiteit probeert uit te voeren, wordt geblokkeerd. Wanneer gebruikers scripts kunnen uploaden en deze via de webtoepassing kunnen uitvoeren, moet verificatie verplicht zijn en mag de identiteit van de groep van toepassingen voor IIS die de webtoepassing host geen beheerdersaccount zijn.

Ga voor meer informatie over het configureren van identiteiten voor groepen van toepassingen naar de volgende Microsoft-webpagina's:
Werkprocesidentiteiten configureren (voor IIS 6.0)
Een identiteit opgeven voor een groep van toepassingen (voor IIS 7.0 en hogere versies)

Beveiligingsaanbevelingen opvolgen voor uw webtoepassing

Het is belangrijk dat u de beveiligingsaanbevelingen opvolgt voor alle onderdelen van uw webtoepassing en niet alleen de uploadlogica. Ga voor meer informatie over beveiligingsaanbevelingen naar de volgende Microsoft-webpagina's:
Resource Guide voor het beveiligen van IIS 5.0
Beveiligingsaanbevelingen voor IIS 6.0
Beveiliging configureren voor IIS 7.0

Eigenschappen

Artikel ID: 979124 - Laatste beoordeling: maandag 11 januari 2010 - Wijziging: 2.1
De informatie in dit artikel is van toepassing op:
  • Microsoft Internet Information Services 7.5 op de volgende platformen
    • Windows 7 Enterprise
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Microsoft Internet Information Services 7.0 op de volgende platformen
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Internet Information Services 6.0 op de volgende platformen
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Internet Information Services 5.1 op de volgende platformen
    • Microsoft Windows XP Professional
  • Microsoft Internet Information Services 5.0 op de volgende platformen
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows® 2000 Server
Trefwoorden: 
kbhowto kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB979124

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com