Cómo configurar URLScan para proteger aplicaciones Web de ASP.NET

Se recomienda encarecidamente a todos los usuarios que actualicen a la versión 7.0 de Microsoft Internet Information Services (IIS) que se ejecuta en Microsoft Windows Server 2008. IIS 7.0 aumenta considerablemente la seguridad de la infraestructura Web. Para obtener más información acerca de temas relacionados con la seguridad IIS, visite el siguiente sitio Web de Microsoft:Para obtener más información acerca de IIS 7.0, visite el siguiente sitio Web de Microsoft:

Resumen

En este artículo paso a paso se describe cómo configurar la herramienta de seguridad URLScan para proteger aplicaciones Web de ASP.NET.

URLScan es un filtro de Internet Server API (ISAPI) que analiza y supervisa las solicitudes HTTP de Internet Information Server 4.0, servicios de Internet Information Server 5.0 y 5.1 de Internet Information Services (IIS). URLScan se utiliza para reducir la exposición de IIS a posibles ataques de Internet.

De forma predeterminada, URLScan no hace adecuaciones especiales para extensiones de nombre de archivo que utilizan las aplicaciones Web de ASP.NET. Puede cambiar la configuración de URLScan para agregar una capa adicional de seguridad para estas aplicaciones. Debe deshabilitar o habilitar las extensiones de nombre de archivo diferente para remoting, servicios Web XML y seguimiento de nivel de aplicación.

Volver al principio

Configurar URLScan

Para configurar URLScan para permitir estándar ASP.NET extensiones de archivo que el usuario podrá solicitadas, siga estos pasos:
  1. Instalar la herramienta URLScan. Para obtener información e instrucciones, visite el siguiente sitio Web de Microsoft:
  2. En un editor de texto (como Bloc de notas), abra el archivo Urlscan.ini. Este archivo se encuentra en el \ carpeta deRaíz del sistema\System32\Inetsrv\Urlscan\.
  3. En la sección [AllowExtensions], agregue las siguientes extensiones de nombre de archivo:
    • .ashx
    • .aspx
  4. En la sección [DenyExtensions], agregue las siguientes extensiones de nombre de archivo:
    • .asax
    • .ascx
    • .config
    • .cs
    • .csproj
    • .dll
    • .licx
    • .pdb
    • .resx
    • .resources
    • .vb
    • .vbproj
    • .vsdisco
    • .webinfo
    • .xsd
    • .xsx
  5. Para activar el seguimiento de nivel de aplicación, agregue la extensión .axd a la sección [AllowExtensions]. Si no desea activar el seguimiento de nivel de aplicación, agregue .axd a la sección [DenyExtensions].
  6. Para permitir que los servicios Web, agregue la extensión de nombre de archivo .asmx a la sección [AllowExtensions]. Si no desea permitir que los servicios Web, agregue .asmx a la sección [DenyExtensions].
  7. Para activar la interacción remota, agregue la extensión .rem y .soap extensión a la sección [AllowExtensions]. Si no desea activar la interacción remota, agregue .rem y .soap a la sección [DenyExtensions].
  8. Guarde y cierre el archivo Urlscan.ini. Debe reiniciar IIS para que los cambios surtan efecto.
Nota: Estos pasos están diseñados para ofrecer una protección óptima, independientemente de si está activada la opción UseAllowVerbs en URLScan.

Volver al principio

Referencias

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

315736 cómo proteger una aplicación ASP.NET utilizando la seguridad de Windows

315588 cómo proteger una aplicación ASP.NET utilizando certificados de cliente

818014 cómo proteger las aplicaciones que se basan en el.NET Framework

Volver al principio
Propiedades

Id. de artículo: 815155 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios