Vous êtes actuellement hors ligne, en attente de reconnexion à Internet.

Comment faire pour configurer URLScan pour protéger les applications Web ASP.NET

IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d’articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d’avoir accès, dans votre propre langue, à l’ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s’exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s’efforce aussi continuellement de faire évoluer son système de traduction automatique.

La version anglaise de cet article est la suivante: 815155
Nous vous recommandons vivement de que tous les utilisateurs mettre à niveau pour Microsoft Internet Information Services (IIS) version 7.0 s'exécutant sur Microsoft Windows Server 2008. IIS 7.0 augmente considérablement la sécurité de l'infrastructure Web. Pour plus savoir sujets liés à la sécurité IIS, reportez-vous au adresse site Web de Microsoft à l'adresse suivante :Pour plus d'informations sur IIS 7.0, reportez-vous au site de Web Microsoft suivant :
Résumé
Cet article étape par étape explique comment configurer l'outil de sécurité URLScan pour protéger les applications Web ASP.NET.

URLScan est un filtre interactif ISAPI (Internet Server API) qui écrans et surveille les demandes HTTP pour Internet Information Server 4.0, Internet Information Services 5.0 et Internet Information Services 5.1 (IIS). URLScan est utilisée pour réduire l'exposition des services Internet (IIS) aux attaques potentielles Internet.

Par défaut, URLScan ne fait pas accommodations spéciales pour les extensions nom de fichier que les applications Web ASP.NET utilisent. Vous pouvez modifier la configuration d'URLscan pour ajouter une couche supplémentaire de sécurité pour ces applications. Vous devez désactiver ou activer les extensions de fichier différent pour le suivi au niveau application, les services Web XML et accès distant.

back to the top

Configurer URLScan

Pour configurer URLScan pour activer standard ASP.NET fichier nom extensions que les utilisateurs peuvent demandées, procédez comme suit :
  1. Installez l'outil URLScan. Pour les informations et des instructions, reportez-vous au site de Web Microsoft suivant :
  2. Ouvrez le fichier URLScan.ini dans un éditeur de texte (tel que le Bloc-notes). Ce fichier se trouve dans le \ dossier \System32\Inetsrv\Urlscan\ System Root.
  3. Dans la section [AllowExtensions], ajoutez les extensions de nom de fichier suivantes :
    • .ashx
    • .aspx
  4. Dans la section [DenyExtensions], ajoutez les extensions de nom de fichier suivantes :
    • .asax
    • .ascx
    • .config
    • .cs
    • .csproj
    • .dll
    • .licx
    • .PDB
    • fichiers .resx
    • .Resources
    • .vb
    • .vbproj
    • .vsdisco
    • .webinfo
    • .xsd
    • .xsx
  5. Pour activer le suivi de niveau application, ajouter l'extension de nom de fichier .axd à la section [AllowExtensions]. Si vous ne souhaitez pas activer le suivi au niveau application, ajoutez .axd à la section [DenyExtensions].
  6. Pour autoriser les services Web, ajouter l'extension de nom de fichier .asmx à la section [AllowExtensions]. Si vous ne souhaitez pas autoriser les services Web, ajoutez .asmx à la section [DenyExtensions].
  7. Pour activer l'accès distant, ajoutez l'extension de nom de fichier .rem et l'extension de nom de fichier .SOAP à la section [AllowExtensions]. Si vous ne souhaitez pas activer l'accès distant, ajoutez .rem et .SOAP à la section [DenyExtensions].
  8. Enregistrez, puis fermez le fichier URLScan.ini. Vous devez redémarrer IIS pour que les modifications soient prises en compte.
note Ces étapes sont conçus pour offrir protection optimale, indépendamment de si le paramètre UseAllowVerbs est activé dans URLScan.

back to the top
Références
Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft :
315736 Comment faire pour sécuriser une application ASP.NET à l'aide de Windows Security
315588 Comment faire pour sécuriser une application ASP.NET à l'aide de certificats côté client
818014 Comment faire pour sécuriser applications construites sur le .NET Framework
back to the top

Propriétés

ID d'article : 815155 - Dernière mise à jour : 07/03/2008 14:45:30 - Révision : 6.4

Microsoft ASP.NET 1.0, Microsoft Internet Information Services version 5.1, Microsoft Internet Information Services 5.0, Microsoft Internet Information Server 4.0, Microsoft ASP.NET 1.1

  • kbmt kbscan kbsecurity kbconfig kbweb kbhowtomaster KB815155 KbMtfr
Commentaires
osoft.com/ms.js'><\/script>");