Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

Feltöltések konfigurálása IIS-alapú webalkalmazásokhoz

BEVEZETÉS
A cikk azt ismerteti, hogy hogyan konfigurálhatja az Internet Information Services (IIS) szolgáltatást oly módon, hogy az biztonságosabb fájlfeltöltést tegyen lehetővé egy webalkalmazáson keresztül.Számos webalkalmazáshoz, például a tartalomkezelési rendszerekhez szükség van az adott webalkalmazást használó webkiszolgálóra történő fájlfeltöltések támogatására. Annak engedélyezése, hogy fájlokat lehessen feltölteni a webalkalmazást használó webkiszolgálóra, számos biztonsági következménnyel jár a kiszolgálóra nézve, amelyek fontosságát nem hagyhatja figyelmen kívül. A jelen cikkben ismertetett lépésekkel az IIS konfigurálásán keresztül biztonságossá teheti a webalkalmazásokból történő feltöltéseket. Ha a webalkalmazáshoz automatizált telepítőprogram tartozik, a jelen cikkben bemutatott konfigurációt be is építheti a telepítőprogramba.

Megjegyzés: Egyes webalkalmazások adatbázisokat használnak a feltöltött tartalom kezeléséhez. A jelen cikk ugyanakkor a fájlrendszert használó alkalmazásokra összpontosít.
További információ

Külön mappa létrehozása a feltöltött tartalom számára, valamint az NTFS fájlrendszer engedélyeinek módosítása a feltöltött mappához

Ezzel a művelettel a többi webalkalmazásétól eltérően konfigurálhatja a feltöltött tartalom viselkedését. Adjon a feltöltött mappának olvasási és írási engedélyeket az IIS munkavégző folyamatának identitására vonatkozóan. Windows Server 2003 rendszeren futó IIS 6.0 szolgáltatás esetén ehhez az IIS_WPG felhasználói csoportot, az IIS 7.0-s vagy újabb verziói esetén pedig az IIS_IUSRS felhasználói csoportot használhatja.

Az IIS_WPG felhasználói csoportról a Microsoft következő webhelye nyújt bővebb információt: Az IIS_ISURS felhasználói csoportról a Microsoft következő webhelye nyújt bővebb információt: A fájlok védelmének NTFS-engedélyekkel történő biztosításáról a Microsoft következő webhelye nyújt bővebb információt: Megjegyzés: Egyes esetekben, például megszemélyesítés használatakor a hitelesített felhasználói környezetnek is írási engedélyt kell adnia.

Parancsfájlengedélyek letiltása a feltöltött mappán

A feltöltött tartalmak a legtöbb webalkalmazás esetében statikus tartalmak, például képek és dokumentumok. A feltöltött tartalmak általában nem futtatható tartalmak, azaz például nem parancsfájlok vagy végrehajtható fájlok. Ezért fontos, hogy a mappának ne adjon parancsfájlengedélyeket. Ellenkező esetben a tartalomfeltöltésre képes felhasználók parancsfájlokat futtathatnának a kiszolgálón a munkavégző folyamat identitásának környezetében. Ha a webalkalmazás logikája lehetővé teszi a feltöltések fájlnévkiterjesztés alapján történő korlátozását, célszerű ezt a korlátozást igénybe venni másodlagos óvintézkedésként. Még ebben az esetben is érdemes ugyanakkor meggyőződni arról, hogy az alkalmazás feltöltési könyvtárához le vannak tiltva a parancsfájlengedélyek.

A parancsfájlengedélyeknek az IIS-kezelő felhasználói felületén (inetmgr) való letiltásához az IIS 5.x és 6.0 szolgáltatásban hajtsa végre az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára.
  2. Írja be az inetmgr parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  3. A navigációs ablaktábla fanézetében jelölje ki a webalkalmazás feltöltési könyvtárának elérési útját.
  4. Kattintson a jobb gombbal erre az elérési útra, majd válassza a Tulajdonságok parancsot.
  5. Kattintson a Könyvtár fülre, majd jelölje ki a Nincs elemet a Végrehajtási engedélyek listában.
Az IIS-engedélyek adott objektumokhoz való beállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
324068 IIS-engedélyek beállítása adott objektumokhoz (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A parancsfájlengedélyeket metabázis-konfiguráció használatával is letilthatja az IIS 6.0 szolgáltatásban. Ehhez állítsa az AccessFlags tulajdonság AccessScript jelzőjét False (Hamis) értékre a feltöltési könyvtár szintjén. További információért és az e célra módosítható mintaparancsfájlok megtekintéséért látogasson el a Microsoft következő webhelyére: A parancsfájlengedélyeknek az IIS 7.0-s vagy újabb verziójában való letiltásához állítsa be úgy az accessPolicy jelzőt a kezelőket tartalmazó csoportban, hogy ne a Script (Parancsfájl) érték tartozzon hozzá.

Ennek az IIS 7.0-s és újabb verzióiban való végrehajtásáról a Microsoft következő webhelyén olvashat bővebben: Megjegyzés: Ne feledje elolvasni a hozzáférésjelzők Script értékével foglalkozó részt.

Az engedélyek beállításáról további tudnivalókat a Microsoft következő webhelyén talál:

A webalkalmazás beállítása úgy, hogy csak a hitelesített és engedélyezett felhasználókra korlátozza a feltöltéseket

Ezáltal lehetővé válik a kiszolgáló rendszergazdája számára a webalkalmazáson keresztüli feltöltések naplózása. Ha egy felhasználó kártékony tevékenységgel próbálkozik, a korlátozásnak köszönhetően a kiszolgáló rendszergazdája az alkalmazás működőképességének megőrzése mellett egyszerűen letilthatja az ártalmas tevékenységet folytató felhasználókat. Ha a felhasználóknak lehetőségük van parancsfájlok feltöltésére és végrehajtására a webalkalmazáson keresztül, hitelesítést kell megkövetelni, valamint az IIS szolgáltatásnak a webalkalmazást tároló alkalmazáskészlet-identitását a Rendszergazda fióktól eltérő fiókra kell beállítani.

Az alkalmazáskészlet-identitások konfigurálásáról a Microsoft következő webhelye nyújt bővebb információt:

A webalkalmazásra vonatkozó biztonsági gyakorlati tanácsok követése

Nem csak a feltöltési logika, hanem a webalkalmazás minden összetevője szempontjából célszerű követni a biztonságra vonatkozó gyakorlati tanácsokat. A gyakorlati tanácsokról további információt a Microsoft következő webhelyein talál:
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
Tulajdonságok

Cikkazonosító: 979124 - Utolsó ellenőrzés: 01/11/2010 15:45:00 - Verziószám: 2.1

Microsoft Internet Information Services 7.5, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 5.0

  • kbhowto kbsecvulnerability kbsecurity kbexpertiseinter kbsurveynew KB979124
Visszajelzés
&t=">