Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

Uploads configureren voor IIS-webtoepassingen

Inleiding
In dit artikel wordt beschreven hoe IIS (Internet Information Services) kan worden geconfigureerd voor het toestaan van veiligere bestanduploads via een webtoepassing.Veel webtoepassingen, zoals Content Management Systems, vereisen ondersteuning voor bestanduploads naar de webserver die gebruikmaakt van de webtoepassing. Toestaan dat bestanden worden geüpload naar de webserver die gebruikmaakt van de webtoepassing heeft beveiligingsgevolgen voor de server, en u dient alle gevolgen te begrijpen voordat u dit toestaat. Dit artikel helpt u bij het beveiligen van de uploads van uw webtoepassing via configuratie van IIS. Als uw webtoepassing een geautomatiseerd installatieprogramma heeft, kunt u de configuratie in dit artikel ook toevoegen aan het installatieprogramma.

Opmerking sommige webtoepassingen maken gebruik van databases om geüploade inhoud te beheren. Dit artikel richt zich echter op toepassingen die gebruikmaken van het bestandssysteem.
Meer informatie

Maak een aparte map voor de geüploade inhoud en wijzig de NTFS-bestandsmachtigingen in de uploadmap

Door dit te doen, kunt u het gedrag van geüploade inhoud anders configureren dan de rest van uw webtoepassing. Verleen de uploadmap de machtigingen Lezen en Schrijven voor de IIS-werkprocesidentiteit. Voor IIS 6.0 in Windows Server 2003 kunt u hiervoor de gebruikersgroep IIS_WPG gebruiken. Voor IIS 7.0 en hoger kunt u de gebruikersgroep IIS_IUSRS gebruiken.

Ga voor meer informatie over IIS_WPG naar de volgende Microsoft-webpagina: Ga voor meer informatie over IIS_ISURS naar de volgende Microsoft-webpagina: Meer informatie over het beveiligen van bestanden met NTFS-machtigingen vindt u op de volgende Microsoft-website: Opmerking in sommige gevallen, bijvoorbeeld wanneer imitatie wordt gebruikt, moet u de context van de geverifieerde gebruiker ook schrijftoegang verlenen.

Scriptmachtigingen niet toestaan in de uploadmap

Voor de meeste webtoepassingen is geüploade inhoud statische inhoud, zoals afbeeldingen en documenten. Geüploade inhoud is niet bedoeld als inhoud die kan worden uitgevoerd, zoals scripts of uitvoerbare bestanden. Daarom is het belangrijk om geen scriptmachtigingen voor deze map te verlenen. Anders kunnen gebruikers die inhoud kunnen uploaden scripts uitvoeren in de context van uw werkprocesidentiteit op de server. Als uw webtoepassing logica heeft voor het beperken van uploads op bestandsnaamextensie, moet u deze beperking als een tweede beveiligingsmaatregel gebruiken. U moet ook controleren of voor de uploadmap van uw toepassing scriptmachtigingen zijn uitgeschakeld.

Voer de volgende stappen uit om scriptmachtigingen uit te schakelen in de gebruikersinterface van IIS-beheer in IIS 5.x en 6.0:
  1. Klik op Start en vervolgens op Uitvoeren.
  2. Typ inetmgr in het vak Openen en klik op OK.
  3. Selecteer in de structuurweergave in het navigatiedeelvenster het pad van de uploadmap van uw webtoepassing.
  4. Klik met de rechtermuisknop op dit pad en klik op Eigenschappen.
  5. Klik op het tabblad Map en selecteer Geen in de lijst Machtigingen tot uitvoeren.
Klik voor meer informatie over het instellen van IIS-machtigingen voor specifieke objecten op het volgende artikelnummer in de Microsoft Knowledge Base:
324068 IIS-machtigingen instellen voor specifieke objecten (Het Engels)
U kunt scriptmachtigingen ook uitschakelen door middel van metabaseconfiguratie in IIS 6.0 door de vlag AccessScript van de eigenschap AccessFlags op Onwaar in te stellen op het niveau van de uploadmap. Ga voor meer informatie en voor voorbeeldscripts die voor dit gebruik kunnen worden gewijzigd naar de volgende Microsoft-webpagina: Als u scirptmachtigingen wilt uitschakelen in een configuratie voor IIS 7.0 en hogere versie, moet u de vlag accessPolicy in de sectie handlers zo instellen dat deze niet de waarde Script heeft.

Ga voor meer informatie over hoe u dit kunt doen in IIS 7.0 en hogere versies naar de volgende Microsoft-webpagina: Opmerking zorg dat u de waarde Script leest voor de vlaggen voor toegang.

Ga voor meer informatie over het instellen van machtigingen naar de volgende Microsoft-webpagina:

Door de webtoepassing moeten uploads worden beperkt tot uitsluitend geverifieerde en geautoriseerde gebruikers

Dit biedt de serverbeheerder de mogelijkheid om uploads via de webtoepassing te controleren. In het geval waarin een gebruiker een kwaadwillende activiteit probeert uit te voeren, geeft dit de serverbeheerder een eenvoudig mechanisme om de toepassing werkend te houden terwijl de gebruiker die de kwaadwillende activiteit probeert uit te voeren, wordt geblokkeerd. Wanneer gebruikers scripts kunnen uploaden en deze via de webtoepassing kunnen uitvoeren, moet verificatie verplicht zijn en mag de identiteit van de groep van toepassingen voor IIS die de webtoepassing host geen beheerdersaccount zijn.

Ga voor meer informatie over het configureren van identiteiten voor groepen van toepassingen naar de volgende Microsoft-webpagina's:

Beveiligingsaanbevelingen opvolgen voor uw webtoepassing

Het is belangrijk dat u de beveiligingsaanbevelingen opvolgt voor alle onderdelen van uw webtoepassing en niet alleen de uploadlogica. Ga voor meer informatie over beveiligingsaanbevelingen naar de volgende Microsoft-webpagina's:
update beveiligingspatch beveiligingsupdate beveiliging fout beveiligingsfout beveiligingsprobleem kwaadwillende aanvaller misbruik register niet-gemachtigd bufferoverschrijding overloop speciaal gevormd bereik speciaal vervaardigd denial of service DoS TSE
Eigenschappen

Artikel-id: 979124 - Laatst bijgewerkt: 01/11/2010 15:44:41 - Revisie: 2.1

Microsoft Internet Information Services 7.5, Microsoft Internet Information Services 7.0, Microsoft Internet Information Services 6.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 5.0

  • kbhowto kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB979124
Feedback
ml>did=1&t=">