Jak skonfigurować filtr URLScan, aby zezwalał na żądania z pustym rozszerzeniem w usługach IIS

Ten artykuł został opublikowany wcześniej pod numerem PL312376
Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Stanowczo zaleca się, aby wszyscy użytkownicy korzystający z Internetowych usług informacyjnych (IIS) w systemie Microsoft Windows Server 2003 uaktualnili te usługi do wersji 6.0. Usługi IIS 6.0 znacząco zwiększają zabezpieczenia infrastruktury sieci Web. Aby uzyskać więcej informacji dotyczących tematów związanych z zabezpieczeniami usług IIS, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Streszczenie
W tym artykule opisano krok po kroku, jak skonfigurować filtr URLScan, aby zezwalał na żądania z pustym rozszerzeniem w Internetowych usługach informacyjnych (IIS).

Powrót do początku

Wprowadzenie

URLScan jest filtrem interfejsu programowania aplikacji serwera internetowego (ISAPI), który monitoruje i blokuje żądania HTTP dla usług IIS. Narzędzie URLScan jest używane w celu zmniejszenia stopnia narażenia usług IIS 4.0, IIS 5.0 i IIS 5.1 na potencjalne ataki internetowe.

Narzędzie URLScan chroni serwer sieci Web przed atakami przez filtrowanie i odrzucanie żądań HTTP w przypadku wybranych aplikacji usług IIS. Domyślny plik Urlscan.ini jest tak skonfigurowany, że akceptuje tylko statyczne pliki HTML, w tym pliki graficzne, i odrzuca następujące typy żądań:
  • Strony .exe wspólnego interfejsu bramy (CGI)
  • World Wide Web Distributed Authoring and Versioning (WebDAV)
  • Rozszerzenia serwera programu FrontPage
  • Serwer indeksu
  • Drukowanie internetowe
  • Pliki dołączane po stronie serwera
W przypadku korzystania z narzędzia URLScan o numerze wersji 6.0.3574.0 można tak skonfigurować filtr URLScan, aby zezwalał na przychodzące żądania URL z pustym rozszerzeniem.

Powrót do początku

Modyfikowanie domyślnego pliku konfiguracji filtru URLScan

Aby skonfigurować narzędzie URLScan podczas instalowania go na serwerze sieci Web z usługami IIS, wykonaj następujące kroki:
  1. Pobierz narzędzie IIS Lockdown z następującej witryny firmy Microsoft w sieci Web, a następnie zapisz je w katalogu lokalnym:
  2. Rozpakuj plik IISlock.exe, a następnie plik Urlscan.exe. Zostanie utworzony folder Urlscan.
  3. Wklej folder Urlscan w katalogu %Windir%\System32\Inetsrv. Kliknij dwukrotnie folder Urlscan w folderze Inetsrv, a następnie otwórz plik Urlscan.ini w Notatniku.
  4. W pliku Urlscan.ini włącz opcję UseAllowExtensions, jak następuje:
    [Option]UseAllowExtensions=1; if 1, use [AllowExtensions] section, else					
  5. Narzędzie Urlscan umożliwia określenie pustego rozszerzenia w sekcji [AllowExtensions]. Aby to zrobić, dodaj kropkę (.) w sekcji [AllowExtensions], jak następuje:
    [AllowExtensions].;; Wymienione tu rozszerzenia są najczęściej używane na typowym serwerze IIS.;; Zauważ, że te wpisy są brane pod uwagę, jeśli w sekcji [Option]; powyżej jest ustawiona opcja UseAllowExtensions=1.;.asp.htm.html.txt.jpg.jpeg.gif					
  6. W menu Start wskaż polecenie Programy, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Menedżer internetowych usług informacyjnych (IIS) lub otwórz niestandardową konsolę programu Microsoft Management Console (MMC), która zawiera przystawkę IIS.
  7. W przystawce IIS programu MMC rozwiń węzeł oznaczony nazwą komputera serwera. Kliknij prawym przyciskiem myszy nazwę komputera, a następnie kliknij polecenie Właściwości. Kliknij pozycję Usługa WWW, a następnie kliknij przycisk Edytuj.
  8. Na karcie Filtry ISAPI kliknij przycisk Dodaj. Wpisz urlscan jako nazwę pliku. W polu tekstowym Wykonywalny kliknij przycisk Przeglądaj, a następnie wybierz plik urlscan.dll z katalogu %Windir%\System32\Inetsrv\Urlscan.
  9. W wierszu polecenia trybu MS-DOS uruchom polecenie Net stop iisadmin, a następnie uruchom polecenie Net start W3SVC, aby ponownie uruchomić usługi sieci Web usług IIS. Sprawdź, czy plik Urlscan.dll działa bez problemów, a następnie przenieś filtr ISAPI Urlscan.dll na pierwsze miejsce na liście filtrów.
Powrót do początku


Materiały referencyjne
Aby uzyskać dodatkowe informacje dotyczące sposobu zainstalowania i skonfigurowania narzędzia URLSCAN, kliknij numer artykułu poniżej w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
307608 INFO: Availability of URLScan Security Tool
Powrót do początku




Właściwości

Identyfikator artykułu: 312376 — ostatni przegląd: 02/24/2014 15:38:43 — zmiana: 4.0

  • Microsoft Internet Information Server 4.0
  • Internetowe usługi informacyjne Microsoft 5.0
  • Internetowe usługi informacyjne Microsoft 5.1
  • kbnosurvey kbarchive kbhowto kbhowtomaster KB312376
Opinia