Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để cấu hình các công cụ URLScan

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:326444
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
Chúng tôi đề nghị tất cả người dùng nâng cấp để Microsoft Internet Information Services (IIS) Phiên bản 7.0 chạy trên Microsoft Windows Server 2008. IIS 7.0 làm tăng đáng kể Web cơ sở hạ tầng bảo mật. Để biết thêm chi tiết về các chủ đề liên quan đến an ninh IIS, ghé thăm Web site sau của Microsoft:Để biết thêm chi tiết về IIS 7.0, ghé thăm Web site sau của Microsoft:
TÓM TẮT
Bài này-by-step giải thích làm thế nào để cấu hình các URLScan công cụ để bảo vệ máy chủ Web của bạn khỏi các cuộc tấn công và khai thác.

back to the top

Cài đặt URLScan

Để cài đặt URLScan, truy cập vào các nhà phát triển Microsoft sau đây Trang Web mạng (MSDN):Để biết thêm chi tiết, nhấp vào số bài viết sau để xem các bài viết trong cơ sở kiến thức Microsoft:
307608Bằng cách sử dụng URLScan vào IIS
back to the top

Chỉnh sửa URLScan.ini file

Tất cả các cấu hình của URLScan được thực hiện thông qua URLScan.ini tập tin, mà nằm trong thư mục %WINDIR%\System32\Inetsrv\URLscan. Để cấu hình URLScan, mở tệp này trong trình soạn thảo văn bản như Notepad, làm cho các những thay đổi thích hợp, và sau đó lưu tập tin.

Chú ý Bạn phải khởi động lại Internet Information Services (IIS) cho của bạn những thay đổi có hiệu lực. Một trong những cách bạn có thể làm điều này một cách nhanh chóng là để chạy các IISRESET bộ chỉ huy tại một dấu nhắc lệnh.

Các tập tin URLScan.ini có những phần sau:
 • [Tùy chọn]: Phần này mô tả tùy chọn URLScan chung.
 • [AllowVerbs] và [DenyVerbs]: Phần này định nghĩa động từ (cũng được biết đến như là phương thức HTTP) mà URLScan cho phép.
 • [DenyHeaders]: Phần này liệt kê phần đầu HTTP không được phép trong một Yêu cầu HTTP. Nếu một yêu cầu HTTP có chứa một trong các tiêu đề HTTP được được liệt kê trong phần này, URLScan từ chối yêu cầu.
 • [AllowExtensions] và [DenyExtensions]: Phần này xác định các phần mở rộng tên tập tin đó URLScan giấy phép.
 • [DenyURLSequences]: Phần này liệt kê dây mà không được phép trong một HTTP yêu cầu. URLScan bác bỏ các yêu cầu HTTP có chứa một chuỗi đó sẽ xuất hiện trong phần này.
Mỗi phần sẽ được mô tả chi tiết hơn trong này tài liệu.

back to the top

Phần [tùy chọn]

Trong các [Tùy chọn] phần, bạn có thể cấu hình một số lựa chọn URLScan. Mỗi dòng trong phần này có định dạng sau:
OptionName=OptionValue
Các tùy chọn khả dụng và giá trị mặc định của họ là như sau:
 • UseAllowVerbs = 1

  Theo mặc định, tùy chọn này được thiết lập để 1. Nếu tùy chọn này là thiết lập để 1, URLScan chỉ cho phép yêu cầu HTTP mà sử dụng động từ được liệt kê trong các [AllowVerbs] keá tieáp. URLScan chặn bất cứ yêu cầu không sử dụng các động từ. Nếu tùy chọn này được đặt thành 0, URLScan bỏ qua các [AllowVerbs] o dan adran, và thay vào đó chặn chỉ yêu cầu sử dụng động từ được liệt kê trong các [DenyVerbs] keá tieáp.
 • UseAllowExtensions = 0

  Theo mặc định, tùy chọn này được đặt thành 0. Nếu tùy chọn này là đặt thành 0, URLScan khối yêu cầu cho các phần mở rộng tên tập tin được liệt kê trong các [DenyExtensions] phần, nhưng yêu cầu giấy phép cho bất kỳ tập tin khác tên phần mở rộng. Nếu tùy chọn này được thiết lập để 1, URLScan chỉ cho phép yêu cầu cho các tập tin với Tiện ích mở rộng được liệt kê trong các [AllowExtensions] phần, và nó chặn yêu cầu đối với bất kỳ tệp nào khác.
 • NormalizeUrlBeforeScan = 1

  IIS sẽ nhận được yêu cầu được URL mã hóa. Điều này có nghĩa một số ký tự có thể được thay thế bằng một dấu hiệu phần trăm (%) tiếp theo là một số lượng cụ thể. Tương ứng ví dụ, % 20 với một không gian, vì vậy yêu cầu http://myserver/My%20Dir/My%20File.htm là giống như một yêu cầu cho http://myserver/My Dir/My File.htm. Bình thường hoá là quá trình giải mã Yêu cầu mã hóa URL. Theo mặc định, tùy chọn này được thiết lập để 1. Nếu NormalizeUrlBeforeScan tùy chọn được thiết lập để 1, URLScan phân tích yêu cầu decoded. Nếu nó được đặt thành 0, URLScan phân tích yêu cầu undecoded để thay thế. Thiết lập này tùy chọn-0 gây cản trở khả năng của URLScan để chặn một số loại của các cuộc tấn công.
 • VerifyNormalization = 1

  Bởi vì các phần trăm đăng (%) chính nó có thể được mã URL hóa, kẻ tấn công có thể gửi một yêu cầu một cách cẩn thận crafted vào một máy chủ đó là về cơ bản đôi-mã hóa. Nếu điều này xảy ra, IIS có thể chấp nhận một yêu cầu là nó Nếu không sẽ từ chối như không hợp lệ. Theo mặc định, tùy chọn này được thiết lập để 1. Nếu các VerifyNormalization tùy chọn được thiết lập để 1, URLScan normalizes URL hai lần. Nếu URL sau khi bình thường đầu tiên là khác nhau từ URL sau khi lần thứ hai bình thường, URLScan bác bỏ các yêu cầu. Điều này ngăn cản các cuộc tấn công mà dựa vào yêu cầu mã hóa kép.
 • AllowHighBitCharacters = 0

  Theo mặc định, tùy chọn này được đặt thành 0. Nếu tùy chọn này là đặt là 0, URLScan từ chối bất cứ yêu cầu có chứa ký tự khác ASCII. Điều này có thể ngăn ngừa một số loại tấn công, nhưng nó cũng có thể chặn ra yêu cầu một số tác phẩm hợp pháp, chẳng hạn như các tập tin với những cái tên không phải tiếng Anh.
 • AllowDotInPath = 0

  Theo mặc định, tùy chọn này được đặt thành 0. Nếu tùy chọn này là đặt là 0, URLScan từ chối bất cứ yêu cầu có chứa nhiều thời kỳ (.). Điều này ngăn cản những nỗ lực để che giấu yêu cầu cho các phần mở rộng tên tập tin nguy hiểm bởi đặt một phần mở rộng tên tập tin an toàn trong đường dẫn thông tin hoặc truy vấn chuỗi phần của URL. Ví dụ, nếu tùy chọn này được thiết lập để 1, URLScan có cho phép yêu cầu để được http://servername/BadFile.exe/SafeFile.htm bởi vì nó nghĩ rằng đó là một yêu cầu cho một trang HTML, khi nó thực sự là một yêu cầu cho một tập tin thực thi (exe) với tên của một trang HTML trong khu vực PATH_INFO. Phủ khi tùy chọn này được thiết lập 0, URLScan có thể cũng nhận yêu cầu cho thư mục đó chứa các thời kỳ.
 • RemoveServerHeader = 0

  Trả theo mặc định, một máy chủ Web về một tiêu đề đó xác định những gì phần mềm máy chủ Web nó đang chạy trong tất cả các phản ứng. Điều này có thể tăng các lỗ hổng hệ phục vụ vì kẻ tấn công có thể xác định rằng một máy chủ đang chạy IIS và sau đó là các cuộc tấn công được biết đến vấn đề IIS, thay vì cố gắng để tấn công một máy chủ IIS bằng cách sử dụng khai thác được thiết kế cho các máy chủ Web khác. Theo mặc định, tùy chọn này được đặt thành 0. Nếu bạn đặt các RemoveServerHeader tùy chọn 1, bạn ngăn chặn máy chủ của bạn gửi các tiêu đề xác định nó như một máy chủ IIS. Nếu bạn thiết lập RemoveServerHeader 0, tiêu đề này vẫn còn được gửi đi.
 • AlternateServerName = (không chỉ định theo mặc định)

  Nếu RemoveServerHeader được đặt thành 0, bạn có thể chỉ định một chuỗi trong các AlternateServerName tùy chọn để xác định những gì sẽ được chuyển trở lại trong các tiêu đề máy chủ. Nếu RemoveServerHeader được thiết lập để 1, tùy chọn này được bỏ qua.
 • EnableLogging = 1

  Theo mặc định, URLScan giữ một Nhật ký đầy đủ của tất cả các bị chặn yêu cầu trong % WINDIR%\System32\Inetsrv\URLScan. Bạn có thể thiết lập EnableLogging 0 nếu bạn không muốn giữ đăng nhập này.
 • PerProcessLogging = 0

  Theo mặc định, tùy chọn này được đặt thành 0. Nếu tùy chọn này là thiết lập để 1, URLScan tạo ra một đăng nhập riêng biệt cho mỗi quá trình mà máy chủ URLScan.dll. nếu nó được đặt thành 0, tất cả các quá trình đăng nhập cùng một tập tin.
 • PerDayLogging = 1

  Theo mặc định, tùy chọn này được thiết lập để 1. Nếu giá trị này là thiết lập để 1, URLScan tạo một tệp sổ ghi mới mỗi ngày. Mỗi tập tin đăng nhập được đặt tên theo Urlscan.MMDDYYlog, nơiMMDDYY là ngày của các tập tin log. Nếu giá trị này là đặt là 0, tất cả các đăng nhập được lưu vào cùng một tập tin, bất kể các ngày.
 • AllowLateScanning = 0

  Theo mặc định, tùy chọn này được đặt thành 0. Nếu tùy chọn này là đặt là 0, URLScan chạy như một bộ lọc ưu tiên cao, có nghĩa là nó thực hiện trước khi bất kỳ khác Internet Server ứng dụng lập trình giao diện (ISAPI) các bộ lọc được cài đặt trên máy chủ. Nếu tùy chọn này được thiết lập để 1, URLScan chạy như một bộ lọc ưu tiên thấp, vì vậy mà các bộ lọc khác có thể sửa đổi URL trước khi URLScan thực hiện bất kỳ phân tích. FrontPage máy chủ phần mở rộng (FPSE) đòi hỏi phải điều này tùy chọn được thiết lập để 1.
 • RejectResponseUrl = (không chỉ định theo mặc định)

  Tùy chọn này xác định đường dẫn ảo đến một tập tin mà chạy khi URLScan chặn một yêu cầu. Điều này cho phép bạn tùy chỉnh các phản ứng đó gửi cho khách hàng để yêu cầu bị chặn. Bạn phải chỉ định RejectResponseUrl như một con đường ảo đến tập tin thích hợp, chẳng hạn như / Path/To/RejectResponseHandler.asp. Bạn có thể chỉ định một tập tin đó URLScan điển hình khối, như một trang Active Server Pages (ASP). Bạn cũng có thể dùng các máy chủ sau biến từ trang:
  • HTTP_URLSCAN_STATUS_HEADER: Điều này xác định lý do tại sao yêu cầu đã bị chặn.
  • HTTP_URLSCAN_ORIGINAL_VERB: Điều này xác định tính từ gốc từ yêu cầu bị chặn (cho Ví dụ, GET, đăng bài, đầu hay gỡ lỗi).
  • HTTP_URLSCAN_ORIGINAL_URL: Điều này xác định URL ban đầu từ các bị chặn yêu cầu.
  Nếu bạn thiết lập RejectResponseUrl giá trị đặc biệt /~*URLScan sử dụng chế độ chỉ khai thác gỗ. Thời gian này giúp IIS để phục vụ cho tất cả yêu cầu, nhưng nó thêm một mục nhập vào Nhật ký URLScan cho bất kỳ yêu cầu là thường bị chặn. Điều này rất hữu ích nếu bạn muốn thử nghiệm của bạn URLScan.ini tập tin.

  Nếu bạn không chỉ định một giá trị cho RejectResponseUrlURLScan sử dụng giá trị mặc định của /<rejected-by-urlscan></rejected-by-urlscan>.

 • UseFastPathReject = 0

  Theo mặc định, tùy chọn này được đặt thành 0. Nếu tùy chọn này là thiết lập để 1, URLScan bỏ qua các RejectResponseUrl thiết lập và ngay lập tức trả về một thông báo lỗi 404 để các trình duyệt. Đây là nhanh hơn so với chế biến RejectResponseUrl, nhưng nó không cho phép nhiều đăng nhập tùy chọn. Nếu tùy chọn này là đặt thành 0, URLScan sử dụng các RejectResponseUrl thiết lập để xử lý yêu cầu.
back to the top

[AllowVerbs] và [DenyVerbs] phần

Các [AllowVerbs][DenyVerbs] phần định nghĩa động từ HTTP (còn được gọi là phương pháp) mà URLScan cho phép. Động từ HTTP phổ biến bao gồm các GET, đăng bài, người đứng đầu và đặt. Khác các ứng dụng, chẳng hạn như FPSE và Web phân phối Authoring và Versioning (WebDAV), sử dụng động từ bổ sung.

Cả những [AllowVerbs] và các [DenyVerbs] phần có cú pháp tương tự. Chúng được làm bằng danh sách các HTTP động từ và động từ mỗi sẽ xuất hiện trên dòng riêng của nó.

URLScan quyết định mà phần để sử dụng dựa trên giá trị của các UseAllowVerbs tùy chọn trong các [Tùy chọn] keá tieáp. Theo mặc định, tùy chọn này được thiết lập để 1. Nếu UseAllowVerbs được thiết lập để 1, URLScan duy nhất cho phép yêu cầu sử dụng các động từ mà được liệt kê trong các [AllowVerbs] keá tieáp. Một yêu cầu không sử dụng một trong những động từ là bị từ chối. Trong trường hợp này, các [DenyVerbs] phần được bỏ qua.

Nếu UseAllowVerbs được đặt thành 0, URLScan từ chối yêu cầu sử dụng động từ được một cách rõ ràng được liệt kê trong các [DenyVerbs] keá tieáp. Bất cứ yêu cầu sử dụng động từ không xuất hiện trong này phần được phép. Trong trường hợp này, URLScan bỏ qua các [AllowVerbs] keá tieáp.

back to the top

Phần [DenyHeaders]

Khi một khách hàng yêu cầu một trang từ một máy chủ Web, nó thường Gửi trong một số tiêu đề HTTP có chứa thông tin bổ sung về các yêu cầu. Phần đầu HTTP phổ biến bao gồm:
 • Máy chủ:

  Tiêu đề này chứa tên của máy chủ Web.
 • Chấp nhận:

  Tiêu đề này xác định các loại tệp mà khách hàng có thể xử lý.
 • Tác nhân người dùng:

  Tiêu đề này chứa tên của các trình duyệt mà yêu cầu các trang.
 • Ủy quyền:

  Tiêu đề này xác định phương pháp xác thực mà các hỗ trợ khách hàng.
Khách hàng có thể gửi thông tin thư khác đến máy chủ để xác định thông tin bổ sung.

Trong các [DenyHeaders] phần, bạn xác định phần đầu HTTP URLScan sẽ từ chối. Nếu URLScan nhận được một yêu cầu có chứa bất kỳ tiêu đề được liệt kê ở đây phần, nó từ chối yêu cầu. Phần này tạo ra một danh sách các HTTP tiêu đề, với mỗi tiêu đề xuất hiện trên dòng riêng của nó. Tiêu đề tên phải theo sau là một tràng (:)) (ví dụ, Tiêu đề-tên:).

back to the top

[AllowExtensions] và [DenyExtensions] phần

Hầu hết các tập tin có một phần mở rộng tên tệp xác định những loại tập tin họ đang có. Ví dụ, tên tập tin cho tài liệu Word thường kết thúc bằng doc, tên tập tin HTML thường kết thúc trong .htm hoặc .html, và tên tập tin văn bản thuần thường kết thúc trong .txt. Các [AllowExtensions][DenyExtensions] phần cho phép bạn xác định phần mở rộng URLScan sẽ chặn. Ví dụ, bạn có thể cấu hình URLScan để từ chối yêu cầu tập tin exe để ngăn chặn người dùng Web đang thực hiện các ứng dụng trên hệ thống của bạn.

Cả hai các [AllowExtensions] và các [DenyExtensions] phần có cú pháp tương tự. Chúng được làm bằng danh sách các tập tin phần mở rộng tên, và mở rộng mỗi sẽ xuất hiện trên dòng riêng của nó. Phần mở rộng bắt đầu bằng dấu chấm (.) (ví dụ, .ext).

URLScan quyết định mà phần để sử dụng dựa trên giá trị của UseAllowExtensions trong các [Tùy chọn] keá tieáp. Theo mặc định, tùy chọn này được đặt thành 0. Nếu UseAllowExtensions được đặt thành 0, URLScan chỉ từ chối yêu cầu tên tệp Tiện ích mở rộng được liệt kê trong các [DenyExtensions] keá tieáp. Bất kỳ phần mở rộng tên tập tin mà không được liệt kê ở đây phần được phép. Các [AllowExtensions] phần được bỏ qua.

Nếu UseAllowExtensions được thiết lập để 1, URLScan từ chối yêu cầu bất kỳ tập tin phần mở rộng tên đó không rõ ràng liệt kê trong các [AllowExtensions] keá tieáp. Yêu cầu duy nhất cho một tập tin tên phần mở rộng được liệt kê trong phần đó được phép. Các [DenyExtensions] phần được bỏ qua.

Để thêm thông tin về cách cấu hình URLScan để cho phép yêu cầu cho các tập tin mà không có một phần mở rộng, nhấp vào số bài viết sau đây để xem các bài viết trong các Cơ sở kiến thức Microsoft:
312376Làm thế nào để cấu hình URLScan để cho phép yêu cầu với một phần mở rộng không trong IIS
back to the top

Phần [DenyUrlSequences]

Bạn có thể cấu hình URLScan để chặn yêu cầu có chứa một số trình tự của các ký tự trong URL. Ví dụ, bạn có thể chặn yêu cầu đó có chứa hai liên tiếp kỳ (.), mà thường được sử dụng với khai thác mà tận dụng lợi thế của thư mục theo cây lỗ hổng. Để chỉ định một ký tự thứ tự để chặn, đặt trình tự trên một dòng của chính nó trong các [DenyUrlSequences] keá tieáp.

Lưu ý rằng việc thêm nhân vật cuỗi tháng năm ảnh hưởng đến Outlook Web Access (OWA) cho Microsoft Exchange. Khi bạn mở một tin nhắn từ OWA, dòng tiêu đề của thư được chứa trong URL đó yêu cầu từ hệ phục vụ. Bởi vì các tập tin URLScan.ini chặn bất kỳ yêu cầu có chứa dấu hiệu phần trăm (%) và dấu hiệu dấu "và" (&), người dùng nhận được một thông báo lỗi 404 khi họ cố gắng để mở một tin nhắn với một chủ đề dòng như là "Bán hàng tăng 100 %" hoặc "Bob & Sue tới thị trấn". Để giải quyết này, bạn có thể loại bỏ các trình tự từ các [DenyUrlSequences] keá tieáp. Lưu ý rằng điều này làm giảm an ninh, bởi vì nó có tiềm năng giấy phép làm hư hại yêu cầu đến máy chủ.

Cho thông tin bổ sung, bấm số bài viết sau đây để xem bài viết trong Microsoft Knowledge Base:
325965Công cụ URLScan có thể gây ra vấn đề trong Outlook Web Access
back to the top

Cấu hình URLScan để sử dụng với các ứng dụng phụ thuộc vào IIS

Các ứng dụng như trao đổi, FPSE và Microsoft Visual Studio .NET phụ thuộc vào IIS cho đúng chức năng. Nếu bạn không cấu hình URLScan một cách chính xác, các ứng dụng này có thể ngừng làm việc đúng.

Cho thêm thông tin về cách cấu hình URLScan để làm việc với các ứng dụng này, Nhấp vào số bài viết sau để xem các bài viết trong Microsoft Kiến thức cơ bản:
309508Cấu hình IIS Lockdown và URLscan trong môi trường Exchange
309394 Làm thế nào để sử dụng URLScan với FrontPage 2000
318290 Làm thế nào để sử dụng URLScan với FrontPage 2002
310588 Bộ công cụ bảo mật phá vỡ ASP.NET gỡ lỗi trong Visual Studio.NET
back to the top
THÔNG TIN THÊM
Nếu Urlscan.ini không tồn tại trong các %WINDIR%\System32\Inetsrv\URLscan thư mục, khách hàng sẽ nhận được một lỗi 404 phản ứng. Để giải quyết vấn đề này, khôi phục lại các tập tin Urlscan.ini từ bản sao lưu hoặc sao chép các tập tin Urlscan.ini từ máy chủ giống hệt nhau.
THAM KHẢO
Cho thêm thông tin, bấm số bài viết sau đây để xem các bài viết trong các Cơ sở kiến thức Microsoft:
325864Làm thế nào để cài đặt và sử dụng thuật sĩ Lockdown IIS
back to the top
khoá cứng

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 326444 - Xem lại Lần cuối: 12/07/2015 11:51:27 - Bản sửa đổi: 2.0

Microsoft Internet Information Services 5.0

 • kbnosurvey kbarchive kbhowtomaster kbmt KB326444 KbMtvi
Phản hồi