你目前正处于脱机状态,正在等待 Internet 重新连接

如何配置 URLScan 对保护 ASP.NET Web 应用程序

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 815155
我们强烈建议所有用户都升级到 IIS 7.0 版 Microsoft Internet Information Services Microsoft Windows Server 2008 上运行。 IIS 7.0 大大提高了 Web 基础结构安全。有关 IIS 的详细信息与安全相关的主题,请访问下面的 Microsoft 网站:有关 IIS 7.0 的详细信息,请访问下面的 Microsoft 网站:
概要
本分步指南介绍了如何配置 URLScan 的安全工具,来保护 ASP.NET Web 应用程序。

URLScan 是 Internet 服务器 API (ISAPI) 筛选器的过滤和监视 Internet 信息服务器 4.0、 Internet Information Services 5.0 和 Internet Information Services 5.1 (IIS) 的 HTTP 请求。URLScan 用于减少暴露潜在 Internet 攻击的 IIS。

默认状态下,URLScan 不会使 ASP.NET Web 应用程序使用的文件扩展名的特殊支持。您可以更改 URLScan 配置以添加额外的一层为这些应用程序的安全。您必须禁用或启用应用程序级别跟踪、 XML Web 服务和远程处理不同的文件扩展名。

back to the top

配置 URLScan

若要配置 URLScan 若要启用标准 ASP.NET 文件扩展名的用户可能会请求,请按照下列步骤操作,请执行下列操作:
  1. 安装 URLScan 工具。有关信息和说明中,请访问下面的 Microsoft 网站:
  2. 在文本编辑器 (如记事本) 中打开 Urlscan.ini 文件。此文件位于该 \ System Root \System32\Inetsrv\Urlscan\ 文件夹。
  3. 在 [AllowExtensions] 部分中添加下面的文件扩展名:
    • .ashx
    • .aspx
  4. 在 [DenyExtensions] 部分中添加下面的文件扩展名:
    • .asax
    • .ascx
    • .config
    • .cs
    • .csproj
    • .dll
    • .licx
    • .pdb
    • .resx
    • .resources
    • .vb
    • .vbproj
    • .vsdisco
    • .webinfo
    • .xsd
    • .xsx
  5. 若要打开应用程序级别跟踪,将添加到 [AllowExtensions] 部分中的.axd 文件扩展名。如果不想打开应用程序级别跟踪,将.axd 添加到 [DenyExtensions] 节中。
  6. 若要以便 Web 服务添加到 [AllowExtensions] 部分的.asmx 文件扩展名。如果您不希望允许 Web 服务,将.asmx 添加到 [DenyExtensions] 节中。
  7. 若要打开远程处理,添加到 [AllowExtensions] 节的.rem 文件扩展名和 $.soap 文件扩展名。如果您不想要启用远程处理,将.rem 和.soap 添加到 [DenyExtensions] 节中。
  8. 保存并关闭 Urlscan.ini 文件。您必须重新启动 IIS,所做的更改才能生效。
注意这些步骤被为了提供不管是否 UseAllowVerbs 设置打开的 URLScan 的最佳保护。

back to the top
参考
有关详细的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
315736如何通过使用 Windows 安全的 ASP.NET 应用程序安全
315588如何保护 ASP.NET 应用程序使用客户端证书
818014如何保护在.net 框架上构建的应用程序
back to the top

警告:本文已自动翻译

属性

文章 ID:815155 - 上次审阅时间:07/03/2008 14:45:30 - 修订版本: 6.4

Microsoft ASP.NET 1.0, Microsoft Internet Information Services version 5.1, Microsoft Internet Information Services 5.0, Microsoft Internet Information Server 4.0, Microsoft ASP.NET 1.1

  • kbmt kbscan kbsecurity kbconfig kbweb kbhowtomaster KB815155 KbMtzh
反馈
="https://c.microsoft.com/ms.js"> /html>