如何配置 URLScan 工具
察看本文應(yīng)用于的產(chǎn)品
文章編號(hào) : 326444 
最后修改 : 2007年3月14日 
修訂 : 5.3 
我們強(qiáng)烈建議所有運(yùn)行 Microsoft Windows Server 2003 的用戶將 Microsoft Internet 信息服務(wù) (IIS) 升級(jí)到 6.0 版，因?yàn)?nbsp;IIS 6.0 顯著增強(qiáng)了 Web 基礎(chǔ)結(jié)構(gòu)的安全性。有關(guān)與 IIS 安全性相關(guān)的主題的更多信息，請(qǐng)?jiān)L問(wèn)下面的 Microsoft 網(wǎng)站：
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)
本頁(yè)
概要
本文分步說(shuō)明如何配置 URLScan 工具以防止 Web 服務(wù)器受到攻擊和利用。

回到頂端

安裝 URLScan
要安裝 URLScan，請(qǐng)?jiān)L問(wèn)下面的 Microsoft Developer Network (MSDN) 網(wǎng)站：
http://msdn2.microsoft.com/en-us/library/aa302368.aspx (http://msdn2.microsoft.com/en-us/library/aa302368.aspx)
有關(guān)其他信息，請(qǐng)單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫(kù)中相應(yīng)的文章： 
307608 (http://support.microsoft.com/kb/307608/) 對(duì) IIS 使用 URLScan 
回到頂端

修改 URLScan.ini 文件
URLScan 的所有配置都是通過(guò) URLScan.ini 文件執(zhí)行的，此文件位于 %WINDIR%\System32\Inetsrv\URLscan 文件夾中。要配置 URLScan，請(qǐng)?jiān)谖谋揪庉嬈鳎ㄈ缬浭卤荆┲写蜷_(kāi)此文件，進(jìn)行相應(yīng)的更改，然后保存此文件。

注意：要使更改生效，必須重新啟動(dòng) Internet 信息服務(wù) (IIS)。一種快速的實(shí)現(xiàn)方法是在命令提示符處運(yùn)行 IISRESET。 

URLScan.ini 文件包含以下幾節(jié)： ? [Options]：此節(jié)描述常規(guī) URLScan 選項(xiàng)。 
? [AllowVerbs] 和 [DenyVerbs]：此節(jié)定義 URLScan 允許的謂詞（又稱作 HTTP 方法）。 
? [DenyHeaders]：此節(jié)列出 HTTP 請(qǐng)求中不允許的 HTTP 標(biāo)頭。如果 HTTP 請(qǐng)求中包含此節(jié)中列出的 HTTP 標(biāo)頭之一，URLScan 將拒絕該請(qǐng)求。 
? [AllowExtensions] 和 [DenyExtensions]：此節(jié)定義 URLScan 允許的文件擴(kuò)展名。 
? [DenyURLSequences]：此節(jié)列出 HTTP 請(qǐng)求中不允許的字符串。URLScan 拒絕那些包含此節(jié)中出現(xiàn)的字符串的 HTTP 請(qǐng)求。 
本文將更詳細(xì)地介紹每一節(jié)。


[Options] 節(jié)
在 [Options] 節(jié)中，可以配置許多 URLScan 選項(xiàng)。此節(jié)中的每一行都具有以下格式： 
OptionName=OptionValue
可用選項(xiàng)及其默認(rèn)值如下所示： ? UseAllowVerbs=1

默認(rèn)情況下，此選項(xiàng)設(shè)置為 1。如果將此選項(xiàng)設(shè)置為 1，則 URLScan 僅允許那些使用 [AllowVerbs] 節(jié)中列出的謂詞的 HTTP 請(qǐng)求。URLScan 禁止任何不使用這些謂詞的請(qǐng)求。如果將此選項(xiàng)設(shè)置為 0，則 URLScan 忽略 [AllowVerbs] 節(jié)，相反僅禁止那些使用 [DenyVerbs] 節(jié)中列出的謂詞的請(qǐng)求。 
? UseAllowExtensions=0

默認(rèn)情況下，此選項(xiàng)設(shè)置為 0。如果將此選項(xiàng)設(shè)置為 0，則 URLScan 禁止對(duì) [DenyExtensions] 節(jié)中列出的文件擴(kuò)展名的請(qǐng)求，但允許對(duì)任何其他文件擴(kuò)展名的請(qǐng)求。如果將此選項(xiàng)設(shè)置為 1，則 URLScan 僅允許對(duì)帶 [AllowExtensions] 節(jié)中列出的擴(kuò)展名的文件的請(qǐng)求，而禁止對(duì)任何其他文件的請(qǐng)求。 
? NormalizeUrlBeforeScan=1

IIS 收到用 URL 編碼的請(qǐng)求。這表示某些字符可能被替換為百分號(hào) (%) 后跟特定的數(shù)字。例如，%20 對(duì)應(yīng)于一個(gè)空格，因此，對(duì) http://myserver/My%20Dir/My%20File.htm 的請(qǐng)求與對(duì) http://myserver/My Dir/My File.htm 的請(qǐng)求是相同的。標(biāo)準(zhǔn)化就是對(duì) URL 編碼請(qǐng)求進(jìn)行解碼的過(guò)程。默認(rèn)情況下，此選項(xiàng)設(shè)置為 1。如果將 NormalizeUrlBeforeScan 選項(xiàng)設(shè)置為 1，則 URLScan 分析已解碼的請(qǐng)求。如果將此選項(xiàng)設(shè)置為 0，則 URLScan 分析未解碼的請(qǐng)求。將此選項(xiàng)設(shè)置為 0 會(huì)影響 URLScan 禁止某種攻擊的能力。 
? VerifyNormalization=1

由于百分號(hào) (%) 本身可以是 URL 編碼的，所以攻擊者可以向服務(wù)器提交一個(gè)精心制作的、基本上是雙重編碼的請(qǐng)求。如果發(fā)生這種情況，IIS 可能會(huì)接受本應(yīng)視作無(wú)效而拒絕的請(qǐng)求。默認(rèn)情況下，此選項(xiàng)設(shè)置為 1。如果將 VerifyNormalization 選項(xiàng)設(shè)置為 1，則 URLScan 將對(duì) URL 執(zhí)行兩次標(biāo)準(zhǔn)化。如果第一次標(biāo)準(zhǔn)化后的 URL 與第二次標(biāo)準(zhǔn)化后的 URL 不同，URLScan 將拒絕該請(qǐng)求。這樣就可以防止那些依賴雙重編碼請(qǐng)求的攻擊。 
? AllowHighBitCharacters=0

默認(rèn)情況下，此選項(xiàng)設(shè)置為 0。如果將此選項(xiàng)設(shè)置為 0，則 URLScan 拒絕任何包含非 ASCII 字符的請(qǐng)求。這樣可以防止某些類型的攻擊，但同時(shí)可能也會(huì)禁止對(duì)某些合法文件的請(qǐng)求，如帶有非英文名的文件。 
? AllowDotInPath=0

默認(rèn)情況下，此選項(xiàng)設(shè)置為 0。如果將此選項(xiàng)設(shè)置為 0，則 URLScan 拒絕所有包含多個(gè)句點(diǎn) (.) 的請(qǐng)求。這樣可以防止通過(guò)將安全的文件擴(kuò)展名放入 URL 的路徑信息或查詢字符串部分，以達(dá)到偽裝請(qǐng)求中的危險(xiǎn)文件擴(kuò)展名的企圖。例如，如果將此選項(xiàng)設(shè)置為 1，則 URLScan 可能允許對(duì) http://servername/BadFile.exe/SafeFile.htm 的請(qǐng)求，因?yàn)樗J(rèn)為這是對(duì) HTML 頁(yè)的請(qǐng)求，但實(shí)際上這是一個(gè)對(duì)可執(zhí)行 (.exe) 文件的請(qǐng)求，而該文件的名稱在 PATH_INFO 區(qū)域中顯示為 HTML 頁(yè)的名稱。如果將此選項(xiàng)設(shè)置為 0，URLScan 可能還會(huì)拒絕對(duì)包含句點(diǎn)的目錄的請(qǐng)求。 
? RemoveServerHeader=0

默認(rèn)情況下，Web 服務(wù)器返回一個(gè)標(biāo)頭，其中指出了 Web 服務(wù)器在所有響應(yīng)中運(yùn)行的 Web 服務(wù)器軟件。這會(huì)增加服務(wù)器遭受攻擊的可能性，因?yàn)楣粽呖梢源_定服務(wù)器正在運(yùn)行 IIS，于是便攻擊已知的 IIS 問(wèn)題，而不是試圖使用為其他 Web 服務(wù)器設(shè)計(jì)的攻擊手段來(lái)攻擊 IIS 服務(wù)器。默認(rèn)情況下，此選項(xiàng)設(shè)置為 0。如果將 RemoveServerHeader 選項(xiàng)設(shè)置為 1，可以防止您的服務(wù)器發(fā)送將其標(biāo)識(shí)為 IIS 服務(wù)器的標(biāo)頭。如果將 RemoveServerHeader 設(shè)置為 0，則仍發(fā)送此標(biāo)頭。 
? AlternateServerName=（默認(rèn)情況下不指定）

如果將 RemoveServerHeader 設(shè)置為 0，可以在 AlternateServerName 選項(xiàng)中指定一個(gè)字符串以指定將在服務(wù)器標(biāo)頭中傳回的內(nèi)容。如果將 RemoveServerHeader 設(shè)置為 1，則此選項(xiàng)將被忽略。 
? EnableLogging=1

默認(rèn)情況下，URLScan 在 %WINDIR%\System32\Inetsrv\URLScan 中保留所有被禁止的請(qǐng)求的完整日志。如果不希望保留此日志，可將 EnableLogging 設(shè)置為 0。 
? PerProcessLogging=0

默認(rèn)情況下，此選項(xiàng)設(shè)置為 0。如果將此選項(xiàng)設(shè)置為 1，URLScan 將為承載 URLScan.dll 的每個(gè)進(jìn)程創(chuàng)建一個(gè)單獨(dú)的日志。如果將此選項(xiàng)設(shè)置為 0，所有進(jìn)程將記錄到同一個(gè)文件中。 
? PerDayLogging=1

默認(rèn)情況下，此選項(xiàng)設(shè)置為 1。如果將該值設(shè)置為 1，則 URLScan 每天創(chuàng)建一個(gè)新的日志文件。每個(gè)日志文件的名稱都是 Urlscan.MMDDYY.log，其中 MMDDYY 是日志文件的日期。如果將該值設(shè)置為 0，則所有日志記錄都保存在同一個(gè)文件中，與日期無(wú)關(guān)。 
? AllowLateScanning=0

最新評(píng)論