Accueil Library Formation Code Téléchargements Support Evénements Communautés Forums
Ce sujet n'a pas encore été évalué - Évaluez ce sujet

Procédure : utilisation d'URLScan

Dernière mise à jour le 31 août 2004
Sur cette page

Objectifs Objectifs S'applique à S'applique à Résumé Résumé Installation d'URLScan Installation d'URLScan Fichiers journaux Fichiers journaux Suppression d'URLScan Suppression d'URLScan Configuration d'URLScan Configuration d'URLScan Limitation de la taille des demandes avec URLScan Limitation de la taille des demandes avec URLScan Débogage de VS .NET lorsque URLScan est installé Débogage de VS .NET lorsque URLScan est installé Masquage des en-têtes de contenu (bannières) Masquage des en-têtes de contenu (bannières) Pièges Pièges Références Références

Objectifs

Ce module vous permettra d'effectuer les opérations suivantes :

  • obtenir et installer URLScan ;

  • utiliser URLScan pour améliorer les défenses de votre serveur Web contre les attaques courantes, telles que le refus de service et le parcours des répertoires ;

  • activer le débogage Visual Studio .NET lorsque vous utilisez URLScan.

S'applique à

Ce module s'applique aux produits et technologies suivants :

  • Microsoft® Windows® 2000 Server ;

  • services IIS.

Résumé

URLScan est un filtre ISAPI qui permet aux administrateurs de sites Web de restreindre le type de demandes HTTP qui seront traitées par le serveur. En bloquant des demandes HTTP spécifiques, le filtre URLScan empêche les demandes potentiellement dangereuses d'atteindre le serveur et de créer des dommages. Ce module explique comment obtenir, installer et configurer URLScan.

Installation d'URLScan

Au moment de l'écriture, URLScan 2.0 est installé lorsque vous exécutez l'outil de verrouillage IIS (IISLockd.exe). Vous pouvez également l'installer indépendamment.

  • Installation d'URLScan 2.0 avec l'outil de verrouillage IIS : Vous pouvez installer URLScan 2.0 par le biais de l'Assistant de l'outil de verrouillage IIS (IISLockd.exe). IISLockd.exe peut être téléchargé depuis Internet sur le site Web de Microsoft à l'adresse : http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe.

  • Installation d'URLScan 2.0 sans exécuter l'outil de verrouillage IIS : Pour installer URLScan sans exécuter l'outil de verrouillage IIS, vous devez l'extraire manuellement de l'outil de verrouillage IIS. Commencez par enregistrer IISLockd.exe dans un répertoire. Puis, pour extraire les fichiers d'installation d'URLScan, exécutez la commande suivante au niveau de la ligne de commande à partir du répertoire dans lequel IISLockd.exe est installé :

    iislockd.exe /q /c

    Cette commande décompresse le programme d'installation d'URLScan, URLScan.exe.

    Pour plus d'informations, consultez l'article 315522 « How To: Extract the URLScan Tool and Lockdown Template Files from the IIS Lockdown Tool » de la Base de connaissances de Microsoft à l'adresse : http://support.microsoft.com/default.aspx?scid=315522.

  • Installation d'URLScan 2.5 : URLScan 2.5 est actuellement la version la plus récente d'URLScan. Si vous souhaitez installer URLScan 2.5, vous devez d'abord avoir installé URLScan 1.0 ou URLScan 2.0.

    Pour plus d'informations, consultez l'article 307608 « INFO: Using URLScan on IIS » de la Base de connaissances de Microsoft à l'adresse : http://support.microsoft.com/default.aspx?scid=307608.

  • Répertoire d'installation par défaut : Les fichiers URLScan comprenant Urlscan.dll, URLScan.ini et les journaux URLScan sont stockés dans %windir%\system32\inetsrv\urlscan. URLScan.dll est le filtre. URLScan.ini permet de configurer son fonctionnement.

Fichiers journaux

URLScan crée des fichiers journaux qui enregistrent les demandes rejetées. Les fichiers journaux sont placés dans le dossier suivant :

%windir%\system32\inetsrv\urlscan

Les fichiers journaux sont nommés à l'aide de la convention suivante : URLScan<date>.log.

Suppression d'URLScan

Vous pouvez supprimer URLScan manuellement via la page des filtres ISAPI de la boîte de dialogue des propriétés du serveur Web dans le Gestionnaire des services Internet.

Configuration d'URLScan

URLScan.ini permet de configurer URLScan pour déterminer quelles demandes doivent être rejetées. Ce fichier est placé dans le dossier suivant :

%windir%\system32\inetsrv\urlscan

Pour plus d'informations sur la manière de modifier les différentes sections d'URLScan.ini, consultez l'article 815155 « How To: Configure URLScan to Protect ASP.NET Web Applications » de la Base de connaissances de Microsoft à l'adresse : http://support.microsoft.com/default.aspx?scid=815155.

Limitation de la taille des demandes avec URLScan

URLScan peut servir de ligne de défense supplémentaire contre les attaques par refus de service avant même que les demandes n'atteignent ASP.NET. Pour ce faire, configurez des limites sur les attributs MaxAllowedContentLength, MaxUrl et MaxQueryString.

Pour limiter la taille des demandes, ajoutez la configuration suivante au fichier URLScan.ini :

[RequestLimits]
; Les entrées de cette section fixent des limites pour la longueur
; des parties de requêtes autorisées atteignant le serveur.
;MaxAllowedContentLength=2000000000
;MaxUrl=16384
;MaxQueryString=4096

Débogage de VS .NET lorsque URLScan est installé

Par défaut, URLScan n'autorise pas le verbe DEBUG. Par conséquent, lorsque vous utilisez VS.NET pour déboguer une application Web sur un serveur doté d'URLScan, il se peut que l'erreur suivante s'affiche :

Microsoft Development Environment:
Error while trying to run project: Unable to start debugging on the web server. 
Could not start ASP.NET or ATL Server debugging.

Verify that ASP.NET or ATL Server is correctly installed on the server. Would you 
like to disable future attempts to debug ASP.NET pages for this project? Yes   No   
Help

Votre fichier journal URLScan contiendra également une entrée similaire à la suivante :

[01-18-2003 - 22:25:26] Client at 127.0.0.1: Sent verb 'DEBUG', which is not specifically allowed. 
Request will be rejected.

Pour prendre en charge le débogage, ajoutez DEBUG dans la section AllowVerbs du fichier URLScan.ini comme indiqué ci-dessous :

[AllowVerbs]
GET
HEAD
POST
DEBUG

Remarque : vous devez redémarrer IIS pour que les changements soient appliqués.

Masquage des en-têtes de contenu (bannières)

Pour éviter que les informations de la bannière révèlent le type et la version de votre serveur Web, localisez l'attribut RemoveServerHeader dans URLScan.ini et configurez sa valeur sur 1 comme indiqué ci-dessous.

RemoveServerHeader=1

Pour plus d'informations, consultez l'article 317741 « How To: Mask IIS Version Information from Network Trace and Telnet » de la Base de connaissances de Microsoft à l'adresse : http://support.microsoft.com/default.aspx?scid=317741.

Pièges

Si vous utilisez URLScan, il se peut que vous rencontriez les problèmes suivants :

  • URLScan bloque le verbe DEBUG, ce qui interrompt le débogage de l'application. Si vous souhaitez que le débogage soit pris en charge, ajoutez le verbe DEBUG à la section [AllowVerbs] du fichier URLScan.ini.

  • Vous devez relancer IIS pour que les changements soient appliqués. URLScan est un filtre ISAPI qui s'exécute au sein du processus IIS (Inetinfo.exe) et les options d'URLScan sont chargées à partir d'URLScan.ini lorsque IIS démarre. Vous pouvez exécuter la commande IISReset à partir d'une invite de commande pour redémarrer IIS.

  • URLScan bloque les demandes contenant des caractères potentiellement dangereux, comme par exemple, les caractères utilisés dans le passé pour exploiter les vulnérabilités, tels que le caractère « . » utilisé pour le parcours des répertoires. L'utilisation du caractère « . » est déconseillée dans les chemins d'accès au projet. Si vous devez l'autoriser, configurez AllowDotInPath=1 dans le fichier URLScan.ini.

    Si des points sont inclus dans les chemins d'accès aux répertoires de votre application Web, par exemple, un répertoire contenant le nom « Asp.Net », URLScan rejettera la demande et le message « 404 not found » sera renvoyé au client.

    Les autres caractères à éviter dans les noms de projet pour ne pas être rejetés par URLScan sont la virgule (,) et le dièse (#).

Références

Pour plus d'informations, consultez les ressources suivantes :

Cela vous a-t-il été utile ?
(1500 caractères restants)
© 2013 Microsoft. Tous droits réservés.