說明介紹

修改 URLScan.ini 檔案 透過在 URLScan.ini 執行 URLScan 的所有設定檔位於 %WINDIR%\System32\Inetsrv\URLscan 資料夾。 若要將 URLScan 會將在文字編輯器如 「 記事本 」 中開啟這個檔案，將進行適當的變更而然後儲存檔案。 請注意 您必須重新啟動網際網路資訊服務 (IIS)，您的變更才會生效。 您可以這麼快的一個方法是在命令提示字元中執行 iisreset 命令。 URLScan.ini 檔案會包含下列區段： [選項] ： 本節將說明一般的 URLScan 選項。 [AllowVerbs] 及 [DenyVerbs] ： 這個區段定義的動詞命令 (也稱為 HTTP 方法)，URLScan 可讓。 [DenyHeaders] ： 這個區段會列出不允許在 HTTP 要求的 HTTP 標頭。 如果 HTTP 要求會包含其中一個，本節中所列的 HTTP 標頭，URLScan 會拒絕要求。 [AllowExtensions] 及 [DenyExtensions] ： 這個區段定義的副檔名，URLScan 可讓。 [DenyURLSequences] ： 這個區段會列出字串，不允許在 HTTP 要求。 URLScan 會拒絕 HTTP 要求包含本節中出現的字串。 每個區段將會更多的細節，本文中詳述。 [Options] 區段 在 [Options] 區段中中,，您可以設定許多 URLScan 的選項。 本節中的每一行都具有下列格式： OptionName=OptionValue 可用的選項及其預設值如下： UseAllowVerbs = 1 預設的情況下，這個選項設定為 1。 如果這個選項設定為 1，URLScan 會只允許使用動詞命令所列的 [AllowVerbs] 區段中的 HTTP 要求。 URLScan 會封鎖不使用這些動詞命令的任何要求。 如果此選項設定為 0，URLScan 會忽略 [AllowVerbs] 區段中，而且而區塊只能使用 [DenyVerbs] 一節所列的動詞命令的要求。 UseAllowExtensions = 0 預設的情況下，這個選項設定為 0。 如果這個選項設定為 0，URLScan 會封鎖會要求所列的 [DenyExtensions] 區段中的檔案名稱副檔名，但允許任何其他檔案名稱副檔名的要求。 如果此選項設定為 1，URLScan 只允許所列的 [ [AllowExtensions ] 區段的副檔名的檔案要求，而且它會封鎖任何其他檔案的要求。 NormalizeUrlBeforeScan = 1 IIS 會接收要求的 URL 編碼。 這表示某些字元可能會以百分比符號 (%) 後面接著一個特定的數字取代。 例如，%20 對應資料的空間，因此 http://myserver/My%20Dir/My%20File.htm 要求 http://myserver/My Dir / 我 file.htm 要求相同。 正規化會是解碼 URL 編碼的要求的程序。 預設的情況下，這個選項設定為 1。 如果 NormalizeUrlBeforeScan 選項設定為 1，URLScan 會分析已解碼的要求。 如果它設定為 0，URLScan 而分析 undecoded 的要求]。 將這個選項設定為 0 會阻礙 URLScan 的能力來封鎖某些種類的攻擊。 VerifyNormalization = 1 因為百分比符號 (%) 本身可以是經過 URL 編碼的攻擊者可以傳送一個小心製作的要求，伺服器是基本上是雙編碼。 如果發生這種情況 IIS 可能會接受要求，否則將拒絕為無效。 預設的情況下，這個選項設定為 1。 如果 VerifyNormalization 選項設定為 1，URLScan 將 URL 兩次。 如果 URL 之後第一個的正規化不同於 URL 之後，第二個正規化，URLScan 會拒絕要求。 這可防止攻擊，依賴雙編碼的要求。 AllowHighBitCharacters = 0 預設的情況下，這個選項設定為 0。 如果此選項設定為 0，URLScan 就會拒絕任何要求，包含非 ASCII 字元。 這可以避免某些類型的攻擊，但它也可能會封鎖出例如與非英文名稱的檔案的某些合法檔案的要求]。 AllowDotInPath = 0 預設的情況下，這個選項設定為 0。 如果此選項設定為 0，則 URLScan 會拒絕包含多個句號 (.) 的任何要求。 這可防止嘗試偽裝成危險的檔案名稱副檔名的要求，將安全的檔案副檔名中路徑資訊或查詢字串部分的 URL。 例如，如果此選項設定為 1，URLScan 可能允許 http://servername/BadFile.exe/SafeFile.htm 要求因為它會認為它是要求 HTML 頁面時，它是實際上要求的檔名為 PATH_INFO 區域中的 HTML 網頁的可執行檔 (.exe) 檔案。 當此選項設定為 0 時，URLScan 可能會也會拒絕的目錄包含句號的要求。 RemoveServerHeader = 0 預設狀況下，Web 伺服器會傳回一個標頭識別哪些 Web 伺服器軟體，它在所有的回應中執行)。 這可以提高伺服器這項弱點，因為攻擊者可以判斷伺服器執行 IIS，然後而非嘗試使用其他 Web 伺服器設計的剝削利用攻擊的 IIS 伺服器的 IIS 問題的已知的攻擊。 預設的情況下，這個選項設定為 0。 如果您將 RemoveServerHeader 選項設定為 1 時，您防止您的伺服器傳送的標頭，它識別為 IIS 伺服器。 如果將 RemoveServerHeader 設定為 0，就會仍然傳送這個標頭。 AlternateServerName =(not specified by default) 如果 RemoveServerHeader 設為 0，您可以指定一個字串， AlternateServerName 選項來指定會傳遞回在伺服器標頭中。 如果 RemoveServerHeader 設為 1，便會忽略這個選項。 EnableLogging = 1 預設的情況下，URLScan 會保留所有的封鎖要求的完整記錄在 %WINDIR%\System32\Inetsrv\URLScan。 如果您不想要讓此記錄檔，您可以將 EnableLogging 設為 0。 PerProcessLogging = 0 預設的情況下，這個選項設定為 0。 如果這個選項設定為 1，URLScan 就會建立每個處理序裝載 URLScan.dll 不同記錄檔。 如果它設定為 0，所有處理程序就會記錄到相同的檔案。 PerDayLogging = 1 預設的情況下，這個選項設定為 1。 如果這個值設定為 1，URLScan 建立新的記錄檔每一天。 每個記錄檔案名為 Urlscan MMDDYY.log，MMDDYY 是日期的記錄檔的位置。 如果這個值設定為 0，則所有的記錄會儲存在相同的檔案無論的日期中。 AllowLateScanning = 0 預設的情況下，這個選項設定為 0。 如果此選項設定為 0，伺服器上安裝 URLScan 為高優先權篩選器，這表示它執行網際之前任何其他網路伺服器應用程式發展介面 (ISAPI) 篩選器，會執行。 如果此選項設定為 1，URLScan 會執行為低優先權篩選器，URLScan 會執行任何的分析之前，其他篩選器可以修改 URL。 FrontPage Server Extensions (FPSE) 會需要此選項以設定為 1。 RejectResponseUrl =(not specified by default) 這個選項會指定 URLScan 會封鎖要求時所執行的檔案，虛擬路徑。 這可讓您自訂回應的已封鎖的要求傳送至用戶端。 您必須指定 RejectResponseUrl ，為適當的檔案例如 /Path/To/RejectResponseHandler.asp 虛擬路徑。 您可以指定檔案的 URLScan 通常封鎖，例如 Active Server Pages (ASP) 網頁。 您也可以使用下列的伺服器變數，從頁面： HTTP_URLSCAN_STATUS_HEADER ： 這會指定為什麼已經封鎖要求。 HTTP_URLSCAN_ORIGINAL_VERB ： 這會指定原始動詞命令，從已封鎖的要求 (例如，GET、 POST、 HEAD 或 DEBUG)。 HTTP_URLSCAN_ORIGINAL_URL ： 這指定封鎖要求的原始 URL。 如果您設定為的特殊值的 RejectResponseUrl / ~ * ，URLScan 使用僅記錄的模式。 這可以讓 IIS 服務所有的要求，但它會新增至的任何要求通常會封鎖 URLScan 記錄檔項目。 如果您要測試您的 URLScan.ini 這會很有用檔案。 如果您沒有指定值的 RejectResponseUrl ，URLScan 會使用預設值的 /. UseFastPathReject = 0 預設的情況下，這個選項設定為 0。 如果這個選項設定為 1，URLScan 就會忽略 RejectResponseUrl 設定，並立即將資料的 404 錯誤訊息傳回至瀏覽器。 這是比處理 RejectResponseUrl ，但它不允許多個記錄選項]。 如果此選項設定為 [0，URLScan 會使用 RejectResponseUrl 設定，以處理要求。 [AllowVerbs] 及 [DenyVerbs] 區段 [ AllowVerbs] 和 [DenyVerbs] 區段會定義，URLScan 可讓 [HTTP 動詞 (也稱為方法)。 常見的 HTTP 動詞命令，包括 GET 」、 「 POST 」、 「 HEAD 和 「 PUT。 其他應用程式，(例如，FPSE 和 Web Distributed Authoring and Versioning (WebDAV) 使用其他的動詞命令。 的 [AllowVerbs] 及 [DenyVerbs] 區段會有，相同的語法。 在進行設定的 HTTP 清單的動詞命令，] 和 [每個動詞命令出現在自己行。 URLScan 會決定使用哪一個區段會根據 [Options] 區段中的 UseAllowVerbs 選項的值。 預設的情況下，這個選項設定為 1。 如果 UseAllowVerbs 設為 1，URLScan 會只允許在 [AllowVerbs] 區段中使用所列的動詞命令要求。 拒絕不使用其中一個這些動詞命令的要求。 在這種情況下忽略 [DenyVerbs] 區段。 如果 UseAllowVerbs 設為 0，URLScan 會拒絕在 [DenyVerbs] 區段中使用明確列的動詞命令要求。 允許在本節中使用動詞命令時，不會出現任何要求。 在這種情況下，URLScan 會忽略 [AllowVerbs] 區段。 [DenyHeaders] 區段 當用戶端要求頁面，從 Web 伺服器時，它通常是傳送透過某些 HTTP 標頭包含要求的相關額外資訊。 通用 HTTP 標頭包括下列各項： 主應用程式： 這個標頭會包含 Web 伺服器的名稱。 接受： 這個標頭將定義您，用戶端可以處理的檔案類型。 使用者代理程式： 這個標頭會包含瀏覽器的要求頁面的名稱。 授權： 此標頭檔會定義用戶端所支援的驗證方法。 用戶端可能會傳送至指定額外的資訊伺服器的其他標頭。 在 [ [DenyHeaders ] 區段中，您定義的 URLScan 會拒絕 HTTP 標頭。 如果 URLScan 會接收要求，包含本節中所列出任何標頭，它就會拒絕要求。 本節由組成一份 HTTP 標頭與在獨立的一行上顯示每個標頭檔。 標頭名稱之後必須跟隨冒號 (:) (例如， 標頭的名稱： )。 [AllowExtensions] 及 [DenyExtensions] 區段 大部分的檔案的一個，識別是哪種檔案名稱副檔名都。 舉例來說，檔案名稱的 Word 文件通常是結束.doc，HTML 檔案名稱通常是以結尾.htm 或.html，並以.txt 的純文字檔案名稱通常是結尾。 [ AllowExtensions] 和 [DenyExtensions] 區段可讓您定義 URLScan 會封鎖副的。 舉例來說，您可以設定 URLScan 拒絕.exe 檔案，以防止 Web 使用者在您的系統上執行的應用程式的要求。 的 [AllowExtensions] 及 [DenyExtensions] 區段會有在相同的語法。 它們針對設定的檔案名稱副，清單和每個副檔名出現在它自己的行進行。 副檔名開頭為句號 (.) (例如，.ext)。 URLScan 會決定使用哪個區段的 [Options] 區段中的 [ UseAllowExtensions 值為基礎。 預設的情況下，這個選項設定為 0。 如果 UseAllowExtensions 設為 0，URLScan 只拒絕的要求檔案的副檔名所列的 [DenyExtensions] 區段。 允許任何副檔名未在本節列出的。 [AllowExtensions] 區段會被忽略。 如果 UseAllowExtensions 設為 1，URLScan 拒絕任何檔案的要求未明確地在 [AllowExtensions] 區段列出的副檔名。 不允許的副檔名的區段中所列的唯一要求。 [DenyExtensions] 區段會被忽略。 如需有關如何設定以允許沒有副檔名的檔案要求的 URLScan，請按一下 [下列的文件編號，檢視 「 Microsoft 知識庫 」 中的文件]： 312376 (http://support.microsoft.com/kb/312376/ ) 如何設定 URLScan 以便要求在 IIS 中副檔名為 null 將 [DenyUrlSequences] 區段 您可以設定 URLScan 封鎖包含 URL 中字元的特定序列的要求。 例如，您可以封鎖要求，包含兩個連續句點 (.) 與利用目錄周遊弱點的攻擊經常使用的。 若要以便字元序列來封鎖放在順序行本身在 [DenyUrlSequences] 區段。 請注意加入字元順序可能會造成負面影響 Outlook Web Access (OWA) 的 Microsoft Exchange。 當您在從 OWA 開啟郵件時，則會將訊息的主旨行包含在 URL，從伺服器要求。 嘗試開啟的郵件主旨行，例如 「 銷售量增加 100%」 時，使用者因為 URLScan.ini 檔案將會封鎖任何要求，其中包含百分比符號 (%) 和連字號 (&) 符號 (http:// www.microsoft.com &)，收到 404 錯誤訊息或 「 王俊元 Sue 來自以城鎮 (& S) 」。 若要解決這個問題，您可以會移除 「 從這些序列， [DenyUrlSequences] 區段中。 請注意，這會減少安全性，因為它可能會允許損害要求到達伺服器。 Microsoft Urlscan Filter支援的作業系統：Windows Server 2003; Windows Server 2008; Windows Vista; Windows XP 或是執行IIS 5.1、6.0 or 7.0等版本的系統。