DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 815155 - Última revisão: quinta-feira, 3 de julho de 2008 - Revisão: 6.4

 
É altamente recomendável que todos os usuários atualizem para Microsoft (IIS) versão 7.0 em execução no Microsoft Windows Server 2008. O IIS 7.0 aumenta significativamente a segurança de infra-estrutura da Web. Para obter mais informações sobre tópicos relacionados à segurança do IIS, visite o seguinte site:
http://technet.microsoft.com/en-us/library/dd450371.asp (http://technet.microsoft.com/en-us/library/dd450371.aspx)
Para obter mais informações sobre o IIS 7.0, visite o seguinte site:
http://www.iis.net/default.aspx?tabid=1 (http://www.iis.net/default.aspx?tabid=1)

Nesta página

Sumário

Este artigo passo a passo descreve como configurar a ferramenta de segurança URLScan para proteger aplicativos da Web ASP.NET.

O URLScan é um filtro de servidores da Internet (ISAPI) que telas e monitora as solicitações HTTP para Internet Information Server 4.0, Internet Information Services 5.0 e 5.1 (IIS). URLScan é usado para reduzir a exposição do IIS a possíveis ataques da Internet.

Por padrão, o URLScan não faz acomodações especiais para extensões de nome de arquivo usado por aplicativos ASP.NET. Você pode alterar a configuração do URLScan para adicionar uma camada extra de segurança para esses aplicativos. Você deve desabilitar ou habilitar extensões de nome de arquivo diferente para rastreamento de nível de aplicativo, XML Web services e sistema de interação remota.

back to the top

Configurar o URLScan

Para configurar o URLScan para habilitar padrão arquivo extensões ASP.NET que os usuários podem solicitadas, execute estas etapas:
  1. Instale a ferramenta URLScan. Para obter informações e instruções, visite o seguinte site da Microsoft:
    http://technet.microsoft.com/en-us/security/cc242650.aspx (http://technet.microsoft.com/en-us/security/cc242650.aspx)
  2. Abra o arquivo URLScan.ini em um editor de texto (como o bloco de notas). Esse arquivo está localizado no \ System Root \System32\Inetsrv\Urlscan\ pasta.
  3. Na seção [AllowExtensions], adicione as seguintes extensões de nome de arquivo:
    • .ashx
    • .aspx
  4. Na seção [DenyExtensions], adicione as seguintes extensões de nome de arquivo:
    • .asax
    • .ascx
    • .config
    • .cs
    • .csproj
    • .dll
    • .licx
    • .pdb
    • .resx
    • .Resources
    • .vb
    • .vbproj
    • .vsdisco
    • .webinfo
    • .xsd
    • .XSX
  5. Para ativar o rastreamento de nível de aplicativo, adicione a extensão de nome de arquivo .axd à seção [AllowExtensions]. Se você não deseja ativar o rastreamento de nível de aplicativo, adicione .axd à seção [DenyExtensions].
  6. Para permitir que serviços da Web, adicione a extensão de nome de arquivo .asmx à seção [AllowExtensions]. Se você não deseja permitir serviços da Web, adicione .asmx à seção [DenyExtensions].
  7. Para ativar o sistema de interação remota, adicione a extensão de nome de arquivo .rem e a extensão de nome de arquivo .SOAP à seção [AllowExtensions]. Se você não deseja ativar o sistema de interação remota, adicione .rem e .SOAP à seção [DenyExtensions].
  8. Salve e feche o arquivo URLScan.ini. Você deve reiniciar o IIS para que as alterações entrem em vigor.
Observação Essas etapas são projetadas para oferecer proteção ideal, independentemente se a configuração UseAllowVerbs está ativada no URLScan.

back to the top

Referências

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
315736  (http://support.microsoft.com/kb/315736/ ) Como proteger um aplicativo ASP.NET usando o Windows Security
315588  (http://support.microsoft.com/kb/315588/ ) Como proteger um aplicativo ASP.NET usando certificados do lado do cliente
818014  (http://support.microsoft.com/kb/818014/ ) Como proteger aplicativos que são criados no .NET Framework
back to the top

A informação contida neste artigo aplica-se a:
  • Microsoft ASP.NET 1.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Server 4.0
  • Microsoft ASP.NET 1.1
Palavras-chave: 
kbmt kbscan kbsecurity kbconfig kbweb kbhowtomaster KB815155 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 815155  (http://support.microsoft.com/kb/815155/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store