DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 309394 - Última revisão: quarta-feira, 21 de Fevereiro de 2007 - Revisão: 6.2

 

Nesta página

Sumário

Utilize este guia passo-a-passo para instalar e configurar o utilitário URLScan para Microsoft (IIS). Pode transferir o URLScan no Web site da Microsoft utilizando os passos descritos neste artigo. Depois de instalar URLScan, seu servidor Web será mais seguro.

Transferir e instalar URLScan

Para instalar novo software e conseguir parar ou reiniciar o Web services, tem de ser sessão iniciada no servidor Web. Por conseguinte, para instalar o utilitário URLScan, iniciar sessão no seu servidor Web como administrador. Para obter o utilitário URLScan, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/downloads/details.aspx?familyid=23d18937-dd7e-4613-9928-7f94ef1c902a (http://www.microsoft.com/downloads/details.aspx?familyid=23d18937-dd7e-4613-9928-7f94ef1c902a)

Modificar o ficheiro de configuração do URLScan predefinido

Porque a configuração predefinida para URLScan poderá interferir com a funcionalidade do FrontPage, terá de efectuar alterações que permitem que o FrontPage funcionar correctamente e ainda negar acesso a ficheiros importantes do FrontPage. Estes passos são apenas uma sugestão. Para obter informações adicionais sobre definições para o URLScan, consulte a secção "References" deste artigo.
  1. Clique com o botão direito do rato em Iniciar e, em seguida, clique em explorar . Localize a seguinte pasta:
    %windir%\system32\inetsrv\urlscan
    onde %windir% é a pasta do Windows (por exemplo, C:\Windows ou C:\Winnt).
  2. Clique com o botão direito do rato no ficheiro URLScan.ini e, em seguida, clique em Copiar . Clique com o botão direito do rato na pasta e, em seguida, clique em Colar. Do ficheiro com o nome, Cópia de URLScan.ini é criada uma cópia.
  3. Faça duplo clique no ficheiro URLScan.ini . O ficheiro é aberto no bloco de notas.
  4. Efectue as seguintes alterações:
    1. Na secção [options], defina os seguintes valores:
      [options]
      UseAllowVerbs=1          ; use the [AllowVerbs] section
      UseAllowExtensions=0     ; use the [DenyExtensions] section
      NormalizeUrlBeforeScan=1 ; canonicalize URL before processing
      VerifyNormalization=1    ; canonicalize URL twice, reject on change
      AllowHighBitCharacters=0 ; deny high bit (UTF8 or MBCS) characters 
      AllowDotInPath=0         ; deny dots in path
      EnableLogging=1          ; log activity
      PerDayLogging=1          ; change log files daily
      PerProcessLogging=0      ; do not change log files by process ID
      RemoveServerHeader=0     ; do not remove "Server" header
      AlternateServerName=
      UseFastPathReject=0      ; use RejectResponseUrl or log the request
      RejectResponseUrl=
      AllowLateScanning=1      ; allow URLScan to be loaded low priority
      						
    2. Na secção [AllowVerbs], utilize apenas os seguintes valores. Não inclua outros valores.
      [AllowVerbs]
      GET     ; allow GET (most Web requests)
      HEAD    ; allow HEAD requests
      OPTIONS ; allow OPTIONS (Web Folders need this)
      POST    ; allow POST (FrontPage Server Extensions and HTML forms need this)
      						
    3. Na secção [DenyHeaders], utilize apenas os seguintes valores. Não inclua outros valores.
      [DenyHeaders]
      If:         ; deny (used with WebDAV)
      Lock-Token: ; deny (used with WebDAV)
      						
    4. Na [DenyExtensions] secção defina os seguintes valores:
      [DenyExtensions]
      .asa     ; deny active server application definition files
      .bat     ; deny batch files
      .btr     ; deny FrontPage dependency files
      .cer     ; deny x509 certificate files
      .cdx     ; deny dynamic channel definition files
      .cmd     ; deny batch files
      .cnf     ; deny FrontPage metadata files
      .com     ; deny server command-line applications
      .dat     ; deny data files
      .evt     ; deny Event Viewer logs
      .exe     ; deny server command-line applications
      .htr     ; deny IIS legacy HTML admin tool
      .htw     ; deny Index Server hit-highlighting
      .ida     ; deny Index Server legacy HTML admin tool
      .idc     ; deny IIS legacy database query files
      .inc     ; deny include files
      .ini     ; deny configuration files
      .ldb     ; deny Microsoft Access Record-Locking Information files
      .log     ; deny log files
      .pol     ; deny policy files
      .printer ; deny Internet Printing Services
      .sav     ; deny backup registry files
      .shtm    ; deny IIS Server Side Includes
      .shtml   ; deny IIS Server Side Includes
      .stm     ; deny IIS Server Side Includes
      .tmp     ; deny temporary files
      						
    5. Na secção [DenyUrlSequences], defina os seguintes valores:
      [DenyUrlSequences]
      ..         ; deny directory traversals
      ./         ; deny trailing dot on a directory name
      \          ; deny backslashes in URL
      :          ; deny alternate stream access
      %          ; deny escaping after normalization
      &          ; deny multiple CGI processes to run on a single request
      /fpdb/     ; deny browse access to FrontPage database files
      /_private  ; deny FrontPage private files (often form results)
      /_vti_pvt  ; deny FrontPage Web configuration files
      /_vti_cnf  ; deny FrontPage metadata files
      /_vti_txt  ; deny FrontPage text catalogs and indices
      /_vti_log  ; deny FrontPage authoring log files
      						
    6. Uma vez que estas definições não utilizam [DenyVerbs] e [AllowExtensions] secções, existem definições para estas secções estão incluídas neste artigo. Para obter mais informações sobre estas secções do ficheiro de configuração, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
      307608  (http://support.microsoft.com/kb/307608/ ) Utilizam o URLScan no IIS
  5. Guarde o ficheiro e saia do bloco de notas.

Alterar a prioridade do URLScan (opcional)

A prioridade predefinida para o utilitário URLScan no IIS é elevada. Uma prioridade elevada poderá interferir com outros filtros de ISAPI (Internet Server Application Programming Interface) que necessitam de executar tarefas antes do URLScan é chamado. O filtro ISAPI de extensões de servidor do FrontPage (Fpexedll.dll) é um filtro desse tipo. Apesar das informações nesta secção explicam como configurar o URLScan para carregar depois do filtro de ISAPI Fpexedll.dll, pode facilmente adaptar este procedimento para configurar o URLScan com outros filtros de ISAPI. Para mais informações, consulte a documentação para o filtro ISAPI que estiver a utilizar.

Nota Antes de poder concluir o seguinte procedimento, terá de definir correctamente a AllowLateScanning = 1 definição no ficheiro URLScan.ini carregar URLScan como um filtro de prioridade baixa. Para o fazer, siga o procedimento na secção "Modifying the default URLScan configuration file", anteriormente neste artigo.
  1. Inicie o Gestor de serviços Internet. Para o fazer, siga os passos adequados à sua versão do IIS:
    • No IIS 4.0:
      1. No menu Iniciar , aponte para programas e, em seguida, clique em Windows NT 4.0 Option Pack .
      2. Clique em Microsoft Internet Information Server .
      3. Seleccione ' Gerenciador de serviços de Internet ' .
    • No IIS 5.0:
      1. No menu Iniciar , aponte para programas e, em seguida, clique em Ferramentas administrativas .
      2. Seleccione o Gestor de serviços Internet .
    • No IIS 5.1:
      1. No menu Iniciar do Windows, clique em Painel de controlo .
      2. Faça duplo clique em Ferramentas administrativas .
      3. Faça duplo clique Serviços de informação Internet (IIS) .
  2. Clique com o botão direito do rato em Meu computador e, em seguida, clique em Propriedades .
  3. Seleccione a opção de Propriedades principais serviço WWW e, em seguida, clique no botão Editar .
  4. Clique no separador Filtros de ISAPI .
  5. Faça clique sobre o UrlScan e, em seguida, clique no botão para baixo para mover o UrlScan abaixo Fpexedll.dll .
  6. Clique em OK .
  7. Clique novamente em OK .

Reiniciar o IIS para actualizar o URLScan

Quando o IIS é iniciado, o URLScan é carregado na memória e lê as definições no ficheiro URLScan.ini. Por conseguinte, terá de reiniciar o IIS para que as novas definições de configuração aplicadas. Para o fazer, siga os passos adequados à sua versão do IIS:
  • No IIS 4.0:
    1. Numa linha de comandos, escreva o seguinte comando:
      NET STOP "IIS Admin Service" /Y
    2. Se vir vários serviços dependentes listados como eles são interrompidos, anote os nomes para que é possível reiniciar estes serviços mais tarde.
    3. Quando vir a mensagem seguinte
      O serviço Serviço Admin do IIS foi parado com êxito.
      Reinicie os serviços do IIS por nome. Para o fazer, escreva os seguintes comandos na linha de comandos, premindo ENTER após cada linha:
      NET START "World Wide Web Publishing Service"
      NET START "Simple Mail Transport Protocol (SMTP)"
      NET START "Serviço de publicação FTP"
      NET START "Serviço de ajuda anfitrião IIS"
    4. Bastante a linha de comandos.
  • No IIS 5.0:
    1. Clique com o botão direito do rato o nome do servidor e, em seguida, clique em Reiniciar o IIS .
    2. Clique em Reiniciar serviços Internet no Your Computer.
    3. Clique em OK .
  • No IIS 5.1:
    1. clique com o botão direito do rato nos meus , aponte para Todas as tarefas e, em seguida, clique em Reiniciar o IIS .
    2. Clique em Reiniciar serviços Internet no Your Computer.
    3. Clique em OK .
236166  (http://support.microsoft.com/kb/236166/ ) Utilizar comandos NET STOP e NET START para forçar a serviços do IIS para releitura do registo
202013  (http://support.microsoft.com/kb/202013/ ) Internet Information Services 5.0 sintaxe da linha de comandos para iisreset.exe

Resolução de problemas

  • As definições listadas na secção "Modifying the default URLScan configuration file" neste artigo especificam o EnableLogging = 1 definição [Options] secção do ficheiro URLScan.ini. Isto permite que o URLScan manter um registo de toda a actividade URLScan em execução. Este ficheiro de registo é guardado na mesma pasta que o ficheiro URLScan.dll. Se tiver dificuldades com o FrontPage ou outro IIS funcionalidade enquanto URLScan estiver activado, reveja as entradas mais recentes no ficheiro de registo para obter informações sobre que pedidos estão a ser rejeitados.
  • Se efectuar mais alterações ao ficheiro URLScan.ini, crie cópias do ficheiro URLScan.ini existente atribuir nomes a ficheiros Urlscan.001, Urlscan.002, e por isso, para que tenha um histórico das alterações efectuadas. Isto ajuda a impedir a perda de uma configuração correcta quando tentar implementar uma nova configuração de segurança.
  • Se as alterações efectuadas a URLScan não entrem em vigor, repita o procedimento para reiniciar os serviços do IIS. Se as alterações ainda não têm efeito, reinicie o servidor Web.



Referências

Para obter mais informações sobre como instalar e configurar o utilitário URLScan, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
307608  (http://support.microsoft.com/kb/307608/ ) Utilizam o URLScan no IIS
307976  (http://support.microsoft.com/kb/307976/ ) Recebe uma mensagem de erro quando utiliza o FrontPage com o URLScan
309508  (http://support.microsoft.com/kb/309508/ ) IIS bloqueio e configurações do URLscan num ambiente do Exchange

A informação contida neste artigo aplica-se a:
  • Extensões de servidor do Microsoft FrontPage 2000
  • Microsoft SharePoint Team Services
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
Palavras-chave: 
kbmt kbdownload kbsetup kbconfig kbwebserver kbwebservices kbhowtomaster KB309394 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 309394  (http://support.microsoft.com/kb/309394/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft