DetailPage-MSS-KB

知识库

文章编号: 825538 - 最后修改: 2006年8月31日 - 修订: 2.0

本页

概要

本文分步介绍如何安装和配置用于 Microsoft Internet 信息服务 (IIS) 的 URLScan 实用工具。您可按本文中的步骤从 Microsoft Web 站点下载 URLScan。URLScan 能够使您的 Web 服务器更安全。

下载并安装 IIS 锁定向导

URLScan 现在是 IIS 锁定向导的一部分。 有关如何配置 IIS 锁定向导的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
325864  (http://support.microsoft.com/kb/325864/ ) HOW TO:安装和使用 IIS 锁定向导

修改默认 URLScan 配置文件

URLScan 的默认配置可能会影响 FrontPage 的正常运行。要使 FrontPage 正常运行,同时还要拒绝访问敏感的 FrontPage 文件,您必须按照本部分所介绍的方法进行更改。这些操作步骤仅供参考。有关 URLScan 设置的其他信息,请参阅本文的“参考”部分。
  1. 右键单击“开始”菜单,单击“资源管理器”,然后找到下面的文件夹(其中 %windir% 是您的 Windows 文件夹,例如:C:\Windows 或 C:\Winnt):
    %windir%\system32\inetsrv\urlscan
  2. 右键单击“Urlscan.ini”文件,然后单击“复制”。
  3. 右键单击该文件夹,然后单击“粘贴”。

    这就创建了名为复件 Urlscan.ini 的文件副本。
  4. 双击“Urlscan.ini”文件(文件在记事本中打开)。
  5. 进行下列更改:
    1. 在 [options] 部分,设置下列值:
      [options] 
      UseAllowVerbs=1          ; use the [AllowVerbs] section 
      UseAllowExtensions=0     ; use the [DenyExtensions] section 
      NormalizeUrlBeforeScan=1 ; canonicalize URL before processing 
      VerifyNormalization=1    ; canonicalize URL twice, reject on change 
      AllowHighBitCharacters=0 ; deny high bit (UTF8 or MBCS) characters 
      AllowDotInPath=0         ; deny dots in path 
      EnableLogging=1          ; log activity 
      PerDayLogging=1          ; change log files daily 
      PerProcessLogging=0      ; do not change log files by process ID 
      RemoveServerHeader=0     ; do not remove"Server" header 
      AlternateServerName= 
      UseFastPathReject=0      ; use RejectResponseUrl or log the request 
      RejectResponseUrl= 
      AllowLateScanning=1      ; allow URLScan to be loaded low priority
    2. 在 [AllowVerbs] 部分,仅使用下列值。不要包括其他值。
      [AllowVerbs] 
      GET ; allow GET (most Web requests) 
      HEAD ; allow HEAD requests 
      OPTIONS ; allow OPTIONS (Web Folders need this) 
      POST ; allow POST (FPSE and HTML forms need this)
      
    3. 在 [DenyHeaders] 部分,仅使用下列值。不要包括其他值。
      [DenyHeaders] 
      If:         ; deny (used with WebDAV) 
      Lock-Token: ; deny (used with WebDAV)
    4. 在 [DenyExtensions] 部分,设置下列值:
      [DenyExtensions]
       .asa     ; deny active server application definition files
       .bat     ; deny batch files
       .btr     ; deny FrontPage dependency files
       .cer     ; deny x509 certificate files
       .cdx     ; deny dynamic channel definition files
       .cmd     ; deny batch files
       .cnf     ; deny FrontPage metadata files
       .com     ; deny server command-line applications
       .dat     ; deny data files
       .evt     ; deny Event Viewer logs
       .exe     ; deny server command-line applications
       .htr     ; deny IIS legacy HTML admin tool
       .htw     ; deny Index Server hit-highlighting
       .ida     ; deny Index Server legacy HTML admin tool
       .idc     ; deny IIS legacy database query files
       .inc     ; deny include files
       .ini     ; deny configuration files
       .ldb     ; deny Microsoft Access Record-Locking Information files
       .log     ; deny log files
       .pol     ; deny policy files
       .printer ; deny Internet Printing Services
       .sav     ; deny backup registry files
       .shtm    ; deny IIS Server Side Includes
       .shtml   ; deny IIS Server Side Includes
       .stm     ; deny IIS Server Side Includes
       .tmp     ; deny temporary files
    5. 在 [DenyUrlSequences] 部分,设置下列值:
      [DenyUrlSequences]
       ..        ; deny directory traversals
       ./        ; deny trailing dot on a directory name
       \         ; deny backslashes in URL
       :         ; deny alternate stream access
       %         ; deny escaping after normalization
       &         ; deny multiple CGI processes to run on a single request
       /fpdb/    ; deny browse access to FrontPage database files
       /_private ; deny FrontPage private files (often form results)
       /_vti_pvt ; deny FrontPage Web configuration files
       /_vti_cnf ; deny FrontPage metadata files
       /_vti_txt ; deny FrontPage text catalogs and indices
       /_vti_log ; deny FrontPage authoring log files
    6. 因为这些设置不使用 [DenyVerbs] 和 [AllowExtensions] 部分,所以本文中没有包含这两部分的设置。 有关配置文件中这两部分的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
      307608  (http://support.microsoft.com/kb/307608/ ) INFO: Using URLScan on IIS
  6. 保存文件,然后退出记事本。

更改 URLScan 优先级(可选)

在 IIS 中,URLScan 实用工具的默认优先级为高。高优先级可能会影响其他一些需要在调用 URLScan 前执行任务的 Internet 服务器应用程序编程接口 (ISAPI) 筛选器。FrontPage 服务器扩展 (Fpexedll.dll) ISAPI 筛选器就是这样一个例子。虽然本节的信息仅讲解如何相应地配置 URLScan 以使其在 Fpexedll.dll ISAPI 筛选器之后加载,但您可以轻松地针对其他情况修改这一过程,以便配置 URLScan 使其在其他 ISAPI 筛选器之后加载。有关更多信息,请参阅所使用的 ISAPI 筛选器的文档。

注意:完成下面的步骤前,需要在 Urlscan.ini 文件中正确设置“AllowLateScanning=1”,以便将 URLScan 作为低优先级的筛选器加载。为此,请按本文的“更改默认的 URLScan 配置文件”部分介绍的步骤操作。
  1. 启动 Internet 服务管理器。为此,请根据您的 IIS 版本执行下面的相应步骤:
    • 在 IIS 4.0 中:
      1. 在 Windows 中,单击“启动”,指向“程序”,然后单击“Windows NT 4.0 Option Pack”。
      2. 指向“Microsoft Internet Information Server”,然后单击“Internet 服务管理器”。
    • 在 IIS 5.0 中:
      1. 在 Windows 中,单击“开始”,指向“程序”,然后单击“管理工具”。
      2. 单击“Internet 服务管理器”。
    • 在 IIS 5.1 中:
      1. 在 Windows 中,单击“开始”,然后单击“控制面板”。
      2. 双击“管理工具”。
      3. 双击“Internet 信息服务”。
  2. 右键单击您的服务器名,然后单击“属性”。
  3. 选择“WWW 服务主属性”选项,然后单击“编辑”。
  4. 单击“ISAPI 筛选器”选项卡。
  5. 单击“UrlScan”,然后单击“向下”,将“UrlScan”移到“Fpexedll.dll”下面。
  6. 单击“确定”。
  7. 再次单击“确定”。

重新启动 IIS 以更新 URLScan

当 IIS 启动时,URLScan 将被加载到内存中并将读取 Urlscan.ini 文件中的设置。因此,您需要重新启动 IIS 以使新配置设置生效。为此,请根据您的 IIS 版本执行下面的相应步骤:
  • 在 IIS 4.0 中:
    1. 在命令提示符下,键入以下命令:
      NET STOP"IIS Admin Service" /Y
    2. 如果看到多个从属服务被列为已停止服务,请记下它们的名称以便稍后重新启动这些服务。
    3. 当您收到以下消息时:
      The IIS Admin Service service was stopped successfully.
      请按名称重新启动每个 IIS 服务。为此,请在命令提示符下键入下列命令,并在每行后按 Enter 键:
      NET START"World Wide Web Publishing Service"
      NET START"Simple Mail Transfer Protocol (SMTP)"
      NET START"FTP Publishing Service"
    4. 退出命令提示符。
  • 在 IIS 5.0 中:
    1. 右键单击“我的电脑”,然后单击“重新启动 IIS”。
    2. 单击“重新启动 您的计算机名 上的 Internet 服务”。
    3. 单击“确定”。
  • 在 IIS 5.1 中:
    1. 右键单击“我的电脑”,指向“所有任务”,然后单击“重新启动 IIS”。
    2. 单击“重新启动您的计算机名上的 Internet 服务”。
    3. 单击“确定”。
有关如何重新启动 IIS 服务的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
185382  (http://support.microsoft.com/kb/185382/ ) How to Manually Stop or Start the Inetinfo Process
236166  (http://support.microsoft.com/kb/236166/EN-US/ ) Using NET STOP and NET START Commands to Force IIS Services to Re-Read the Registry
202013  (http://support.microsoft.com/kb/202013/EN-US/ ) Internet Information Services 5.0 Command-Line Syntax for Iisreset.exe

疑难解答

  • 在本文“修改默认的 URLScan 配置”部分列出的设置指定在 Urlscan.ini 文件的 [Options] 部分设置“EnableLogging=1”。该设置使 URLScan 能随时记录所有的 URLScan 活动。该日志文件与 Urlscan.dll 文件保存在同一文件夹下。如果在启用 URLScan 时遇到任何与 FrontPage 或其他 IIS 功能有关的问题,请查看该日志文件中的最新条目,以了解有关被拒绝的请求的信息。
  • 如果要进一步更改 Urlscan.ini 文件,请创建现有 Urlscan.ini 文件的副本,将这些副本文件分别命名为 Urlscan.001、Urlscan.002 等等,这样就保留了所有更改的历史记录。当您试图实施新的安全配置时,此操作可以帮助您防止丢失正确的配置。
  • 如果对 URLScan 所做的更改未生效,请再次执行该过程以重新启动 IIS 服务。如果仍未生效,请重新启动 Web 服务器。

参考

有关如何安装和配置 URLScan 工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
307608  (http://support.microsoft.com/kb/307608/ ) INFO: Using URLScan on IIS
309508  (http://support.microsoft.com/kb/309508/EN-US/ ) XCCC:Exchange 环境中的 IIS 锁定和 URLscan 配置
307976  (http://support.microsoft.com/kb/307976/ ) FP:Error Message When You Use FrontPage with URLScan

这篇文章中的信息适用于:
  • Microsoft Office FrontPage 2003
  • Microsoft FrontPage 2002 Server Extensions
  • Microsoft SharePoint Team Services
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
关键字: 
kbhowtomaster KB825538
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
其他支持选项
Microsoft Community 支持论坛
直接联系我们
查找 Microsoft 认证合作伙伴
Microsoft 商店
关注我们: