DetailPage-MSS-KB

知識庫

文章編號: 825538 - 上次校閱: 2006年8月31日 - 版次: 2.0

在此頁中

結論

本文將逐步帶領您安裝與設定 Internet Information Services (IIS) 的 URLScan 公用程式。您可以使用本文中的步驟從 Microsoft 網站下載 URLScan。URLScan 是為了促進 Web 伺服器的安全性而設計的。

下載並安裝 IIS Lockdown 精靈

URLScan 現在是 IIS Lockdown 精靈的組件。 如需有關如何安裝 IIS Lockdown 精靈的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
325864  (http://support.microsoft.com/kb/325864/ ) HOW TO:Install and Use the IIS Lockdown Wizard

修改預設的 URLScan 設定檔

URLScan 的預設設定可能干擾 FrontPage 的功能。如果要讓 FrontPage 可以正確運作,但同時卻拒絕存取機密的 FrontPage 檔案,則必須進行本節所述的變更。這些步驟只供建議。如需有關 URLScan 設定值的詳細資訊,請參閱本文<參考>一節。
  1. 用滑鼠右鍵按一下 [開始] 功能表,再按一下 [瀏覽],然後尋找下列資料夾 (其中 %windir% 為 Windows 資料夾,例如 C:\Windows 或 C:\Winnt):
    %windir% \system32\inetsrv\urlscan
  2. 用滑鼠右鍵按一下 [Urlscan.ini] 檔案,然後按一下 [複製]
  3. 在資料夾上按一下滑鼠右鍵,然後按一下 [貼上]

    此時便會建立檔案複本,並命名為 Copy of Urlscan.ini
  4. 按兩下 [Urlscan.ini] 檔案 (檔案會在「記事本」中開啟)。
  5. 進行下列變更:
    1. 在 [options] 區段中,設定下列值:
      [options] 
      UseAllowVerbs=1          ; use the [AllowVerbs] section 
      UseAllowExtensions=0     ; use the [DenyExtensions] section 
      NormalizeUrlBeforeScan=1 ; canonicalize URL before processing 
      VerifyNormalization=1    ; canonicalize URL twice, reject on change 
      AllowHighBitCharacters=0 ; deny high bit (UTF8 or MBCS) characters 
      AllowDotInPath=0         ; deny dots in path 
      EnableLogging=1          ; log activity 
      PerDayLogging=1          ; change log files daily 
      PerProcessLogging=0      ; do not change log files by process ID 
      RemoveServerHeader=0     ; do not remove"Server" header 
      AlternateServerName= 
      UseFastPathReject=0      ; use RejectResponseUrl or log the request 
      RejectResponseUrl= 
      AllowLateScanning=1      ; allow URLScan to be loaded low priority
    2. 在 [AllowVerbs] 區段中,只能使用下列值。不要包含其他值。
      [AllowVerbs] 
      GET ; allow GET (most Web requests) 
      HEAD ; allow HEAD requests 
      OPTIONS ; allow OPTIONS (Web Folders need this) 
      POST ; allow POST (FPSE and HTML forms need this)
      
    3. 在 [DenyHeaders] 區段中,只能使用下列值。不要包含其他值。
      [DenyHeaders] 
      If:         ; deny (used with WebDAV) 
      Lock-Token: ; deny (used with WebDAV)
    4. 在 [DenyExtensions] 區段中,設定下列值:
      [DenyExtensions]
       .asa     ; deny active server application definition files
       .bat     ; deny batch files
       .btr     ; deny FrontPage dependency files
       .cer     ; deny x509 certificate files
       .cdx     ; deny dynamic channel definition files
       .cmd     ; deny batch files
       .cnf     ; deny FrontPage metadata files
       .com     ; deny server command-line applications
       .dat     ; deny data files
       .evt     ; deny Event Viewer logs
       .exe     ; deny server command-line applications
       .htr     ; deny IIS legacy HTML admin tool
       .htw     ; deny Index Server hit-highlighting
       .ida     ; deny Index Server legacy HTML admin tool
       .idc     ; deny IIS legacy database query files
       .inc     ; deny include files
       .ini     ; deny configuration files
       .ldb     ; deny Microsoft Access Record-Locking Information files
       .log     ; deny log files
       .pol     ; deny policy files
       .printer ; deny Internet Printing Services
       .sav     ; deny backup registry files
       .shtm    ; deny IIS Server Side Includes
       .shtml   ; deny IIS Server Side Includes
       .stm     ; deny IIS Server Side Includes
       .tmp     ; deny temporary files
    5. 在 [DenyUrlSequences] 區段中,設定下列值:
      [DenyUrlSequences]
       ..        ; deny directory traversals
       ./        ; deny trailing dot on a directory name
       \         ; deny backslashes in URL
       :         ; deny alternate stream access
       %         ; deny escaping after normalization
       &         ; deny multiple CGI processes to run on a single request
       /fpdb/    ; deny browse access to FrontPage database files
       /_private ; deny FrontPage private files (often form results)
       /_vti_pvt ; deny FrontPage Web configuration files
       /_vti_cnf ; deny FrontPage metadata files
       /_vti_txt ; deny FrontPage text catalogs and indices
       /_vti_log ; deny FrontPage authoring log files
    6. 因為這些設定沒有使用 [DenyVerbs] 及 [AllowExtensions] 區段,本文中不會提到這些區段的設定。 如需有關設定檔中,這些區段的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
      307608  (http://support.microsoft.com/kb/307608/ ) INFO:URLScan 安全性工具的可用情形
  6. 儲存檔案,然後結束「記事本」。

變更 URLScan 優先順序 (選擇性)

URLScan 工具的預設優先順序在 IIS 中是很高的。高優先順序可能干擾必須在呼叫 URLScan 之前,執行工作的其他 Internet 伺服器應用程式發展介面 (ISAPI,Internet Server Application Programming Interface) 篩選器。FrontPage Server Extensions (Fpexedll.dll) ISAPI 篩選器即是此類型的篩選器。雖然本節中的資訊,是以 Fpexedll.dll ISAPI 篩選器為例,說明如何設定以便在 ISAPI 篩選器之後載入 URLScan,然而您可以輕鬆改寫這個程序,在使用其他 ISAPI 篩選器的情況下來設定 URLScan。如需詳細資訊,請參閱所用 ISAPI 篩選器的文件。

注意 您必須正確設定 Urlscan.ini 檔案中的「AllowLateScanning=1」設定值,將 URLScan 載入為低優先順序的篩選器,才能完成下列步驟。如果要執行這項操作,請依照本文<修改預設的 URLScan 設定檔>一節中的步驟執行。
  1. 啟動「Internet 服務管理員」。如果要執行這項操作,請依照 IIS 版本所適用的步驟執行:
    • 在 IIS 4.0 中:
      1. 在 Windows 中按一下 [開始],指向 [程式集],然後按一下 [Windows NT 4.0 Option Pack]
      2. 指向 [Microsoft Internet Information Server],然後按一下 [Internet 服務管理員]
    • 在 IIS 5.0 中:
      1. 在 Windows 中按一下 [開始],指向 [程式集],然後按一下 [系統管理工具]
      2. 按一下 [Internet 服務管理員]
    • 在 IIS 5.1 中:
      1. 在 Windows 中按一下 [開始],然後按一下 [控制台]
      2. 按兩下 [系統管理工具]
      3. 按兩下 [Internet Information Services]
  2. 在伺服器名稱上按一下滑鼠右鍵,然後按一下 [內容]
  3. 選取 [WWW 服務管理者內容] 選項,然後按一下 [編輯]
  4. 按一下 [ISAPI 篩選器] 索引標籤。
  5. 按一下 [UrlScan],然後按一下 [向下],將 [UrlScan] 移到 [Fpexedll.dll] 下面。
  6. 按一下 [確定]
  7. 再次按一下 [確定]

重新啟動 IIS 以更新 URLScan

當 IIS 啟動時,會將 URLScan 載入至記憶體中,並讀取 Urlscan.ini 檔案中的設定。因此,您必須重新啟動 IIS,以便使新設定生效。如果要執行這項操作,請依照 IIS 版本所適用的步驟執行:
  • 在 IIS 4.0 中:
    1. 在命令提示字元輸入下列命令:
      NET STOP"IIS Admin Service" /Y
    2. 如果您看到許多相依服務在停止時一一列出,請將名稱抄下,以便日後用來重新啟動這些服務。
    3. 當您收到下列訊息時:
      IIS Admin Service 服務順利停止。
      根據名稱重新啟動每個 IIS 服務。如果要執行這項操作,請在命令提示字元輸入下列命令,並在每一行之後按 ENTER:
      NET START"World Wide Web Publishing Service"
      NET START"Simple Mail Transfer Protocol (SMTP)"
      NET START"FTP Publishing Service"
    4. 結束命令提示字元。
  • 在 IIS 5.0 中:
    1. [我的電腦] 上按一下滑鼠右鍵,再按一下 [重新啟動 IIS]
    2. 按一下 [重新啟動Your Computer 的 Internet 服務]。
    3. 按一下 [確定]
  • 在 IIS 5.1 中:
    1. [我的電腦] 上按一下滑鼠右鍵,指向 [所有工作],再按一下 [重新啟動 IIS]
    2. 按一下 [重新啟動Your Computer 的 Internet 服務]。
    3. 按一下 [確定]
如需有關如何重新啟動 Internet 服務的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
185382  (http://support.microsoft.com/kb/185382/ ) 如何手動停止或啟動 Inetinfo 程序
236166  (http://support.microsoft.com/kb/236166/ZH-TW/ ) Using NET STOP and NET START Commands to Force IIS Services to Re-Read the Registry
202013  (http://support.microsoft.com/kb/202013/ZH-TW/ ) Internet Information Services 5.0 Command-Line Syntax for Iisreset.exe

疑難排解

  • 本文<修改預設的 URLScan 設定>一節中列出的設定,在 Urlscan.ini 檔案的 [Options] 區段中指定「EnableLogging=1」設定值。這個設定允許 URLScan 連續記錄所有 URLScan 活動。這個記錄檔儲存在與 Urlscan.dll 檔案相同的資料夾中。如果您在啟用 URLScan 時,遇到 FrontPage 或其他 IIS 功能方面的任何困難,請檢視記錄檔中的最近項目,以取得遭到拒絕之要求的資訊。
  • 如果要對 Urlscan.ini 檔案進行其他變更,請建立現有 Urlscan.ini 檔案的複本,並將複製的檔案命名為 Urlscan.001、Urlscan.002 等等,如此便會有您所做變更的記錄。這種作法可以幫助您避免在嘗試實作新的安全性設定時,遺失原有的良好設定。
  • 如果對 URLScan 所做的變更似乎未生效,請重複執行程序以重新啟動 IIS 服務。如果變更仍然沒有生效,則重新啟動 Web 伺服器。

参考

如需有關如何安裝與設定 URLScan 工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
307608  (http://support.microsoft.com/kb/307608/ ) INFO:URLScan 安全性工具的可用情形
309508  (http://support.microsoft.com/kb/309508/ZH-TW/ ) XCCC:IIS Lockdown and URLscan Configurations in an Exchange Environment
307976  (http://support.microsoft.com/kb/307976/ ) FP:Error Message When You Use FrontPage with URLScan

這篇文章中的資訊適用於:
  • Microsoft Office FrontPage 2003
  • Microsoft FrontPage 2002 Server Extensions
  • Microsoft SharePoint Team Services
  • Microsoft Internet Information Server 4.0
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services 5.1
關鍵字: 
kbhowtomaster KB825538
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
共用
其他支援選項
Microsoft Community 支援論壇
直接與我們連絡
尋找 Microsoft 認證合作夥伴
Microsoft 市集