Samenvatting

Met behulp van de stapsgewijze instructies in dit artikel kunt u het hulpprogramma URLScan voor Microsoft ISS (Internet Information Services) installeren en configureren. Gebruik de onderstaande stappen om URLScan van de Microsoft-website te downloaden. Na de installatie van URLScan is uw webserver beter beveiligd.


Terug naar begin

URLScan downloaden en installeren

U moet bij de webserver zijn aangemeld om nieuwe software te kunnen installeren en de webservices te kunnen starten of stoppen. Installeer het hulpprogramma URLScan, meld u bij de webserver aan als beheerder en voer de volgende stappen uit:

1. Download het hulpprogramma URLScan. Hiertoe gaat u naar de volgende website van Microsoft:

   Hulpprogramma voor beveiliging URLScan

2. Klik op Nu downloaden.
3. Klik op Dit programma opslaan op schijf en klik op OK.
4. Kies het bureaublad als locatie om het bestand op te slaan en klik op Opslaan.
5. Sluit de browser af.
6. Dubbelklik op het bestand Urlscan.exe.
7. Lees de gebruiksrechtovereenkomst door. Als u de voorwaarden van de gebruiksrechtovereenkomst accepteert, klikt u op Ja.
8. Wanneer wordt gevraagd of u IIS opnieuw wilt starten, klikt u op Ja.
9. Als er een bericht wordt weergegeven waarin staat dat de installatie is voltooid, klikt u op OK.

Terug naar begin

De standaardconfiguratie van URLScan wijzigen

Aangezien de standaardconfiguratie van URLScan conflicten met FrontPage kan veroorzaken, moet u de configuratie zodanig aanpassen dat FrontPage correct functioneert en toch de toegang tot gevoelige FrontPage-bestanden weigert. Deze stappen zijn slechts een suggestie. Als u meer informatie wilt over deze instellingen voor URLScan, raadpleegt u de sectie Verwijzingen verderop in dit artikel.

1. Klik met de rechtermuisknop op Start en klik op Verkennen. Ga naar de volgende map:

   %winmap%\system32\inetsrv\urlscan

   waarbij %winmap% de Windows-map is (bijvoorbeeld C:\Windows of C:\Winnt).
2. Klik met de rechtermuisknop op het bestand Urlscan.ini en klik op Kopiëren. Klik met de rechtermuisknop op de map en klik op Plakken. Er wordt een kopie van het bestand gemaakt, met de naam Kopie van Urlscan.ini.
3. Dubbelklik op het bestand Urlscan.ini. Het bestand wordt geopend in Kladblok.
4. Breng de volgende wijzigingen aan:
   1. Geef in de sectie [options] de volgende waarden op:
      [options]UseAllowVerbs=1 ; de sectie [AllowVerbs] gebruikenUseAllowExtensions=0 ; de sectie [DenyExtensions] gebruikenNormalizeUrlBeforeScan=1 ; URL standaard maken vöör verwerkingVerifyNormalization=1 ; URL tweemaal standaard maken, afwijzen bij wijzigingAllowHighBitCharacters=0 ; hoge-bits tekens (UTF8 of MBCS) weigeren AllowDotInPath=0 ; puntjes in het pad weigerenEnableLogging=1 ; activiteit vastleggen in een logboekPerDayLogging=1 ; logboekbestanden dagelijks wijzigenPerProcessLogging=0 ; logboekbestanden niet wijzigen per proces-idRemoveServerHeader=0 ; header 'Server' niet verwijderenAlternateServerName=UseFastPathReject=0 ; RejectResponseUrl gebruiken of het verzoek vastleggen in een logboekRejectResponseUrl=AllowLateScanning=1 ; toestaan dat URLScan wordt geladen met lage prioriteit
      
   2. Geef in de sectie [AllowVerbs] uitsluitend de volgende waarden op. Gebruik geen andere waarden.
      [AllowVerbs]GET ; GET toestaan (de meeste webverzoeken)HEAD ; HEAD-verzoeken toestaanOPTIONS ; OPTIONS toestaan (voor webmappen)POST ; POST toestaan (voor FrontPage Server Extensions en HTML-formulieren)
      
   3. Geef in de sectie [DenyHeaders] uitsluitend de volgende waarden op. Gebruik geen andere waarden.
      [DenyHeaders]If: ; weigeren (gebruiken met WebDAV)Lock-Token: ; weigeren (gebruiken met WebDAV)
      
   4. Geef in de sectie [DenyExtensions] de volgende waarden op:
      [DenyExtensions].asa ; definitiebestanden van Active Server-toepassingen weigeren.bat ; batchbestanden weigeren.btr ; FrontPage-afhankelijkheidsbestanden weigeren.cer ; x509-certificaatbestanden weigeren.cdx ; definitiebestanden van Dynamic Channel weigeren.cmd ; batchbestanden weigeren.cnf ; FrontPage-metagegevensbestanden weigeren.com ; opdrachtregeltoepassingen op de server weigeren.dat ; gegevensbestanden weigeren.evt ; gebeurtenislogboeken weigeren.exe ; opdrachtregeltoepassingen op de server weigeren.htr ; hulpprogramma voor HTML-beheer van ISS weigeren.htw ; markeren van treffers door Index Server weigeren.ida ; hulpprogramma voor HTML-beheer van Index Server weigeren.idc ; IIS-databasequerybestanden weigeren.inc ; include-bestanden weigeren.ini ; configuratiebestanden weigeren.ldb ; bestanden met Microsoft Access-recordvergrendelingsinformatie weigeren.log ; logboekbestanden weigeren.pol ; beleidsbestanden weigeren.printer ; internetafdrukservices weigeren.sav ; reservekopiebestanden van het register weigeren.shtm ; IIS-insluitingsbestanden op de server weigeren.shtml ; IIS-insluitingsbestanden op de server weigeren.stm ; IIS-insluitingsbestanden op de server weigeren.tmp ; tijdelijke bestanden weigeren
      
   5. Geef in de sectie [DenyUrlSequences] de volgende waarden op:
      [DenyUrlSequences].. ; mapverzendingen weigeren./ ; afsluitende punt in mapnaam weigeren\ ; backslashes in URL weigeren: ; alternatieve-stroomtoegang weigeren% ; escape-teken na normalisatie weigeren& ; meerdere CGI-processen voor één verzoek weigeren/fpdb/ ; bladertoegang voor FrontPage-databasebestanden weigeren/_private ; persoonlijke FrontPage-bestanden (vaak formulierresultaten) weigeren/_vti_pvt ; FrontPage-webconfiguratiebestanden weigeren/_vti_cnf ; FrontPage-metagegevensbestanden weigeren/_vti_txt ; FrontPage-tekstcatalogi en -indexen weigeren/_vti_log ; FrontPage-ontwerplogboekbestanden weigeren
      
   6. Aangezien de secties [DenyVerbs] en [AllowExtensions] niet worden gebruikt in deze configuratie, worden in dit artikel geen instellingen voor deze secties vermeld. Als u meer informatie wilt over deze secties van het configuratiebestand, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
      

      307608 INFO: Availability of URLScan Security Tool

5. Sla het bestand op en sluit Kladblok af.

Terug naar begin

De prioriteit van URLScan wijzigen (optioneel)

Standaard heeft het hulpprogramma URLScan in IIS een hoge prioriteit. Dit kan conflicten veroorzaken met andere ISAPI-filters (Internet Server Application Programming Interface) die taken moeten uitvoeren voordat URLScan wordt aangeroepen. Het ISAPI-filter van de FrontPage Server Extensions (Fpexedll.dll) is hiervan een voorbeeld. Hoewel hier wordt beschreven hoe u URLScan zodanig kunt configureren dat dit hulpprogramma na het ISAPI-filter Fpexedll.dll wordt geladen, kunt u deze procedure gemakkelijk aanpassen voor URLScan en andere ISAPI-filters. Zie voor meer informatie de documentatie bij het ISAPI-filter dat u gebruikt.

Opmerking Voordat u de volgende procedure voltooit, moet u de instelling AllowLateScanning=1 in het bestand Urlscan.ini opgeven, zodat URLScan wordt geladen als een filter met lage prioriteit. Volg hiertoe de procedure in de sectie De standaardconfiguratie van URLScan wijzigen eerder in dit artikel.

1. Start Internet-servicebeheer. Volg hiertoe de stappen voor uw versie van IIS:
   • IIS 4.0:
     1. Open het menu Start van Windows, wijs Programma's aan en klik op Windows NT 4.0 Option Pack.
     2. Klik op Microsoft Internet Information Server.
     3. Klik op Internet-servicebeheer.
   • IIS 5.0:
     1. Open het menu Start van Windows, wijs Programma's aan en klik op Systeembeheer.
     2. Klik op Internet-servicebeheer.
   • IIS 5.1:
     1. Klik op Start en vervolgens op Configuratiescherm.
     2. Dubbelklik op Systeembeheer.
     3. Dubbelklik op Internet-servicebeheer.
2. Klik met de rechtermuisknop op Deze computer en klik op Eigenschappen.
3. Selecteer Hoofdeigenschappen van de WWW-service en klik op de knop Bewerken.
4. Klik op de tab ISAPI-filters.
5. Klik op UrlScan en klik op de knop Omlaag om UrlScan onder Fpexedll.dll te plaatsen.
6. Klik op OK.
7. Klik nogmaals op OK.

Terug naar begin

IIS opnieuw starten om URLScan bij te werken

Wanneer IIS wordt gestart, wordt URLScan in het geheugen geladen en worden de instellingen in het bestand Urlscan.ini gelezen. U moet IIS dus opnieuw starten om de nieuwe configuratie toe te passen. Volg hiertoe de stappen voor uw versie van IIS:

• IIS 4.0:
  1. Typ de volgende opdracht bij een opdrachtprompt:

     NET STOP "IIS Admin Service" /Y

  2. Wanneer op het scherm namen verschijnen van afhankelijke services die beëindigd worden, noteert u deze zodat u de services later opnieuw kunt starten.
  3. Wanneer het bericht
     

     De IIS-beheerservice is gestopt.

     
     wordt weergegeven, start u de IIS-services opnieuw aan de hand van de namen van de services. Hiertoe typt u de volgende opdrachten bij de opdrachtprompt en drukt u na elke regel op ENTER:

     NET START "World Wide Web Publishing Service"
     
     NET START "Simple Mail Transport Protocol (SMTP)"
     
     NET START "FTP Publishing Service"
     
     NET START "IIS Host Helper Service"

  4. Sluit de opdrachtprompt.
• IIS 5.0:
  1. Klik met de rechtermuisknop op de servernaam en klik op IIS opnieuw starten.
  2. Klik op Internet-services opnieuw starten op uw computer.
  3. Klik op OK.
• IIS 5.1:
  1. Klik met de rechtermuisknop op Deze computer, wijs Alle taken aan en klik op IIS opnieuw starten.
  2. Klik op Internet-services opnieuw starten op uw computer.
  3. Klik op OK.

Als u meer informatie wilt over het opnieuw starten van ISS-services, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
Terug naar begin

PROBLEEMOPLOSSING

• De instellingen in de sectie De standaardconfiguratie van URLScan wijzigen eerder in dit artikel geven aan dat u de instelling EnableLogging=1 moet opgeven in de sectie [options] van het bestand Urlscan.ini. Hierdoor wordt door URLScan een logboek bijgehouden van alle URLScan-activiteiten. Dit logboekbestand wordt opgeslagen in dezelfde map als het bestand Urlscan.dll. Als zich problemen met FrontPage of andere IIS-functies voordoen wanneer URLScan is ingeschakeld, bekijkt u de meest recente vermeldingen in het logboekbestand om te zien welke verzoeken worden afgewezen.
• Als u meer wijzigingen wilt aanbrengen in het bestand Urlscan.ini, maakt u eerst een kopie van de bestaande Urlscan.ini en geeft u deze een naam als Urlscan.001, Urlscan.002, enzovoort, zodat u goed zicht houdt op de wijzigingen. Hierdoor voorkomt u dat een correcte configuratie verloren gaat bij pogingen een nieuwe beveiligingsconfiguratie te implementeren.
• Als wijzigingen die u in URLScan aanbrengt geen effect lijken te hebben, herhaalt u de procedure voor het opnieuw starten van de IIS-services. Worden de wijzigingen nog steeds niet toegepast, dan start u de webserver opnieuw op.

Terug naar begin