You FF ?

Urlscan安全工具

Urlscan 属于IIS Lockdown Tool的一部分是个很强的安全工具，让站点管理员有能力

关掉不需要的功能及禁止这些HTTP访问.把一些特定的HTTP访问禁止,Urlscan安全工具可以防止可能会造成伤害的访问,不让这些有害访问到达服务器端.

Urlscan安全工具包含两个挡案:Urlscan.dll和Urlscan.ini,

这两个文档包裹在Urlscan.exe.  这文章提供以下资讯:

- Urlscan安全工具概述

- 安装Urlscan2.5

- 还原Urlscan.ini-Urlscan2.5配置

- Urlscan安全工具常问问题解答

Urlscan安全工具概述

微软已经发布更新的Urlscan安全工具,版本2.5,同时也增加了一些比之前版本更强的新功能来提供提高安全防范.Urlscan2.5是Urlscan1.0及Urlscan2.0的更新版,你可以下载更新. 当您安装这新版本时,之前Urlscan的执行文档会更新至Urlscan2.5执行文档,同时也 在不会影响当前的配置下更新Urlscan.ini文件.

重要:Urlscan可以阻止许多攻击但并不能替换经常安装最新补丁的需要.微软强力推荐顾客需要安装最新相关的补丁来确保服务器安全及不会受到已知的安全漏洞攻击.

Urlscan安全工具不同版本功能如下:

• Urlscan2.5 功能
• Urlscan2.0 功能
• Urlscan1.0 功能

可以通过'新增或移除程式'程式览表来看看安装Urlscan版本.

Urlscan2.5 功能

这是最新版本,提供更多操纵配置给及新功能促使管理员可以更进一步保护及'锁下'服务器.

这更新版有两个不同版本以供下载。

• 基线版 Urlscan (Baseline Urlscan)
• 限制版 Urlscan (Urlscan-SRP)

注意:两个下载都包含2.5版本的Urlscan.dll.限制版比基线版比较多限制调整,这会在文章

后部具体描述.

基线版 Urlscan (Baseline Urlscan)

这是基线版 Urlscan (Baseline Urlscan)2.5版本. 这更新含有以下新功能:

• 更改日志目录
• 记录长URL访问
• 限制访问字节大小

更改日志目录

新增LoggingDirectory选项,这用来设置日志文建目录.这值是绝对路径(比如,c:\目录_路径).假如没有配置,Urlscan将在Urlscan.dll相同目录写入日志.

记录长URL访问

新增LogLongUrls来提高记录长URLS访问.在之前版本，Urlscan会把大有1024字节的请求访问修短.这新选项可把请求访问日志记录提高到128K千字节的限制.允许值是0或1,默认值是0.把这值设成1,Urlscan就会记录高达128k千字节的请求访问.把这值设成0,那么日志只会记录访问开始的1024字节.

限制访问字节大小

新增RequestLimits环节,促使Urlscan强制访问大小(单位-字节)来阻止部分请求访问到 达服务器。这RequestLimits环节含有以下三个选项:

• -MaxAllowedContentLength: 这强制内容长度(content-length)，这其实不会 阻止服务器读取多于这值量的数据。比方说，客户端进行块编码转发（Chunk transfer encoded POST),这Urlscan选项不能有效的跟踪每个访问的大小字 节。默认值是 2GB (2,000,000,000字节）

• -MaxUrl:限制URL长度(单位-字节），不过这不包括质问字串(query string). 当你更新Urlscan时，这默认值是16kb.

注意：假定你手工从Urlscan.exe取出Urlscan.dll及没有更新Urlscan.ini这默认值将会是260字节及你必须添加MaxUrl=16384来取替这默认值.

• -MaxQueryString:限制质问字串(query string)长度(单位-字节),默认值是4kb.

除止之外,你也可限制访问标题(request header)大小(单位-字节),以Max-作选项开头. 比方说这限制内容类型(Content-Type)标题与100字节: Max-Content-Type=100.显 示标题而不设置最大值用0,比方说Max-User-Agent=0.另外对于没有设置在这环节的标 题(header)都不会受到限制.

限制版 Urlscan (Urlscan-SRP)

这下载以保护所有微软安全公告02-018所描述的漏洞.

重要:限制版 Urlscan(Urlscan-SRP)及基线版 Urlscan (Baseline Urlscan)最大的区分

是基线版可以调制Chunked Encoding数据.这在限制版是完全禁止,而基线版是没有禁止 ,所以客户不能用限制版来配置这,另外上传数据大小也同时限制于30MB.其它功能与以上基线版一样.

Urlscan 2.0 功能

Urlscan 2.0 是结合了客户在Urlscan1.0回应及延伸了许多给于管理员的功能。 它添加以下新功能:

• 分析请求访问子串
• 改良日志记录性能
• 允许句点(.)扩展名
• 定制回复信息性能

分析请求访问子串

Urlscan 1.0以AllowDotInPaht=0来禁止这类型访问"/abc.dll/foo.bar.htm". 它会分析最后到最后一个认识扩展名. Urlscan 2.0会寻找最先认识扩展名. 假定扩展名是 .dll, .com, 或是.exe， 那么这扩展名会被记录（那里）然后转送到这AllowDotInPath 的检验。

改良日志记录性能

Urlscan2.0更改了输出访问URL的功能，让它知道加上站点编号(比如."1:/foo.htm"取替"1:/foo.htm").管理员也可通过PerDayLogging来设置每天日志记录，这日志命名格式是"Urlscan.092801.log".日志记录格式也从[Fri, Sept 28 2001 - 01:01:01]改成[09-28-2001 - 01:01:01]，使程式分析比较容易。

允许句点(.)扩展名

Urlscan2.0增加支持句点(.)扩展名在Urlscan.ini的[AllowExtensions]和[DenyExtensions]环节.添增句点(.)扩展名在[AllowExtensions]或[DenyExtensions]管理员可以禁止是否有扩展名的访问URL.同时也允许定制回复信息的新选项,RejectResponseUrl,允许管理员设置回复被禁止的Url,让管理员选择客户断回复Url.默认回复值是"Rejected-By-Urlscan",一个404错误信息.

你也可以配置返回标准404回复.设置RejectFastPath促使 1.Urlscan不理会 RejectResponseUrl选项和回复客户标准404错误信息。设置RejectFastPath,IIS不会回送404信息或记录部分请求访问在IIS日志内；而Urlscan.log会记录全部请求访问内容。

察看在urlscan.exe的提供文件以获取更多Urlscan2.0相关信息.

Urlscan 1.0 功能

Urlscan 1.0允许管理员以这些选项禁止请求访问:

• 访问方法-动词(verb)
• 访问文件扩展名
• 可疑Url编码
• 非ASCII字符Url
• 特定字符Url
• 请求访问比标头

Urlscan1.0只提供有限功能,已被新版本改善,察看在urlscan.exe的提供文件以获取更多Urlscan 1.0相关信息.

安装Urlscan2.5

Urlscan2.5一定要从Urlscan1.0或Urlscan2.0版本提升.假如你没有Urlscan1.0或2.0,你应该下载包含Urlscan2.0的IIS Lockdown Wizard. 请根据以下步骤安装Urlscan安 全工具:

1. 确定安装所有安全补丁
2. 安装IIS Lockdown Wizard, 在系统提示选择"储存"
3. 下载完毕后，打开"命令提示字元'
4. 进入下载IIS Lockdown Wizard目录
5. 执行这命令来取出Urlscan文件: iislockd.exe /q /c /t:c:\lockdown_files

这将会取出所有在iislock执行文档里的文件放在lockdown_files目录. Urlscan.exe和 全部模板文件都会在这目录.

6. 安装Urlscan2.0

提升Urlscan2.5

1. 确定你已安装了Urlscan1.0或Urlscan2.0，参考以上步骤.
2. 下载- 基线版Urlscan2.5(Baseline Urlscan)或限制版Urlscan2.5(Urlscan-SRP)
3. 假如你要马上安装，点击"开启",如果要手工安装Urlscan,点击"储存"和根据以下步骤:

i.                    下载Urlscan.exe到选定目录.

ii.                   在"命令提示字元",进入Urlscan.exe贮存目录.

iii.                 输入 Urlscan.exe

从Urlscan.exe取出Urlscan.dll

1.     下载Urlscan.exe到选定目录.

2.     在"命令提示字元",进入Urlscan.exe贮存目录.

3.     输入 Urlscan.exe /x

手工安装Urlscan.dll文档

1.     从Urlscan.exe取出Urlscan.dll

2.     停止Web服务

3.     把Urlscan.dll2.5覆盖当前Urlscan.dll

4.     手工加入这些选项环节：

a.     添加环节:

                                                                          i.      [RequestLimits]

                                                                         ii.      MaxAllowedContentLength=30,000,000 (Urlscan-SRP)

                                                                       iii.      MaxAllowedContentLenght=2,000,000,000 (Basicline Urlscan)

                                                                      iv.      MaxUrl=16384

                                                                       v.      MaxQueryString=4096

b.     添加选项:

                                                                          i.      LoggingDirectory=

                                                                         ii.      LogLongUrls=0

c.      在[DenyHeaders]选项添加Transer-encoding标头(Urlscan-SRP)

5.     开启Web服务.

还原Urlscan.ini-Urlscan 2.5配置

假定你想在安装Urlscan2.5后还原之前设置,请依照以下步骤:

还原限制版Urlscan2.5(Urlscan-SRP)

1.     打开Urlscan.ini

2.     设置MaxUrl=-1

3.     设置MaxQueryString=-1

4.     设置MaxAllowedContentLength=-1

5.     设置LogLongUrls=0

6.     删除在[DenyHeaders]的Transer-encoding标头

还原基线版Urlscan2.5(Baseline Urlscan)

1.     打开Urlscan.ini

2.     设置MaxUrl=-1

3.     设置MaxQueryString=-1

4.     设置MaxAllowedContentLength=-1

5.     设置LogLongUrls=0

常问问题解答

问：什么是Urlscan?

答:Urlscan检视所有服务器访问要求,根据所管理员设置规定来过滤访问.这能确保只有符合规定的访问可以被服务器过程及回复.Urlscan可以很有效的保护服务器,因为一般恶意攻击都有共同特性-它们都是用异常的访问,比方说利用很长的访问Url,异常访问行为,用不同编码访问或包含一些不在一般上合法的字串访问.把这些不寻常的访问过滤掉,Urlscan可以禁止它们到达服务器端造成损害.

问:我已安装了Urlscan2.0,为什么还要更新?

答:Urlscan2.5添加了许多新选项及功能可以提高安全保护,这些功能如下:

• -更改日志目录
• -记录长URL访问
• -限制访问字节大小

问:为什么微软发布两个不同版本?

答:微软发布两个不同版本因为不同服务器有不同要求,只提供一个版本可能回导致一些程式出现问题.这两个版本最大的区别基线版(Baseline Urlscan)可以调制Chunked Encoding数据, 在限制版(Urlscan-SRP)这是完全禁止,另外上传数据大小在限制版只允 许于30MB

问:我已经配置了Urlscan,更新到Urlscan2.5会不会覆盖现有设置?

答:不会,Urlscan2.5只会设置ini文件内添加新的选项.

问:我尝试安装Urlscan2.5,但不能安装.为什么?

答:Urlscan2.5只在Urlscan1.0或Urlscan2.0版本上安装,你可能没有这其中的版本.

假如你没有Urlscan1.0或2.0,你可以安装包含Urlscan2.0的IIS Lockdown Wizard.

假定你已有Urlscan但安装Urlscan2.5仍然失败,那么现有的Urlscan过滤器可能安装在站点过滤而不是全面过滤(Global filter),要成功安装Urlscan2.5,你一定要把之前版本的 Urlscan安装载全面过滤(Global filter).

问:安装Urlscan2.5后,我的程式不能启动,我要还原之前设置直到问题解决.我如何取消在Urlscan.ini的新选项?

答:Urlscan2.0添加这特别选项RejectResponseUrl- /~* -,这使Urlscan把禁止访问写 入日志,让管理员更加了解该访问及被禁止原因.假定你还是想还原,看看还原Urlscan.ini-Urlscan 2.5配置

问:Urlscan-SRP可以保护所有在微软安全公告02-018的漏洞,那还需要打上这微软安全公告02-018的补丁吗?

答:要,完全有这个必要,补丁是最后解决漏洞的方法,微软强力建议你打上这补丁来确保你不受已知漏洞攻击.

问:我不晓得我的程式有没有用块编码(Chunk Encoding),这是什么?

答:块编码转发(Chunk transfer enconding)把信息内容切成'块'(chunk) 附上大小值. 这确保客户端能够接受所有服务器端的资料.Chunk transfer enconding类似在电邮里的MIME encoding,详细资料参考RFC 2616

问:还会有Urlscan安全工具更新版吗?

答:会,微软会继续更改这些工具及产品来反映客户要求及符合新安全标准.