URLScan工具配置方法第1/2頁

本文分步說明如何配置 URLScan 工具以防止 Web 伺服器受到攻擊和利用。 如何配置 URLScan 工具
察看本文應用於的產品
文章編號 : 326444
最後修改 : 2007年3月14日
修訂 : 5.3
我們強烈建議所有執行 Microsoft Windows Server 2003 的使用者將 Microsoft Internet 資訊服務 (IIS) 升級到 6.0 版，因為 IIS 6.0 顯著增強了 Web 基礎結構的安全性。有關與 IIS 安全性相關的主題的更多資訊，請訪問下面的 Microsoft 網站：
http://www.microsoft.com/technet/security/prodtech/IIS.mspx ( http://www.microsoft.com/technet/security/prodtech/IIS.mspx )
本頁
概要
本文分步說明如何配置 URLScan 工具以防止 Web 伺服器受到攻擊和利用。

回到頂端

安裝 URLScan
要安裝 URLScan，請訪問下面的 Microsoft Developer Network (MSDN) 網站：
 ( )
有關其他資訊，請單擊下面的文章編號，以檢視 Microsoft 知識庫中相應的文章：
307608 ( ) 對 IIS 使用 URLScan
回到頂端

修改 URLScan.ini 檔案
URLScan 的所有配置都是透過 URLScan.ini 檔案執行的，此檔案位於 %WINDIR%\System32\Inetsrv\URLscan 資料夾中。要配置 URLScan，請在文字編輯器（如記事本）中開啟此檔案，進行相應的更改，然後儲存此檔案。

注意：要使更改生效，必須重新啟動 Internet 資訊服務 (IIS)。一種快速的實現方法是在命令提示符處執行 IISRESET。

URLScan.ini 檔案包含以下幾節： ? [Options]：此節描述常規 URLScan 選項。
? [AllowVerbs] 和 [DenyVerbs]：此節定義 URLScan 允許的謂詞（又稱作 HTTP 方法）。
? [DenyHeaders]：此節列出 HTTP 請求中不允許的 HTTP 標頭。如果 HTTP 請求中包含此節中列出的 HTTP 標頭之一，URLScan 將拒絕該請求。
? [AllowExtensions] 和 [DenyExtensions]：此節定義 URLScan 允許的副檔名。
? [DenyURLSequences]：此節列出 HTTP 請求中不允許的字串。URLScan 拒絕那些包含此節中出現的字串的 HTTP 請求。
本文將更詳細地介紹每一節。

[Options] 節
在 [Options] 節中，可以配置許多 URLScan 選項。此節中的每一行都具有以下格式：
OptionName=OptionValue
可用選項及其預設值如下所示： ? UseAllowVerbs=1

預設情況下，此選項設定為 1。如果將此選項設定為 1，則 URLScan 僅允許那些使用 [AllowVerbs] 節中列出的謂詞的 HTTP 請求。URLScan 禁止任何不使用這些謂詞的請求。如果將此選項設定為 0，則 URLScan 忽略 [AllowVerbs] 節，相反僅禁止那些使用 [DenyVerbs] 節中列出的謂詞的請求。

文章來源：