Ajout d’extensions de nom de fichier FTP <ajouter>
Vue d’ensemble
L’élément <add> de la collection <fileExtensions> spécifie une extension de nom de fichier unique à ajouter à la collection des extensions de nom de fichier pour FTP 7.
Remarque
Lorsque le filtrage des requêtes bloque une demande FTP en raison d’une extension de nom de fichier refusée, FTP 7 renvoie une erreur FTP au client et enregistre le sous-état unique suivant, qui indique la raison pour laquelle la requête a été refusée :
| sous-état FTP | Description |
|---|---|
11 |
L’extension de nom de fichier a été refusée sur la base des règles de filtrage des requêtes |
Ce statut permet aux administrateurs FTP d’analyser leurs journaux IIS et d’identifier les menaces potentielles.
Compatibilité
| Version | Notes |
|---|---|
| IIS 10.0 | L’élément <add> n’a pas été modifié dans IIS 10.0. |
| IIS 8.5 | L’élément <add> n’a pas été modifié dans IIS 8.5. |
| IIS 8.0 | L’élément <add> n’a pas été modifié dans IIS 8.0. |
| IIS 7.5 | L’élément <add> de l’élément <fileExtensions> est fourni en tant que fonctionnalité IIS 7.5. |
| IIS 7.0 | L’élément <add> de l’élément <fileExtensions> a été introduit dans FTP 7.0, qui était un téléchargement distinct pour IIS 7.0. |
| IIS 6.0 | Le service FTP dans IIS 6.0 ne prenait pas en charge le filtrage des requêtes. |
Remarque
Les services FTP 7.0 et FTP 7.5 ont été expédiés hors bande pour IIS 7.0, ce qui nécessite le téléchargement et l’installation des modules à partir de l’URL suivante :
Avec Windows 7 et Windows Server 2008 R2, le service FTP 7.5 est fourni en tant que fonctionnalité pour IIS 7.5. Le téléchargement du service FTP n’est donc plus nécessaire.
Programme d’installation
Pour prendre en charge la publication FTP pour votre serveur web, vous devez installer le service FTP. Pour cela, procédez comme suit.
Windows Server 2012 ou Windows Server 2012 R2
Dans la barre des tâches, cliquez sur Gestionnaire de serveur.
Dans Gestionnaire de serveur, cliquez sur le menu Gérer, puis sur Ajouter des rôles et des fonctionnalités.
Dans l’Assistant Ajout de rôles et de fonctionnalités, cliquez sur Suivant. Sélectionnez le type d’installation, puis cliquez sur Suivant. Sélectionnez le serveur de destination, puis cliquez sur Suivant.
Dans la page Rôles serveur, développez Serveur web (IIS),puis sélectionnez Serveur FTP.
Remarque
Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez sélectionner Extensibilité FTP en plus de Service FTP.
.Cliquez sur Suivant puis sur la pageSélectionner des fonctionnalités, cliquez à nouveau sur Suivant.
Dans la page Confirmer les sélections d’installation, cliquez sur Installer.
Dans la page Résultats , cliquez sur Fermer.
Windows 8 ou Windows 8.1
Dans l’écran Démarrer, déplacez le pointeur en bas à gauche, cliquez avec le bouton droit sur le bouton Démarrer, puis cliquez sur Panneau de configuration.
Dans Panneau de configuration, cliquez sur Programmes et fonctionnalités, puis sur Activer ou désactiver des fonctionnalités Windows.
Développez Internet Information Services, puis sélectionnez Serveur FTP.
Remarque
Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez également sélectionner Extensibilité FTP.
Cliquez sur OK.
Cliquez sur Fermer.
Windows Server 2008 R2
Dans la barre des tâches, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.
Dans le volet hiérarchie du Gestionnaire de serveur, développez Rôles, puis cliquez sur Serveur web (IIS).
Dans le volet Serveur web (IIS), faites défiler jusqu’à la section Services de rôle, puis cliquez sur Ajouter des services de rôle.
Dans la page Sélectionner des services de rôle de l’Assistant Ajouter des services de rôle, développez le Serveur FTP.
Sélectionnez Service FTP.
Remarque
Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez également sélectionner Extensibilité FTP.
Sélectionnez Suivant.
Dans la page Confirmer les sélections pour l'installation, cliquez sur Installer.
Dans la page Résultats , cliquez sur Fermer.
Windows 7
Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration.
Dans le Panneau de configuration, cliquez sur Programmes et fonctionnalités, puis sur Activer ou désactiver des fonctionnalités Windows.
Développez Internet Information Services, puis Serveur FTP.
Sélectionnez Service FTP.
Remarque
Pour prendre en charge l’authentification ASP.Membership ou l’authentification du Gestionnaire IIS pour le service FTP, vous devez également sélectionner Extensibilité FTP.
Cliquez sur OK.
Windows Vista ou Windows Server 2008
Téléchargez le package d’installation à partir de l’URL suivante :
Suivez les instructions de la procédure pas à pas suivante pour installer le service FTP :
Procédure
Remarque
Le filtrage des requêtes FTP n’avait pas d’interface utilisateur dans la version FTP 7.0. L’interface utilisateur du filtrage des requêtes FTP a été ajoutée dans la version FTP 7.5.
Comment refuser l’accès FTP à une extension de nom de fichier spécifique
Ouvrez le Gestionnaire des services Internet (IIS) :
Si vous utilisez Windows Server 2012 ou Windows Server 2012 R2 :
- Dans la barre des tâches, cliquez sur Gestionnaire de serveur, cliquez sur Outils, puis sur Gestionnaire Internet Information Services (IIS).
Si vous utilisez Windows 8 ou Windows 8.1 :
- Maintenez la touche Windows enfoncée, appuyez sur la lettre X, puis cliquez sur Panneau de configuration.
- Cliquez sur Outils d’administration, puis double-cliquez sur Gestionnaire Internet Information Services (IIS).
Si vous utilisez Windows Server 2008 ou Windows Server 2008 R2 :
- Cliquez sur Démarrer, placez le curseur sur Outils d’administration, puis cliquez sur Gestionnaire Internet Information Services (IIS).
Si vous utilisez Windows Vista ou Windows 7 :
- Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration.
- Double-cliquez sur Outils d’administration, puis double-cliquez sur Gestionnaire Internet Information Services (IIS).
Dans le volet Connexions, accédez au site ou au répertoire pour lequel vous souhaitez modifier vos paramètres de filtrage de requête.
Dans le volet Accueil, double-cliquez sur Filtrage des requêtes FTP.
Dans le volet Filtrage des requêtes FTP, cliquez sur l’onglet Extensions de nom de fichier.
Cliquez sur Refuser l’extension de nom de fichier... dans le volet Actions.
Dans la boîte de dialogue Refuser l’extension de nom de fichier, entrez l’extension de nom de fichier que vous souhaitez bloquer. Par exemple, pour empêcher l’accès aux fichiers avec une extension de nom de fichier de .inc, vous devez entrer « inc » dans la boîte de dialogue.
Cliquez sur OK.
Configuration
L’élément <add> de la collection <fileExtensions> est configuré au niveau global, du site ou de l’URL.
Attributs
| Attribut | Description |
|---|---|
allowed |
Attribut Booléen obligatoire. Spécifie si l’extension de nom de fichier est autorisée ou refusée. La définition de cet attribut sur vrai permet au serveur Web de traiter les demandes associées à ce type de fichiers ; la définition de cet attribut sur faux empêche le serveur Web de traiter les demandes. La valeur par défaut est true. |
fileExtension |
Attribut de chaîne requis. Spécifie le nom de l’extension de nom de fichier à autoriser ou à refuser. Il n'y a pas de valeur par défaut. |
Éléments enfants
Aucune.
Exemple Configuration
L’exemple suivant illustre plusieurs paramètres de configuration liés à la sécurité dans l’élément <system.ftpServer> d’un site FTP. Plus précisément, les paramètres <location> de cet exemple montrent comment :
- Spécifiez une règle d’autorisation FTP pour l’accès en lecture et en écriture pour le groupe Administrateurs.
- Spécifiez les options de filtrage des requêtes FTP qui refusent les fichiers *.exe, *.bat et *.cmd.
- Spécifiez les limites de requête FTP pour une longueur de contenu maximale de 1 000 000 d’octets et une longueur d’URL maximale de 1024 octets.
- Bloquez l’accès FTP au répertoire virtuel _vti_bin, qui est utilisé avec les extensions de serveur FrontPage.
- Spécifiez les options de filtrage IP FTP qui autorisent l’accès à partir de 127.0.0.1 et refusent l’accès à partir de la plage d’adresses IP 169.254.0.0/255.255.0.0.
<location path="ftp.example.com">
<system.ftpServer>
<security>
<authorization>
<add accessType="Allow" roles="administrators" permissions="Read, Write" />
</authorization>
<requestFiltering>
<fileExtensions allowUnlisted="true">
<add fileExtension=".exe" allowed="false" />
<add fileExtension=".bat" allowed="false" />
<add fileExtension=".cmd" allowed="false" />
</fileExtensions>
<requestLimits maxAllowedContentLength="1000000" maxUrl="1024" />
<hiddenSegments>
<add segment="_vti_bin" />
</hiddenSegments>
</requestFiltering>
<ipSecurity enableReverseDns="false" allowUnlisted="true">
<add ipAddress="127.0.0.1" allowed="true" />
<add ipAddress="169.254.0.0" subnetMask="255.255.0.0" allowed="false" />
</ipSecurity>
</security>
</system.ftpServer>
</location>
Exemple de code
Les exemples suivants spécifient les options de filtrage des requêtes FTP qui refusent les fichiers *.exe, *.com, *.bat et *.cmd.
AppCmd.exe
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.exe',allowed='False']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.com',allowed='False']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.cmd',allowed='False']" /commit:apphost
appcmd.exe set config "Default Web Site" -section:system.ftpServer/security/requestFiltering /+"fileExtensions.[fileExtension='.bat',allowed='False']" /commit:apphost
Remarque
Vous devez veiller à définir le paramètre commit sur apphost quand vous utilisez AppCmd.exe pour configurer ces paramètres. Cela valide les paramètres de configuration dans la section d’emplacement appropriée dans le fichier ApplicationHost.config.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection requestFilteringSection = config.GetSection("system.ftpServer/security/requestFiltering", "Default Web Site");
ConfigurationElement fileExtensionsElement = requestFilteringSection.GetChildElement("fileExtensions");
ConfigurationElementCollection fileExtensionsCollection = fileExtensionsElement.GetCollection();
ConfigurationElement addElement = fileExtensionsCollection.CreateElement("add");
addElement["fileExtension"] = @".exe";
addElement["allowed"] = false;
fileExtensionsCollection.Add(addElement);
ConfigurationElement addElement1 = fileExtensionsCollection.CreateElement("add");
addElement1["fileExtension"] = @".com";
addElement1["allowed"] = false;
fileExtensionsCollection.Add(addElement1);
ConfigurationElement addElement2 = fileExtensionsCollection.CreateElement("add");
addElement2["fileExtension"] = @".cmd";
addElement2["allowed"] = false;
fileExtensionsCollection.Add(addElement2);
ConfigurationElement addElement3 = fileExtensionsCollection.CreateElement("add");
addElement3["fileExtension"] = @".bat";
addElement3["allowed"] = false;
fileExtensionsCollection.Add(addElement3);
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim requestFilteringSection As ConfigurationSection = config.GetSection("system.ftpServer/security/requestFiltering", "Default Web Site")
Dim fileExtensionsElement As ConfigurationElement = requestFilteringSection.GetChildElement("fileExtensions")
Dim fileExtensionsCollection As ConfigurationElementCollection = fileExtensionsElement.GetCollection
Dim addElement As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement("fileExtension") = ".exe"
addElement("allowed") = False
fileExtensionsCollection.Add(addElement)
Dim addElement1 As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement1("fileExtension") = ".com"
addElement1("allowed") = False
fileExtensionsCollection.Add(addElement1)
Dim addElement2 As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement2("fileExtension") = ".cmd"
addElement2("allowed") = False
fileExtensionsCollection.Add(addElement2)
Dim addElement3 As ConfigurationElement = fileExtensionsCollection.CreateElement("add")
addElement3("fileExtension") = ".bat"
addElement3("allowed") = False
fileExtensionsCollection.Add(addElement3)
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var requestFilteringSection = adminManager.GetAdminSection("system.ftpServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site");
var fileExtensionsElement = requestFilteringSection.ChildElements.Item("fileExtensions");
var fileExtensionsCollection = fileExtensionsElement.Collection;
var addElement = fileExtensionsCollection.CreateNewElement("add");
addElement.Properties.Item("fileExtension").Value = ".exe";
addElement.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement);
var addElement1 = fileExtensionsCollection.CreateNewElement("add");
addElement1.Properties.Item("fileExtension").Value = ".com";
addElement1.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement1);
var addElement2 = fileExtensionsCollection.CreateNewElement("add");
addElement2.Properties.Item("fileExtension").Value = ".cmd";
addElement2.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement2);
var addElement3 = fileExtensionsCollection.CreateNewElement("add");
addElement3.Properties.Item("fileExtension").Value = ".bat";
addElement3.Properties.Item("allowed").Value = false;
fileExtensionsCollection.AddElement(addElement3);
adminManager.CommitChanges();
VBScript
Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set requestFilteringSection = adminManager.GetAdminSection("system.ftpServer/security/requestFiltering", "MACHINE/WEBROOT/APPHOST/Default Web Site")
Set fileExtensionsElement = requestFilteringSection.ChildElements.Item("fileExtensions")
Set fileExtensionsCollection = fileExtensionsElement.Collection
Set addElement = fileExtensionsCollection.CreateNewElement("add")
addElement.Properties.Item("fileExtension").Value = ".exe"
addElement.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement)
Set addElement1 = fileExtensionsCollection.CreateNewElement("add")
addElement1.Properties.Item("fileExtension").Value = ".com"
addElement1.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement1)
Set addElement2 = fileExtensionsCollection.CreateNewElement("add")
addElement2.Properties.Item("fileExtension").Value = ".cmd"
addElement2.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement2)
Set addElement3 = fileExtensionsCollection.CreateNewElement("add")
addElement3.Properties.Item("fileExtension").Value = ".bat"
addElement3.Properties.Item("allowed").Value = False
fileExtensionsCollection.AddElement(addElement3)
adminManager.CommitChanges()