Поделиться через

пакет Администратор istration

  • Статья

Уолтер Оливер

Введение

Пакет Администратор istration предоставляет узлам и их клиентам набор модулей диспетчера IIS, которые помогут им выполнить следующие действия:

  • Изменение параметров конфигурации сервера (только администраторы).
  • Управление параметрами FastCGI.
  • Управление авторизацией ASP.NET.
  • Управление пользовательскими ошибками.
  • Изменение правил фильтрации HTTP-запросов.

Цель этой статьи — предоставить хост-службам сведения, необходимые им для развертывания пакета Администратор istration в средах размещения. На следующем рисунке выделены значки нового модуля, найденные в диспетчере IIS после установки пакета Администратор istration.

Снимок экрана: панель домашней страницы WALTER O H H W S Home. Выбраны пять модулей.

Развертывание пакета Администратор istration

При развертывании пакета Администратор istration в общих средах <размещения ссылка: на статью конфигурации> общего размещения необходимо установить на каждом веб-сервере фермы. При использовании предварительно созданных образов пакет Администратор istration должен быть частью образа, используемого для создания серверов фермы. Следуйте инструкциям, описанным в этой статье, чтобы скачать и установить пакет Администратор istration.

Сведения о пакете Администратор istration

Редактор конфигураций

Модуль редактора конфигурации поможет вам управлять файлами конфигурации. Это средство доступно только для администраторов сервера. Он позволяет изменять любой раздел, атрибут, элемент или коллекцию в файле конфигурации, включая параметры конфигурации IIS, такие как system.webServer, или ASP.NET параметры, такие как system.web. Помимо редактирования этих значений, их можно заблокировать и разблокировать. Редактор конфигурации также позволяет создавать скрипты на основе выполняемых действий, а также искать файл, чтобы узнать, где используются значения.

Снимок экрана: область редактора конфигурации. Список разделов развернут.

При вводе значений для параметра редактор конфигурации проверяет тип данных, чтобы убедиться, что он совместим. В случае определенных параметров значений, таких как логическое значение (True/False) или перечисления, поле со списком используется для представления только доступных параметров. Редактор конфигурации также позволяет создавать скрипты на основе выполняемых действий, а также искать файл, чтобы узнать, где используются значения. Следующая видеосвязь <: https://blogs.msdn.com/carlosag/archive/2008/03/31/IISAdminPackConfigurationEditor.aspx> предоставляет демонстрации различных функций редактора конфигурации:

  • На основе схемы — редактор конфигурации полностью управляется схемой конфигурации, найденной в \windows\system32\inetsrv\config\schema. Это означает, что при расширении системы конфигурации, создающей разделы, они будут доступны для управления в редакторе конфигурации. Для этих разделов не требуется создавать дополнительный пользовательский интерфейс.
  • Дополнительные сведения— редактор конфигурации предоставляет сведения, такие как расположение, где используется раздел, где наследуется определенный элемент коллекции и т. д.
  • Создание скрипта — редактор конфигурации позволяет вносить изменения и создавать код для автоматизации задач. Редактор конфигурации создает управляемый код с помощью Microsoft.Web. Администратор istration, JavaScript с помощью AHADMIN или командной строки с помощью средства AppCmd.exe.
  • Поиск — редактор конфигурации позволяет быстро выполнять область поиски системы конфигурации для всех разделов и места их использования. Это позволяет выявить большую картину сервера, предотвратить нарушения блокировки конфигурации и для многих других функций поиска.
  • Блокировка — редактор конфигурации позволяет заранее заблокировать такие атрибуты, как блокировка определенных атрибутов, чтобы они не использовались в более глубоких расположениях, блокировка отдельных элементов в коллекции или блокировка всего раздела.

Использование редактора конфигураций

Создание скриптов

В этой статье <https://www.iis.net/learn/manage/managing-your-configuration-settings/using-configuration-editor-generate-scripts> описано, как воспользоваться преимуществами редактора конфигурации для создания скриптов для автоматизации задач настройки. Поддерживаются три типа скриптов: C#, Jscript и средство AppCmd.exe.

Коллекции конфигураций

Некоторые параметры конфигурации IIS входят в форму коллекции. В этой статье <https://www.iis.net/learn/manage/managing-your-configuration-settings/editing-collections-with-configuration-editor> объясняется, как изменить коллекцию профилей кэширования выходных данных. В этой статье <https://www.iis.net/learn/manage/managing-your-configuration-settings/editing-collections-using-configuration-editor-complex-sections> показано, как добавить новое правило трассировки неудачных запросов для запроса .aspx, который возвращает код состояния 401 или занимает более минуты для ответа, или возвращает этот код состояния и отвечает через минуту.

Параметры FastCGI

Модуль FastCGI позволяет настроить параметры FastCGI, используемые веб-сайтами на сервере. Он позволяет пользователю добавлять и удалять приложения FastCGI и изменять эти параметры. На следующем рисунке показан диалоговое окно "Добавление приложения FastCGI".

Снимок экрана: панель

Модуль правил авторизации .NET

Модуль правил авторизации .NET является одним из двух модулей ASP.NET в пакете Администратор istration. С помощью этого модуля администратор сайта может указать правила для авторизации пользователей для доступа к веб-сайтам и приложениям. В частности, модуль правил авторизации .NET предоставляет графический пользовательский интерфейс для создания правил "Разрешить и запретить" для управления доступом пользователей к веб-содержимому. На следующем рисунке показано диалоговое окно "Добавить правило авторизации".

Снимок экрана: диалоговое окно

Инструкции по блокировке правил авторизации ASP.NET см. по этой <ссылке https://msdn.microsoft.com/library/ms178693.aspx>.

Ссылка на эту статью <: https://learn.iis.net/page.aspx/142/understanding-iis-7-url-authorization/#Differences> объясняется различия между авторизацией URL-адреса ASP.NET и авторизацией URL-адресов IIS.

Страницы ошибок .NET

Страницы ошибок .NET предоставляют графический пользовательский интерфейс для настройки ответов на ошибки HTTP. Они позволяют настроить пользовательские страницы ошибок и параметры по умолчанию. На рисунке ниже показано диалоговое окно "Добавить настраиваемую страницу ошибок".

Снимок экрана: диалоговое окно

Фильтрация HTTP-запросов

Модуль фильтрации HTTP-запросов — это компонент шлюза, который защищает веб-сервер от вредоносных запросов. Правила фильтрации включают:

  • Блокировать или разблокировать запросы файлов с определенными расширениями имени файла.
  • Добавьте или удалите сегменты конфигурации в список "Скрытые сегменты".
  • Добавьте или удалите определенные последовательности URL-адресов в список "Запретить последовательность URL-адресов".
  • Блокировать или разблокировать HTTP-команды.
  • Добавьте заголовки с определенным ограничением размера.

Когда служба IIS 7.0 была выпущена в составе Windows Server 2008, она включала эту функцию, но не включала модуль диспетчера IIS, который можно использовать для управления этой функцией. Таким образом, графический пользовательский интерфейс не был доступен для упрощения настройки фильтрации запросов. Примеры фильтрации запросов путем простого добавления новой конфигурации в файл конфигурации Web.config см. по этой ссылке<: https://learn.iis.net/page.aspx/143/how-to-use-request-filtering/>

Эта ссылка на запись <блога: https://blogs.iis.net/bills/archive/2008/03/23/how-to-un-block-directories-with-iis7-web-config.aspx> показано, как использовать фильтрацию запросов для блокировки или разблокировки доступа к разделам сайта. Эта ссылка на запись <блога: https://blogs.msdn.com/carlosag/archive/2008/03/24/IISAdminPackRequestFiltering.aspx> выполняет ту же задачу с помощью модуля диспетчера IIS, включенного в пакет Администратор istration Pack.

В следующих разделах описаны последние функции фильтрации HTTP-запросов.

Создание правил для запрета шаблонов строк в частях запросов

Эта новая функция позволяет создать список правил. Вы можете указать правила для отклонения запросов на основе шаблонов, которые соответствуют определенным частям HTTP-запроса. Основная конфигурация этой функции — раздел filteringRules в разделе system.webServer/security/requestFiltering в файле конфигурации ApplicationHost.config или в файле конфигурации Web.config. Если запрос отклонен из-за этого правила, состояние HTTP 404.19 регистрируется в журнале IIS.

Создание безопасного списка для URL-адресов или строк запроса

Эта новая функция позволяет указать безопасные URL-адреса или строки запроса, которые могут обойти все определенные правила запрета. Например, можно всегда разрешить URL-адрес "/my.login.page.asp", даже если этот URL-адрес может активировать определенное правило запрета. Базовая конфигурация этой функции включает атрибут alwaysAllowedUrls и атрибут alwaysAllowedQueryStrings. Эти атрибуты находятся в разделе system.webServer/security/requestFiltering в файле конфигурации ApplicationHost.config или в файле конфигурации Web.config.

Создание списка запрещенных строк запроса

Наиболее распространенные атаки на внедрение SQL выполняются путем управления строками запросов. Эта новая функция позволяет фильтровать вредоносные запросы, проверяя строки запросов.

Чтобы запретить список последовательностей URL-адресов для всех запросов, создайте раздел denyQueryStringSequences в файле конфигурации ApplicationHost.config или в файле web.config, а затем добавьте список строк, которые необходимо запретить в URL-адресах запросов. Если запрос отклонен из-за этого правила, состояние HTTP 404.18 регистрируется в журнале IIS.

Проверка как экранированных, так и неискаченных строк запроса

Эта новая функция позволяет выполнять сканирование как строк запроса, так и неискаченных строк запроса с помощью атрибута unescapeQueryString в разделе system.webServer/security/requestFiltering в файле ApplicationHost.config или в файле конфигурации Web.config. Если запрос отклонен из-за этого правила, состояние HTTP 404.18 регистрируется в журнале IIS.

На следующем рисунке показан список расширений заблокированных имен файлов:

Снимок экрана: панель

Обратите внимание, что фильтрация HTTP-запросов разработана и оптимизирована только для сценариев безопасности, а ссылка на перезапись <URL-адресов: https://learn.iis.net/page.aspx/531/url-rewrite-for-hosters/> можно применять для более широкого набора сценариев. Сценарии безопасности представляют собой подмножество этих сценариев. Дополнительные сведения о различиях между этими двумя модулями см. в этой статье<: https://learn.iis.net/page.aspx/501/iis-70-request-filtering-and-url-rewriting/>

Заключение

В этой статье представлен обзор пакета Администратор istration и сопоставления ресурсов, доступных для размещения и настройки в общих средах размещения.