Administrationspaket

von Walter Oliver

Einführung

Das Administration Pack bietet Hostern und ihren Kunden eine Reihe von IIS-Manager-Modulen, die ihnen dabei helfen, folgendes zu erledigen:

  • Bearbeiten von Serverkonfigurationseinstellungen (nur Administratoren).
  • Verwalten von FastCGI-Einstellungen.
  • Verwalten ASP.NET Autorisierung.
  • Verwalten von benutzerdefinierten Fehlern.
  • Bearbeiten von HTTP-Anforderungsfilterregeln.

Der Zweck dieses Artikels besteht darin, Hostern die Informationen bereitzustellen, die sie benötigen, um zu erfahren, wie Sie das Administration Pack in Hostingumgebungen bereitstellen. Die folgende Abbildung hebt die neuen Modulsymbole hervor, die im IIS-Manager nach der Installation des Administration Packs gefunden wurden.

Screenshot des WALTER O H P W S-Startbereichs. Es werden fünf Module ausgewählt.

Bereitstellen des Verwaltungspakets

Wenn Sie das Administration Pack in Shared-Hosting-Umgebungen <bereitstellen, muss es auf jedem Webserver in der Farm installiert sein. Link zum Artikel zur Konfiguration von Shared Hosting>. Bei verwendung vordefinierter Images sollte das Administration Pack Teil des Images sein, das zum Erstellen der Farmserver verwendet wird. Befolgen Sie die in diesem Artikel beschriebenen Anweisungen, um das Administration Pack herunterzuladen und zu installieren.

Informationen zum Administrationspaket

Konfigurations-Editor

Mit dem Konfigurations-Editor-Modul können Sie Ihre Konfigurationsdateien verwalten. Dieses Tool ist nur für Serveradministratoren verfügbar. Sie können alle Abschnitte, Attribute, Elemente oder Sammlungen in Ihrer Konfigurationsdatei bearbeiten, einschließlich IIS-Konfigurationseinstellungen wie system.webServer oder ASP.NET Einstellungen wie "system.web". Zusätzlich zum Bearbeiten dieser Werte können Sie sie sperren und entsperren. Mit dem Konfigurations-Editor können Sie auch Skripts basierend auf den von Ihnen ausgeführten Aktionen generieren und die Datei durchsuchen, um zu sehen, wo Werte verwendet werden.

Screenshot des Konfigurations-Editor-Bereichs. Die Abschnittsliste wird erweitert.

Wenn Sie Werte für eine Einstellung eingeben, überprüft der Konfigurations-Editor den Datentyp, um sicherzustellen, dass er kompatibel ist. Bei bestimmten Wertoptionen wie Boolean (True/False) oder Enumerationen wird ein Kombinationsfeld verwendet, um nur die verfügbaren Optionen darzustellen. Mit dem Konfigurations-Editor können Sie auch Skripts basierend auf den von Ihnen ausgeführten Aktionen generieren und die Datei durchsuchen, um zu sehen, wo Werte verwendet werden. Der folgende Videolink <: https://blogs.msdn.com/carlosag/archive/2008/03/31/IISAdminPackConfigurationEditor.aspx> Enthält Demonstrationen der verschiedenen Features des Konfigurations-Editors:

  • Schemagesteuert – Der Konfigurations-Editor wird vollständig durch das Konfigurationsschema gesteuert, das sich in \windows\system32\inetsrv\config\schema befindet. Dies bedeutet, dass sie, wenn Sie das Konfigurationssystem erweitern, das Ihre Abschnitte erstellt, für die Verwaltung im Konfigurations-Editor verfügbar ist. Es ist nicht erforderlich, eine zusätzliche Benutzeroberfläche für diese Abschnitte zu erstellen.
  • Zusätzliche Informationen – Der Konfigurations-Editor zeigt Informationen an, wie den Speicherort, an dem der Abschnitt verwendet wird, oder von wo aus ein bestimmtes Element in einer Sammlung geerbt wird, usw.
  • Skriptgenerierung – Mit dem Konfigurations-Editor können Sie Änderungen vornehmen und den Code generieren, um Aufgaben zu automatisieren. Der Konfigurations-Editor generiert verwalteten Code mithilfe von Microsoft.Web.Administration, JavaScript mithilfe von AHADMIN oder der Befehlszeile mithilfe des tools AppCmd.exe.
  • Suche – Mit dem Konfigurations-Editor können Sie schnell bereichsbezogene Suchvorgänge des Konfigurationssystems für alle Abschnitte ausführen und dort, wo sie verwendet werden. Dies macht es nützlich, ein größeres Bild des Servers anzuzeigen, um Konfigurationssperrverletzungen und für viele andere Suchfunktionen zu verhindern.
  • Sperren – Mit dem Konfigurations-Editor können Sie die Sperre vorab ausführen, z. B. das Sperren bestimmter Attribute, sodass sie nicht an tieferen Speicherorten verwendet werden können, einzelne Elemente in einer Auflistung sperren oder einen gesamten Abschnitt sperren können.

Verwenden des Konfigurationseditors

Skriptgenerierung

Dieser Artikellink <: https://www.iis.net/learn/manage/managing-your-configuration-settings/using-configuration-editor-generate-scripts> Erläutert, wie Sie den Konfigurations-Editor nutzen, um Skripts zu generieren, um Konfigurationsaufgaben zu automatisieren. Es werden drei Skripttypen unterstützt: C#, Jscript und das AppCmd.exe Tool.

Konfigurationssammlungen

Einige IIS-Konfigurationseinstellungen werden in Form einer Sammlung bereitgestellt. Dieser Artikellink <: https://www.iis.net/learn/manage/managing-your-configuration-settings/editing-collections-with-configuration-editor> Erläutert, wie Sie die Sammlung von Ausgabezwischenspeicherungsprofilen bearbeiten. Dieser Artikel <link: https://www.iis.net/learn/manage/managing-your-configuration-settings/editing-collections-using-configuration-editor-complex-sections> zeigt, wie Sie eine neue Regel zur Ablaufverfolgung fehlgeschlagener Anforderungen für eine .aspx-Anfrage hinzufügen, die entweder einen Statuscode 401 zurückgibt, mehr als eine Minute zum Antworten benötigt oder diesen Statuscode zurückgibt und erst nach einer Minute antwortet.

FastCGI-Einstellungen

Mit dem FastCGI-Modul können Sie FastCGI-Einstellungen konfigurieren, die von Websites auf dem Server verwendet werden. Er ermöglicht es dem Benutzer, FastCGI-Anwendungen hinzuzufügen und zu entfernen und diese Einstellungen zu ändern. Die folgende Abbildung zeigt das Dialogfeld "FastCGI-Anwendung hinzufügen".

Screenshot des Bereichs

.NET-Autorisierungsregelnmodul

Das Modul .NET-Autorisierungsregeln ist eines von zwei ASP.NET Modulen im Administration Pack. Mithilfe dieses Moduls kann der Websiteadministrator Regeln für die Autorisierung von Benutzern für den Zugriff auf Websites und Anwendungen angeben. Insbesondere stellt das Modul .NET-Autorisierungsregeln eine grafische Benutzeroberfläche zum Erstellen von Allow- und Deny-Regeln bereit, um den Benutzerzugriff auf Webinhalte zu verwalten. Die folgende Abbildung zeigt das Dialogfeld "Autorisierungsregel hinzufügen".

Screenshot des Dialogfelds

Anweisungen zum Sperren ASP.NET Autorisierungsregeln finden Sie unter diesem Leitfadenlink <: https://msdn.microsoft.com/library/ms178693.aspx>.

Dieser Artikellink <: https://learn.iis.net/page.aspx/142/understanding-iis-7-url-authorization/#Differences> erläutert die Unterschiede zwischen ASP.NET URL-Autorisierung und IIS-URL-Autorisierung.

.NET-Fehlerseiten

Die .NET-Fehlerseiten bieten eine grafische Benutzeroberfläche zum Konfigurieren von HTTP-Fehlerantworten. Sie aktivieren die Konfiguration von benutzerdefinierten Fehlerseiten und Standardeinstellungen. Die folgende Abbildung zeigt das Dialogfeld "Benutzerdefinierte Fehlerseite hinzufügen".

Screenshot des Dialogfelds

HTTP-Anforderungsfilterung

Das HTTP-Anforderungsfilterungsmodul ist eine Gatekeeper-Komponente, die den Webserver vor böswilligen Anforderungen schützt. Filterregeln umfassen:

  • Blockieren oder Freigeben von Anforderungen für Dateien mit bestimmten Dateinamenerweiterungen.
  • Hinzufügen oder Entfernen von Konfigurationssegmenten zur Liste "Ausgeblendete Segmente".
  • Fügen Sie der Liste "Verweigerungs-URL-Sequenz" bestimmte URL-Sequenzen hinzu, oder entfernen Sie sie.
  • Blockieren oder Aufheben der Blockierung von HTTP-Verben.
  • Fügen Sie Kopfzeilen mit einem bestimmten Größenlimit hinzu.

Als IIS 7.0 als Teil von Windows Server 2008 veröffentlicht wurde, enthielt es dieses Feature, aber es enthielt nicht das IIS-Manager-Modul, das zum Verwalten dieses Features verwendet werden konnte. Daher war keine grafische Benutzeroberfläche verfügbar, um die Anforderungsfilterkonfiguration zu vereinfachen. Beispiele für die Verwendung der Anforderungsfilterung durch einfaches Hinzufügen einer neuen Konfiguration zur Web.config Datei finden Sie unter diesem Artikellink <: https://learn.iis.net/page.aspx/143/how-to-use-request-filtering/>.

Dieser Blogbeitragslink <: https://blogs.iis.net/bills/archive/2008/03/23/how-to-un-block-directories-with-iis7-web-config.aspx> Zeigt, wie Sie die Anforderungsfilterung verwenden können, um den Zugriff auf Abschnitte einer Website zu blockieren oder aufzuheben. Dieser Link zu dem Blogpost <: https://blogs.msdn.com/carlosag/archive/2008/03/24/IISAdminPackRequestFiltering.aspx> erledigt dieselbe Aufgabe mithilfe des im Administration Pack enthaltenen IIS-Manager-Moduls.

In den folgenden Abschnitten werden die neuesten Features der HTTP-Anforderungsfilterung beschrieben.

Erstellen von Regeln zum Verbieten von Zeichenfolgenmustern in Teilen von Anforderungen

Mit diesem neuen Feature können Sie eine Regelliste erstellen. Sie können Regeln zum Ablehnen von Anforderungen basierend auf Mustern angeben, die mit bestimmten Teilen einer HTTP-Anforderung übereinstimmen. Die Hauptkonfiguration für dieses Feature ist der Abschnitt "filteringRules" im Abschnitt "system.webServer/security/requestFiltering" in der ApplicationHost.config Datei oder in der Web.config Datei. Wenn eine Anforderung aufgrund dieser Regel abgelehnt wird, wird der HTTP-Status 404.19 im IIS-Protokoll protokolliert.

Erstellen einer sicheren Liste für URLs oder Abfragezeichenfolgen

Mit diesem neuen Feature können Sie sichere URLs oder Abfragezeichenfolgen angeben, die alle definierten Verweigerungsregeln umgehen können. Beispielsweise können Sie die URL "/my.login.page.asp" immer zulassen, obwohl diese URL möglicherweise eine definierte Ablehnungsregel auslöst. Die grundlegende Konfiguration für dieses Feature umfasst das attribut alwaysAllowedUrls und das alwaysAllowedQueryStrings-Attribut. Diese Attribute befinden sich im Abschnitt "system.webServer/security/requestFiltering" in der datei ApplicationHost.config oder in der Web.config Datei.

Erstellen einer Ablehnungsliste mit Abfragezeichenfolgen

Die am häufigsten verwendeten SQL-Einfügungsangriffe werden durch Bearbeiten von Abfragezeichenfolgen ausgeführt. Mit diesem neuen Feature können Sie bösartige Anforderungen filtern, indem Sie Abfragezeichenfolgen überprüfen.

Um eine Liste der URL-Sequenzen für alle Anforderungen zu verweigern, erstellen Sie einen Abschnitt "denyQueryStringSequences" in der ApplicationHost.config-Datei oder in der Web.config-Datei, und fügen Sie dann die Liste der Zeichenfolgen hinzu, die Sie in den URLs Ihrer Anforderungen nicht zulassen möchten. Wenn eine Anforderung aufgrund dieser Regel abgelehnt wird, wird der HTTP-Status 404.18 im IIS-Protokoll protokolliert.

Überprüfen auf Escape- und Nicht-Escape-Abfragezeichenfolgen

Mit diesem neuen Feature können Sie sowohl maskierte als auch unmaskierte Abfragezeichenfolgen mit dem Attribut unescapeQueryString im Abschnitt "system.webServer/security/requestFiltering" der ApplicationHost.config-Datei oder der Web.config-Datei scannen. Wenn eine Anforderung aufgrund dieser Regel abgelehnt wird, wird der HTTP-Status 404.18 im IIS-Protokoll protokolliert.

Die folgende Abbildung zeigt die Liste der blockierten Dateinamenerweiterungen:

Screenshot des Bereichs

Beachten Sie, dass die HTTP-Anforderungsfilterung nur für Sicherheitsszenarien entwickelt und optimiert ist, während die URL-Verknüpfung neu geschrieben <werden kann: https://learn.iis.net/page.aspx/531/url-rewrite-for-hosters/> Kann für eine breitere Gruppe von Szenarien angewendet werden. Sicherheitsszenarien sind eine Teilmenge dieser Szenarien. Weitere Informationen zu den Unterschieden zwischen diesen beiden Modulen finden Sie unter diesem Artikellink <: https://learn.iis.net/page.aspx/501/iis-70-request-filtering-and-url-rewriting/>.

Fazit

Dieser Artikel enthält eine Übersicht über das Administration Pack und eine Zuordnung zu Ressourcen, die hostern zur Bereitstellung und Konfiguration in freigegebenen Hostingumgebungen zur Verfügung stehen.

  • Last updated on