Compartir a través de

Configuración de filtrado de comandos FTP predeterminada <commandFiltering>

Información general

El elemento <commandFiltering> especifica una colección de comandos FTP que el servicio FTP permitirá o denegará. El elemento <commandFiltering> contiene una colección de instrucciones <add> que especifican individualmente si se va a permitir o denegar un comando FTP específico.

Nota:

Se debe prestar especial atención al configurar los comandos FTP que se van a permitir o denegar, y si se deniegan comandos no incluidos en la lista. Por ejemplo, denegar muchos comandos como USER, PASS, PASV, PORT, etc., imposibilitará el funcionamiento del sitio FTP. Del mismo modo, denegar comandos no incluidos en la lista de forma predeterminada probablemente será demasiado restrictivo y muchos clientes FTP no podrán acceder al sitio FTP.

La colección del elemento <commandFiltering> está relacionada con los valores de <requestFiltering>; pero aunque el filtrado de solicitudes se aplica a archivos y directorios, y se puede configurar en cada dirección URL, los valores en el elemento <commandFiltering> aplica el nivel de protocolo de procesamiento y solo se puede configurar en el nivel de sitio.

Los atributos adicionales del elemento <commandFiltering> son maxCommandLine y allowUnlisted. Respectivamente, configuran la longitud máxima de la línea de comandos y si se permiten comandos no incluidos en la lista.

Compatibilidad

Versión Notas
IIS 10.0 El elemento <commandFiltering> no se modificó en IIS 10.0.
IIS 8.5 El elemento <commandFiltering> no se modificó en IIS 8.5.
IIS 8.0 El elemento <commandFiltering> no se modificó en IIS 8.0.
IIS 7.5 El elemento <commandFiltering> del elemento <security> se incluye como una característica de IIS 7.5.
IIS 7.0 El elemento <commandFiltering> del elemento <security> se introdujo en FTP 7.0, que era una descarga independiente para IIS 7.0.
IIS 6,0 El servicio FTP de IIS 6.0 no admitía el filtrado de comandos.

Nota:

Los servicios FTP 7.0 y FTP 7.5 se enviaron fuera de banda para IIS 7.0, lo que requería descargar e instalar el servicio desde la siguiente dirección URL:

https://www.iis.net/expand/FTP

Con Windows 7 y Windows Server 2008 R2, el servicio FTP 7.5 se incluye como característica para IIS 7.5, por lo que la descarga del servicio FTP ya no es necesaria.

Configuración

Para admitir la publicación de FTP para el servidor web, debe instalar el servicio FTP. Para ello, siga estos pasos.

Windows Server 2012 o Windows Server 2012 R2

  1. En la barra de tareas, haga clic en Administrador del servidor.

  2. En Administrador del servidor, haga clic en el menú Administrar y, después, haga clic en Agregar roles y características.

  3. En el asistente para Agregar roles y características, haga clic en Siguiente. Seleccione el tipo de instalación y haga clic en Siguiente. Seleccione el servidor de destino y haga clic en Siguiente.

  4. En la página Roles de servidor, expanda Servidor web (IIS) y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP, además de Servicio FTP.
    Screenshot of Server Roles page showing F T P Server node expanded and F T P Extensibility selected..

  5. Haga clic en Siguiente y, después, en la página Seleccionar características, vuelva a hacer clic en Siguiente.

  6. En la página Confirmar selecciones de instalación, haga clic en Instalar.

  7. En la página Resultados , haga clic en Cerrar.

Windows 8 o Windows 8.1

  1. En la pantalla Inicio, mueva el puntero hasta la esquina inferior izquierda, haga clic con el botón derecho en el botón Inicio y, a continuación, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, después, seleccione Servidor FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of Internet Information Services and F T P Server pane expanded and F T P Extensibility highlighted.

  4. Haga clic en OK.

  5. Haga clic en Cerrar.

Windows Server 2008 R2

  1. En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, luego, haga clic en Administrador del servidor.

  2. En el panel de jerarquía del Administrador del servidor, expanda Roles y, luego, haga clic en Servidor web (IIS).

  3. En el panel Servidor web (IIS), desplácese hasta la sección Servicios de rol y, luego, haga clic en Agregar servicios de rol.

  4. En la página Seleccionar servicios de rol del Asistente para agregar servicios de rol, expanda Servidor FTP.

  5. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of Select Role Services page displaying F T P Server node expanded and F T P Service selected.

  6. Haga clic en Next.

  7. En la página Confirmar selecciones de instalación, haz clic en Instalar.

  8. En la página Resultados , haga clic en Cerrar.

Windows 7

  1. En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.

  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.

  3. Expanda Internet Information Services y, luego, Servidor FTP.

  4. Seleccione Servicio FTP.

    Nota:

    Para admitir la autenticación ASP.Membership o la autenticación del Administrador de IIS para el servicio FTP, también deberá seleccionar Extensibilidad de FTP.
    Screenshot of Internet Information Services and F T P Server pane expanded showing F T P Extensibility and F T P Service both selected.

  5. Haga clic en OK.

Windows Server 2008 o Windows Vista

  1. Descargue el paquete de instalación desde la siguiente dirección URL:

  2. Siga las instrucciones del siguiente tutorial para instalar el servicio FTP:

Procedimientos

Procedimiento para denegar un comando FTP para un sitio FTP mediante el filtrado de comandos

Nota:

En los pasos siguientes se usa la interfaz de usuario de filtrado de solicitudes FTP, que se introdujo en FTP 7.5; estos pasos no funcionarán si usa FTP 7.0.

  1. Abra el Administrador de Internet Information Services (IIS):

    • Si usa Windows Server 2012 o Windows Server 2012 R2:

      • En la barra de tareas, haga clic en Administrador del servidor, en Herramientas y, a continuación, en Administrador de Internet Information Services (IIS).

    • Si usa Windows 8 o Windows 8.1:

      • Mantenga presionada la tecla Windows, presione la letra X y haga clic en Panel de control.
      • En Panel de control, haga clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Server 2008 o Windows Server 2008 R2:

      • En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Vista o Windows 7:

      • En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.
      • Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).

  2. En el panel Conexiones, expanda el nombre del servidor, expanda el nodo Sitios y, después, haga clic en el nombre del sitio.

  3. En el panel Inicio del sitio, haga doble clic en la característica Filtrado de solicitudes FTP.

  4. Haga clic en la pestaña Comandos.
    Screenshot of F T P Request Filtering feature displaying Deny Command option in the Actions pane.

  5. Haga clic en Denegar comando... en el panel Acciones.

  6. Escriba un comando FTP para denegar. Por ejemplo:

    • Muchos clientes FTP no envían ni necesitan el comando SYST, que puede revelar información sobre el sistema operativo.
    • En FTP 7.0 y FTP 7.5 no se implementa el comando ACCT, por lo que se puede bloquear de forma segura.

  7. Haga clic en OK.
    Screenshot of Deny Command dialog box with S Y S T command populating Command box.

Configuración

El elemento <commandFiltering> se configura en el nivel de sitio.

Atributos

Atributo Descripción
maxCommandLine Atributo uint opcional.

Especifica la longitud máxima de la línea de comandos. Incluye el comando y parámetros. No se procesarán las líneas más largas que el límite configurado.

El valor predeterminado es 4096.
allowUnlisted Atributo Boolean opcional.

Especifica si se van a permitir comandos no incluidos en la lista.

El valor predeterminado es true.

Elementos secundarios

Elemento Descripción
add Elemento opcional.

Agrega una entrada a la colección de comandos FTP.
clear Elemento opcional.

Borra la colección de comandos FTP.
remove Elemento opcional.

Quita una entrada de la colección de comandos FTP.

Ejemplo de configuración

En el ejemplo de configuración siguiente se muestra un elemento <siteDefaults> de ejemplo para un servidor que deshabilita el comando SYST de forma predeterminada. El comando SYST devuelve el sistema operativo host del servidor FTP.

<siteDefaults>
   <ftpServer>
      <security>
         <commandFiltering>
            <add command="SYST" allowed="false" />
         </commandFiltering>
      </security>
   </ftpServer>
</siteDefaults>

Código de ejemplo

Los ejemplos de código siguientes muestran cómo configurar el servicio FTP para denegar el comando SYST de forma predeterminada. El comando SYST devuelve el sistema operativo host del servidor FTP.

AppCmd.exe

appcmd.exe set config -section:system.applicationHost/sites /+"siteDefaults.ftpServer.security.commandFiltering.[command='SYST',allowed='False']" /commit:apphost

Nota:

Debe asegurarse de establecer el parámetrocommit en apphost cuando use AppCmd.exe para configurar estos valores. Esto confirma los valores de configuración en la sección de ubicación adecuada del archivo ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
         ConfigurationElement siteDefaultsElement = sitesSection.GetChildElement("siteDefaults");
         ConfigurationElement ftpServerElement = siteDefaultsElement.GetChildElement("ftpServer");

         ConfigurationElement securityElement = ftpServerElement.GetChildElement("security");
         ConfigurationElement commandFilteringElement = securityElement.GetChildElement("commandFiltering");
         ConfigurationElementCollection commandFilteringCollection = commandFilteringElement.GetCollection();
         ConfigurationElement addElement = commandFilteringCollection.CreateElement("add");
            addElement["command"] = @"SYST";
            addElement["allowed"] = false;
            commandFilteringCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
      Dim siteDefaultsElement As ConfigurationElement = sitesSection.GetChildElement("siteDefaults")
      Dim ftpServerElement As ConfigurationElement = siteDefaultsElement.GetChildElement("ftpServer")

      Dim securityElement As ConfigurationElement = ftpServerElement.GetChildElement("security")
      Dim commandFilteringElement As ConfigurationElement = securityElement.GetChildElement("commandFiltering")
      Dim commandFilteringCollection As ConfigurationElementCollection = commandFilteringElement.GetCollection
      Dim addElement As ConfigurationElement = commandFilteringCollection.CreateElement("add")
         addElement("command") = "SYST"
         addElement("allowed") = False
         commandFilteringCollection.Add(addElement)
 
      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults");
var ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer");

var securityElement = ftpServerElement.ChildElements.Item("security");
var commandFilteringElement = securityElement.ChildElements.Item("commandFiltering");
var commandFilteringCollection = commandFilteringElement.Collection;
var addElement = commandFilteringCollection.CreateNewElement("add");
   addElement.Properties.Item("command").Value = "SYST";
   addElement.Properties.Item("allowed").Value = false;
   commandFilteringCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set siteDefaultsElement = sitesSection.ChildElements.Item("siteDefaults")
Set ftpServerElement = siteDefaultsElement.ChildElements.Item("ftpServer")

Set securityElement = ftpServerElement.ChildElements.Item("security")
Set commandFilteringElement = securityElement.ChildElements.Item("commandFiltering")
Set commandFilteringCollection = commandFilteringElement.Collection
Set addElement = commandFilteringCollection.CreateNewElement("add")
   addElement.Properties.Item("command").Value = "SYST"
   addElement.Properties.Item("allowed").Value = False
   commandFilteringCollection.AddElement(addElement)

adminManager.CommitChanges()