Compartir a través de

Restricciones de ISAPI/CGI <isapiCgiRestriction>

  • Artículo

Información general

El elemento <isapiCgiRestriction> del elemento < de seguridad> permite especificar una lista de aplicaciones de interfaz de puerta de enlace común (CGI) e interfaz de programación de aplicaciones de servidor de Internet (ISAPI) que se pueden ejecutar en Internet Information Services (IIS) 7. Este elemento le permite asegurarse de que los usuarios malintencionados no puedan copiar archivos binarios CGI e ISAPI no autorizados en el servidor web ni ejecutarlos.

Debe usar este elemento para configurar el servidor web solo cuando un sitio o aplicación usa un grupo de aplicaciones que se ejecuta en modo clásico. Las restricciones que configure en el elemento <isapiCgiRestriction> solo se aplican al código ISAPI y CGI.

El elemento <isapiCgiRestriction> contiene una colección de elementos <add>. Cada elemento <add> define un binario distinto que no se puede ejecutar en un servidor IIS 7 en Modo clásico.

Por ejemplo, si creó una aplicación de ASP.NET 2.0 y configuró la aplicación para usar un grupo de aplicaciones que se ejecuta en modo clásico, las solicitudes de la aplicación de ASP.NET deben pasar por el aspnet_isapi.dll que se va a procesar. Para asegurarse de que IIS procesa las solicitudes de ASP.NET, IIS rellena el elemento <isapiCgiRestriction> con un elemento <add> que contiene un atributo permitido con su valor establecido en true.

Si cambió el atributo permitido a false y dejó el grupo de aplicaciones en modo clásico, se producirá un error en las solicitudes de ASP.NET. Sin embargo, si ha cambiado el grupo de aplicaciones al modo integrado, IIS procesa las solicitudes de ASP.NET mediante la canalización de solicitudes integrada, que omite la restricción ISAPI y CGI que configuró.

El elemento <isapiCgiRestriction> funciona junto con el elemento <applicationDependencies> para definir qué aplicaciones tienen dependencias en una o varias restricciones de extensión de CGI o ISAPI.

Compatibilidad

Versión Notas
IIS 10.0 El elemento <isapiCgiRestriction> no se modificó en IIS 10.0.
IIS 8.5 El elemento <isapiCgiRestriction> no se modificó en IIS 8.5.
IIS 8.0 El elemento <isapiCgiRestriction> no se modificó en IIS 8.0.
IIS 7.5 El elemento <isapiCgiRestriction> no se modificó en IIS 7.5.
IIS 7.0 El elemento <isapiCgiRestriction> se introdujo en IIS 7.0.
IIS 6,0 La colección <isapiCgiRestriction> reemplaza la propiedad WebSvcExtRestrictionList del objeto IIS 6.0 metabase IIsWebService.

Configuración

La colección <isapiCgiRestriction> solo está disponible después de instalar los módulos CGI o extensiones ISAPI en el servidor IIS 7 y versiones posteriores. No se puede instalar independientemente de esas características.

Windows Server 2012 o Windows Server 2012 R2

  1. En la barra de tareas, haga clic en Administrador del servidor.
  2. En Administrador del servidor, haga clic en el menú Administrar y, después, haga clic en Agregar roles y características.
  3. En el asistente para Agregar roles y características, haga clic en Siguiente. Seleccione el tipo de instalación y haga clic en Siguiente. Seleccione el servidor de destino y haga clic en Siguiente.
  4. En la página Roles de servidor, expanda Servidor web (IIS), expanda Servidor web, expanda Application Development y, a continuación, seleccione CGI o extensiones ISAPI. Haga clic en Next.
    Screenshot of the Add Roles and Features wizard. I S A P I Extensions option is highlighted in the menu. .
  5. En la página Seleccionar características, haz clic en Siguiente.
  6. En la página Confirmar selecciones de instalación, haga clic en Instalar.
  7. En la página Resultados , haga clic en Cerrar.

Windows 8 o Windows 8.1

  1. En la pantalla Inicio, mueva el puntero hasta la esquina inferior izquierda, haga clic con el botón derecho en el botón Inicio y, a continuación, haga clic en Panel de control.
  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.
  3. Expanda sucesivamente Internet Information Services, Servicios World Wide Web y Características de desarrollo de aplicaciones y, a continuación, seleccione CGI o ISAPI Extensions.
    Screenshot of the Windows Features dialog box. The I S A P I Extensions feature is highlighted.
  4. Haga clic en OK.
  5. Haga clic en Cerrar.

Windows Server 2008 o Windows Server 2008 R2

  1. En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, luego, haga clic en Administrador del servidor.
  2. En el panel de jerarquía del Administrador del servidor, expanda Roles y, luego, haga clic en Servidor web (IIS).
  3. En el panel Servidor web (IIS), desplácese hasta la sección Servicios de rol y, luego, haga clic en Agregar servicios de rol.
  4. En la página Seleccionar servicios de rol del Asistente para agregar servicios de rol, seleccione CGI y haga clic en ISAPI Extensions.
    Screenshot of the Add Role Services displaying the Role Services page. The I S A P I Extensions feature is highlighted.
  5. Si aparece el cuadro de diálogo Agregar servicios de rol, haga clic en Agregar servicios de rol necesarios. (Esta página solo aparece si aún no ha instalado ningún servicio de rol de requisito previo en el servidor).
  6. En la página Seleccionar servicios de rol, haga clic en Siguiente.
  7. En la página Confirmar selecciones de instalación, haz clic en Instalar.
  8. En la página Resultados , haga clic en Cerrar.

Windows Vista o Windows 7

  1. En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.
  2. En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.
  3. En el cuadro de diálogo Características de Windows, expanda Internet Information Services, después World Wide Web Services y, a continuación, Características de desarrollo de aplicaciones.
  4. Seleccione Extensiones de CGI o ISAPI y, a continuación, haga clic en Aceptar.
    Screenshot of the Windows Features dialog with the I S A P I Extensions feature highlighted.

Procedimientos

Adición de una restricción de ISAPI o CGI

  1. Abra el Administrador de Internet Information Services (IIS):

    • Si usa Windows Server 2012 o Windows Server 2012 R2:

      • En la barra de tareas, haga clic en Administrador del servidor, en Herramientas y, a continuación, en Administrador de Internet Information Services (IIS).

    • Si usa Windows 8 o Windows 8.1:

      • Mantenga presionada la tecla Windows, presione la letra X y haga clic en Panel de control.
      • En Panel de control, haga clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Server 2008 o Windows Server 2008 R2:

      • En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

    • Si usa Windows Vista o Windows 7:

      • En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.
      • Haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Administrador de Internet Information Services (IIS).

  2. En el panel Conexiones, haga clic en el nombre del servidor.

  3. En el panel Inicio, haga doble clic en ISAPI y Restricciones de CGI.
    Screenshot of the I I S Manager window displaying the Server Home page. The icon for I S A P I and C G I Restrictions is highlighted.

  4. En el panel Acciones, haga clic en Agregar....

  5. En el cuadro de diálogo Agregar restricción ISAPI o CGI, escriba la ruta de acceso al binario que desea agregar en el cuadro de ruta de acceso ISAPI o CGI, escriba la descripción del archivo binario en el cuadro Descripción, active la casilla Permitir la ejecución de la ruta de acceso de extensión para permitir que el binario se ejecute en el servidor y haga clic en Aceptar.
    Screenshot of the Add I S A P I or C G I Restriction dialog box.

Configuración

La colección <isapiCgiRestriction> solo se puede configurar en el nivel de servidor en el archivo ApplicationHost.config.

Atributos

Atributo Descripción
notListedIsapisAllowed Atributo Boolean opcional.

Especifica si los módulos ISAPI sin incluir en la lista pueden ejecutarse en este servidor.

El valor predeterminado es false.
notListedCgisAllowed Atributo Boolean opcional.

Especifica si los programas CGI sin incluir en la lista pueden ejecutarse en este servidor.

El valor predeterminado es false.

Elementos secundarios

Elemento Descripción
add Elemento opcional.

Agrega una restricción a la colección de restricciones de ISAPI y CGI.
remove Elemento opcional.

Quita una referencia a una restricción de la colección isapiCgiRestriction.
clear Elemento opcional.

Quita todas las referencias a restricciones de la colección isapiCgiRestriction.

Ejemplo de configuración

El ejemplo de configuración siguiente es la configuración de elementos <isapiCgiRestriction> para IIS 7.0 después de instalar ASP y ASP.NET versión 2.0.

<security>
   <isapiCgiRestriction>
      <add allowed="true" groupId="ASP"
         path="%windir%\system32\inetsrv\asp.dll"
         description="Active Server Pages" />
      <add allowed="true" groupId="ASP.NET v2.0.50727"
         path="%windir%\Microsoft.NET\Framework\v2.0.50727\aspnet_isapi.dll"
         description="ASP.NET v2.0.50727" />
   </isapiCgiRestriction>
</security>

Código de ejemplo

En los ejemplos siguientes se agrega una restricción ISAPI/CGI para una extensión ISAPI personalizada que se encuentra en la carpeta de contenido de un sitio web que se encuentra en C:\Inetpub\www.contoso.com\wwwroot. Los ejemplos especifican el nombre, la ruta de acceso y el grupo de la extensión ISAPI y habilitan la extensión.

AppCmd.exe

appcmd.exe set config -section:system.webServer/security/isapiCgiRestriction /+"[path='C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll',allowed='True',groupId='ContosoGroup',description='Contoso Extension']" /commit:apphost

Nota:

Debe asegurarse de establecer el parámetro de confirmación en apphost cuando use AppCmd.exe para configurar estas opciones. Esto confirma los valores de configuración en la sección de ubicación adecuada del archivo ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection isapiCgiRestrictionSection = config.GetSection("system.webServer/security/isapiCgiRestriction");
         ConfigurationElementCollection isapiCgiRestrictionCollection = isapiCgiRestrictionSection.GetCollection();

         ConfigurationElement addElement = isapiCgiRestrictionCollection.CreateElement("add");
         addElement["path"] = @"C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll";
         addElement["allowed"] = true;
         addElement["groupId"] = @"ContosoGroup";
         addElement["description"] = @"Contoso Extension";
         isapiCgiRestrictionCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim isapiCgiRestrictionSection As ConfigurationSection = config.GetSection("system.webServer/security/isapiCgiRestriction")
      Dim isapiCgiRestrictionCollection As ConfigurationElementCollection = isapiCgiRestrictionSection.GetCollection

      Dim addElement As ConfigurationElement = isapiCgiRestrictionCollection.CreateElement("add")
      addElement("path") = "C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll"
      addElement("allowed") = True
      addElement("groupId") = "ContosoGroup"
      addElement("description") = "Contoso Extension"
      isapiCgiRestrictionCollection.Add(addElement)

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var isapiCgiRestrictionSection = adminManager.GetAdminSection("system.webServer/security/isapiCgiRestriction", "MACHINE/WEBROOT/APPHOST");
var isapiCgiRestrictionCollection = isapiCgiRestrictionSection.Collection;

var addElement = isapiCgiRestrictionCollection.CreateNewElement("add");
addElement.Properties.Item("path").Value = "C:\\Inetpub\\www.contoso.com\\wwwroot\\isapi\\custom.dll";
addElement.Properties.Item("allowed").Value = true;
addElement.Properties.Item("groupId").Value = "ContosoGroup";
addElement.Properties.Item("description").Value = "Contoso Extension";
isapiCgiRestrictionCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set isapiCgiRestrictionSection = adminManager.GetAdminSection("system.webServer/security/isapiCgiRestriction", "MACHINE/WEBROOT/APPHOST")
Set isapiCgiRestrictionCollection = isapiCgiRestrictionSection.Collection

Set addElement = isapiCgiRestrictionCollection.CreateNewElement("add")
addElement.Properties.Item("path").Value = "C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll"
addElement.Properties.Item("allowed").Value = True
addElement.Properties.Item("groupId").Value = "ContosoGroup"
addElement.Properties.Item("description").Value = "Contoso Extension"
isapiCgiRestrictionCollection.AddElement(addElement)

adminManager.CommitChanges()