Condividi tramite

Restrizioni <ISAPI/CGI isapiCgiRestriction>

  • Articolo

Panoramica

L'elemento <isapiCgiRestriction> dell'elemento <di sicurezza> consente di specificare un elenco di applicazioni CGI (Common Gateway Interface) e INTERNET Server Application Programming Interface (ISAPI) che possono essere eseguite in Internet Information Services (IIS) 7. Questo elemento consente di assicurarsi che gli utenti malintenzionati non possano copiare file binari CGI e ISAPI non autorizzati nel server Web e quindi eseguirli.

È necessario usare questo elemento per configurare il server Web solo quando un sito o un'applicazione usa un pool di applicazioni eseguito in modalità classica. Le restrizioni configurate nell'elemento <isapiCgiRestriction> si applicano solo al codice ISAPI e CGI.

L'elemento <isapiCgiRestriction> contiene una raccolta di <add> elementi. Ogni <add> elemento definisce un file binario distinto che non può essere eseguito in un server IIS 7 in modalità classica.

Ad esempio, se è stata creata un'applicazione ASP.NET 2.0 e l'applicazione è stata configurata per l'uso di un pool di applicazioni in esecuzione in modalità classica, tutte le richieste per l'applicazione ASP.NET devono passare attraverso il aspnet_isapi.dll da elaborare. Per assicurarsi che IIS elabori le richieste di ASP.NET, IIS popola l'elemento <isapiCgiRestriction> con un <add> elemento che contiene un attributo consentito con il relativo valore impostato su true.

Se l'attributo consentito è stato modificato in false e lasciato il pool di applicazioni in modalità classica, ASP.NET le richieste hanno esito negativo. Tuttavia, se il pool di applicazioni è stato modificato in modalità integrata, IIS elabora le richieste di ASP.NET usando la pipeline di richiesta integrata, ignorando la restrizione ISAPI e CGI configurata.

L'elemento <isapiCgiRestriction> funziona in combinazione con l'elemento <applicationDependencies> per definire le applicazioni con dipendenze da una o più restrizioni di estensione CGI o ISAPI.

Compatibilità

Versione Note
IIS 10.0 L'elemento <isapiCgiRestriction> non è stato modificato in IIS 10.0.
IIS 8,5 L'elemento <isapiCgiRestriction> non è stato modificato in IIS 8.5.
IIS 8,0 L'elemento <isapiCgiRestriction> non è stato modificato in IIS 8.0.
IIS 7,5 L'elemento <isapiCgiRestriction> non è stato modificato in IIS 7.5.
IIS 7.0 L'elemento <isapiCgiRestriction> è stato introdotto in IIS 7.0.
IIS 6.0 L'insieme <isapiCgiRestriction> sostituisce la proprietà WebSvcExtRestrictionList dell'oggetto metabase IIS 6.0 IIsWebService .

Installazione

La <isapiCgiRestriction> raccolta è disponibile solo dopo aver installato i moduli CGI o ISAPI Extensions nel server IIS 7 e versioni successive. Non è possibile installarlo indipendentemente da tali funzionalità.

Windows Server 2012 o Windows Server 2012 R2

  1. Sulla barra delle applicazioni fare clic su Server Manager.
  2. In Server Manager fare clic sul menu Gestisci e quindi su Aggiungi ruoli e funzionalità.
  3. Nella procedura guidata Aggiungi ruoli e funzionalità fare clic su Avanti. Selezionare il tipo di installazione e fare clic su Avanti. Selezionare il server di destinazione e fare clic su Avanti.
  4. Nella pagina Ruoli server espandere Server Web (IIS), Server Web, Deelopment dell'applicazionee quindi selezionareCGI o ISAPI Extensions (Estensioni CGI o ISAPI). Fare clic su Avanti.
    Screenshot della procedura guidata Aggiungi ruoli e funzionalità. L'opzione Estensioni P I È evidenziata nel menu. .
  5. Nella pagina Selezione funzionalità fare clic su Avanti.
  6. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
  7. Nella pagina Risultati fare clic su Chiudi.

Windows 8 o Windows 8.1

  1. Nella schermata Start spostare il puntatore fino all'angolo inferiore sinistro, fare clic con il pulsante destro del mouse sul pulsante Start e quindi scegliere Pannello di controllo.
  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.
  3. Espandere Internet Information Services, servizi Web a livello mondiale, funzionalità di sviluppo di applicazioni e quindi selezionare CGI o ISAPI Extensions(Estensioni CGI o ISAPI).
    Screenshot della finestra di dialogo Funzionalità di Windows. La funzionalità Estensioni I A P I è evidenziata.
  4. Fare clic su OK.
  5. Fare clic su Close.

Windows Server 2008 o Windows Server 2008 R2

  1. Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Server Manager.
  2. Nel riquadro della gerarchia Server Manager espandere Ruoli, quindi fare clic su Server Web (IIS).
  3. Nel riquadro Server Web (IIS) scorrere fino alla sezione Servizi ruolo e quindi fare clic su Aggiungi servizi ruolo.
  4. Nella pagina Selezione servizi ruolo della Procedura guidata Aggiungi servizi ruolo selezionare CGI o ISAPI Extensions.On the Select Role Services page of the Add Role Services Wizard, select CGI or ISAPI Extensions.
    Screenshot della pagina Aggiungi servizi ruolo che mostra la pagina Servizi ruolo. La funzionalità Estensioni I A P I è evidenziata.
  5. Se viene visualizzata la finestra di dialogo Aggiungi servizi ruolo , fare clic su Aggiungi servizi ruolo obbligatori. Questa pagina viene visualizzata solo se non è già stato installato alcun servizio ruolo prerequisito nel server.
  6. Nella pagina Selezione servizi ruolo fare clic su Avanti.
  7. Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
  8. Nella pagina Risultati fare clic su Chiudi.

Windows Vista o Windows 7

  1. Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
  2. In Pannello di controllo fare clic su Programmi e funzionalità e quindi su Attiva o disattiva funzionalità di Windows.
  3. Nella finestra di dialogo Funzionalità di Windows espandere Internet Information Services, quindi Servizi Web globale, quindi Funzionalità di sviluppo di applicazioni.
  4. Selezionare CGI o ISAPI Extensions (Estensioni CGI o ISAPI) e quindi fare clic su OK.
    Screenshot della finestra di dialogo Funzionalità di Windows con la funzionalità Estensioni I A P I evidenziate.

Procedure

Come aggiungere una restrizione ISAPI o CGI

  1. Aprire Gestione Internet Information Services (IIS):

    • Se si usa Windows Server 2012 o Windows Server 2012 R2:

      • Sulla barra delle applicazioni fare clic su Server Manager, scegliere Strumenti, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows 8 o Windows 8.1:

      • Tenere premuto il tasto Windows, premere la lettera X e quindi fare clic su Pannello di controllo.
      • Fare clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Server 2008 o Windows Server 2008 R2:

      • Sulla barra delle applicazioni fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Gestione Internet Information Services (IIS).

    • Se si usa Windows Vista o Windows 7:

      • Sulla barra delle applicazioni fare clic su Start e quindi su Pannello di controllo.
      • Fare doppio clic su Strumenti di amministrazione, quindi fare doppio clic su Gestione Internet Information Services (IIS).

  2. Nel riquadro Connessioni fare clic sul nome del server.

  3. Nel riquadro Home fare doppio clic su RESTRIZIONI ISAPI e CGI.
    Screenshot della finestra I S Manager che mostra la home page del server. L'icona per I S A P I e C G I Restrictions è evidenziata.

  4. Nel riquadro Azioni fare clic su Aggiungi...

  5. Nella finestra di dialogo Aggiungi restrizione ISAPI o CGI digitare il percorso del file binario da aggiungere nella casella ISAPI o CGI percorso digitare la descrizione del file binario nella casella Descrizione , selezionare la casella di controllo Consenti l'esecuzione del percorso di estensione per consentire l'esecuzione del file binario nel server e quindi fare clic su OK.
    Screenshot della finestra di dialogo Aggiungi restrizione P A O C G.

Configurazione

La <isapiCgiRestriction> raccolta può essere configurata solo a livello di server nel file ApplicationHost.config.

Attributi

Attributo Descrizione
notListedIsapisAllowed Attributo booleano facoltativo.

Specifica se i moduli ISAPI non elencati possono essere eseguiti in questo server.

Il valore predefinito è false.
notListedCgisAllowed Attributo booleano facoltativo.

Specifica se i programmi CGI non elencati possono essere eseguiti in questo server.

Il valore predefinito è false.

Elementi figlio

Elemento Descrizione
add Elemento facoltativo.

Aggiunge una restrizione alla raccolta di restrizioni ISAPI e CGI.
remove Elemento facoltativo.

Rimuove un riferimento a una restrizione dall'insieme isapiCgiRestriction.
clear Elemento facoltativo.

Rimuove tutti i riferimenti alle restrizioni dall'insieme isapiCgiRestriction.

Esempio di configurazione

L'esempio di configurazione seguente è la configurazione degli <isapiCgiRestriction> elementi per IIS 7.0 dopo aver installato ASP e ASP.NET versione 2.0.

<security>
   <isapiCgiRestriction>
      <add allowed="true" groupId="ASP"
         path="%windir%\system32\inetsrv\asp.dll"
         description="Active Server Pages" />
      <add allowed="true" groupId="ASP.NET v2.0.50727"
         path="%windir%\Microsoft.NET\Framework\v2.0.50727\aspnet_isapi.dll"
         description="ASP.NET v2.0.50727" />
   </isapiCgiRestriction>
</security>

Codice di esempio

Gli esempi seguenti aggiungono una restrizione ISAPI/CGI per un'estensione ISAPI personalizzata che si trova nella cartella contenuto di un sito Web che si trova in C:\Inetpub\www.contoso.com\wwwroot. Gli esempi specificano il nome, il percorso e il gruppo dell'estensione ISAPI e abilitano l'estensione.

AppCmd.exe

appcmd.exe set config -section:system.webServer/security/isapiCgiRestriction /+"[path='C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll',allowed='True',groupId='ContosoGroup',description='Contoso Extension']" /commit:apphost

Nota

È necessario assicurarsi di impostare il parametro commit su apphost quando si usa AppCmd.exe per configurare queste impostazioni. In questo modo le impostazioni di configurazione vengono confermate nella sezione relativa al percorso appropriato nel file ApplicationHost.config.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection isapiCgiRestrictionSection = config.GetSection("system.webServer/security/isapiCgiRestriction");
         ConfigurationElementCollection isapiCgiRestrictionCollection = isapiCgiRestrictionSection.GetCollection();

         ConfigurationElement addElement = isapiCgiRestrictionCollection.CreateElement("add");
         addElement["path"] = @"C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll";
         addElement["allowed"] = true;
         addElement["groupId"] = @"ContosoGroup";
         addElement["description"] = @"Contoso Extension";
         isapiCgiRestrictionCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim isapiCgiRestrictionSection As ConfigurationSection = config.GetSection("system.webServer/security/isapiCgiRestriction")
      Dim isapiCgiRestrictionCollection As ConfigurationElementCollection = isapiCgiRestrictionSection.GetCollection

      Dim addElement As ConfigurationElement = isapiCgiRestrictionCollection.CreateElement("add")
      addElement("path") = "C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll"
      addElement("allowed") = True
      addElement("groupId") = "ContosoGroup"
      addElement("description") = "Contoso Extension"
      isapiCgiRestrictionCollection.Add(addElement)

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var isapiCgiRestrictionSection = adminManager.GetAdminSection("system.webServer/security/isapiCgiRestriction", "MACHINE/WEBROOT/APPHOST");
var isapiCgiRestrictionCollection = isapiCgiRestrictionSection.Collection;

var addElement = isapiCgiRestrictionCollection.CreateNewElement("add");
addElement.Properties.Item("path").Value = "C:\\Inetpub\\www.contoso.com\\wwwroot\\isapi\\custom.dll";
addElement.Properties.Item("allowed").Value = true;
addElement.Properties.Item("groupId").Value = "ContosoGroup";
addElement.Properties.Item("description").Value = "Contoso Extension";
isapiCgiRestrictionCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set isapiCgiRestrictionSection = adminManager.GetAdminSection("system.webServer/security/isapiCgiRestriction", "MACHINE/WEBROOT/APPHOST")
Set isapiCgiRestrictionCollection = isapiCgiRestrictionSection.Collection

Set addElement = isapiCgiRestrictionCollection.CreateNewElement("add")
addElement.Properties.Item("path").Value = "C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll"
addElement.Properties.Item("allowed").Value = True
addElement.Properties.Item("groupId").Value = "ContosoGroup"
addElement.Properties.Item("description").Value = "Contoso Extension"
isapiCgiRestrictionCollection.AddElement(addElement)

adminManager.CommitChanges()