ISAPI/CGI-Einschränkungen <isapiCgiRestriction>

  • Artikel

Übersicht

Mit dem <isapiCgiRestriction>-Element des <Sicherheitselements> können Sie eine Liste der gemeinsamen Gatewayschnittstellen (CGI) und ISAPI-Anwendungen (Internet Server Application Programming Interface) angeben, die auf Internetinformationsdiensten (IIS) 7 ausgeführt werden können. Mit diesem Element können Sie sicherstellen, dass böswillige Benutzer keine nicht autorisierten CGI- und ISAPI-Binärdateien auf Ihren Webserver kopieren und dann ausführen können.

Sie müssen dieses Element verwenden, um Ihren Webserver nur zu konfigurieren, wenn ein Standort oder eine Anwendung einen Anwendungspool verwendet, der im klassischen Modus ausgeführt wird. Die im Element <isapiCgiRestriction> konfigurierten Einschränkungen gelten nur für ISAPI- und CGI-Code.

Das <isapiCgiRestriction>-Element enthält eine Auflistung von <add>-Elementen. Jedes <add>-Element definiert eine unterschiedliche Binärdatei, die nicht auf einem IIS 7-Server im klassischen Modus ausgeführt werden kann.

Wenn Sie beispielsweise eine ASP.NET 2.0-Anwendung erstellt und die Anwendung so konfiguriert haben, dass ein Anwendungspool verwendet wird, der im klassischen Modus ausgeführt wird, müssen alle Anforderungen für die ASP.NET-Anwendung die zu verarbeitenden aspnet_isapi.dll durchlaufen. Um sicherzustellen, dass IIS die ASP.NET-Anforderungen verarbeitet, füllt IIS das <isapiCgiRestriction>-Element mit einem <add>-Element auf, das ein zulässiges Attribut enthält, dessen Wert auf wahr festgelegt ist.

Wenn Sie das zulässige Attribut auf falsch geändert haben und den Anwendungspool im klassischen Modus verlassen haben, schlagen ASP.NET-Anforderungen fehl. Wenn Sie den Anwendungspool jedoch in den integrierten Modus geändert haben, verarbeitet IIS die ASP.NET-Anforderungen mithilfe der integrierten Anforderungspipeline, die die von Ihnen konfigurierte ISAPI- und CGI-Einschränkung umgeht.

Das <isapiCgiRestriction>-Element funktioniert zusammen mit dem <applicationDependencies>-Element, um zu definieren, welche Anwendungen Abhängigkeiten von einer oder mehreren CGI- oder ISAPI-Erweiterungseinschränkungen aufweisen.

Kompatibilität

Version Hinweise
IIS 10.0 Das <isapiCgiRestriction> Element wurde in IIS 10.0 nicht geändert.
IIS 8.5 Das <isapiCgiRestriction> Element wurde in IIS 8.5 nicht geändert.
IIS 8.0 Das <isapiCgiRestriction> Element wurde in IIS 8.0 nicht geändert.
IIS 7.5 Das <isapiCgiRestriction>-Element wurde in IIS 7.5 nicht geändert.
IIS 7.0 Das <isapiCgiRestriction>-Element wurde in IIS 7.0 eingeführt.
IIS 6.0 Die <isapiCgiRestriction>-Auflistung ersetzt die WebSvcExtRestrictionList-Eigenschaft des IIS 6.0 Metabasisobjekts IIsWebService.

Setup

Die <isapiCgiRestriction>-Auflistung ist erst verfügbar, nachdem Sie die Module CGI- oder ISAPI-Erweiterungen auf Ihrem Server IIS 7 und höher installiert haben. Sie können sie nicht unabhängig von diesen Features installieren.

Windows Server 2012 oder Windows Server 2012 R2

  1. Klicken Sie auf der Taskleiste auf Server-Manager.
  2. Klicken Sie im Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.
  3. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Features auf Weiter. Wählen Sie den Installationstyp aus, und klicken Sie auf Weiter. Wählen Sie den Zielserver aus, und klicken Sie auf Weiter.
  4. Erweitern Sie auf der Seite ServerrollenWebserver (IIS), erweitern Sie Webserver-, erweitern Sie Anwendungsdefinition, und wählen Sie dann CGI- oder ISAPI-Erweiterungen aus. Klicken Sie auf Weiter.
    Screenshot of the Add Roles and Features wizard. I S A P I Extensions option is highlighted in the menu. .
  5. Klicken Sie auf der Seite Features auswählen auf Weiter.
  6. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  7. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows 8 oder Windows 8.1

  1. Bewegen Sie auf dem Startbildschirm den Mauszeiger ganz nach links unten, klicken Sie mit der rechten Maustaste auf die Starttaste und klicken Sie dann auf Systemsteuerung.
  2. Klicken Sie in der Systemsteuerung auf Programme und Features, und klicken Sie dann auf Windows-Features aktivieren oder deaktivieren.
  3. Erweitern Sie Internetinformationsdienste, erweitern Sie World Wide Web Services, erweitern Sie Anwendungsentwicklungsfeatures, und wählen Sie dann CGI- oder ISAPI-Erweiterungen aus.
    Screenshot of the Windows Features dialog box. The I S A P I Extensions feature is highlighted.
  4. Klicken Sie auf OK.
  5. Klicken Sie auf Schließen.

Windows Server 2008 oder Windows Server 2008 R2

  1. Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Verwaltungstools, und klicken Sie dann auf Server-Manager.
  2. Erweitern Sie im Hierarchiebereich des Server-Managers die Rollenund klicken Sie dann auf den Webserver (IIS) .
  3. Scrollen Sie im Bereich Webserver (IIS) zum Abschnitt Rollendienste, und klicken Sie dann auf Rollendienste hinzufügen.
  4. Wählen Sie auf der Seite Rollendienste des Assistenten zum Hinzufügen von RollendienstenCGI- oder ISAPI-Erweiterungenaus.
    Screenshot of the Add Role Services displaying the Role Services page. The I S A P I Extensions feature is highlighted.
  5. Wenn das Dialogfeld Rollendienste hinzufügen angezeigt wird, klicken Sie auf Erforderliche Rollendienste hinzufügen. (Diese Seite wird nur angezeigt, wenn Sie noch keine erforderlichen Rollendienste auf Ihrem Server installiert haben.)
  6. Klicken Sie auf der Seite Rollendienste auswählen auf Weiter.
  7. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  8. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows Vista oder Windows 7

  1. Klicken Sie auf der Taskleiste auf Start und dann auf Systemsteuerung.
  2. Klicken Sie in der Systemsteuerungauf Programmeund dann auf Windows-Features aktivieren oder deaktivieren.
  3. Erweitern Sie im Dialogfeld Windows-Features Internetinformationsdienste, World Wide Web Services und Anwendungsentwicklungsfeatures.
  4. Wählen Sie CGI- oder ISAPI-Erweiterungen aus, und klicken Sie dann auf OK.
    Screenshot of the Windows Features dialog with the I S A P I Extensions feature highlighted.

Gewusst wie

So fügen Sie eine ISAPI- oder CGI-Einschränkung hinzu

  1. Öffnen Sie den Internet Information Services (IIS) Manager:

    • Wenn Sie Windows Server 2012 oder Windows Server 2012 R2 verwenden:

      • Klicken Sie der der Taskleiste auf Server-Managerdann auf Toolsund dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows 8 oder Windows 8.1 verwenden:

      • Halten Sie die Windows-Taste gedrückt, drücken Sie den Buchstaben X, und klicken Sie dann auf "Systemsteuerung".
      • Klicken Sie auf Verwaltungund doppelklicken Sie dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows Server 2008 oder Windows Server 2008 R2 verwenden:

      • Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Verwaltungund dann auf den Internet Information Services (IIS) Manager.

    • Wenn Sie Windows Vista oder Windows 7 verwenden:

      • Klicken Sie auf der Taskleiste auf Start und dann auf Systemsteuerung.
      • Doppelklicken Sie auf Verwaltungund doppelklicken Sie dann auf den Internet Information Services (IIS) Manager.

  2. Klicken Sie im Bereich Verbindungen auf den Servernamen.

  3. Doppelklicken Sie im Startbereich auf ISAPI- und CGI-Einschränkungen.
    Screenshot of the I I S Manager window displaying the Server Home page. The icon for I S A P I and C G I Restrictions is highlighted.

  4. Klicken Sie im Bereich Aktionen auf Hinzufügen...

  5. Geben Sie im Dialogfeld ISAPI- oder CGI-Beschränkung hinzufügen den Pfad zur Binärdatei ein, die Sie im Feld ISAPI- oder CGI-Pfad hinzufügen möchten, geben Sie die Beschreibung der Binärdatei im Feld Beschreibung ein, und aktivieren Sie die Option Erweiterungspfad zulassen, um Auszuführen, um die Binärdatei auf dem Server ausführen zu können, und klicken Sie dann auf OK.
    Screenshot of the Add I S A P I or C G I Restriction dialog box.

Konfiguration

Die <isapiCgiRestriction>-Auflistung kann nur auf Serverebene in der Datei ApplicationHost.config konfiguriert werden.

Attribute

Attribut Beschreibung
notListedIsapisAllowed Optionales boolesches Attribut.

Gibt an, ob nicht aufgelistete ISAPI-Module auf diesem Server ausgeführt werden dürfen.

Der Standardwert ist false.
notListedCgisAllowed Optionales boolesches Attribut.

Gibt an, ob nicht aufgelistete CGI-Programme auf diesem Server ausgeführt werden dürfen.

Der Standardwert ist false.

Untergeordnete Elemente

Element Beschreibung
add Optionales Element.

Fügt der Auflistung von ISAPI- und CGI-Einschränkungen eine Einschränkung hinzu.
remove Optionales Element.

Entfernt einen Verweis auf eine Einschränkung aus der isapiCgiRestriction-Auflistung.
clear Optionales Element.

Entfernt alle Verweise auf Einschränkungen aus der isapiCgiRestriction-Auflistung.

Konfigurationsbeispiel

Das folgende Konfigurationsbeispiel ist die <isapiCgiRestriction>-Elementkonfiguration für IIS 7.0 nach der Installation von ASP und ASP.NET Version 2.0.

<security>
   <isapiCgiRestriction>
      <add allowed="true" groupId="ASP"
         path="%windir%\system32\inetsrv\asp.dll"
         description="Active Server Pages" />
      <add allowed="true" groupId="ASP.NET v2.0.50727"
         path="%windir%\Microsoft.NET\Framework\v2.0.50727\aspnet_isapi.dll"
         description="ASP.NET v2.0.50727" />
   </isapiCgiRestriction>
</security>

Beispielcode

Die folgenden Beispiele fügen eine ISAPI/CGI-Einschränkung für eine benutzerdefinierte ISAPI-Erweiterung hinzu, die sich im Inhaltsordner für eine Website befindet, die sich wiederum in C:\Inetpub\www.contoso.com\wwwroot befindet. In den Beispielen werden der Name, der Pfad und die Gruppe der ISAPI-Erweiterung angegeben und die Erweiterung aktiviert.

AppCmd.exe

appcmd.exe set config -section:system.webServer/security/isapiCgiRestriction /+"[path='C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll',allowed='True',groupId='ContosoGroup',description='Contoso Extension']" /commit:apphost

Hinweis

Sie müssen unbedingt den Commitparameterapphost festlegen, wenn Sie AppCmd.exe verwenden, um diese Einstellungen zu konfigurieren. Dadurch werden die Konfigurationseinstellungen auf den entsprechenden Speicherortabschnitt in der Datei ApplicationHost.config festgelegt.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection isapiCgiRestrictionSection = config.GetSection("system.webServer/security/isapiCgiRestriction");
         ConfigurationElementCollection isapiCgiRestrictionCollection = isapiCgiRestrictionSection.GetCollection();

         ConfigurationElement addElement = isapiCgiRestrictionCollection.CreateElement("add");
         addElement["path"] = @"C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll";
         addElement["allowed"] = true;
         addElement["groupId"] = @"ContosoGroup";
         addElement["description"] = @"Contoso Extension";
         isapiCgiRestrictionCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim isapiCgiRestrictionSection As ConfigurationSection = config.GetSection("system.webServer/security/isapiCgiRestriction")
      Dim isapiCgiRestrictionCollection As ConfigurationElementCollection = isapiCgiRestrictionSection.GetCollection

      Dim addElement As ConfigurationElement = isapiCgiRestrictionCollection.CreateElement("add")
      addElement("path") = "C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll"
      addElement("allowed") = True
      addElement("groupId") = "ContosoGroup"
      addElement("description") = "Contoso Extension"
      isapiCgiRestrictionCollection.Add(addElement)

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var isapiCgiRestrictionSection = adminManager.GetAdminSection("system.webServer/security/isapiCgiRestriction", "MACHINE/WEBROOT/APPHOST");
var isapiCgiRestrictionCollection = isapiCgiRestrictionSection.Collection;

var addElement = isapiCgiRestrictionCollection.CreateNewElement("add");
addElement.Properties.Item("path").Value = "C:\\Inetpub\\www.contoso.com\\wwwroot\\isapi\\custom.dll";
addElement.Properties.Item("allowed").Value = true;
addElement.Properties.Item("groupId").Value = "ContosoGroup";
addElement.Properties.Item("description").Value = "Contoso Extension";
isapiCgiRestrictionCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set isapiCgiRestrictionSection = adminManager.GetAdminSection("system.webServer/security/isapiCgiRestriction", "MACHINE/WEBROOT/APPHOST")
Set isapiCgiRestrictionCollection = isapiCgiRestrictionSection.Collection

Set addElement = isapiCgiRestrictionCollection.CreateNewElement("add")
addElement.Properties.Item("path").Value = "C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll"
addElement.Properties.Item("allowed").Value = True
addElement.Properties.Item("groupId").Value = "ContosoGroup"
addElement.Properties.Item("description").Value = "Contoso Extension"
isapiCgiRestrictionCollection.AddElement(addElement)

adminManager.CommitChanges()