ISAPI/CGI 제한 <isapiCgiRestriction>

  • 아티클

개요

보안 요소의 요소를 사용하면 IIS(인터넷 정보 서비스) 7에서 실행할 수 있는 CGI(Common Gateway Interface) 및 ISAPI(Internet Server Application Programming Interface) 애플리케이션 목록을 지정할 수 있습니다.<><isapiCgiRestriction> 이 요소를 사용하면 악의적인 사용자가 권한 없는 CGI 및 ISAPI 이진 파일을 웹 서버에 복사한 다음 실행할 수 없도록 할 수 있습니다.

사이트 또는 애플리케이션이 클래식 모드에서 실행되는 애플리케이션 풀을 사용하는 경우에만 이 요소를 사용하여 웹 서버를 구성해야 합니다. 요소에서 <isapiCgiRestriction> 구성하는 제한 사항은 ISAPI 및 CGI 코드에만 적용됩니다.

요소에는 <isapiCgiRestriction> 요소의 <add> 컬렉션이 포함되어 있습니다. 각 <add> 요소는 클래식 모드의 IIS 7 서버에서 실행할 수 없는 고유한 이진 파일을 정의합니다.

예를 들어 ASP.NET 2.0 애플리케이션을 만들고 클래식 모드에서 실행되는 애플리케이션 풀을 사용하도록 애플리케이션을 구성한 경우 ASP.NET 애플리케이션에 대한 모든 요청은 처리할 aspnet_isapi.dll 통과해야 합니다. IIS가 ASP.NET 요청을 처리하도록 하기 위해 IIS는 값을 true<add> 설정하여 허용된 특성이 포함된 요소로 요소를 채웁니다<isapiCgiRestriction>.

허용된 특성을 false 로 변경하고 애플리케이션 풀을 클래식 모드로 두면 ASP.NET 요청이 실패합니다. 그러나 애플리케이션 풀을 통합 모드로 변경한 경우 IIS는 구성된 ISAPI 및 CGI 제한을 우회하는 통합 요청 파이프라인을 사용하여 ASP.NET 요청을 처리합니다.

요소는 <isapiCgiRestriction>applicationDependencies> 요소와< 함께 작동하여 하나 이상의 CGI 또는 ISAPI 확장 제한에 종속된 애플리케이션을 정의합니다.

호환성

버전 참고
IIS 10.0 <isapiCgiRestriction> 요소가 IIS 10.0에서 수정되지 않았습니다.
IIS 8.5 <isapiCgiRestriction> 요소가 IIS 8.5에서 수정되지 않았습니다.
IIS 8.0 <isapiCgiRestriction> 요소가 IIS 8.0에서 수정되지 않았습니다.
IIS 7.5 <isapiCgiRestriction> 요소가 IIS 7.5에서 수정되지 않았습니다.
IIS 7.0 요소는 <isapiCgiRestriction> IIS 7.0에서 도입되었습니다.
IIS 6.0 컬렉션은 <isapiCgiRestriction> IIS 6.0 IIsWebService 메타베이스 개체의 WebSvcExtRestrictionList 속성을 대체합니다.

설치 프로그램

컬렉션은 <isapiCgiRestriction> IIS 7 이상 서버에 CGI 또는 ISAPI 확장 모듈을 설치한 후에만 사용할 수 있습니다. 이러한 기능과 독립적으로 설치할 수 없습니다.

Windows Server 2012 또는 Windows Server 2012 R2

  1. 작업 표시줄에서 서버 관리자를 클릭합니다.
  2. 서버 관리자관리 메뉴를 클릭한 다음 역할 및 기능 추가를 클릭합니다.
  3. 역할 및 기능 추가 마법사에서 다음을 클릭합니다. 설치 유형을 선택하고 다음을 클릭합니다. 대상 서버를 선택하고 다음을 클릭합니다.
  4. 서버 역할 페이지에서 웹 서버(IIS)를 확장하고, 웹 서버를 확장하고, 애플리케이션 디플로페이션을 확장한 다음, CGI 또는 ISAPI 확장을 선택합니다. 다음을 클릭합니다.
    역할 및 기능 추가 마법사의 스크린샷. IS AP 확장 옵션이 메뉴에서 강조 표시됩니다. .
  5. 기능 선택 페이지에서 다음을 클릭합니다.
  6. 설치 선택 확인 페이지에서 설치를 클릭합니다.
  7. Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows 8 또는 Windows 8.1

  1. 시작 화면에서 포인터를 왼쪽 아래 모서리로 이동하고 시작 단추를 마우스 오른쪽 단추로 클릭한 다음 제어판 클릭합니다.
  2. 제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.
  3. 인터넷 정보 서비스를 확장하고 World Wide Web Services를 확장한 다음, 애플리케이션 개발 기능을 확장한 다음, CGI 또는 ISAPI 확장을 선택합니다.
    Windows 기능 대화 상자의 스크린샷. I S AP I 확장 기능이 강조 표시되어 있습니다.
  4. 확인을 클릭합니다.
  5. 닫기를 클릭합니다.

Windows Server 2008 또는 Windows Server 2008 R2

  1. 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 서버 관리자 클릭합니다.
  2. 서버 관리자 계층 창에서 역할을 확장한 다음 웹 서버(IIS)를 클릭합니다.
  3. 웹 서버(IIS) 창에서 역할 서비스 섹션으로 스크롤한 다음 역할 서비스 추가를 클릭합니다.
  4. 역할 서비스 추가 마법사역할 서비스 선택 페이지에서 CGI 또는 ISAPI 확장을 선택합니다.
    역할 서비스 페이지를 표시하는 역할 서비스 추가의 스크린샷. I S AP I 확장 기능이 강조 표시되어 있습니다.
  5. 역할 서비스 추가 대화 상자가 나타나면 필요한 역할 서비스 추가를 클릭합니다. (이 페이지는 서버에 필수 역할 서비스를 아직 설치하지 않은 경우에만 표시됩니다.)
  6. 역할 서비스 선택 페이지에서 다음을 클릭합니다.
  7. 설치 선택 확인 페이지에서 설치를 클릭합니다.
  8. Results(결과) 페이지에서 Close(닫기)를 클릭합니다.

Windows Vista 또는 Windows 7

  1. 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
  2. 제어판프로그램 및 기능을 클릭한 다음 Windows 기능 켜기 또는 끄기를 클릭합니다.
  3. Windows 기능 대화 상자에서 인터넷 정보 서비스, World Wide Web Services, 애플리케이션 개발 기능을 차례로 확장합니다.
  4. CGI 또는 ISAPI 확장을 선택한 다음 확인을 클릭합니다.
    IS AP 확장 기능이 강조 표시된 Windows 기능 대화 상자의 스크린샷.

방법

ISAPI 또는 CGI 제한을 추가하는 방법

  1. IIS(인터넷 정보 서비스) 관리자를 엽니다.

    • Windows Server 2012 또는 Windows Server 2012 R2를 사용하는 경우:

      • 작업 표시줄에서 서버 관리자 클릭하고 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows 8 또는 Windows 8.1 사용하는 경우:

      • Windows 키를 누른 채로 문자 X를 누른 다음 제어판 클릭합니다.
      • 관리 도구를 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

    • Windows Server 2008 또는 Windows Server 2008 R2를 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭하고 관리 도구를 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

    • Windows Vista 또는 Windows 7을 사용하는 경우:

      • 작업 표시줄에서 시작을 클릭한 다음 제어판 클릭합니다.
      • 관리 도구를 두 번 클릭한 다음 IIS(인터넷 정보 서비스) 관리자를 두 번 클릭합니다.

  2. 연결 창에서 서버 이름을 클릭합니다.

  3. 창에서 ISAPI 및 CGI 제한을 두 번 클릭합니다.
    서버 홈 페이지를 표시하는 I S 관리자 창의 스크린샷 IS API 및 CG I 제한에 대한 아이콘이 강조 표시되어 있습니다.

  4. 작업 창에서 추가...를 클릭합니다.

  5. ISAPI 또는 CGI 제한 추가 대화 상자에서 ISAPI 또는 CGI 경로 상자에 추가할 이진 파일의 경로를 입력하고 설명 상자에 이진 파일에 대한 설명을 입력한 다음 확장 경로 허용 옵션을 선택하여 서버에서 이진 파일을 실행할 수 있도록 검사 상자를 선택한 다음 확인을 클릭합니다.
    I S AP I 또는 CG I 제한 추가 대화 상자의 스크린샷.

구성

컬렉션은 <isapiCgiRestriction> ApplicationHost.config 파일의 서버 수준에서만 구성할 수 있습니다.

특성

attribute Description
notListedIsapisAllowed 선택적 부울 특성입니다.

목록에 없는 ISAPI 모듈을 이 서버에서 실행할 수 있는지 여부를 지정합니다.

기본값은 false입니다.
notListedCgisAllowed 선택적 부울 특성입니다.

목록에 없는 CGI 프로그램을 이 서버에서 실행할 수 있는지 여부를 지정합니다.

기본값은 false입니다.

자식 요소

요소 Description
add 선택적 요소입니다.

ISAPI 및 CGI 제한의 컬렉션에 제한을 추가합니다.
remove 선택적 요소입니다.

isapiCgiRestriction 컬렉션에서 제한에 대한 참조를 제거합니다.
clear 선택적 요소입니다.

isapiCgiRestriction 컬렉션에서 제한 사항에 대한 모든 참조를 제거합니다.

구성 샘플

다음 구성 예제는 <isapiCgiRestriction> ASP 및 ASP.NET 버전 2.0을 설치한 후 IIS 7.0에 대한 요소 구성입니다.

<security>
   <isapiCgiRestriction>
      <add allowed="true" groupId="ASP"
         path="%windir%\system32\inetsrv\asp.dll"
         description="Active Server Pages" />
      <add allowed="true" groupId="ASP.NET v2.0.50727"
         path="%windir%\Microsoft.NET\Framework\v2.0.50727\aspnet_isapi.dll"
         description="ASP.NET v2.0.50727" />
   </isapiCgiRestriction>
</security>

샘플 코드

다음 예제에서는 C:\Inetpub\www.contoso.com\wwwroot에 있는 웹 사이트의 콘텐츠 폴더에 있는 사용자 지정 ISAPI 확장에 대한 ISAPI/CGI 제한을 추가합니다. 예제에서는 ISAPI 확장의 이름, 경로 및 그룹을 지정하고 확장을 사용하도록 설정합니다.

AppCmd.exe

appcmd.exe set config -section:system.webServer/security/isapiCgiRestriction /+"[path='C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll',allowed='True',groupId='ContosoGroup',description='Contoso Extension']" /commit:apphost

참고

AppCmd.exe 사용하여 이러한 설정을 구성할 때 커밋 매개 변수 apphost 를 로 설정해야 합니다. 그러면 구성 설정이 ApplicationHost.config 파일의 적절한 위치 섹션에 커밋됩니다.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();
         ConfigurationSection isapiCgiRestrictionSection = config.GetSection("system.webServer/security/isapiCgiRestriction");
         ConfigurationElementCollection isapiCgiRestrictionCollection = isapiCgiRestrictionSection.GetCollection();

         ConfigurationElement addElement = isapiCgiRestrictionCollection.CreateElement("add");
         addElement["path"] = @"C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll";
         addElement["allowed"] = true;
         addElement["groupId"] = @"ContosoGroup";
         addElement["description"] = @"Contoso Extension";
         isapiCgiRestrictionCollection.Add(addElement);

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample
   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration
      Dim isapiCgiRestrictionSection As ConfigurationSection = config.GetSection("system.webServer/security/isapiCgiRestriction")
      Dim isapiCgiRestrictionCollection As ConfigurationElementCollection = isapiCgiRestrictionSection.GetCollection

      Dim addElement As ConfigurationElement = isapiCgiRestrictionCollection.CreateElement("add")
      addElement("path") = "C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll"
      addElement("allowed") = True
      addElement("groupId") = "ContosoGroup"
      addElement("description") = "Contoso Extension"
      isapiCgiRestrictionCollection.Add(addElement)

      serverManager.CommitChanges()
   End Sub
End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var isapiCgiRestrictionSection = adminManager.GetAdminSection("system.webServer/security/isapiCgiRestriction", "MACHINE/WEBROOT/APPHOST");
var isapiCgiRestrictionCollection = isapiCgiRestrictionSection.Collection;

var addElement = isapiCgiRestrictionCollection.CreateNewElement("add");
addElement.Properties.Item("path").Value = "C:\\Inetpub\\www.contoso.com\\wwwroot\\isapi\\custom.dll";
addElement.Properties.Item("allowed").Value = true;
addElement.Properties.Item("groupId").Value = "ContosoGroup";
addElement.Properties.Item("description").Value = "Contoso Extension";
isapiCgiRestrictionCollection.AddElement(addElement);

adminManager.CommitChanges();

VBScript

Set adminManager = createObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set isapiCgiRestrictionSection = adminManager.GetAdminSection("system.webServer/security/isapiCgiRestriction", "MACHINE/WEBROOT/APPHOST")
Set isapiCgiRestrictionCollection = isapiCgiRestrictionSection.Collection

Set addElement = isapiCgiRestrictionCollection.CreateNewElement("add")
addElement.Properties.Item("path").Value = "C:\Inetpub\www.contoso.com\wwwroot\isapi\custom.dll"
addElement.Properties.Item("allowed").Value = True
addElement.Properties.Item("groupId").Value = "ContosoGroup"
addElement.Properties.Item("description").Value = "Contoso Extension"
isapiCgiRestrictionCollection.AddElement(addElement)

adminManager.CommitChanges()