Jump to content

Urlscan.ini ändern um *.exe Anfragen zu bearbeiten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi in der WSUS installations anleitung für win2k steht folgendes im bereich IIS Lockdown Tool:

Urlscan.ini ändern um *.exe Anfragen zu bearbeiten
\WINNT\System32\Inetserv\Urlscan
Remove ".exe" from the [DenyExtensions] section

dann ist es doch quasi erlaubt .exe dateien auszuführen oder nicht?

gibt es eine möglichkeit die nur lokal zuzulassen oder stellt es gar kein risiko da?

gruß pentel

Link to comment

Zunächst: Willkommen im Forum.

 

URLSCAN soll bei W2K hauptsächlich verhindern, dass EXE-Dateien vom IIS lokal gestartet werden, falls die Konfig. vom IIS nicht korrekt ist. Allerdings müssen vom WSUS u.U. auch mal EXE-Dateien runtergeladen werden.

 

Da aber der aktuelle WSUS eh nicht mehr unter W2K läuft, ist das eigentlich egal. Der IIS 6 + 7 sind per default korrekt konfiguriert. Zumindest beim WSUS kann man ganz gut auf URLSCAN verzichten.

 

-Zahni

Link to comment

 

URLSCAN soll bei W2K hauptsächlich verhindern, dass EXE-Dateien vom IIS lokal gestartet werden, falls die Konfig. vom IIS nicht korrekt ist. Allerdings müssen vom WSUS u.U. auch mal EXE-Dateien runtergeladen werden.

 

Da aber der aktuelle WSUS eh nicht mehr unter W2K läuft, ist das eigentlich egal. Der IIS 6 + 7 sind per default korrekt konfiguriert. Zumindest beim WSUS kann man ganz gut auf URLSCAN verzichten.

 

-Zahni

ich werde die wsus version verwenden die noch unter win2k läuft weil ich keine andere möglichkeit habe.

ist die dort genutzte IIS version auch richtig konfiguriert?

mich macht es halt nur stutzig das es in der anleitung so erklärt ist aber irgendwie fühl ich mich nicht ganz wohl dabei die *.exe zu erlauben.

kann man das evtl. auch später wieder abschalten und es läuft immernoch alles?

gruß pentel

Link to comment
WSUS 2.0 SP1 ist bald "End of Life":

 

WSUS Life Cycle and Road Map FAQ

 

 

 

 

Ob der dann noch die Updates bei MS "ziehen" kann. ist nicht garantiert.

 

-Zahni

 

ja das der support nur bis ende april läuft ist nicht so ein problem vllt. gibts bis dahin hier mal einen neuen server ;) .

nur irgendwie find ich dort auch nichts was meine frage zu der .exe problematik beantwortet :/

gruß

Link to comment

ist die dort genutzte IIS version auch richtig konfiguriert?

 

Out-of-the-Box IMO ja.

 

mich macht es halt nur stutzig das es in der anleitung so erklärt ist aber irgendwie fühl ich mich nicht ganz wohl dabei die *.exe zu erlauben.

kann man das evtl. auch später wieder abschalten und es läuft immernoch alles?

 

Der WSUS lädt die EXE-Dateien von den MS-Servern runter, und legt sie ins Content ab. Dort müssen die Clients die auch abholen können, ansonsten gibts keine aktuellen Clients.

Link to comment

 

 

 

Der WSUS lädt die EXE-Dateien von den MS-Servern runter, und legt sie ins Content ab. Dort müssen die Clients die auch abholen können, ansonsten gibts keine aktuellen Clients.

also muss die erweiterung .exe aktiviert sein?

ist dies ein sicherheitsrisiko?

danke schonmal

edit: gelöst

You don't need to install it if you have an internal Firewall protecting your servers from the network.

von

http://www.msexchange.org/articles/IIS-Lockdown-Tool-Secure-Exchange-Installations.html

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...