Urlscan.ini ändern um *.exe Anfragen zu bearbeiten

[pentel 10]

Hi in der WSUS installations anleitung für win2k steht folgendes im bereich IIS Lockdown Tool:

Urlscan.ini ändern um *.exe Anfragen zu bearbeiten
\WINNT\System32\Inetserv\Urlscan
Remove ".exe" from the [DenyExtensions] section

dann ist es doch quasi erlaubt .exe dateien auszuführen oder nicht?

gibt es eine möglichkeit die nur lokal zuzulassen oder stellt es gar kein risiko da?

gruß pentel

[zahni 554]

Zunächst: Willkommen im Forum.

 

URLSCAN soll bei W2K hauptsächlich verhindern, dass EXE-Dateien vom IIS lokal gestartet werden, falls die Konfig. vom IIS nicht korrekt ist. Allerdings müssen vom WSUS u.U. auch mal EXE-Dateien runtergeladen werden.

 

Da aber der aktuelle WSUS eh nicht mehr unter W2K läuft, ist das eigentlich egal. Der IIS 6 + 7 sind per default korrekt konfiguriert. Zumindest beim WSUS kann man ganz gut auf URLSCAN verzichten.

 

-Zahni

[pentel 10]

 

URLSCAN soll bei W2K hauptsächlich verhindern, dass EXE-Dateien vom IIS lokal gestartet werden, falls die Konfig. vom IIS nicht korrekt ist. Allerdings müssen vom WSUS u.U. auch mal EXE-Dateien runtergeladen werden.

 

Da aber der aktuelle WSUS eh nicht mehr unter W2K läuft, ist das eigentlich egal. Der IIS 6 + 7 sind per default korrekt konfiguriert. Zumindest beim WSUS kann man ganz gut auf URLSCAN verzichten.

 

-Zahni

ich werde die wsus version verwenden die noch unter win2k läuft weil ich keine andere möglichkeit habe.

ist die dort genutzte IIS version auch richtig konfiguriert?

mich macht es halt nur stutzig das es in der anleitung so erklärt ist aber irgendwie fühl ich mich nicht ganz wohl dabei die *.exe zu erlauben.

kann man das evtl. auch später wieder abschalten und es läuft immernoch alles?

gruß pentel

[zahni 554]

WSUS 2.0 SP1 ist bald "End of Life":

 

WSUS Life Cycle and Road Map FAQ

 

Support for WSUS 2.0 has already ended. WSUS 2.0 SP1 support will end April 2009 (two years after WSUS 3.0 was released).

 

 

Ob der dann noch die Updates bei MS "ziehen" kann. ist nicht garantiert.

 

-Zahni

[pentel 10]

WSUS 2.0 SP1 ist bald "End of Life":

 

WSUS Life Cycle and Road Map FAQ

 

 

 

 

Ob der dann noch die Updates bei MS "ziehen" kann. ist nicht garantiert.

 

-Zahni

 

ja das der support nur bis ende april läuft ist nicht so ein problem vllt. gibts bis dahin hier mal einen neuen server ;) .

nur irgendwie find ich dort auch nichts was meine frage zu der .exe problematik beantwortet :/

gruß

[Sunny61 806]

ist die dort genutzte IIS version auch richtig konfiguriert?

 

Out-of-the-Box IMO ja.

 

mich macht es halt nur stutzig das es in der anleitung so erklärt ist aber irgendwie fühl ich mich nicht ganz wohl dabei die *.exe zu erlauben.

kann man das evtl. auch später wieder abschalten und es läuft immernoch alles?

 

Der WSUS lädt die EXE-Dateien von den MS-Servern runter, und legt sie ins Content ab. Dort müssen die Clients die auch abholen können, ansonsten gibts keine aktuellen Clients.

[pentel 10]

 

 

 

Der WSUS lädt die EXE-Dateien von den MS-Servern runter, und legt sie ins Content ab. Dort müssen die Clients die auch abholen können, ansonsten gibts keine aktuellen Clients.

also muss die erweiterung .exe aktiviert sein?

ist dies ein sicherheitsrisiko?

danke schonmal

edit: gelöst

You don't need to install it if you have an internal Firewall protecting your servers from the network.

von

http://www.msexchange.org/articles/IIS-Lockdown-Tool-Secure-Exchange-Installations.html