Toon posts:

[XP] Howto IIS 5.1 WebDAV-server met SSL authenticatie*

Pagina: 1
Acties:
  • 1.613 views sinds 30-01-2008
  • Reageer

donderdag 17 februari 2005 20:50

Acties:
  • MOmax
  • Registratie: Maart 2003
  • Laatst online: 20-02 10:28

MOmax

Topicstarter
Een kleine tutorial gebaseerd op een artikel uit C'T (NL editie) 3/2005:

Een WebDAVshare, waarbij de authenticatie dmv SSL plaatsvind, is een veilig alternatief voor de Microsoft SMB en FTP shares. Het is eenvoudig zelf te maken met IIS dat standaard bij WinXP Pro meegeleverd wordt.

1) Installeer IIS door naar het Configuratiescherm te gaan. Kies bij Internet Information Service via de knop 'Details...': 'WWW services', 'Common files', 'Internet Information Services-module'. En niet meer dan dat.

2) Download de IIS Lockdown tool en start deze. Kies als basis-template 'Static Web Server'. Onder 'Additional Security' dient het vinkje 'Disable WebDAV' verwijderd te worden. In het volgende scherm dient de het URLscan filter geïnstallerd te worden - dit staat default al goed.

3) Installeer in de folder '%systemroot%\system32\inetsrv\urlscan' een file genaamd 'urlscan.ini' met de volgende inhoud:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175

[options]
UseAllowVerbs=1                ; if 1, use [AllowVerbs] section, else use [DenyVerbs] section
UseAllowExtensions=0           ; if 1, use [AllowExtensions] section, else use [DenyExtensions] section
NormalizeUrlBeforeScan=1       ; if 1, canonicalize URL before processing
VerifyNormalization=1          ; if 1, canonicalize URL twice and reject request if a change occurs
AllowHighBitCharacters=0       ; if 1, allow high bit (ie. UTF8 or MBCS) characters in URL
AllowDotInPath=0               ; if 1, allow dots that are not file extensions
RemoveServerHeader=0           ; if 1, remove "Server" header from response
EnableLogging=1                ; if 1, log UrlScan activity
PerProcessLogging=0            ; if 1, the UrlScan.log filename will contain a PID (ie. UrlScan.123.log)
AllowLateScanning=0            ; if 1, then UrlScan will load as a low priority filter.
PerDayLogging=1                ; if 1, UrlScan will produce a new log each day with activity in the form UrlScan.010101.log
RejectResponseUrl=             ; UrlScan will send rejected requests to the URL specified here. Default is /<Rejected-by-UrlScan>
UseFastPathReject=0            ; If 1, then UrlScan will not use the RejectResponseUrl or allow IIS to log the request

; If RemoveServerHeader is 0, then AlternateServerName can be
; used to specify a replacement for IIS's built in 'Server' header
AlternateServerName=

[AllowVerbs]

;
; The verbs (aka HTTP methods) listed here are those commonly
; processed by a typical IIS server.
;
; Note that these entries are effective if "UseAllowVerbs=1"
; is set in the [Options] section above.
;

GET
HEAD

; *** Aanpassing c't *** noodzakelijke HTTP methoden voor WebDAV *** Begin ***
PROPFIND
PROPPATCH
MKCOL
DELETE
PUT
COPY
MOVE
LOCK
UNLOCK
OPTIONS
SEARCH
POST
; *** Aanpassing c't *** noodzakelijke HTTP methoden voor WebDAV *** Einde ***


[DenyVerbs]

;
; The verbs (aka HTTP methods) listed here are used for publishing
; content to an IIS server via WebDAV.
;
; Note that these entries are effective if "UseAllowVerbs=0"
; is set in the [Options] section above.
;

; *** Aanpassing c't *** noodzakelijke HTTP methoden voor WebDAV *** Begin ***
;PROPFIND
;PROPPATCH
;MKCOL
;DELETE
;PUT
;COPY
;MOVE
;LOCK
;UNLOCK
;OPTIONS
;SEARCH
; *** Aanpassing c't *** noodzakelijke HTTP methoden voor WebDAV *** Einde ***


[DenyHeaders]

;
; The following request headers alter processing of a
; request by causing the server to process the request
; as if it were intended to be a WebDAV request, instead
; of a request to retrieve a resource.
;

; *** Aanpassing c't *** noodzakelijke verandering voor WebDAV *** Begin ***
;Translate:
;If:
;Lock-Token:
; *** Aanpassing c't *** noodzakelijke verandering voor WebDAV *** Einde ***

[AllowExtensions]

;
; Extensions listed here are commonly used on a typical IIS server.
;
; Note that these entries are effective if "UseAllowExtensions=1"
; is set in the [Options] section above.
;

.htm
.html
.txt
.jpg
.jpeg
.gif

;.idq
;.htw
;.ida
;.idc
;.shtm
;.shtml
;.stm
;.htr
;.asp
;.cer
;.cdx
;.asa
;.printer
[DenyExtensions]

;
; Extensions listed here either run code directly on the server,
; are processed as scripts, or are static files that are
; generally not intended to be served out.
;
; Note that these entries are effective if "UseAllowExtensions=0"
; is set in the [Options] section above.
;
; Also note that ASP scripts are denied with the below
; settings.  If you wish to enable ASP, remove the
; following extensions from this list:
;    .asp
;    .cer
;    .cdx
;    .asa
;

; *** Aanpassing c't *** noodzakelijke verandering voor WebDAV *** Begin ***
; Deny ASP requests
;.asp
;.cer
;.cdx
;.asa

; Deny executables that could run on the server
;.exe
;.bat
;.cmd
;.com
;.dll

; Deny infrequently used scripts
.htw     ; Maps to webhits.dll, part of Index Server
.ida     ; Maps to idq.dll, part of Index Server
.idq     ; Maps to idq.dll, part of Index Server
.htr     ; Maps to ism.dll, a legacy administrative tool
.idc     ; Maps to httpodbc.dll, a legacy database access tool
.shtm    ; Maps to ssinc.dll, for Server Side Includes
.shtml   ; Maps to ssinc.dll, for Server Side Includes
.stm     ; Maps to ssinc.dll, for Server Side Includes
.printer ; Maps to msw3prt.dll, for Internet Printing Services

; Deny various static files
;.ini
;.log
;.pol
;.dat 
; *** Aanpassing c't *** noodzakelijke verandering voor WebDAV *** Einde ***

[DenyUrlSequences]
..  ; Don't allow directory traversals
./  ; Don't allow trailing dot on a directory name
\   ; Don't allow backslashes in URL
:   ; Don't allow alternate stream access
%   ; Don't allow escaping after normalization
&   ; Don't allow multiple CGI processes to run on a single request

4) Herstart de webserver door op de commandline de comanndo's 'net stop w3svc' en vervolgens 'net start start w3svc' in te voeren.

5) Bekijk eventueel met behulp van de Microsoft Baseline Security Analyser of alle actuele updates geïnstalleerd zijn en of de server goed geconfigureerd is.

6) Via de IIS managementconsole dient de authenticatiemehode vastgelegd te worden in het tabblad 'Mapbeveiliging'. Kies onder de knop 'Bewerken' de 'Basisverificatie'. Schakel de anonieme toegang uit.

7) Download de Internet Information Services (IIS) 6.0 Resource Kit Tools en installeer deze.

8) Maak een certificaat door een commandprompt te openen in 'C:\Program Files\IIS Resources\SelfSSL' en het commando in te voeren 'selfssl /V:365'. Zo'n certificaat is een jaar geldig. SelfSSL /? geeft nog wat extra opties. Gebruik bijvoorbeeld /N:CN='jouw internet ip-adres' om de computernaam te wijzigen.

9) Vink in de IIS management-console tabblad 'Map beveiliging' \ 'Beveiligde communicatie' de checkboxen 'Beveiligd kanaal (SSL) vereisen' en '128-bits codering vereisen' aan. De IIS server accepteerd nu alleen nog HTTPS-vebindingen.

10) Indien er firewalls tussen je PC en het intenet geplaatst zijn: open poort 443. Wellicht dat je ook een NAT instelling moet wijzigen/aanmaken in je ADSL-router zodat de inkomende berichten bij de juiste PC terechtkomen.

11) Het delen van folders kan eenvoudig plaatsvinden door rechts te klikken op een folder: 'Web Sharing'. Dit kan alleen gedaan worden door iemand met admin-rechten. Vergeet niet om de folder een alias-naam mee te geven. Onder deze naam zal de folder geshared worden via het web: https://<jouw internet IP-adres>/<alias>/. Let bij het sharen van een folder ook op de NTFS rechten. Die bepalen mede of een user toegang heeft tot een folder en of hij lees c.q. schrijfrechten heeft.

12) Iedereen kan nu als het goed is met behulp van een goede browser (IE 6, Mozilla Firefox) downloaden vanaf jouw PC mits ze een usernaam en een paswoord krijgen van jou.

[ Voor 19% gewijzigd door MOmax op 18-02-2005 11:24 . Reden: [code] ipv [edit] tags gebruikt, typo's, een paar toevoegingen ]

donderdag 17 februari 2005 22:23

Acties:
  • inXs
  • Registratie: December 2001
  • Laatst online: 08:22

inXs

known as inXs

mm'kay :?

superB

donderdag 17 februari 2005 22:28

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ik zou de .ini eventjes in [ code ] tags zetten, zodat er ook regelnummering bij komt.

Dat maakt het net even wat leesbaarder ;)

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 17 februari 2005 22:55

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Lichte titelfix. Maar thanks ziet er goed uit Zal het dit weekend ook eens proberen. Wel zou ik het ook moooi vinden als je het tussen code tags ipv edit zet :)

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

vrijdag 22 april 2005 16:23

Acties:
  • QBiT
  • Registratie: September 2001
  • Laatst online: 08-01 23:44

QBiT

_/-\o_ Muchios Gracias _/-\o_

Ik heb deze als leidraad gebruikt, werkt perfect.

Voor een Windows 2003 omgeving met IIS 6.0 werkt dit ook gewoon. Enige verandering is dat het niet nodig is om de lockdown tool te gebruiken. IIS 5.1 is namelijk zo lek als een mandje, en 6.0 niet :) Het is natuurlijk wel aan te raden om de nieuwste patches te downloaden, en SP1 te installeren.

zaterdag 14 oktober 2006 17:21

Acties:
  • wiepie04
  • Registratie: Oktober 2006
  • Laatst online: 17-04-2025

wiepie04

goede handleiding. het werkt allemaal goed met de security enzo maar ik wilde eigelijk dat de layout er anders uitzach.
nu ziet het er zo uit bij mij:
Afbeeldingslocatie: http://img305.imageshack.us/img305/8362/clipboard02my7.jpg

maar ik wil het graag zo hebben.
Afbeeldingslocatie: http://img238.imageshack.us/img238/6318/webdavpcfolderlk4.gif

hetzelfde als @home homedrive

Iemand een oplossing???

zondag 19 november 2006 12:26

Acties:
  • MOmax
  • Registratie: Maart 2003
  • Laatst online: 20-02 10:28

MOmax

Topicstarter
Het hele verschil is volgens mij of je inlogt via een browser of via de webfolder wizard die in de windows explorer te vinden is "My network places".

donderdag 7 december 2006 10:58

Acties:
  • wiepie04
  • Registratie: Oktober 2006
  • Laatst online: 17-04-2025

wiepie04

MOmax schreef op zondag 19 november 2006 @ 12:26:
Het hele verschil is volgens mij of je inlogt via een browser of via de webfolder wizard die in de windows explorer te vinden is "My network places".
ik wil het juist via een browser doen en dan ik dan inlog via een ssl verbinding en dat ik dan de lay-out krijg zoals het 2e plaatje

donderdag 11 januari 2007 19:34

Acties:
  • DutX
  • Registratie: Februari 2006
  • Nu online

DutX

MOmax schreef op zondag 19 november 2006 @ 12:26:
Het hele verschil is volgens mij of je inlogt via een browser of via de webfolder wizard die in de windows explorer te vinden is "My network places".
Ik heb dus een ander probleem:

Ik heb alles gedaan, behalve lockdown tool want die werkt niet met iis6.0, zoals de howto beschrijft. Alleen, ik kan wel inloggen via IE. Alleen zodra ik de map wil toevoegen via de windows Add Network Places, blijft ie maar zeuren dat de inlog niet goed is. Ook vindt ie de https:// niet, en moet ik http:// gebruiken. Terwijl met IE wel https:// werkt.

Ik zal wel iets vergeten zijn in te stellen, maarja.. ben nu al dagen aan het proberen :)


Owja, ik draai dus IIS6.0 op Windows XP x64 (engelstalig)

vrijdag 29 februari 2008 17:37

Acties:
  • floriszz
  • Registratie: September 2003
  • Laatst online: 12-02 17:08

floriszz

Ik heb onder andere hetzelfde probleem.

Heb alles precies zo gedaan als in bovenstaande handleiding. (heb XP pro sp2)
Met annoniem inloggen enabled in IIS werkt alles perfect.
Zodra ik annoniem inloggen in IIS disable kan ik in IE(op een andere PC op een andere locatie) de map niet meer openen. Ook niet als webfolder. Hij blijft keer op keer om usernaam en password vragen, terwijl ik toch echt de goede gegevens invul. (na de eerste keer van usernaam en wachtwoord ingeven komt ie met een suggestie waar de usernaam begint met 'ipnummer\usernaam')

Ook als ik, zoals hierboven gezegd wordt, een zogenaamde 'netwerk drive' wil maken op een andere winXP machine wil die geen 'https://ipnummer/alias' pakken. Hij wil alleen '\\ipnummer\alias pakken', maar dan komt ie ook elke keer weer met het inlog scherm. Ook al heb ik echt de juiste windows account gegevens ingegeven.

Alvast bedankt.

edit: 14-5-2008
Inmiddels is het wel gelukt de webdav map te openen. Bij mij was het noodzakelijk de vinkjes bij 'anonieme inlog' en 'windows verificatie' te verwijderen en alleen het vinkje bij 'basis verificatie' aangevinkt te laten. Na het wegklikken van de waarschuwing en een paar keer op OK kon ik vanaf een andere PC(buiten het netwerk) de webdav folders over https openen. Hierbij moet je de inlog gegevens geven van een geldig user account op de pc waar je webdav in IIS hebt draaien.
Enige probleem is nog dat soms onderliggende directories niet worden weergegeven en dat er tussendoor bij kopieer acties steeds een inlog popup komt. Deze kun je alleen annuleren, waarna het kopieren wel gewoon doorgaat...

Een drive letter koppelen kan sowiso NIET, omdat windows XP dit niet voor ssl(https) webdav paden ondersteund.

[ Voor 31% gewijzigd door floriszz op 14-05-2008 23:36 ]

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq