Como proteger o IIS 6

Pessoal,

Muita gente instala servidores Web e não se importa em configurar a segurança do servidor. Nesses mais de 3 anos de existência desse blog, escrevi algumas dicas que ainda funcionam e bem. Como vejo que muita gente ainda usa o IIS 6 e ele é bem mais vulnerável que o IIS 7 e 7.5 irei ajudar com algumas dicas.

No Windows Server 2003 R2 existe uma ferramenta chamada Security Configuration Wizard que ajuda a configurar o firewall da máquina, além disse, ajuda a proteger o IIS, desabilitando recursos que você não irá utilizar. A configuração dele é muito intuitiva, ele simplesmente pergunta o que você vai utilizar no servidor e começa a desabilitar os serviços e portas que não será utilizado. No exemplo abaixo irei mostrar como funciona, o servidor que estou testando possui IIS e DNS configurados. Ah, uma dica bem importante, só utilize essa ferramenta após configurar todo o servidor. Por exemplo, se vai utilizar PHP, ASP.NET, SMTP, etc., configure primeiro tudo antes de utilizá-la, pois esses softwares irá verificar o que está instalado e para que você possa habilitar.

Para instalar Security Configuration Wizard você precisa ir no Adicionar e Remover programas do Windows e clique em Add/Remove Windows Components (mesmo local você instalar o IIS, DNS, SNMP, entre outros) e selecione Security Configuration Wizard como na tela baixo.

Após isso, o Windows vai solicitar os CDS do Windows Server 2003 para instalar esse componente.

Depois de instalado, vá em ???Administrative Tools e clique em Security Configuration Wizard. Ele vai apresentar a tela abaixo:


Clique em Next e vamos começa a instalar. A próxima tela é:


Nessa tela você observa que você pode criar, editar, aplicar ou voltar uma política. Se a instalação do servidor for padrão, você só precisa configurar no primeiro servidor, no final da configuração ele pede para salvar a regra, com ela você salva em outro servidor e basta aplicar usando o Apply an existing security policy evitando ter que configurar tudo de novo. Como nesse caso estamos criando do zero, clique em Next para apresentar a tela abaixo:

Ele vai encontrar o servidor local, ou você pode fazer remotamente, colocando o nome NetBios ou o IP do servidor. CONTOSO é o nome do meu servidor local, então podemos avançar.

Na primeira tela acima, o SCW só está coletando as informações do servidor e na segunda tela é um alerta que se você não selecionar corretamente o que vai precisar, ele vai desabilitar o que você não selecionar.

Pronto, agora chegou a parte boa, colocar a mão na massa e começar a selecionar o que você vai precisar no servidor. Como falei no começo, esse servidor será um Servidor Web e DNS. Segue abaixo o que precisa ter liberado para funcionar corretamente:

  • Application server
  • ASP.NET session state server (se você for utilizar ASP.NET)
  • DNS server
  • File Server
  • FTP server
  • SMTP Server
  • Web Server

Pronto, depois de selecionar as opções acima, clique em Next e vamos a próxima tela:

Nessa próxima tela, você precisa deixar habilitado:

  • Automatic update client (para atualização do servidor);
  • DHCP client (se o IP for setado, não marque);
  • DNS client;
  • DNS registration client;
  • Domain member (somente se o servidor estiver dentro de um domínio);
  • FTP Client (eu deixo para testar FTP interno da máquina);
  • Microsoft networking client (somente se o servidor estiver dentro de um domínio);

Pronto, depois de selecionar clique em Next para irmos a próxima tela:

Nessa próxima tela, você precisa deixar habilitado:

  • Error reporting;
  • Help and support;
  • Local Application Installation;
  • Performance data collection;
  • Remote desktop administration (se você gerencia o servidor remotamente);
  • Windows Firewall;

Pronto, se você precisar do software de Backup, pode habilitar, depende sempre do que você vai precisar. Vamos a próxima tela:

Nessa tela vamos selecionar os serviços adicionais no servidor, nessa tela vai aparecer os programas que você tem instalado no servidor, e você habilita somente o que for precisar. Essa tela é bem particular de cada servidor, se for um servidor somente com IIS instalado sem nada adicional, ele vai apresentar apenas o ASP.NET como mostra acima, portanto, marque-os, e se precisar habilitar outro programa, pode habilitar também.

A próxima tela é:

Nessa tela ele pergunta se você quer manter os serviços como estão ou desabilite os que não foram especificados. Selecione Disable the service, com isso ele vai desabilitar todos os serviços que você não vai utilizar.

Vamos a próxima tela:

Nessa tela irá mostrar como os serviços estavam e como vão ficar após aplicar as regras, vale a pena verificar um a um para que não desabilite nenhum serviço que você tenha esquecido de verificar. Se tiver esquecido, será necessário clicar em Back e consertar, se estiver tudo certo, clique em Next.

As próximas telas vamos configurar as portas que serão habilitados no servidor.

Como é um servidor Web e DNS vamos deixar habilitado: 20, 21, 25, 53, 80, 443, 3389 (Remote Desktop e TS) e habilite  Ports used by FTP data channel (passive-mode) (inetinfo.exe), esse último é para funcionar o passive mode do FTP. Depois clique em Next. Nessa próxima tela ele irá mostrar o resumo das portas:

Nas próximas telas vamos configurar os protocolos de comunicação por outros computadores. Dessa vez não irei comentar tela por tela, basta deixar como está nas imagens abaixo:

Pronto, a imagem acima é um resumo de como ficou.

Nas telas abaixo, vamos configurar a auditoria. Basta deixar como estão nas imagens:

Pronto, auditoria configurada. As próximas telas vamos configurar o IIS.

Na tela acima marque o que for utilizar e também selecione a opção de baixo para proibir todas as outras extensões que não estão listadas para aumentar a segurança.

No exemplo acima, habilitei o ASP, ASP.NET e o FastCgi para o PHP.

.

Nessa tela cima não marque nenhuma opção, pois são os diretórios virtuais padrão do IIS, portanto, não precisamos deles.

Nessa tela marque a opção acima para não permitir os usuários anônimos de escrever.

Chegamos a última tela de configuração, que é o resumo da segurança do IIS.

As próximas três telas são as finais, que é para salvar as configurações que fizemos, e podemos aplicar em outros servidores.

Pronto, escolha o local que quer salvar as regras e clique em Next.

Pronto, agora é só aplicar!

Espero que tenha ajudado!

Abraços!

Esta entrada foi publicada em IIS. Adicione o link permanente aos seus favoritos.

2 respostas a Como proteger o IIS 6

  1. Robenildo de Oliveira disse:

    .Pablo,

    Primeiramente parabéns pela iniciativa e tutorial.
    Excelente trabalho realizado.
    Executei o tutorial passo a passo incluindo ao final uma template.inf que eu possuo para aplicar as demais seguranças e permissões ao servidor.
    Funcionou perfeitamente. Material perfeito para quem precisa preparar um servidor antes de entrar em produção e verificar segurança para uma auditoria.
    Good job!

  2. admin disse:

    Obrigado! Por receber elogios para manter o trabalho.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *