Segurança do Application Pool e ASP.NET

Pessoal,

Existem scripts na Internet sem asp, asp.net e php que conseguem navegar em servidores com IIS. Eles conseguem fazer isso, pois o Application Pool roda com um nível alto e/ou permissões mal aplicadas. Sempre procure criar um usuário para o seu site rodar embaixo dele, e libere esse usuário somente no diretório do site e não no servidor todo.
O próximo passo é melhorar a segurança do Application Pool com os passos abaixo:

1 – Crie um usuário.

2 – Adicionar o usuário ao grupo IIS_WPG e remover de Users.

3 – Adicionar o grupo de usuário IIS_WPG ao diretório c:\inetpub\wwwroot de Read, Read & Execute e List Folder Contents

4 – Proibir o usuário criado no diretório c:\windows\system32\inetsrv.

5 – Adicionar o usuário criado no SMTP do IIS.
Isso deve dificultar bastante o Hacker. Eu já utilizei esses scripts e não consegui ter acesso a máquina.

Esta entrada foi publicada em IIS. Adicione o link permanente aos seus favoritos.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *