Segurança no IIS 6

Pessoal,
 
Tenho um bom conhecimento de IIS 6, e gostaria de
compartilhar um pouco minha experiência para tentar melhorar o quanto mais a
segurança do IIS, e também para incentivar o uso maior desse excelente aplicativo. Espero também receber dicas de segurança para sempre melhorar e tentar manter o servidor mais seguro possível.
Minhas dicas são para servidores exclusivos para o IIS. Portanto, se tiver outras aplicações, permissões NTFS para vários usuários, cuidado com o que vai fazer.

1 – Sempre manter o Windows atualizado com o último Service Pack.
2 – Remover de todas as unidades todos o logins, exceto o grupo de administradores e SYSTEM. Não é preciso sobrescrever as permissões, basta remover os usuários e grupos e clicar em aplicar. Se sobrescrever, será removido permissões importantes do diretório windows, gerando um grande problema.
3 – Instalar o IIS e colocar os arquivos dos sites em outra unidade, por exemplo, d:.
4 – Renomear o usuário de administrador do servidor.
5 – Se o FTP e o site forem somente para uso da rede interna (ou poucos usuários), utilizar o bloqueio no IIS para os IP’s que precisam ter acesso.
6 – Instalar um antivírus no servidor que não fique pesado, como os antivirus corporativos que o ficam instalados no servidor central e os client instalados nos servidores. Se não tiver antivirus corporativos, será necessário instalar um bom antivirus (por favor, não pensem em instalar AVG ou outro gratuito que existem por aí, que não funciona bem). Qual o melhor antivírus? Não sei. Depende da cada ambiente. Instala a versão trial e verifica como o servidor se comporta.
7 – Retirar o acesso anônimo do FTP.
8 – Criar usuário para acesso anônimo para os sites do IIS. Se IIS tiver mais de um site, configurar logins diferentes, aplicando as permissões NTFS em cada diretório. Por exemplo, se o site for abc.com.br, cria o diretório abc.com.br e o login abcftp, e coloca ele como usuário anônimo e aplica a permissão NTFS do login abcftp no diretório abc.com.br.
9 – Se o site for em PHP, aconselho utilizar o Zend Core, que é um software gratuito, o que é pago é somente o suporte. Até agora não precisei utilizar o suporte deles.

Por enquanto é isso. Espero que essas dicas possam ajudá-los. Depois explico como instalar o ASP.NET 2 com segurança, pois se for instalar normalmente, existem falhas de segurança.
Se alguém puder acrescentar algo nas minhas dicas, peço que me comunique para que eu divulgue aqui.

Esta entrada foi publicada em IIS. Adicione o link permanente aos seus favoritos.

3 respostas a Segurança no IIS 6

  1. Edison Goncalez disse:
    Boas Dicas.
    Eu colocaria mais duas coisas.
    1) Se usar o Firewall do windows , o FTP só vai funcionar legal se voce incluir a "aplicação" C:\WINDOWS\system32\inetsrv\inetinfo.exe .. se voce inclui a porta 20/21, não funiciona porque o ftp usa portas dinamicas na transferencia de dados.
    2) O FTP usa dois tipos de configuração , por isolamento de usuario e modo nornal.
    O modo isolamento de usuário é mais seguro , entretanto mais limitado, dificil de criar dois usuarios para o mesmo diretorio por exemplo
    o modo normal é muito inseguro, mas tenho uma solução:
    Crie uma pasta num caminho bem isolado, outro disco , fora do windows e dos sites. Crie um grupo ftp e de permissões para o sistema / Administradores e ao grupo FTP , com permissão de leitura somente.
    Crie os usuarios normalmente , incluindo eles no grupo e crie um diretório virtual no FTP com o mesmo nome do usuario .. este sim , com direito de gravação.
    Se alguem cair no diretório RAIZ não grava nada , e ao listar não vê os diretórios virtuais, precisaria dar cd para o mesmo …
    se bem que não conseguiria ir para outro cliente , pois o NTFS não deixaria faze-lo
     
  2. Pablo Weyne disse:

    Edison,

    Boas dicas, o FTP raramente tem falhas, o problema são as aplicações rodando no IIS. Depois eu posto como deixar o IIS mais seguro.

  3. Juan disse:

    @Edison Goncalez
    Edison, bom dia.
    Quando fôr possível entre em contato. TKS
    Juan

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *