Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia de Segurança do Windows Server 2003

Capítulo 9: A função de servidor Web

Atualizado em: 27 de dezembro de 2005

Nesta página

Visão geral
Acesso anônimo e configurações de SSLF
Configurações da Diretiva de Auditoria
Atribuições de direitos do usuário
Opções de segurança
Configurações do log de eventos
Configurações adicionais de segurança
Criando a diretiva usando o ACS
Resumo

Visão geral

Este capítulo fornece diretrizes que o ajudarão a proteger os servidores Web que executam o Microsoft® Windows Server™ 2003 com SP1 em seu ambiente. Para fornecer segurança abrangente aos aplicativos e servidores Web na intranet de uma organização, a Microsoft recomenda proteger cada servidor Microsoft Internet Information Services (IIS), assim como cada site e aplicativo executado nesses servidores, de computadores cliente que podem se conectar a eles. Você também deve proteger esses sites e aplicativos dos sites e aplicativos executados nos outros servidores IIS na intranet da organização.

Para ajudar a proteger-se contra usuários mal-intencionados e invasores, a configuração padrão para membros da família Windows Server 2003 não instala o IIS. Quando instalado, o IIS é configurado em um modo "bloqueado" altamente seguro. Por exemplo, em seu estado padrão, o ISS aceita apenas conteúdo estático. Visto que podem ser explorados por invasores potenciais, recursos como ASP (Active Server Pages), ASP.NET, SSI (Server Side Includes), publicação WebDAV (Web Distributed Authoring and Versioning) e Extensões de Servidor do Microsoft FrontPage® não funcionarão até que um administrador os ative. Esses recursos e serviços podem ser habilitados através do nó de extensões de serviços da Web no Gerenciador do IIS. O Gerenciador do IIS tem uma interface gráfica de usuário projetada para facilitar a administração do IIS. Ele inclui recursos para gerenciamento de arquivos, gerenciamento de diretórios e configuração de pools de aplicativos, além de recursos de segurança, desempenho e confiabilidade.

Considere a implementação das configurações descritas nas próximas seções deste capítulo para aumentar a segurança dos servidores Web IIS que hospedam conteúdo HTML na intranet da organização. Para ajudar a proteger seus servidores, implemente também o monitoramento, a detecção e os procedimentos de resposta de segurança para precaver-se contra novas ameaças.

A maioria das configurações neste capítulo é definida e aplicada pela Diretiva de Grupo. Um GPO incremental que complementa a Diretiva de Linha de Base de Servidor Membro (MSBP) é vinculado às UOs apropriadas e fornece segurança adicional para os servidores Web. Para manter este capítulo mais útil, discutiremos apenas as configurações que diferem daquelas na MSBP.

Quando possível, essas configurações são reunidas em um modelo de Diretiva de Grupo incremental que será aplicado à UO Servidores Web. Algumas das configurações neste capítulo não podem ser aplicadas por meio da Diretiva de Grupo. Informações detalhadas sobre como definir essas configurações manualmente são fornecidas.

A tabela a seguir mostra os nomes dos modelos de segurança de servidor Web nos três ambientes definidos neste guia. Esses modelos de segurança fornecem as configurações de diretiva para o modelo incremental de servidor Web. Você pode usar esse modelo para criar um novo GPO que é vinculado à UO Servidores Web no ambiente apropriado. O capítulo 2, "Mecanismos de proteção do Windows Server 2003", fornece instruções passo a passo para ajudá-lo a criar as UOs e Diretivas de Grupo e importar o modelo de segurança apropriado para cada GPO.

Tabela 9.1 Modelos de segurança do servidor IIS

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

LC-Web Server.inf

EC-Web Server.inf

SSLF-Web Server.inf


Para obter informações sobre todas as configurações padrão, consulte o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

Este guia ilustra como proteger o IIS com um mínimo de recursos instalados e ativados. Se você quiser usar recursos adicionais no IIS, talvez precise ajustar algumas das configurações de segurança. Se instalar serviços adicionais como SMTP, FTP ou NNTP, você precisará ajustar os modelos e diretivas fornecidos.

O artigo online "IIS and Built-in Accounts (IIS 6.0)" em www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
3648346f-e4f5-474b-86c7-5a86e85fa1ff.mspx explica as contas usadas pelos diferentes recursos do IIS e os privilégios necessários a cada uma delas (site em inglês). Para implementar mais configurações de segurança em servidores Web que hospedam aplicativos complexos, pode ser útil consultar a documentação completa do IIS 6.0 em http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/
Library/IIS/848968f3-baa0-46f9-b1e6-ef81dd09b015.mspx (site em inglês).


Acesso anônimo e configurações de SSLF

Quatro dos direitos de usuário explicitamente definidos no ambiente SSLF na MSBP são projetados para quebrar o acesso anônimo aos sites IIS. No entanto, se for necessário permitir acesso anônimo em um ambiente SSLF, será preciso fazer algumas alterações importantes à estrutura de UO e aos GPOs descritos nos Capítulos 2, 3 e 4 deste guia. Será preciso criar uma nova UO que não faça parte da hierarquia abaixo da UO Servidores Membros. Essa UO pode vincular-se diretamente à raiz do domínio ou ser uma UO filha de alguma outra hierarquia de UO. No entanto, você não deve atribuir direitos de usuário em um GPO que afetem os servidores IIS a serem adicionados a essa nova UO. Você pode mover os servidores IIS para uma nova UO, criar um novo GPO, aplicar as configurações da MSBP a ele e reconfigurar as atribuições de direitos de usuário de modo que possam ser controladas por diretivas locais em vez de pelo GPO baseado em domínio. Em outras palavras, você deve definir as configurações de direitos de usuário a seguir como Não definido nesse novo GPO.

  • Acesso a este computador pela rede

  • Permitir logon local

  • Ignorar a verificação completa

  • Fazer logon como um trabalho em lotes


Os recursos do IIS que precisam ser ativados determinarão se você também precisará alterar outras configurações de atribuição de direitos de usuário para Não definido.


Configurações da Diretiva de Auditoria

As configurações da Diretiva de Auditoria para servidores IIS nos três ambientes descritos neste guia são definidas por meio da MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP garantem que todas as informações relevantes de auditoria de segurança sejam registradas em todos os servidores IIS.


Atribuições de direitos do usuário

As configurações de atribuição de direitos de usuário para servidores IIS nos três ambientes descritos neste guia são definidas por meio da MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP garantem que todas as informações relevantes de auditoria de segurança sejam registradas em todos os servidores IIS.


Opções de segurança

As configurações de opções de segurança para servidores IIS nos três ambientes descritos neste guia são definidas por meio da MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP garantem que todas as opções de segurança relevantes sejam configuradas de maneira uniforme em todos os servidores IIS.


Configurações do log de eventos

As configurações de log de segurança para servidores IIS nos três ambientes descritos neste guia são definidas por meio da MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP garantem que as definições apropriadas do log de eventos sejam configuradas de maneira uniforme em todos os servidores IIS em uma organização.


Configurações adicionais de segurança

Quando o IIS é instalado em um computador que executa o Windows Server 2003 com SP1, sua configuração padrão permite somente a transmissão de conteúdo da Web estático. Quando aplicativos e sites contêm conteúdo dinâmico ou exigem um ou mais componentes do IIS adicionais, cada recurso adicional deve ser ativado individualmente. No entanto, você deve ter o cuidado de minimizar a superfície de ataque de cada servidor IIS no ambiente. Se os sites em sua organização são compostos de conteúdos estáticos e não exigem outros componentes do IIS, a configuração IIS padrão será suficiente para minimizar a superfície de ataque dos servidores IIS.

As configurações de segurança aplicadas através da MSBP oferecem um grande aumento da segurança dos servidores IIS. No entanto, há algumas configurações adicionais que você deve considerar. As configurações nas próximas seções não podem ser implementadas por meio da Diretiva de Grupo e devem, portanto, ser executadas manualmente em todos os servidores IIS.

Instalando apenas os componentes necessários do IIS

O IIS 6.0 inclui outros componentes e serviços além do Serviço de Publicação na World Wide Web, como os serviços necessários para fornecer suporte a FTP, NNTP e SMTP. Os serviços e componentes do IIS são instalados e ativados com o Servidor de Aplicativos do Assistente de Componentes do Windows, que pode ser iniciado usando Adicionar ou remover programas no Painel de Controle. Depois de instalar o IIS, você precisará ativar todos os serviços e componentes do IIS exigidos por seus sites e aplicativos.

Para instalar os Serviços de Informações da Internet (IIS) 6.0

  1. No Painel de Controle, clique duas vezes em Adicionar ou remover programas.

  2. Clique no botão Adicionar/remover componentes do Windows para iniciar o Assistente de componentes do Windows.

  3. Na lista Componentes, clique em Servidor de Aplicativos e em Detalhes.

  4. Na caixa de diálogo Servidor de Aplicativos, em Subcomponentes do Servidor de Aplicativo, clique em Serviços de Informações da Internet (IIS) e em Detalhes.

  5. Na caixa de diálogo Serviços de Informações da Internet (IIS), na lista Subcomponentes do Internet Information Services (IIS), execute um dos seguintes procedimentos:

    • Para adicionar componentes adicionais, marque a caixa de seleção ao lado do componente que você deseja instalar.

    • Para remover componentes opcionais, marque a caixa de seleção ao lado do componente que você deseja remover.


  6. Clique em OK até retornar ao Assistente para Componentes do Windows.

  7. Clique em Avançar e em Concluir.


Você só deve ativar somente os serviços e componentes essenciais do IIS necessários aos sites e aplicativos. Se você ativar componentes e serviços desnecessários, a superfície de ataque do servidor IIS aumentará. As ilustrações e tabelas a seguir mostram o local e as configurações sugeridas para os componentes do IIS.

Os subcomponentes na caixa de diálogo Servidor de Aplicativos são mostrados na seguinte figura:


Cc163131.sgfg0901(pt-br,TechNet.10).gif

Figura 9.1 Caixa de diálogo Servidor de Aplicativos com lista de subcomponentes

A tabela a seguir descreve resumidamente os subcomponentes do Servidor de Aplicativos e fornece recomendações para sua ativação.

Tabela 9.2 Configurações recomendadas para os subcomponentes do Servidor de Aplicativos

Nome do componente na interface do usuário

Configuração

Lógica da configuração

Console do Servidor de Aplicativos

Desativada

Fornece um snap-in do Console de Gerenciamento Microsoft (MMC) que pode ser usado para administrar todos os componentes do Servidor de Aplicativos da Web. Esse componente não é exigido em um servidor IIS dedicado porque o Gerenciador de Servidor IIS pode ser usado.

ASP.NET

Desativada

Fornece suporte a aplicativos ASP.NET. Habilite esse componente quando um servidor IIS executar aplicativos ASP.NET.

Ativar acesso ao COM+ de rede

Ativada

Permite que o servidor IIS hospede componentes COM+ para aplicativos distribuídos. Exigido para FTP, extensões de servidor BITS, Serviço World Wide Web e Gerenciador de IIS, entre outros.

Ativar acesso ao DTC de rede

Desativada

Permite que um servidor IIS hospede aplicativos que participem de transações de rede através do DTC (coordenador de transações distribuídas). Desative esse componente, a menos que os aplicativos executados no servidor IIS o exijam.

Serviços de Informações da Internet (IIS)

Ativada

Fornece serviços básicos de Web e FTP. Esse componente é exigido para servidores IIS dedicados.

Observação: se esse componente não for ativado, todos os subcomponentes serão desativados.

Enfileiramento de mensagens

Desativada

O Microsoft Message Queuing (MSMQ) fornece uma camada de middleware para roteamento, armazenamento e encaminhamento de mensagens para aplicativos empresariais da Web.


Os subcomponentes na caixa de diálogo Serviços de Informações da Internet (IIS) são mostrados na seguinte figura:

Cc163131.sgfg0902(pt-br,TechNet.10).gif

Figura 9.2 Caixa de diálogo IIS com lista de subcomponentes

A tabela a seguir descreve resumidamente os subcomponentes do ISS e fornece recomendações para sua ativação.

Tabela 9.3 Configurações recomendadas para os subcomponentes do IIS

Nome do componente na interface do usuário

Configuração

Lógica da configuração

Extensões de Servidor BITS

Desativada

A extensão de servidor BITS permite que o BITS nos clientes carreguem arquivos para esse servidor em segundo plano. Se você tiver um aplicativo nos clientes que use o BITS para carregar arquivos para esse servidor, ative e configure a extensão de servidor BITS. Caso contrário, deixe-a desativada. Observe que Windows Update, Microsoft Update, SUS, WSUS e Atualizações Automáticas não requerem a execução desse componente. Eles requerem o componente de cliente BITS, que não faz parte do IIS.

Arquivos comuns

Ativada

O IIS exige esses arquivos e eles sempre devem estar habilitados nos servidores IIS.

Serviço de FTP

Desativada

Permite que servidores IIS forneçam serviços de FTP. Esse serviço não é exigido para servidores IIS dedicados.

Extensões de Servidor do FrontPage 2002

Desativada

Fornece suporte ao FrontPage para a administração e publicação de sites. Desabilite em servidores IIS dedicados quando nenhum site usar extensões FrontPage.

Gerenciador dos Serviços de Informações da Internet

Ativada

Interface administrativa para o IIS.

Impressão na Internet

Desativada

Fornece gerenciamento de impressoras baseado na Web e permite o compartilhamento de impressoras pelo HTTP. Esse componente não é exigido em servidores IIS dedicados.

Serviço NNTP

Desativada

Distribui, consulta e publica artigos da Usenet na Internet. Esse componente não é exigido em servidores IIS dedicados.

Serviço SMTP

Desativada

Suporta a transferência de correio eletrônico. Esse componente não é exigido em servidores IIS dedicados.

Serviço World Wide Web

Ativada

Fornece serviços da Web, conteúdo estático e dinâmico a clientes. Esse componente é exigido em servidores IIS dedicados.


Os subcomponentes na caixa de diálogo Enfileiramento de Mensagens são mostrados na seguinte figura:

Cc163131.sgfg0903(pt-br,TechNet.10).gif

Figura 9.1 Caixa de diálogo Enfileiramento de Mensagens com lista de subcomponentes

A tabela a seguir descreve resumidamente os subcomponentes do Enfileiramento de Mensagens e fornece recomendações para sua ativação.

Tabela 9.4 Configurações recomendadas para os subcomponentes do Enfileiramento de Mensagens

Nome do componente na interface do usuário

Opção de instalação

Lógica da configuração

Integração com o Active Directory

Desativada

Fornece integração com o serviço de diretório do Active Directory® sempre que um servidor IIS pertence a um domínio. Esse componente é necessário quando sites e aplicativos da Web executados em servidores IIS usam o Microsoft Message Queuing (MSMQ).

Comum

Desativada

Esse componente é necessário quando sites e aplicativos da Web executados em servidores IIS usam o MSWQ.

Suporte a Cliente de Nível Inferior

Desativada

Fornece acesso ao Active Directory e reconhecimento de sites para clientes downstream. Esse componente é exigido quando os sites e aplicativos da Web de um servidor IIS usam o MSMQ.

Suporte a HTTP do MSMQ

Desativada

Fornece a capacidade de enviar e receber mensagens por transporte HTTP. Esse componente é exigido quando os sites e aplicativos da Web de um servidor IIS usam o MSMQ.

Suporte a Roteamento

Desativada

Fornece armazenamento e encaminhamento de mensagens, além de serviços de roteamento eficiente para MSMQ. Esse componente é necessário quando sites e aplicativos da Web executados em servidores IIS usam o MSWQ.

Disparadores

Desativada

Associa a chegada de mensagens de entrada em uma fila à funcionalidade em um componente COM ou em um programa executável autônomo.


Os subcomponentes na caixa de diálogo Extensões de Servidor BITS são mostrados na seguinte figura:

Cc163131.sgfg0904(pt-br,TechNet.10).gif

Figura 9.4 Extensões de Servidor BITS com lista de subcomponentes

A tabela a seguir descreve resumidamente os subcomponentes das Extensões de Servidor BITS e fornece recomendações para sua ativação.

Tabela 9.5 Configurações recomendadas para os subcomponentes das Extensões de Servidor BITS

Nome do componente na interface do usuário

Opção de instalação

Lógica da configuração

Snap-in de console de gerenciamento de BITS

Desativada

Instala o snap-in do MMC para administração do BITS. Habilite esse componente quando as extensões de servidor BITS para ISAPI (Server Application Programming Interface) estiverem habilitadas.

ISAPI de extensão de servidor BITS

Desativada

Instala a ISAPI de BITS para que o servidor IIS possa transferir dados usando o BITS. As Extensões de Servidor BITS permitem que o BITS nos clientes carreguem arquivos para esse servidor em segundo plano. Se você tiver um aplicativo nos clientes que use o BITS para carregar arquivos para esse servidor, ative e configure a extensão de servidor BITS. Caso contrário, deixe-a desativada. Observe que Windows Update, Microsoft Update, SUS, WSUS e Atualizações Automáticas não requerem a execução desse componente. Eles requerem o componente de cliente BITS, que não faz parte do IIS.


Os subcomponentes na caixa de diálogo Serviço World Wide Web são mostrados na seguinte figura:

Cc163131.SGFG0905(pt-br,TechNet.10).gif

Figura 9.5 Caixa de diálogo Serviço World Wide Web com lista de subcomponentes

A tabela a seguir descreve resumidamente os subcomponentes do Serviço World Wide Web e fornece recomendações para sua ativação.

Tabela 9.6 Configurações recomendadas para os subcomponentes do Serviço World Wide Web

Nome do componente na interface do usuário

Opção de instalação

Lógica da configuração

Páginas do Active Server

Desativada

Fornece suporte para ASP. Desative esse componente quando nenhum site ou aplicativo da Web nos servidores IIS usar ASP ou desative-o usando as extensões de serviços da Web. Para obter mais informações, consulte a seção “Ativando apenas as extensões de serviços da Web essenciais” a seguir, neste capítulo.

Conector de dados da Internet

Desativada

Dá suporte a conteúdo dinâmico fornecido por arquivos com a extensão .idc. Desative esse componente quando nenhum site ou aplicativo da Web executado nos servidores IIS incluir arquivos com extensões .idc ou desative-o usando extensões de serviços da Web. Para obter mais informações, consulte a seção “Ativando apenas as extensões de serviços da Web essenciais” a seguir, neste capítulo.

Administração Remota (HTML)

Desativada

Fornece uma interface HTML para a administração do IIS. Use o Gerenciador do IIS em seu lugar para permitir uma administração mais fácil e reduzir a superfície de ataque de um servidor IIS. Esse recurso não é exigido em servidores IIS dedicados.

Conexão da Web da Área de Trabalho Remota

Desativada

Inclui páginas Microsoft ActiveX® de controle e exemplo para hospedar conexões de clientes de Serviços de Terminal. Use o Gerenciador do IIS em seu lugar para permitir uma administração mais fácil e reduzir a superfície de ataque de um servidor IIS. Não é exigido em um servidor IIS dedicado.

Servidor Side Includes

Desativada

Fornece suporte a arquivos .shtm, .shtml e .stm. Desative esse componente quando nenhum site ou aplicativo da Web executado no servidor IIS usar arquivos com essas extensões.

WebDAV

Desativada

O WebDAV estende o protocolo HTTP/1.1 para permitir que os clientes publiquem, bloqueiem e gerenciem recursos na Web. Desative esse componente em servidores IIS dedicados ou usando extensões de serviço Web. Para obter mais informações, consulte a seção “Ativando apenas as extensões de serviços da Web essenciais” a seguir, neste capítulo.

Serviço World Wide Web

Ativada

Fornece serviços da Web, conteúdo estático e dinâmico a clientes. Esse componente é exigido em servidores IIS dedicados.


Ativando apenas as extensões de serviços da Web essenciais.

Muitos aplicativos e sites que são executados nos servidores IIS têm funcionalidade ampliada que vai além de páginas estáticas, inclusive a capacidade de gerar conteúdo dinâmico. Qualquer conteúdo dinâmico servido ou ampliado por recursos fornecidos por um servidor IIS é realizado por extensões de serviço da Web.

Recursos de segurança reforçada no IIS 6.0 permitem que extensões se serviços da Web individuais possam ser habilitados ou desabilitados. Conforme dito anteriormente, os servidores IIS transmitirão somente conteúdo estático após uma nova instalação. Capacidades de conteúdo dinâmico podem ser habilitadas através do nó Extensões de Serviços da Web no Gerenciador do IIS. Essas extensões incluem ASP.NET, SSI, WebDAV e Extensões de Servidor FrontPage.

Um meio de garantir a maior compatibilidade possível com aplicativos existentes é ativar todas as extensões de serviço da Web, mas isso também cria um risco de segurança pois aumenta a superfície de ataque do IIS. Você só deve permitir as extensões de serviço da Web que forem necessárias aos sites e aplicativos executados nos servidores IIS no ambiente. Essa abordagem minimiza a funcionalidade do servidor e reduz a superfície de ataque de cada servidor IIS.

Para reduzir ao máximo a superfície de ataque dos servidores IIS, ative apenas as extensões de serviços da Web necessárias nos servidores IIS dos três ambientes definidos neste guia.

A tabela a seguir lista extensões de serviços da Web predefinidas e fornece detalhes sobre quando ativar cada extensão.

Tabela 9.7 Ativando extensões de serviços da Web

Extensão de serviços da Web

Ative a extensão quando

Páginas do Active Server

Um ou mais sites ou aplicativos da Web executados em servidores IIS contiverem conteúdo ASP.

ASP.NET v1.1.4322

Um ou mais sites ou aplicativos da Web executados em servidores IIS contiverem conteúdo ASP.NET.

Todas as Extensões CGI Desconhecidas

Um ou mais sites ou aplicativos da Web executados em servidores IIS contiverem conteúdo com extensão CGI desconhecida.

Todas as Extensões ISAPI Desconhecidas

Um ou mais sites ou aplicativos da Web executados em servidores IIS contiverem conteúdo com extensão ISAPI desconhecida.

Extensões de Servidor do FrontPage 2002

Um ou mais sites executados em servidores IIS usarem Extensões do FrontPage.

IDC (Conector de Dados da Internet)

Um ou mais sites e aplicativos da Web executados em servidores IIS usarem IDC para exibir informações de banco de dados (esse conteúdo inclui arquivos .idc e .idx).

SSI (Server Side Includes)

Um ou mais sites executados em servidores IIS usarem diretivas de SSI para instruir servidores IIS a inserir conteúdo reutilizável (por exemplo, uma barra de navegação, um cabeçalho ou rodapé de página) em diferentes páginas da Web.

WebDav (Web Distributed Authoring and Versioning)

O suporte a WebDAV é necessário em servidores IIS para que os clientes publiquem e gerenciem recursos da Web de forma transparente.

Colocando conteúdo em um volume de disco dedicado

O IIS armazena arquivos para o seu site padrão na pasta <raizdosistema>\inetpub\wwwroot (onde <raizdosistema> é a unidade onde o sistema operacional Windows Server 2003 está instalado).

Nos três ambientes definidos neste guia, todos os arquivos e pastas que compõem sites e aplicativos da Web são colocados em volumes de disco dedicados separados do sistema operacional. Essa abordagem ajuda a evitar ataques de passagem de diretório em que um invasor solicita um arquivo localizado fora da estrutura de diretórios de um servidor IIS.

Por exemplo, o arquivo Cmd.exe reside na pasta <raizdosistema>\System32. Um atacante pode fazer uma solicitação para a seguinte localização:

..\..\Windows\system\cmd.exe

em uma tentativa de chamar o prompt de comando.

Se o conteúdo do site estiver em um volume de disco separado, um ataque de passagem de diretório desse tipo não funcionaria por dois motivos. Primeiro, as permissões no arquivo Cmd.exe foram redefinidas como parte da versão básica do Windows Server 2003 com SP1, restringindo o acesso a um grupo bem mais limitado de usuários. Em segundo lugar, o arquivo Cmd.exe não estaria no mesmo volume de disco que a raiz da Web, e não existe atualmente nenhum método conhecido de se acessar comandos em uma unidade diferente com esse tipo de ataque.

Além dos benefícios relacionado à segurança, as tarefas administrativas como backup e restauração são mais fáceis quando os arquivos e pastas de aplicativos e sites são colocados em um volume de disco dedicado. Além disso, o uso de uma unidade física dedicada pode ajudar a reduzir a disputa por disco no volume do sistema e melhorar o desempenho do acesso em todo o disco.

Configurando as permissões NTFS

O Windows Server 2003 com SP1 examina as permissões do sistema de arquivos NTFS para determinar os tipos de acesso que um usuário ou processo tem em um arquivo ou pasta específica. Você deve atribuir permissões NTFS para permitir ou negar o acesso de usuários específicos a sites da Web em servidores IIS nos três ambientes definidos neste guia.

As permissões NTFS afetam somente as contas que tiveram o acesso ao conteúdo de aplicativo e site permitido ou negado. Você deve usar permissões NTFS em conjunto com as permissões da Web, e não substituir umas pelas outras. As permissões de site afetam todos os usuários que acessam o site ou aplicativo. Se as permissões da WEB conflitarem com as permissões NTFS para um arquivo ou diretório, serão aplicadas as configurações mais restritivas.

Negue explicitamente o acesso de contas anônimas a aplicativos e sites da Web para os quais o acesso anônimo não é desejado. O acesso anônimo ocorre quando um usuário sem credenciais autenticadas acessa recursos da rede. As contas anônimas incluem a conta Convidado interna, o grupo Convidados e as contas anônimas do IIS. Além disso, elimine qualquer permissão de acesso de gravação a qualquer usuário, exceto os administradores de IIS.

A tabela a seguir fornece algumas recomendações sobre as permissões NTFS que devem ser aplicadas aos diferentes tipos de arquivo no servidor IIS. Os diferentes tipos de arquivo podem ser agrupados em pastas separadas para simplificar a aplicação das permissões NTFS.

Tabela 9.8 Configurações recomendadas para permissões NTFS

Tipo de arquivo

Permissões NTFS recomendadas

Arquivos CGI (.exe, .dll, .cmd, .pl)

Todos (executar)

Administradores (controle total)

Sistema (controle total)

Arquivos de script (.asp)

Todos (executar)

Administradores (controle total)

Sistema (controle total)

Arquivos de inclusão (.inc, .shtm, .shtml)

Todos (executar)

Administradores (controle total)

Sistema (controle total)

Conteúdo estático (.txt, .gif, .jpg, .htm, .html)

Todos (somente leitura)

Administradores (controle total)

Sistema (controle total)

Configurando permissões de site do IIS

O IIS examina as permissões do site para determinar os tipos de ação que podem ocorrer em um site, como acesso à fonte do script ou navegação no diretório. Você deve atribuir permissões de site para fornecer segurança adicional aos sites em servidores IIS nos três ambientes definidos neste guia.

As permissões de site podem ser usadas em conjunto com as permissões NTFS e podem ser configuradas para sites, diretórios e arquivos específicos. Ao contrário das permissões NTFS, as permissões de site afetam todos os que tentam acessar um site que é executado em um servidor IIS. As permissões de site podem ser aplicadas com o snap-in Gerenciador do IIS do MMC.

A tabela a seguir lista as permissões de site que têm suporte no IIS 6.0 e fornece breves explicações de quando atribuir uma dada permissão a um site.

Tabela 9.9 Permissões de site do IIS 6.0

Permissão de site

Permissão concedida

Ler

Os usuários podem exibir conteúdo e propriedades de diretórios ou arquivos. Essa permissão é selecionada por padrão.

Gravar

Os usuários podem alterar o conteúdo e propriedades de diretórios ou arquivos.

Acesso ao código-fonte do script

Usuários podem acessar arquivos fontes. Se Ler estiver ativada, a fonte poderá ser lida. Se Gravar estiver ativada, o código-fonte do script poderá ser alterado. Acesso ao código-fonte do script inclui o código fonte para scripts. Se nem Ler nem Gravar estiverem ativadas, essa opção não estará disponível.

Importante: quando Acesso ao código-fonte do script estiver ativada, os usuários poderão exibir informações confidenciais, como o nome de um usuário e sua senha. Eles poderão também alterar o código-fonte executado em um servidor IIS e afetar seriamente a segurança e o desempenho do servidor.

Pesquisa no diretório

Os usuários podem exibir listas e coleções de arquivos.

Criar log de visitantes

Um log de entrada é criado para cada visita ao site.

Indexar este recurso

Permite ao Serviço de Indexação indexar recursos, o que permite a execução de pesquisas em recursos.

Executar

As seguintes opções determinam o nível de execução do script para usuários:

  • Nenhum. Não permite que scripts e executáveis sejam executados no servidor.

  • Somente scripts. Permite que somente scripts sejam executados no servidor.

  • Scripts e executáveis. Permite que tanto scripts como executáveis sejam executados no servidor.


Configurando os logs do IIS

A Microsoft recomenda que o registro em log do IIS seja ativado em servidores IIS nos três ambientes definidos neste guia.

Podem ser criados logs separados para cada site ou aplicativo. Os logs do IIS contêm mais informações que os logs de eventos e os recursos de monitoramento do desempenho fornecidos pelo sistema operacional Windows. Os logs do IIS podem incluir informações como quem visitou o site, o que o visitante exibiu e a última vez em que a informação foi exibida. Esses logs podem ser usados para avaliar a popularidade do conteúdo, identificar gargalos de informação, representando ainda recursos para auxiliar na investigação de ataques.

O snap-in Gerenciador do IIS do MMC pode ser usado para configurar o formato do arquivo de log, seu agendamento e a informação exata a ser registrada nele. Para limitar o tamanho dos logs, use um planejamento cuidadoso para determinar quais campos devem ser registrados.

Quando o log do IIS está ativado, o IIS usa o Formato de Arquivo de Log Estendido W3C para criar logs das atividades diárias no diretório especificado para o site no Gerenciador do IIS. Para melhorar o desempenho do servidor, armazene os logs em um volume de disco distribuído ou distribuído/espelhado que não seja do sistema operacional.

Os logs podem ser gravados em um compartilhamento remoto em uma rede usando um caminho completo UNC (Convenção Universal de Nomenclatura). O log remoto permite que os administradores definam o armazenamento e o backup centralizados dos arquivos de log. No entanto, o desempenho do servidor pode ser prejudicado quando os arquivos de log são gravados pela rede.

O log do IIS pode ser configurado para usar vários outros formatos de arquivos de log ASCII ou ODBC (Open Database Connectivity). Os logs de ODBC podem armazenar informações de atividade em um banco de dados SQL. No entanto, observe que quando o registro de ODBC em log está ativado, o IIS desativa o cache do modo kernel, o que pode afetar o desempenho geral do servidor.

Os servidores IIS que hospedam centenas de sites podem ativar o registro em log binário centralizado para melhorar o desempenho do log. O log binário centralizado permite que todos os sites em um servidor IIS gravem informações de atividade em um único arquivo de log. Esse método pode aumentar muito a facilidade de gerenciamento e a escalabilidade do processo de log do IIS, visto que reduz o número de logs que precisam ser armazenados e analisados individualmente. Para obter mais informações sobre o registro em log binário centralizado, consulte a página IIS Centralized Binary Logging em www.microsoft.com/technet/prodtechnol/
WindowsServer2003/Library/IIS/13a4c0b5-686b-4766-8729-a3402da835f1.mspx (site em inglês).

Quando os logs do IIS são armazenados nos servidores IIS, por padrão somente os administradores do servidor têm permissão para acessá-los. Se o proprietário de um diretório de arquivo de log ou do arquivo não pertencer ao grupo Administradores Locais, o arquivo HTTP.sys (o driver do modo kernel no IIS 6.0) publicará uma mensagem de erro no log de eventos do NT. Esse erro indica que o proprietário do diretório ou arquivo não pertence ao grupo Administradores Locais e que o log foi suspenso para aquele site até que o proprietário seja adicionado ao grupo Administradores Locais ou que o diretório ou arquivo de log existente seja excluído.

Adicionando manualmente grupos de segurança exclusivos às atribuições de direitos do usuário

A maioria das atribuições de direitos de usuário aplicadas via MSBP tem os grupos de segurança apropriados especificados nos modelos de segurança que acompanham este guia. No entanto, existem algumas contas e grupos de segurança que não podem ser incluídos nos modelos porque seus SIDs são específicos para domínios individuais do Windows 2003. As atribuições de direitos de usuário que devem ser configuradas manualmente são especificadas na tabela a seguir.

Aviso: a tabela a seguir contém valores para a conta interna Administrador. Não confunda a conta Administrador com o grupo de segurança interno Administradores. Se você adicionar o grupo de segurança Administradores a qualquer um dos direitos de usuário com acesso negado listados, precisará fazer logon localmente para corrigir o erro.

Além disso, você pode ter renomeado a conta Administrador interna de acordo com as recomendações no Capítulo 4, "A diretiva de linha de base de servidor membro". Ao adicionar a conta Administrador a quaisquer direitos de usuário, não deixe de especificar a conta renomeada.

Tabela 9.10 Atribuições de direitos de usuário adicionadas manualmente

Padrão do servidor membro

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Negar acesso a este computador pela rede

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional


Importante: “Todas as contas de serviço que NÃO são do sistema operacional” inclui contas de serviço usadas para aplicativos específicos em toda a empresa, mas NÃO inclui as contas SISTEMA LOCAL, SERVIÇO LOCAL nem SERVIÇO DE REDE (as contas internas usadas pelo sistema operacional).

Protegendo contas bem conhecidas

O Windows Server 2003 tem várias contas de usuário internas que não podem ser excluídas, mas que podem ser renomeadas. Duas das contas internas mais conhecidas do Windows Server 2003 são Convidado e Administrador.

Por padrão, a conta Convidado é desabilitada em servidores membros e em controladores de domínio. Essa configuração não deve ser alterada. Muitas variações de códigos mal-intencionados usam a conta interna Administrador em uma tentativa inicial de comprometer um servidor. Portanto, você deve renomear a conta Administrador interna e alterar sua descrição para ajudar a prevenir o comprometimento de servidores remotos por invasores que tentam valer-se dessa conta bem conhecida.

O valor dessa alteração de configuração tem diminuído nos últimos anos, desde o lançamento de ferramentas de ataque que tentam violar o servidor especificando o SID (Identificador de Segurança) da conta interna Administrador para descobrir seu nome real. Um SID é o valor que identifica de forma exclusiva cada usuário, grupo, conta de computador e sessão de logon em uma rede. Não é possível alterar o SID desta conta interna. No entanto, seus grupos de operações podem monitorar com facilidade as tentativas de ataques contra essa conta de Administrador se você a renomear com um nome exclusivo.

Para proteger contas bem conhecidas em servidores IIS

  • Renomeie as contas Administrador e Convidado e altere suas senhas para um valor longo e complexo em todos os domínios e servidores.

  • Use nomes e senhas diferentes para cada servidor. Se os mesmos nomes de conta e as mesmas senhas forem usados em todos os domínios e servidores, um invasor que consiga acessar um servidor membro poderia acessar todos os outros.

  • Alterar as descrições da conta para algo diferente dos padrões ajuda a evitar a fácil identificação das contas.

  • Registre quaisquer alterações feitas em um local protegido.

    Observação: é possível renomear a conta interna Administrador por meio da Diretiva de Grupo. Essa configuração não foi implementada em nenhum dos modelos de segurança fornecidos com este guia porque cada organização deve escolher um nome exclusivo para essa conta. No entanto, você pode definir a configuração Contas: renomear conta do administrador para renomear contas de administrador nos três ambientes definidos neste guia. Essa configuração de diretiva faz parte das configurações Opções de Segurança de um GPO.


Protegendo contas de serviço

Nunca configure um serviço para ser executado no contexto de segurança de uma conta de domínio a menos que seja absolutamente necessário. Se o servidor for comprometido fisicamente, as senhas de contas de domínio poderão ser facilmente obtidas despejando-se segredos LSA. Para obter mais informações sobre como proteger contas de serviço, consulte o Guia de Planejamento da Segurança de Serviços e Contas de Serviço em http://www.microsoft.com/brasil/security/guidance/servaccount/default.mspx.


Criando a diretiva usando o ACS

Para implantar as configurações de segurança necessárias, use tanto o Assistente de Configuração de Segurança (ACS) quanto os modelos de segurança incluídos na versão para download deste guia para criar uma diretiva de servidor.

Ao criar sua própria diretiva, não deixe de ignorar as seções “Configurações de Registro” e “Diretiva de Auditoria”. Essas configurações são fornecidas pelos modelos de segurança para o ambiente de sua escolha. Essa abordagem é necessária para assegurar que os elementos de diretiva fornecidos pelos modelos tenham precedência com relação aos que seriam configurados pelo ACS.

Use uma nova instalação do sistema operacional para começar seu trabalho de configuração, o que ajuda a garantir que não haja configurações ou software herdados de configurações anteriores. Se possível, use hardware semelhante àquele usado na implantação a fim de ajudar a garantir tanta compatibilidade quanto possível. A nova instalação é chamada computador de referência.

Para criar a diretiva de servidor IIS

  1. Crie uma nova instalação do Windows Server 2003 com SP1 em um novo computador de referência.

  2. Instale o componente de Assistente de Configuração de Segurança no computador usando Painel de Controle, Adicionar ou Remover Programas, Adicionar/Remover Componentes do Windows.

  3. Conecte o computador ao domínio, o que aplicará todas as configurações de segurança das UOs pai.

  4. Instale e configure somente os aplicativos obrigatórios que constarão de cada servidor que compartilha essa função. Exemplos incluem serviços específicos às funções, agentes de gerenciamento e de software, agentes de backup em fita e utilitários antivírus ou antispyware.

  5. Inicie a GUI do ACS, selecione Criar nova diretiva e aponte para o computador de referência.

  6. Assegure-se de que as funções de servidor detectadas sejam apropriadas para o ambiente – por exemplo, as funções de servidor de aplicativos e servidor Web.

  7. Assegure-se de que os recursos de cliente detectados sejam apropriados para o ambiente.

  8. Assegure-se de que as opções administrativas detectadas sejam apropriadas para o ambiente.

  9. Assegure-se de que quaisquer serviços adicionais necessários à linha de base, como agentes de backup ou software antivírus, sejam detectados.

  10. Decida como lidar com serviços não especificados no ambiente. Para obter segurança extra, você pode definir essa configuração de diretiva como Desativada. Teste esta configuração antes de implantá-la na rede de produção, visto que ela poderá causar problemas se seus servidores de produção executarem serviços adicionais que não sejam duplicados no computador de referência.

  11. Verifique se a caixa de seleção Ignorar esta seção está desmarcada na seção "Segurança de rede" e, em seguida, clique em Avançar. As portas e aplicativos apropriados identificados anteriormente são configurados como exceções para o Firewall do Windows.

  12. Na seção "Configurações do Registro", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  13. Na seção "Diretiva de Auditoria", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  14. Inclua o modelo de segurança apropriado (por exemplo, EC-IIS Server.inf).

  15. Salve a diretiva com um nome apropriado (por exemplo, Servidor IIS.xml).

    Observação: o MSBP desativa vários outros serviços relacionados ao IIS, inclusive FTP, SMTP e NNTP. A diretiva de Servidor Web deverá ser modificada se algum desses serviços tiver que ser ativado nos servidores IIS em qualquer um dos três ambientes definidos neste guia.


Testar a diretiva usando o ACS

Depois que a diretiva tiver sido criada e salva, a Microsoft recomenda enfaticamente sua implantação no ambiente de teste. Idealmente, os servidores de teste terão as mesmas configurações de hardware e software que os servidores de produção. Essa abordagem permitirá localizar e corrigir problemas potenciais, como a presença de serviços inesperados exigidos por dispositivos de hardware específicos.

Há duas opções disponíveis para o teste da diretiva. É possível usar os recursos de implantação do ACS ou implantar as diretivas por meio de um GPO.

Ao começar a produzir suas diretivas, considere o uso dos recursos de implantação nativos ao ACS. É possível usar o ACS para enviar uma diretiva para um único servidor de cada vez, ou usar Scwcmd para enviá-la para um grupo de servidores. O método nativo de implantação permite reverter facilmente as diretivas implantadas do ACS. Esse recurso pode ser muito útil quando várias alterações são feitas às diretivas durante o processo de teste.

A diretiva é testada a fim de se garantir que a sua aplicação aos servidores de destino não afetará adversamente as suas funções críticas. Depois de aplicar as alterações à configuração, comece a verificar a funcionalidade central do computador. Por exemplo, se o servidor estiver configurado como uma autoridade de certificação (CA), verifique se os clientes podem solicitar e obter certificados, baixar uma lista de revogação de certificados, e assim por diante.

Quando estiver seguro quanto às configurações da diretiva, use Scwcmd, conforme mostrado no procedimento a seguir, para converter as diretivas em GPOs.

Para obter mais detalhes sobre como testar diretivas do ACS, consulte o Guia de Implantação do Assistente de Configuração de Segurança em www.microsoft.com/brasil/technet/centralwindows/servicepack1/default.mspx
 e a Security Configuration Wizard Documentation em http://go.microsoft.com/fwlink/?linkid=43450 (site em inglês).

Converter e implantar a diretiva

Depois de testar rigorosamente a diretiva, siga estas etapas para convertê-la em um GPO e implementá-la:

  1. No prompt de comando, digite o seguinte comando:

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    e, em seguida, pressione ENTER. Por exemplo:

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\IIS 
    Server.xml" /g:"IIS Policy"
    

    Observação: as informações a serem inseridas no prompt de comando estão exibidas aqui em mais de uma linha devido às limitações de exibição. Essas informações devem ser inseridas em uma única linha.

  2. Use o Console de Gerenciamento de Diretiva de Grupo para vincular o GPO recém-criado à UO apropriada.


Observe que se o arquivo de diretiva de segurança do ACS contiver configurações do Firewall do Windows, o Firewall do Windows deverá estar ativo no computador local para que esse procedimento seja concluído com êxito. Para verificar se o Firewall do Windows está ativo, abra o Painel de Controle e, em seguida, clique duas vezes em Firewall do Windows.

Agora é preciso executar um teste final para verificar se o GPO aplica as configurações desejadas. Para completar esse procedimento, verifique se as configurações apropriadas foram feitas e se a funcionalidade não foi afetada.


Resumo

Este capítulo explicou as configurações de diretiva que podem ser usadas para proteger servidores IIS que executam o Windows Server 2003 com SP1 nos três ambientes definidos neste guia. A maioria das configurações é aplicada por um objeto de Diretiva de Grupo (GPO) projetado de forma a complementar a MSBP. GPOs podem ser vinculados às unidades organizacionais (UOs) apropriadas que contêm os servidores IIS para fornecer segurança adicional.

Algumas das configurações discutidas não podem ser aplicadas por meio da Diretiva de Grupo. Foram fornecidos detalhes sobre a definição manual dessas configurações.

Mais informações

Os links a seguir fornecem informações adicionais sobre tópicos relacionados à proteção de servidores baseados em IIS que executam o Windows Server 2003 com SP1.

  • Para obter informações sobre como ativar o registro em log no IIS, consulte o artigo "How to enable logging in Internet Information Services" da Base de Dados de Conhecimento Microsoft em http://support.microsoft.com/?kbid=313437 (site em inglês).

  • Informações adicionais sobre o registro em log estão disponíveis na página Enable Logging (IIS 6.0) em www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
    d29207e8-5274-4f4b-9a00-9433b73252d6.mspx (site em inglês).

  • Para obter informações sobre como registrar em log a atividade do site, consulte a página Logging Site Activity (IIS 6.0) em www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
    IIS/ab7e4070-e185-4110-b2b1-1bcac4b168e0.mspx (site em inglês).

  • Para obter informações sobre registro em log estendido, consulte a página Customizing W3C Extended Logging (IIS 6.0) em www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/
    IIS/96af216b-e2c0-428e-9880-95cbd85d90a1.mspx (site em inglês).

  • Para obter informações sobre o registro em log binário centralizado, consulte a página Centralized Binary Logging in IIS 6.0 (IIS 6.0) em www.microsoft.com/technet/prodtechnol/
    WindowsServer2003/Library/IIS/b9cdc076-403d-463e-9a36-5a14811d34c7.mspx (site em inglês).

  • Informações adicionais sobre o registro em log remoto estão disponíveis na página Remote Logging (IIS 6.0) em www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/
    a6347ae3-39d1-4434-97c9-5756e5862c61.mspx (site em inglês).

  • Para obter informações adicionais sobre o IIS 6.0, consulte a página Internet Information Services em www.microsoft.com/WindowsServer2003/iis/default.mspx (site em inglês).



Neste artigo


Download

Obtenha o Guia de Segurança do Windows Server 2003

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões


Cc163131.pageLeft(pt-br,TechNet.10).gif 10 de 19 Cc163131.pageRight(pt-br,TechNet.10).gif
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft