Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Protegendo os Serviços de Informações da Internet 6.0

Atualizado em: 21 de julho de 2006

Nesta página

Introdução
Antes de começar
Reduzindo a área de ataque contra o servidor Web
Configurando contas
Configurando a segurança de arquivos e diretórios
Protegendo sites e diretórios virtuais
Configurando o SSL (Secure Sockets Layer) no servidor Web
Informações relacionadas

Introdução

Os servidores Web são alvos freqüentes de vários tipos de ataques contra a segurança. Alguns desses ataques são sérios o suficiente para causar danos significativos aos ativos comerciais, à produtividade e ao relacionamento com os clientes. Além disso, qualquer ataque é inconveniente e frustrante. A segurança de seus servidores Web é vital para o sucesso de seus negócios.

Este documento explica como iniciar o processo de proteção de um servidor Web que esteja executando o IIS (Serviços de informações da Internet) 6.0 no sistema operacional Microsoft® Windows Server™ 2003, Standard Edition. Primeiramente, esta seção descreve algumas das ameaças de segurança mais comuns que afetam os servidores Web. Em seguida, são fornecidas orientações prescritivas para tornar o seu servidor Web mais seguro em relação a tais ataques.

O IIS 6.0 assume uma postura mais proativa contra usuários mal-intencionados e invasores com as seguintes alterações em relação às versões anteriores do IIS:

  • O IIS 6.0 não é instalado por padrão junto com o Windows Server 2003, Standard Edition.

  • Quando o IIS 6.0 é instalado pela primeira vez, seu servidor Web serve, ou exibe, apenas páginas estáticas da Web (HTML), o que reduz o risco do conteúdo dinâmico, ou executável.

  • O Serviço de publicação na World Wide Web (serviço WWW) é o único serviço ativado por padrão quando o IIS 6.0 é instalado. Você pode ativar os serviços específicos de que necessita, quando precisar deles.

  • O ASP e o ASP.NET estão desativados por padrão quando o IIS 6.0 é instalado.


Para obter proteção adicional, todas as configurações de segurança padrão do IIS 6.0 atendem ou excedem aquelas feitas pela Ferramenta de bloqueio do IIS. Essa ferramenta, criada para reduzir a área de ataque dos servidores Web pela desativação de recursos desnecessários, é executada nas versões anteriores do IIS. Para obter mais informações sobre a Ferramenta de bloqueio do IIS, consulte "Securing Internet Information Services 5.0 and 5" no Security Guidance Kit, disponível no site do Centro de Download da Microsoft em www.microsoft.com/windowsserver2003/techinfo/overview/iis.mspx (em inglês).

Como as configurações padrão do IIS 6.0 desativam muitos dos recursos comumente usados pelos serviços da Web, este documento explica como configurar recursos adicionais do seu servidor Web reduzindo, ao mesmo tempo, sua exposição a invasores potenciais.

Este documento fornece as seguintes orientações a fim de aumentar a segurança de seu servidor Web:

  • Reduzindo a área de ataque contra o seu servidor Web ou o grau de exposição do servidor a invasores em potencial.

  • Configurando contas de usuários e grupos para acesso anônimo.

  • Protegendo arquivos e diretórios contra acesso não autorizado.

  • Protegendo sites e diretórios virtuais contra acesso não autorizado.

  • Configurando o SSL (Secure Sockets Layer) no servidor Web.


Importante   Todas as instruções passo a passo incluídas neste documento foram desenvolvidas com o uso do menu exibido por padrão quando você clica no botão Iniciar. Se você tiver modificado o menu Iniciar, estas etapas podem apresentar ligeiras diferenças.

Após concluir os procedimentos deste documento, seu servidor Web ainda funcionará com conteúdo dinâmico sob a forma de páginas .asp e ainda estará protegido de forma significativa contra os seguintes tipos de ataques que às vezes ameaçam os servidores conectados à Internet:

  • Ataques de perfis, que reúnem informações sobre o site e que podem ser reduzidos pelo bloqueio de portas desnecessárias e pela desativação de protocolos dispensáveis.

  • Ataques de negação de serviço, que sobrecarregam o servidor Web de solicitações, mas que podem ser minimizados pela aplicação de patches de segurança e atualizações de software.

  • Acesso não autorizado de um usuário que não possua as permissões corretas, que muitas vezes pode ser impedido pela configuração de permissões da Web e do NTFS.

  • Execução arbitrária de código mal-intencionado no servidor Web, que pode ser minimizada evitando-se o acesso a ferramentas e comandos do sistema.

  • Elevação de privilégios que permite a um usuário mal-intencionado usar uma conta com altos privilégios para executar programas, o que pode ser minimizado pelo uso de serviços e contas de usuário com os menores privilégios.

  • Danos resultantes de vírus, worms e cavalos de Tróia, que podem ser contidos pela desativação de funcionalidades desnecessárias, pelo uso de contas com os menores privilégios e pela aplicação imediata dos patches de segurança mais recentes.


Observação   Como a proteção de um servidor Web é um processo complexo e contínuo, não é possível garantir a segurança total.

Objetivo deste documento

Este documento fornece informações introdutórias que podem ajudá-lo com as etapas iniciais de configuração de um servidor Web mais seguro. No entanto, para tornar seu servidor Web o mais seguro possível, é necessário compreender a operação dos aplicativos executados no servidor. Este documento não contém informações sobre configurações de segurança específicas de aplicativos.


Antes de começar

Esta seção explica os pré-requisitos do sistema e as características do servidor Web descritos neste documento.

Requisitos do sistema

O servidor Web usado como exemplo neste documento possui os seguintes requisitos do sistema:

  • O servidor está executando o Windows Server 2003, Standard Edition.

  • O sistema operacional é instalado em uma partição NTFS. Para obter mais informações sobre o NTFS, pesquise "NTFS" no Centro de ajuda e suporte do Windows Server 2003.

  • Todos os patches e todas as atualizações necessários ao Windows 2003 Server foram aplicados ao servidor. Para verificar se as atualizações de segurança mais recentes foram instaladas em seu servidor Web, visite a página do Microsoft Update no site da Microsoft Web em http://windowsupdate.microsoft.com e faça com que o Microsoft Update procure atualizações disponíveis para o seu servidor.

  • A segurança do Windows Server 2003 foi aplicada ao servidor. Para obter mais informações sobre a proteção do Windows Server 2003, consulte o Guia de Segurança do Windows Server 2003 em http://go.microsoft.com/fwlink/?LinkId=14845.


Características do servidor Web

O servidor Web usado como exemplo neste documento possui as seguintes características:

  • O servidor Web está executando o IIS 6.0 em modo de isolamento do processo de trabalho.

  • O servidor Web hospeda um site conectado à Internet.

  • O servidor Web está protegido por um firewall que permite o tráfego apenas pela porta 80 do HTTP e pela porta 443 do HTTPS.

  • O servidor Web é um servidor Web dedicado. Ele é usado apenas como um servidor Web e para nenhuma outra finalidade, como um servidor de arquivos, de impressão ou de banco de dados executando o Microsoft SQL Server.

  • O acesso anônimo ao site é permitido.

  • O servidor Web funciona com páginas HTML e ASP.

  • As Extensões de Servidor do FrontPage 2002 da Microsoft não são configuradas no servidor Web.

  • Os aplicativos no servidor Web não requerem conectividade de banco de dados.

  • O servidor Web não dá suporte aos protocolos FTP (carregamento e download de arquivos), SMTP (email) ou NNTP (grupo de notícias).

  • O servidor Web não usa o Internet Security and Acceleration (ISA) Server.

  • É preciso que um administrador faça logon localmente para administrar o servidor Web.


Reduzindo a área de ataque contra o servidor Web

Inicie o processo de proteção ao servidor Web reduzindo sua área de ataque ou o grau de exposição do servidor a invasores em potencial. Por exemplo, ative apenas os componentes, os serviços e as portas necessárias para a operação correta de seu servidor Web.

Desativando o SMB e o NetBIOS

Os ataques de enumeração de host examinam a rede para determinar o endereço IP de alvos em potencial. Para reduzir a probabilidade de ataques bem-sucedidos de enumeração de host contra portas conectadas à Internet no servidor Web, desative todos os protocolos de rede, exceto o TCP (Transmission Control Protocol). Os servidores Web não exigem o protocolo SMB (Server Message Block) ou o NetBIOS em seus adaptadores de rede conectados à Internet.

Esta seção fornece instruções passo a passo para as tarefas a seguir, que ajudarão na redução da área de ataque do servidor Web:

  • Desativando o SMB em uma conexão com a Internet

  • Desativando o NetBIOS sobre TCP/IP


Observação   Quando o SMB e o NetBIOS forem desativados, o servidor não poderá funcionar como um servidor de arquivos ou de impressão, não será possível realizar procuras na rede e nem gerenciar o servidor Web remotamente. Se o seu servidor for um servidor Web dedicado que requer o logon dos administradores localmente, essas restrições não deverão afetar a operação do servidor.

O SMB usa as seguintes portas:

  • Porta TCP 139

  • Porta TCP e UDP 445 (host direto do SMB)


O NetBIOS usa as seguintes portas:

  • Porta TCP e protocolo UDP (User Datagram Protocol) 137 (serviço de nomes do NetBIOS)

  • Porta TCP e UDP 138 (serviço de datagrama do NetBIOS)

  • Porta TCP e UDP 139 (serviço de sessão do NetBIOS)


Desativar apenas o NetBIOS não impedirá a comunicação do SMB, porque o SMB usará a porta TCP 445 (conhecida como host direto do SMB) se não houver porta padrão do NetBIOS disponível. É necessário desativar o NetBIOS e o SMB separadamente.

Requisitos

Para concluir estas tarefas é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Meu computador, Ferramentas do sistema e Gerenciador de dispositivos.


Para desativar o SMB em uma conexão com a Internet

  1. Clique em Iniciar, clique em Painel de Controle e, em seguida, clique duas vezes em Conexões de Rede.

  2. Clique com o botão direito do mouse na conexão com a Internet e clique em Propriedades.

  3. Limpe a caixa de seleção Cliente para Redes Microsoft.

  4. Limpe a caixa de seleção Compartilhamento de Arquivos e Impressoras para Redes Microsoft e clique em OK.


Para desativar o NetBIOS sobre TCP/IP

  1. Clique em Iniciar, clique com o botão direito do mouse em Meu Computador e, em seguida, clique em Gerenciar.

  2. Clique duas vezes em Ferramentas do Sistema e selecione Gerenciador de Dispositivos.

  3. Clique com o botão direito do mouse em Gerenciador de Dispositivos, clique em Exibir e em Mostrar dispositivos ocultos.

  4. Clique duas vezes em Drivers que não são Plug and Play.

  5. Clique com o botão direito do mouse em NetBios em Tcpip, clique em Desativar (mostrado na captura de tela a seguir) e, em seguida, clique em Sim.


    SIIS601.GIF


    Observação   As capturas de tela deste documento refletem um ambiente de teste e as informações podem diferir das exibidas em sua tela.


O procedimento anterior desativa o ouvinte de host direto do SMB nas portas TCP 445 e UDP 445. Ele desativa também o driver Nbt.sys e requer a reinicialização do sistema.

Verificando as novas configurações

Conclua os procedimentos a seguir para verificar se as configurações de segurança apropriadas foram aplicadas ao servidor Web.

Para verificar se o SMB está desativado

  1. Clique em Iniciar, em Configurações e, em seguida, clique em Conexões Dial-up e de Rede.

  2. Clique com o botão direito do mouse na conexão com a Internet e clique em Propriedades.

  3. Verifique se as caixas Cliente para Redes Microsoft e Compartilhamento de Arquivos e Impressoras para Redes Microsoft estão limpas e, em seguida, clique em OK.


Para verificar se o NetBIOS está desativado

  1. Clique em Iniciar, clique com o botão direito do mouse em Meu Computador e, em seguida, clique em Gerenciar.

  2. Clique duas vezes em Ferramentas do Sistema e selecione Gerenciador de Dispositivos.

  3. Clique com o botão direito do mouse em Gerenciador de Dispositivos, clique em Exibir e em Mostrar dispositivos ocultos.

  4. Clique duas vezes em Drivers que não são Plug and Play e clique com o botão direito do mouse em NetBios em Tcpip. A seleção Ativar é agora exibida no menu de contexto, o que significa que o NetBIOS sobre TCP/IP está atualmente desativado.

  5. Clique em OK para fechar o Gerenciador de dispositivos.


Selecionando apenas componentes e serviços essenciais do IIS

O IIS 6.0 inclui subcomponentes e serviços além do serviço WWW, como os serviços FTP e SMTP. Para minimizar o risco de ataques direcionados a serviços e subcomponentes específicos, a Microsoft recomenda que você selecione apenas os serviços e subcomponentes dos quais os sites e aplicativos da Web necessitam para serem executados corretamente.

A tabela a seguir mostra as configurações recomendadas em Adicionar ou Remover Programas para os subcomponentes e serviços do IIS no servidor Web usado como exemplo neste documento.

Tabela 1. Configurações recomendadas para subcomponentes e serviços do IIS

Subcomponente ou serviço

Configuração padrão

Configuração do servidor Web

Extensões de Servidor BITS

Desativado

Nenhuma alteração

Arquivos comuns

Ativado

Nenhuma alteração

Serviço FTP

Desativado

Nenhuma alteração

Extensões de Servidor do FrontPage 2002

Desativado

Nenhuma alteração

Gerenciador dos Serviços de Informações da Internet

Ativado

Nenhuma alteração

Impressão na Internet

Desativado

Nenhuma alteração

Serviço NNTP

Desativado

Nenhuma alteração

Serviço SMTP

Ativado

Desativado

Serviço World Wide Web

Ativado

Nenhuma alteração

Extensões de Servidor BITS

Desativado

Nenhuma alteração


Requisitos

Para concluir esta tarefa é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Adicionar ou Remover Programas.


Para configurar os componentes e serviços do IIS

  1. Clique em Iniciar, em Painel de Controle e, em seguida, clique em Adicionar ou Remover Programas.

  2. Clique em Adicionar/Remover Componentes do Windows.

  3. Na tela do Assistente de Componentes do Windows, em Componentes, clique em Servidor de Aplicativos e, em seguida, clique em Detalhes.

  4. Clique em Serviços de Informações da Internet (IIS) e, em seguida, clique em Detalhes.

  5. Consulte a tabela anterior e selecione ou anule a seleção dos componentes e serviços do IIS apropriados marcando ou limpando a caixa de seleção correspondente.

  6. Encerre o Assistente de Componentes do Windows seguindo as instruções fornecidas na tela.


Verificando as novas configurações

Conclua o procedimento a seguir para verificar se as configurações de segurança apropriadas foram aplicadas ao servidor Web.

Para verificar se os componentes e serviços do IIS estão selecionados

  1. Clique em Iniciar, clique em Painel de Controle e, em seguida, clique duas vezes em Ferramentas Administrativas.

  2. Gerenciador dos Serviços de informações da Internet (IIS) agora aparece no menu de ferramentas administrativas.


Ativando apenas as extensões de serviços da Web essenciais

Um servidor Web que funciona com conteúdo dinâmico requer extensões de serviços da Web. Cada tipo de conteúdo dinâmico corresponde a uma extensão de serviço da Web específica. Por motivos de segurança, o IIS 6.0 permite ativar e desativar extensões individuais de serviços da Web, para que apenas as extensões necessárias para seu conteúdo sejam ativadas.

Cuidado   Não ative todas as extensões de serviços da Web. Embora isso garanta a maior compatibilidade possível com sites e aplicativos da Web existentes, a área de ataque do seu servidor Web aumenta muito. Pode ser preciso testar seus sites e aplicativos da Web individualmente para garantir que sejam ativadas apenas as extensões de serviços da Web necessárias.

Suponha que o servidor Web esteja configurado para ter o arquivo Default.asp como sua página padrão. Embora a página padrão esteja configurada, você deve ativar a extensão de serviço da Web Active Server Pages para exibir a página .asp.

Requisitos

Para concluir esta tarefa é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Gerenciador do IIS (iis.msc).


Para ativar a extensão de serviços da Web Active Server Pages

  1. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Clique duas vezes no computador local e clique em Extensões de Serviços da Web.

  3. Clique em Active Server Pages e, em seguida, em Permitir (mostrado na captura de tela a seguir).


    SIIS602.GIF


Verificando as novas configurações

Conclua o procedimento a seguir para verificar se as configurações de segurança apropriadas foram aplicadas ao servidor Web.

Para verificar se a extensão de serviços da Web Active Server Pages está ativada

  1. Abra um editor de texto, digite Página de Teste ASP e salve o arquivo como Default.asp no diretório C:\inetpub\wwwroot.

  2. Na caixa Endereço do Internet Explorer, digite a seguinte URL:

    http://localhost

    Em seguida, pressione ENTER. O texto Página de Teste ASP deve aparecer no navegador.

  3. Exclua o arquivo C:\inetpub\wwwroot\Default.asp.


Configurando contas

A Microsoft recomenda que você remova as contas não usadas, porque um invasor poderia descobri-las e usá-las para obter acesso aos dados e aos aplicativos da Web de seu servidor. Sempre exija senhas de alta segurança, pois senhas de baixa segurança aumentam a probabilidade de um ataque forçado ou de dicionário bem-sucedido, nos quais um invasor tenta adivinhar senhas. Use contas que tenham os menores privilégios. Caso contrário, um invasor poderá obter acesso a recursos não autorizados usando uma conta executada com um alto nível de privilégios.

Esta seção fornece instruções passo a passo para as seguintes tarefas:

  • Desativando contas não usadas

  • Isolando aplicativos por meio de pools de aplicativos


Desativando contas não usadas

As contas não usadas e seus privilégios podem ser utilizados por um invasor para obter acesso a um servidor. Você deve fazer a auditoria periódica das contas locais do servidor e desativar todas as contas que não estiverem sendo usadas. Desative as contas em um servidor de teste antes de desativá-las em um servidor de produção para garantir que a desativação de uma conta não afete de forma adversa o funcionamento do seu aplicativo. Se a desativação da conta não causar nenhum problema no servidor de teste, desative a conta no servidor de produção.

Observação   Se você optar por excluir uma conta não usada em vez de desativá-la, esteja ciente de que não poderá recuperar uma conta excluída e de que as contas de Administrador e de Convidado não podem ser excluídas. Além disso, certifique-se de excluir a conta em um servidor de teste antes de excluí-la no servidor de produção.

Esta seção fornece instruções passo a passo para os seguintes procedimentos:

  • Desativando a conta de Convidado

  • Renomeando a conta de Administrador

  • Renomeando a conta IUSR_NomeDoComputador


Desativando a conta Convidado

A conta de Convidado é usada quando uma conexão anônima é feita com o servidor Web. Durante uma instalação padrão do Windows Server 2003, a conta de Convidado é desativada. Para restringir as conexões anônimas com seu servidor, faça com que a conta de Convidado permaneça desativada.

Requisitos

Para concluir esta tarefa é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Gerenciamento do Computador


Para desativar a conta Convidado

  1. Clique em Iniciar, clique com o botão direito do mouse em Meu Computador e, em seguida, clique em Gerenciar.

  2. Clique duas vezes em Usuários e Grupos Locais e clique na pasta Usuários. A conta de Convidado deve ser exibida com um ícone de X vermelho para indicar que está desativada (mostrada na captura de tela).

    Se a conta de Convidado não estiver desativada, prossiga para a Etapa 3 para desativá-la.


    SIIS603.GIF

  3. Clique com o botão direito do mouse na conta Convidado e clique em Propriedades.

  4. Na guia Geral, marque a caixa de seleção Conta desativada e, em seguida, clique em OK.


A conta de Convidado é exibida com um ícone de X vermelho.

Renomeando a conta de Administrador

A conta padrão local de Administrador é um alvo de usuários mal-intencionados devido a seus elevados privilégios no computador. Para aumentar a segurança, renomeie a conta padrão de Administrador e atribua a ela uma senha de alta segurança.

Requisitos

Para concluir esta tarefa é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Meu computador.


Para renomear a conta de Administrador e atribuir uma senha de alta segurança

  1. Clique em Iniciar, clique com o botão direito do mouse em Meu Computador e, em seguida, clique em Gerenciar.

  2. Clique duas vezes em Usuários e Grupos Locais e clique na pasta Usuários.

  3. Clique com o botão direito do mouse na conta de Administrador e clique em Renomear.

  4. Digite um nome na caixa e pressione ENTER.

  5. Na Área de trabalho, pressione CTRL+ALT+DEL e clique em Alterar Senha.

  6. Digite o novo nome da conta de Administrador na caixa Nome de usuário.

  7. Digite a senha atual na caixa Senha Antiga, digite uma nova senha na caixa Nova Senha, digite novamente a nova senha na caixa Confirmar Nova Senha e clique em OK.


Cuidado   Não use o item de menu Definir Senha no menu de contexto para alterar a senha, a menos que tenha esquecido sua senha e não possua um disco de redefinição de senha disponível. O uso desse método de alteração da senha de Administrador pode causar a perda irreversível das informações protegidas por essa senha.

Renomeando a conta IUSR

A conta de usuário padrão anônima da Internet, IUSR_NomeDoComputador,  é criada durante a instalação do IIS. O valor NomeDoComputador é o nome NetBIOS de seu servidor no momento da instalação do IIS. Renomear esta conta diminuirá a probabilidade de os ataques de força bruta serem bem-sucedidos.

Requisitos

Para concluir estas tarefas é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Meu computador.


Para renomear a conta IUSR

  1. Clique em Iniciar, clique com o botão direito do mouse em Meu Computador e, em seguida, clique em Gerenciar.

  2. Clique duas vezes em Usuários e Grupos Locais e clique na pasta Usuários.

  3. Clique com o botão direito do mouse na conta de IUSR_NomeDoComputador e clique em Renomear.

  4. Digite um novo nome de conta e pressione ENTER.


Para alterar o valor da conta IUSR na metabase do IIS

  1. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Clique com o botão direito do mouse no computador local e clique em Propriedades.

  3. Marque a caixa de seleção Ativar a Edição Direta da Metabase e clique em OK.

  4. Vá até o local do arquivo MetaBase.xml. Por padrão, ele está localizado em C:\Windows\system32\inetsrv.

  5. Clique com o botão direito do mouse no arquivo MetaBase.xml e, em seguida, clique em Editar.

  6. Pesquise a propriedade AnonymousUserName e digite o novo nome da conta IUSR.

  7. No menu Arquivo, clique em Sair e, em seguida, clique em Sim.


Verificando as novas configurações

Conclua os procedimentos a seguir para verificar se as configurações de segurança apropriadas foram aplicadas ao servidor Web.

Para verificar se uma conta está desativada

  1. Pressione CTRL+ALT+DEL e clique em Fazer Logoff para fazer logoff do servidor Web.

  2. Na caixa de diálogo Logon no Windows, digite o nome da conta desativada na caixa Nome de Usuário, digite a senha dessa conta e clique em OK.

    A seguinte mensagem será exibida:

    Sua conta foi desativada. Contate o administrador do sistema.


Para verificar se uma conta foi renomeada

  1. Pressione CTRL+ALT+DEL e clique em Fazer Logoff para fazer logoff do servidor Web.

  2. Na caixa de diálogo Logon no Windows, digite o nome anterior da conta renomeada na caixa Nome de Usuário, digite a senha dessa conta e clique em OK.

    A seguinte mensagem será exibida:

    Não foi possível fazer logon no sistema. Verifique se seu nome de usuário e domínio estão corretos e digite sua senha novamente. As letras da senha devem ser digitadas levando-se em consideração maiúsculas e minúsculas.

  3. Clique em OK e digite o novo nome da conta renomeada na caixa Nome de usuário.

  4. Digite a senha da conta renomeada e clique em OK.


Você poderá fazer logon no computador usando a conta renomeada.

Isolando aplicativos por meio de pools de aplicativos

Com o IIS 6.0, é possível isolar aplicativos em pools de aplicativos. Um pool de aplicativos é um grupo com uma ou mais URLs servidas por um processo de operador ou por um conjunto desses processos. O uso de pools de aplicativos pode ajudar a aumentar a confiabilidade e segurança de seu servidor Web, porque cada aplicativo funciona independentemente dos outros.

Cada um dos processos em execução em um sistema operacional Windows possui uma identidade de processo, que determina a forma como o processo acessa os recursos do computador. Cada pool de aplicativos também possui uma identidade de processo, que é uma conta executada com as permissões mínimas exigidas pelo aplicativo. Essa identidade de processo pode ser usada para permitir o acesso anônimo a seu site ou aplicativo da Web.

Requisitos

Para concluir estas tarefas é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Meu computador.


Para criar um pool de aplicativos

  1. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Clique duas vezes no computador local, clique com o botão direito do mouse em Pools de Aplicativos, clique em Novo e, em seguida, clique em Pool de Aplicativos.

  3. Na caixa Identificação do pool de Aplicativos, digite uma nova identificação para o pool (por exemplo, a captura de tela de exemplo a seguir, usa ContosoAppPool).


    SIIS604.GIF

  4. Em Configurações do pool de aplicativos, selecione Usar configurações padrão para novo pool de aplicativos e clique em OK.


Para atribuir um site ou aplicativo da Web a um pool de aplicativos

  1. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Clique com o botão direito do mouse no site ou no aplicativo da Web ao qual deseja atribuir um pool de aplicativos e clique em Propriedades.

  3. Clique na guia Diretório Base, Diretório Virtual ou Diretório, dependendo do tipo de aplicativo selecionado.

  4. Se estiver atribuindo um diretório ou um diretório virtual a um pool de aplicativos, verifique se a caixa Nome do aplicativo contém o nome correto do site ou do aplicativo da Web.

    - ou -

    Se não houver um nome na caixa Nome do aplicativo clique em Criar e digite um nome para o site ou aplicativo da Web.

  5. Na caixa de listagem Pool de aplicativos, selecione o nome do pool de aplicativos ao qual deseja atribuir o site ou o aplicativo da Web (mostrado na captura de tela a seguir) e clique em OK.


    SIIS605.GIF


Verificando as novas configurações

Conclua os procedimentos a seguir para verificar se as configurações de segurança apropriadas foram aplicadas ao servidor Web.

Para verificar se um pool de aplicativos foi criado

  1. Faça logon no servidor Web usando a conta de Administrador.

  2. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  3. Clique duas vezes no computador local, clique duas vezes em Pools de Aplicativos e verifique se o pool criado aparece sob o nó Pools de Aplicativos.

  4. Clique com o botão direito do mouse no pool de aplicativos criado e clique em Propriedades.

  5. Clique na guia Identidade, verifique se a identidade do pool de aplicativos está definida como uma conta de segurança predefinida chamada Serviço de Rede e clique em OK.


Para verificar se um site ou aplicativo da Web foi atribuído a um pool de aplicativos específico

  1. Faça logon no servidor Web usando a conta de Administrador.

  2. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  3. Clique duas vezes no computador local, clique duas vezes em Sites, clique com o botão direito do mouse no site do qual deseja verificar a configuração de pool de aplicativos e clique em Propriedades.

  4. Clique na guia Diretório Base, Diretório Virtual ou Diretório, dependendo do tipo de aplicativo selecionado.

  5. Na caixa de listagem Pool de aplicativos, verifique se o nome do pool de aplicativos ao qual deseja atribuir o site ou o aplicativo da Web está listado e clique em Cancelar.


Configurando a segurança de arquivos e diretórios

Use controles de acesso de alta segurança para ajudar a proteger arquivos e diretórios confidenciais. Na maioria das situações, permitir o acesso a contas específicas é mais eficiente do que negar o acesso a determinadas contas. Defina o acesso no nível do diretório sempre que possível. À medida que os arquivos são adicionados à pasta, eles herdam as permissões da pasta. Portanto, nenhuma outra ação é necessária.

Esta seção fornece instruções passo a passo para as seguintes tarefas, que ajudarão a configurar a segurança de arquivos e diretórios:

  • Realocando e configurando permissões para os arquivos de log do IIS

  • Configurando as permissões de metabase do IIS

  • Desativando o componente FileSystemObject


Realocando e configurando permissões para os arquivos de log do IIS

Para aumentar a segurança dos arquivos de log do IIS, eles devem ser realocados para uma unidade que não seja do sistema e que esteja formatada para usar o sistema de arquivos NTFS. Esse local deve ser diferente do local em que está o conteúdo do seu site. A realocação desses arquivos evitará que certos tipos de ataques revelem o conteúdo dos seus arquivos de log. Os arquivos de log devem ser protegidos para fornecer uma trilha de auditoria de ataques possíveis ao servidor. Colocar os arquivos de log em um disco que não seja o do sistema pode também melhorar o desempenho.

Requisitos

Para concluir estas tarefas é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Meu computador e Gerenciador do IIS (Iis.msc).


Para mover o local dos arquivos de log do IIS para uma partição que não seja do sistema

  1. Clique em Iniciar, clique com o botão direito do mouse em Meu Computador e, em seguida, clique em Explorar.

  2. Vá até o local em que deseja realocar os arquivos de log do IIS.

  3. Clique com o botão direito do mouse no diretório que está um nível acima do local em que deseja realocar os arquivos de log do IIS, clique em Novo e em Pasta.

  4. Digite um nome para a pasta, por exemplo, ContosoIISLogs, e pressione ENTER.

  5. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  6. Clique com o botão direito do mouse no site e clique em Propriedades.

  7. Clique na guia Site e clique em Propriedades no quadro Ativar Logs.

  8. Na guia Propriedades Gerais, clique em Procurar e vá para a pasta que você acabou de criar para armazenar os arquivos de log do IIS.

  9. Clique em OK três vezes.


Observação   Se os arquivos de log do IIS já estiverem em sua localização original em Windows\System32\Logfiles, você deverá mover manualmente esses arquivos para a nova localização. O IIS não fará isso para você.

Para configurar listas de controle de acesso nos arquivos de log do IIS

  1. Clique em Iniciar, clique com o botão direito do mouse em Meu Computador e, em seguida, clique em Explorar.

  2. Vá para a pasta na qual estão seus arquivos de log.

  3. Clique com o botão direito do mouse na pasta, clique em Propriedades e na guia Segurança.

  4. No painel superior, clique em Administradores e verifique se as permissões no painel inferior estão definidas como Controle Total.

  5. No painel superior, clique em Sistema, verifique se as permissões no painel inferior estão definidas como Controle Total e clique em OK.


Verificando as novas configurações

Conclua o procedimento a seguir para verificar se as configurações de segurança apropriadas foram aplicadas ao servidor Web.

Para verificar se os arquivos de log foram movidos e se as permissões foram definidas

  1. Clique em Iniciar, em Pesquisar e, em seguida, clique em Arquivos ou Pastas.

  2. Digite um nome de arquivo parcial ou completo na caixa Procurar pastas ou arquivos denominados; por exemplo LogFiles, selecione um local na caixa Examinar e clique em Pesquisar Agora.

    A pesquisa deve exibir a nova localização dos arquivos de log.

  3. Pressione CTRL+ALT+DEL e, em seguida, clique em Fazer Logoff.

  4. Faça logon no servidor Web usando uma conta que não tenha permissão para acessar os arquivos de log.

  5. Clique em Iniciar, clique com o botão direito do mouse em Meu computador, clique em Explorar e vá para o diretório LogFiles.

  6. Clique com o botão direito do mouse no diretório LogFiles e clique em Abrir. A seguinte mensagem será exibida:

    Acesso negado.


Configurando as permissões de metabase do IIS

A metabase do IIS é um arquivo XML que contém a maior parte das informações de configuração do IIS.

Requisitos

Para concluir esta tarefa é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Meu computador e o arquivo MetaBase.xml.


Para restringir o acesso ao arquivo MetaBase.xml

  1. Clique em Iniciar, clique com o botão direito do mouse em Meu Computador e, em seguida, clique em Explorar.

  2. Vá até o arquivo Windows\System32\Inetsrv\MetaBase.xml, clique com o botão direito do mouse no arquivo e, em seguida, clique em Propriedades.

  3. Clique na guia Segurança, confirme se apenas os membros do grupo Administradores e a conta LocalSystem têm acesso Controle Total à metabase, remova todas as outras permissões de arquivos e clique em OK.


Verificando as novas configurações

Conclua o procedimento a seguir para verificar se as configurações de segurança apropriadas foram aplicadas ao servidor Web.

Para verificar o acesso restrito ao arquivo MetaBase.xml

  1. Pressione CTRL+ALT+DEL e, em seguida, clique em Fazer Logoff.

  2. Faça logon no servidor Web usando uma conta que não tenha permissão para acessar o arquivo MetaBase.xml.

  3. Clique em Iniciar, clique com o botão direito do mouse em Meu computador, clique em Explorar e vá para o local de MetaBase.xml.

  4. Clique com o botão direito do mouse no arquivo MetaBase.xml e, em seguida, clique em Abrir. A seguinte mensagem será exibida:

    Acesso negado.


Desativando o componente FileSystemObject

ASP, Host de scripts do Windows e outros aplicativos de scripts usam o componente FileSystemObject (FSO) para criar, excluir, obter informações sobre e manipular unidades, pastas e arquivos. Considere a possibilidade de desativar o componente FSO, mas esteja ciente de que isso removerá também o objeto de Dicionário. Além disso, verifique se outros programas não requerem esse componente.

Requisitos

Para concluir esta tarefa é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Prompt de comando.


Para desativar o componente FileSystemObject

  1. Clique em Iniciar, clique em Executar, digitecmd na caixa Abrir e, em seguida, clique em OK.

  2. Digite cd c:\Windows\system32 e pressione ENTER para mudar para o diretório C:\Windows\system32.

  3. No prompt de comando, digite regsvr32 scrrun.dll /u e pressione ENTER. A seguinte mensagem será exibida:

    DllUnregisterServer em scrrun.dll teve êxito.

  4. Clique em OK.

  5. No prompt de comando, digite exit e pressione ENTER para fechar a janela do prompt de comando.


Protegendo sites e diretórios virtuais

Realoque os diretórios raiz da Web e os diretórios virtuais para uma partição que não seja do sistema para ajudar na proteção contra ataques de atravessamento de diretórios. Esses ataques permitem que invasores executem programas e ferramentas do sistema operacional. Como não é possível atravessar unidades, a realocação do conteúdo do site para outra unidade oferece proteção adicional contra esses ataques.

Esta seção fornece instruções passo a passo para as seguintes tarefas, que ajudarão a proteger sites e diretórios virtuais:

  • Movendo o conteúdo de seu site para uma unidade que não seja do sistema

  • Configurando permissões para o site


Movendo o conteúdo de seu site para uma unidade que não seja do sistema

Não use o diretório padrão \Inetpub\Wwwroot para a localização do conteúdo de seu site. Por exemplo, se o seu sistema operacional estiver instalado na unidade C: considere a possibilidade de mover o diretório do site e do conteúdo para a unidade D: para minimizar os riscos associados a ataques de atravessamento de diretórios, nos quais um invasor tenta pesquisar a estrutura de diretórios de um servidor Web. Certifique-se de verificar se todos os diretórios virtuais apontam para a nova unidade.

Requisitos

Para concluir esta tarefa é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Gerenciador do IIS (Iis.msc) e um prompt de comando.


Para mover o conteúdo de seu site para uma unidade que não seja do sistema

  1. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Clique com o botão direito do mouse no site que possui o conteúdo que você deseja mover e clique em Parar.

  3. Clique em Iniciar, clique em Executar, digitecmd na caixa Abrir e, em seguida, clique em OK.

  4. Digite o seguinte no prompt de comando:

    xcopy c:\inetpub\wwwroot\ Nome_do_Site Unidade :\wwwroot\Nome_do_Site /s /i /o

    onde

    • Nome_do_Site é o nome do seu site.

    • Unidade é a letra da nova unidade (por exemplo, D).


  5. Retorne ao snap-in Gerenciador do IIS, clique com o botão direito do mouse no site e clique em Propriedades.

  6. Clique na guia Diretório Base, Diretório Virtual ou Diretório, dependendo do tipo de aplicativo selecionado, digite o local do novo diretório na caixa Caminho local e clique em OK.

    - ou -

    Vá até o novo local do diretório para o qual acabou de copiar os arquivos e clique em OK.

  7. Clique com o botão direito do mouse no site e clique em Iniciar.


Verificando as novas configurações

Conclua os procedimentos a seguir para verificar se as configurações de segurança apropriadas foram aplicadas ao servidor Web.

Para verificar se o conteúdo do site foi movido para uma unidade que não seja do sistema

  1. Clique em Iniciar, em Pesquisar e, em seguida, clique em Arquivos ou Pastas.

  2. Digite um nome de arquivo parcial ou completo na caixa Procurar pastas ou arquivos denominados, selecione um local na caixa Examinar e clique em Pesquisar Agora.

    Os resultados da pesquisa listam os arquivos movidos em sua nova localização e também sua localização original.


Para excluir o conteúdo de seu site da unidade do sistema

  • Vá para o diretório C:\Inetpub\Wwwroot\Nome_do_Site e exclua os arquivos que moveu para uma unidade que não seja do sistema.


Para verificar se o conteúdo do site foi excluído da unidade do sistema

  1. Clique em Iniciar, em Pesquisar e, em seguida, clique em Arquivos ou Pastas.

  2. Digite um nome de arquivo parcial ou completo na caixa Procurar pastas ou arquivos denominados, selecione um local na caixa Examinar e clique em Pesquisar Agora.

    Os resultados da pesquisa listam os arquivos movidos em sua nova localização.


Configurando permissões para o site

Você pode configurar as permissões de acesso de seu servidor Web para sites, diretórios e arquivos específicos. Essas permissões aplicam-se a todos os usuários, independentemente de seus direitos de acesso específicos.

Configurando permissões em diretórios do sistema de arquivos

O IIS 6.0 conta com as permissões NTFS para ajudar proteger arquivos e diretórios específicos contra acesso não autorizado. Ao contrário das permissões de sites, que se aplicam a qualquer pessoa que tente acessar seu site, você pode usar as permissões NTFS para definir quais usuários podem acessar seu conteúdo e de que forma esses usuários podem manipular tal conteúdo. Para maior segurança, use tanto as permissões de sites quanto as permissões NTFS.

As ACLs (listas de controle de acesso) indicam quais usuários ou grupos possuem permissões para acessar ou modificar um arquivo em particular. Em vez de configurar ACLs em cada arquivo, crie novos diretórios para cada tipo de arquivo, defina ACLs em cada um dos diretórios e permita que os arquivos herdem essas permissões do diretório no qual residem.

Requisitos

Para concluir estas tarefas é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Meu computador e Gerenciador do IIS (iis.msc).


Para mover o conteúdo do site para uma pasta separada

  1. Clique em Iniciar, clique com o botão direito do mouse em Meu Computador e, em seguida, clique em Explorar.

  2. Vá até a pasta que contém o conteúdo de seu site e clique na pasta de nível superior do conteúdo.

  3. No menu Arquivo, clique em Novo e clique em Pasta para criar uma nova pasta no diretório do conteúdo de seu site.

  4. Dê um nome à pasta e pressione ENTER.

  5. Mantenha a tecla CTRL pressionada e selecione cada uma das páginas que deseja proteger.

  6. Clique com o botão direito do mouse nas páginas e, em seguida, clique em Copiar.

  7. Clique com o botão direito do mouse na nova pasta e clique em Colar.


Observação   Se você tiver criado links para essas páginas, será necessário atualizá-los de forma a refletir a nova localização do conteúdo do site.

Para definir permissões para o conteúdo da Web

  1. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Clique com o botão direito do mouse na pasta Sites, no site, no diretório, no diretório virtual ou no arquivo que deseja configurar e clique em Propriedades.

  3. Marque ou limpe qualquer uma das caixas de seleção a seguir (se disponíveis), dependendo do tipo de acesso que deseja conceder ou negar:

    • Acesso ao Código Fonte do Script. Usuários podem acessar arquivos fontes. Se Leitura estiver selecionado, a origem poderá ser lida; se Gravação estiver selecionado, poderão ser feitas gravações na origem. Acesso ao código-fonte do script inclui o código fonte para scripts. Essa opção não estará disponível se Leitura e Gravação não estiverem selecionados.

    • Leitura (selecionada por padrão). Os usuários podem exibir o conteúdo e as propriedades de diretórios ou arquivos.

    • Gravação. Os usuários podem alterar o conteúdo e as propriedades de um diretório ou arquivo.

    • Pesquisa no diretório. Os usuários podem visualizar listas e coleções de arquivos.

    • Criar log de visitantes. Um log de entrada é criado para cada visita ao site.

    • Indexar este recurso. Permite que o Serviço de indexação indexe este recurso. Isso faz com que os usuários possam executar pesquisas no recurso.


  4. Na caixa de listagem Permissões de Execução, selecione o nível apropriado de execução de scripts:

    • Nenhuma. Não executar scripts nem arquivos executáveis (por exemplo, arquivos do tipo .exe) no servidor.

    • Somente scripts. Executar somente scripts no servidor.

    • Scripts e Executáveis. Executar tanto scripts quanto arquivos executáveis no servidor.


  5. Clique em OK. Se os nós filhos de um diretório tiverem permissões de sites diferentes configuradas, a caixa Substituições de Herança será exibida.

  6. Se a caixa Substituições de Herança for exibida, selecione os nós filho na lista Nós Filho à qual deseja aplicar as permissões da Web do diretório.

    - ou -

    Clique em Selecionar Tudo para definir a propriedade de aplicação das permissões da Web a todos os nós filho.

  7. Caso veja mais de uma caixa Substituições de Herança, selecione os nós filho na lista Nós Filho ou clique em Selecionar Tudo e, em seguida, clique em OK para aplicar as permissões da Web desta propriedade aos nós filho.


Se um nó filho, pertencente ao diretório que possui as permissões de sites que você alterou, também tiver permissões de sites definidas para uma determinada opção, as permissões do nó filho substituirão aquelas definidas para o diretório. Se quiser que as permissões de sites no nível do diretório se apliquem aos nós filho, deverá selecionar esses nós na caixa Substituições de Herança.

Verificando as novas configurações

Conclua o procedimento a seguir para verificar se as configurações de segurança apropriadas foram aplicadas ao servidor Web.

Para verificar se o acesso para gravação foi negado a diretórios de conteúdo de sites

  1. Pressione CTRL+ALT+DEL e, em seguida, clique em Fazer Logoff.

  2. Faça logon no servidor Web usando uma conta que tenha permissão de leitura e execução no diretório físico ou virtual.

  3. Clique em Iniciar, clique com o botão direito do mouse em Meu Computador, clique em Explorar e vá até a localização de um arquivo que você queira copiar para o diretório físico ou virtual.

  4. Clique com o botão direito do mouse no arquivo e, em seguida, clique em Copiar.

  5. Vá até a localização do diretório físico ou virtual e clique com o botão direito do mouse no diretório. A seleção Colar não estará disponível no menu de contexto, o que significa que você não tem acesso de gravação ao diretório.


Configurando o SSL (Secure Sockets Layer) no servidor Web

Configure os recursos de segurança do SSL em seu servidor Web para verificar a integridade do conteúdo, verificar a identidade dos usuários e criptografar as transmissões pela rede. Se estiver planejando aceitar transações com cartão de crédito em um site, o SSL normalmente será um requisito. A segurança do SSL conta com um certificado de servidor que permite aos usuários fazer a autenticação em seu site antes de transmitir informações pessoais, como um número de cartão de crédito. Cada site pode ter apenas um certificado de servidor.

Obtendo e instalando um certificado de servidor

Os certificados são emitidos por organizações que não fazem parte da Microsoft e são chamadas de CAs (Autoridades de Certificação). O certificado de servidor é normalmente associado ao servidor Web, especificamente ao site no qual o SSL foi configurado. É necessário gerar uma solicitação para um certificado, enviar a solicitação à autoridade de certificação e instalar o certificado após recebê-lo da autoridade de certificação.

Os certificados utilizam um par de chaves de criptografia, uma pública e uma privada, para impor a segurança. Ao gerar uma solicitação para um certificado de servidor, você na verdade estará gerando a chave privada. O certificado de servidor recebido da autoridade de certificação contém a chave pública.

Requisitos

Para concluir estas tarefas é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Gerenciador do IIS (iis.msc) e Assistente de Certificado de Servidor Web.


Para gerar uma solicitação para um certificado de servidor

  1. Clique em Iniciar, clique com o botão direito do mouse em Meu Computador e, em seguida, clique em Gerenciar.

  2. Clique duas vezes na seção Serviços e Aplicativos e depois na seção Serviços de Informações da Internet.

  3. Clique com o botão direito do mouse no site no qual deseja instalar um certificado de servidor e clique em Propriedades.

  4. Clique na guia Segurança de Diretório. Na seção Comunicações de Segurança, clique em Certificado de Servidor para iniciar o Assistente de Certificado de Servidor Web e, em seguida, clique em Avançar.

  5. Clique em Criar um Novo Certificado e clique em Avançar.

  6. Clique em Preparar a solicitação agora, mas enviá-la posteriormente e clique em Avançar.

  7. Na caixa Nome, digite um nome fácil de lembrar. (O nome padrão é o nome do site para o qual você está gerando a solicitação de certificado; por exemplo, http://www.contoso.com.)

  8. Especifique um comprimento de bit e clique em Avançar.

    O comprimento de bit da chave de criptografia determina o nível de criptografia. A maior parte das autoridades de certificação que não são da Microsoft preferem um mínimo de 1024 bits.

  9. Na seção Organização, digite as informações sobre sua organização e unidade organizacional. Verifique se as informações estão corretas e se os campos Organização não contêm vírgulas e, em seguida, clique em Avançar.

  10. Na seção Nome Comum do Site, digite o nome do computador host com o nome do domínio e clique em Avançar.

  11. Digite as informações geográficas e clique em Avançar.

  12. Salve o arquivo como um .txt. (O nome e local do arquivo padrão é C:\certreq.txt.) O exemplo a seguir mostra qual a aparência de um arquivo de solicitação de certificado.

    
                    -----BEGIN NEW CERTIFICATE REQUEST-----
                    MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMB
                    A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk
                    cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQ
                    gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN
                    IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMt
                    JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAV
                    GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA
                    A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw
                    AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaA
                    AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8Adg
                    AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7
                    MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOF
                    TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAA
                    MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl
                    GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbC Jb9/2RM=
                    -----END NEW CERTIFICATE REQUEST-----
                 
    
    

  13. Confirme os detalhes da solicitação, clique em Avançar e, em seguida, em Concluir.


Para enviar uma solicitação para um certificado de servidor

  1. Entre em contato com a autoridade de certificação para saber quais são os requisitos de envio de uma solicitação.

  2. Copie o conteúdo do arquivo .txt criado no procedimento anterior para o formato de solicitação exigido pela autoridade de certificação.

  3. Envie a solicitação à autoridade de certificação.


Ao receber o certificado da autoridade de certificação, você estará pronto para instalar o certificado no servidor Web.

Para instalar um certificado de servidor

  1. Copie o arquivo do certificado (.cer) para a pasta C:\Windows\System32\CertLog.

  2. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  3. Clique com o botão direito do mouse no site no qual deseja instalar um certificado de servidor e clique em Propriedades.

  4. Clique na guia Segurança de Diretório. Na seção Comunicações de Segurança, clique em Certificado de Servidor para iniciar o Assistente de Certificado de Servidor Web e, em seguida, clique em Avançar.

  5. Clique em Processar a solicitação pendente e instalar o certificado e clique em Avançar.

  6. Procure o certificado recebido da autoridade de certificação. Clique em Avançar duas vezes e clique em Concluir.


Verificando as novas configurações

Conclua o procedimento a seguir para verificar se as configurações de segurança apropriadas foram aplicadas ao computador local.

Para verificar se um certificado foi instalado em um servidor Web

  1. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Clique com o botão direito do mouse no site que possui o certificado que você deseja exibir e clique em Propriedades.

  3. Na guia Segurança de Diretório, na área Comunicações de segurança, clique em Exibir Certificado, examine o certificado e clique em OK duas vezes.


Impondo e ativando conexões SSL em seu servidor Web

Após ter instalado o certificado de servidor, é necessário impor as conexões SSL no servidor Web. Em seguida, você precisará ativar as conexões SSL.

Observação   Após solicitar conexões SSL ao servidor Web, todos os links com o servidor precisarão ser atualizados para usar https no lugar de http.

Requisitos

Para concluir estas tarefas é necessário:

  • Credenciais. Você deve estar conectado como um membro do grupo Administradores no servidor Web.

  • Ferramentas. Gerenciador do IIS (iis.msc).


Para impor conexões SSL

  1. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Clique com o botão direito do mouse no site no qual deseja impor conexões SSL e clique em Propriedades.

  3. Clique na guia Segurança de Diretório. Na seção Comunicações de Segurança, clique em Editar.

  4. Clique em Exigir Canal de Segurança (SSL), escolha um nível de criptografia e clique em OK.

    Observação   Se você especificar a criptografia de 128 bits, os computadores clientes que utilizam navegadores no nível de 40 ou 56 bits não poderão se comunicar com seu site a menos que sejam atualizados para versões que suportem a criptografia de 128 bits.


Para ativar conexões SSL em seu servidor Web

  1. Clique em Iniciar, em Painel de Controle, em Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciador dos Serviços de Informações da Internet (IIS).

  2. Clique com o botão direito do mouse no site no qual deseja ativar conexões SSL e clique em Propriedades.

  3. Clique na guia Site. Na seção Identificação do Site, verifique se a caixa Porta SSL está preenchida com o valor numérico 443.

  4. Clique em Avançado. Normalmente, duas caixas são exibidas e o endereço IP e a porta do site já estão listados na caixa Múltiplas identidades para este site. Sob o campo Múltiplas identidades SSL para este site da Web, clique em Adicionar caso a porta 443 não esteja listada. Selecione o endereço IP do servidor, digite o valor numérico 443 na caixa Porta SSL e clique em OK.


Verificando as novas configurações

Conclua o procedimento a seguir para verificar se as configurações de segurança apropriadas foram aplicadas ao servidor Web.

Para verificar as conexões SSL em seu servidor Web

  1. Abra seu navegador e tente se conectar ao servidor Web usando o protocolo http:// padrão. Por exemplo, na caixa Endereço, digite http://localhost e pressione ENTER.

    Se o SSL tiver sido imposto, a seguinte mensagem de erro será exibida:

    A página deve ser visualizada através de um canal seguro. A página que você está tentando acessar está protegida pelo SSL (Secure Sockets Layer).

  2. Tente se conectar novamente à página que deseja visualizar digitando https://localhost e pressionando ENTER.

    Normalmente, será exibida a página padrão do seu servidor Web.


Informações relacionadas

Para obter mais informações sobre como proteger o IIS 6.0, consulte os itens a seguir:


Para obter mais informações sobre o IIS 6.0, consulte os itens a seguir:



Download

Obtenha o Securing Internet Information Services 6.0


Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft