Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Práticas recomendadas de segurança para IIS 8

Este documento contém uma lista de recomendações para melhorar a segurança do seu servidor de web IIS 8. Enquanto seguir estas recomendações não garante a ausência de problemas de segurança, estas recomendações podem reduzir significativamente seu risco.

As recomendações são eu agrupadas nas seguintes categorias:

  • Não execute o IIS em um controlador de domínio ou um controlador de domínio de backup.


    Em primeiro lugar, não há nenhum contas locais em um controlador de domínio. Contas locais são importantes para a segurança de muitas instalações de servidor IIS. Colocação de um servidor web do IIS e o controlador de domínio na mesma máquina seriamente limita suas opções de conta de segurança. Em segundo lugar, qualquer novo exploit que compromete o servidor web também pode comprometer toda a sua rede quando o servidor web e o controlador de domínio estão na mesma máquina.


  • Instale somente os módulos do IIS que você precisa.


    IIS 8 é composta por mais de 40 módulos, que permitem que você adicionar módulos que você precisa e remove quaisquer módulos que você não precisa. Se você instalar apenas os módulos que você precisa, você reduz a área de superfície que é exposta a ataques potenciais.


  • Periodicamente remova manipuladores e módulos não utilizados ou indesejados.


    Procure manipuladores e módulos que você já não uso e removê-los da sua instalação do IIS. Nos esforçamos para manter a sua área de superfície de IIS tão pequena quanto possível.


  • Para instalações de alto volume do IIS, execute outros produtos de uso intensivo de recursos como SQL Server ou o Exchange em máquinas separadas.


  • Mantê-lo um software antivírus atualizado.


    Instale e execute a versão mais recente do software antivírus no servidor.


  • Mover o Inetpub pasta de unidade do sistema para uma unidade diferente.


    Por padrão IIS 8 configura o Inetpub pasta na unidade de sistema (normalmente a unidade C). Se você mover a pasta para uma partição diferente, você pode economizar espaço no seu disco de sistema e melhorar a segurança. Para obter informações sobre como o Inetpub pasta, consulte o seguinte blog postar: mover o diretório INETPUB para uma unidade diferente.

  • Isole aplicativos da web.


    Aplicativos diferentes separados em sites diferentes com pools de aplicativos diferentes.


  • Implemente o princípio do menor privilégio.

    Execute o processo de trabalho como uma identidade privilegiada baixa (identidade do pool de aplicativo virtual) que é única por site.


  • Isole as pastas temporárias do ASP.NET.


    Configurar uma pasta temp separada do ASP.NET por site e só dar acesso a identidade de processo adequado.


  • Isole o conteúdo.


    Certifique-se definir uma ACL (lista de controle de acesso) em cada raiz do site para permitir apenas acesso à identidade do processo adequado.


  • Se você usar a autenticação do Windows, ative a proteção estendida.


    Proteção estendida protege contra phishing e afinação de credencial ataques ao usar a autenticação do Windows. Para obter mais informações sobre proteção estendida e como ligá-lo no IIS, consulte Configurar a proteção estendida no IIS 7.5.


  • Esteja ciente de que a configurar a autenticação anônima, juntamente com outro tipo de autenticação para o mesmo site pode causar problemas de autenticação.

    Se você configurar a autenticação anônima e outro tipo de autenticação, o resultado é determinado pela ordem em que os módulos executam. Por exemplo, se a autenticação anônima e a autenticação do Windows autenticação configurada e anônima em primeiro lugar, executa Windows autenticação nunca é executado.


  • Desabilite o acesso anônimo aos diretórios do servidor e recursos.


    Quando você deseja conceder a um usuário o acesso aos diretórios do servidor e recursos, use um método de autenticação que não seja anônimo.


  • Não permita que escreve anônimo para o servidor.


    Autentica o usuário com um método que não seja anônimo antes de permitir que o usuário carregue qualquer coisa para você site ou site FTP.

  • Certifique-se de que as regras de filtragem de solicitação estão habilitadas.


    Filtros de pedido restringem os tipos de solicitações HTTP que o IIS 8 processos. Ao bloquear solicitações HTTP específicas, solicite filtros ajudam a impedir que solicitações potencialmente prejudiciais atingindo o servidor. O módulo de filtragem de solicitação verifica as solicitações de entrada e rejeita solicitações que são indesejadas com base em regras que você configura. Sites e sites FTP devem ter a proteção desse filtro de pedido fornecem regras. Para obter mais informações sobre filtragem de solicitações, consulte Configurar no IIS de filtragem de solicitações .


  • Certifique-se de que os limites de solicitação são definidas para valores razoáveis.


    Pense com cuidado sobre os valores que você atribuir aos parâmetros de configuração. Por exemplo, certifique-se de que um valor de limite superior é maior que um valor de limite inferior. Caso contrário, o filtro nunca pode disparar.

  • Não use as identidades de serviço interno (como sistema Local, serviço Local ou serviço de rede).


    Para segurança máxima, pools de aplicativo devem ser executado sob a identidade do pool de aplicativo que é gerada quando o pool de aplicativos é criado. As contas que são construídas IIS são ApplicationPoolIdentity, NetworkService, LocalService e LocalSystem. O padrão (recomendado) e o mais seguro é ApplicationPoolIdentity.


  • Usando uma conta de identidade personalizada é aceitável, mas não se esqueça de usar uma conta diferente para cada pool de aplicativos.

  • Fazer backups periódicos do servidor IIS.


    Fazer um completo backup de estado do sistema, todos os dias ou dois. Também fazê-lo antes de atualizações de software principais ou alterações de configuração.


  • Limitar as permissões concedidas para não-administradores.

    Procure pastas que têm permissões de gravação e execução script para não-administradores e remover as permissões.


  • Ativar SSL e manter os certificados SSL.

    Renovar o certificado ou escolher um novo certificado para o site. Um certificado expirado torna-se inválido e pode impedir que os usuários acessem seu site.


  • Use o SSL quando você usa a autenticação básica.


    Usar a autenticação básica com uma ligação SSL e certifique-se de que o site ou aplicativo está definido para exigir SSL. Como alternativa, use um método diferente de autenticação. Se você usar autenticação básica sem SSL, as credenciais são enviadas em texto sem formatação que pode ser interceptado por código malicioso. Se você quiser continuar usando a autenticação básica, você precisará verificar as ligações do site para certificar-se de que uma ligação HTTPS está disponível para o site e, em seguida, configurar o site para exigir SSL.


  • Quando você define regras de delegação de recurso, não fazer regras que são mais permissivas do que os padrões.


  • Para um aplicativo ASP clássico, desative o modo de depuração.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft