Protezione di Internet Information Services 5.0 e 5.1

  • Articolo
In questa pagina

Introduzione Introduzione
Prima di iniziare Prima di iniziare
Riduzione della superficie di attacco del server Web Riduzione della superficie di attacco del server Web
Configurazione degli account Configurazione degli account
Protezione di file e directory Protezione di file e directory
Protezione di siti Web e directory virtuali Protezione di siti Web e directory virtuali
Configurazione di Secure Sockets Layer (SSL) nel server Web Configurazione di Secure Sockets Layer (SSL) nel server Web
Informazioni correlate Informazioni correlate

Introduzione

I server Web sono soggetti spesso a vari tipi di attacchi alla protezione. Alcuni di questi attacchi sono in grado di causare un danno significativo ai beni aziendali, alla produttività e alle relazioni con i clienti e comunque tutti gli attacchi provocano spiacevoli e frustranti disagi. La protezione dei server Web è fondamentale per il successo delle attività aziendali.

In questo documento viene descritto come avviare il processo di protezione di un server Web con Internet Information Services (IIS) 5.0 in esecuzione sul sistema operativo Microsoft® Windows® 2000 Server, Standard Edition, o Internet Information Services 5.1 su Microsoft® Windows® XP. Nella presente sezione sono innanzitutto descritte alcune delle minacce più diffuse che interessano i server Web. Successivamente, vengono fornite istruzioni che consentono di rafforzare la protezione dei server Web contro gli attacchi descritti.

In questo documento sono riportate le indicazioni seguenti per aumentare la protezione del server Web:

  • Riduzione della superficie di attacco del server Web o del livello di esposizione del server a potenziali pirati informatici.

  • Configurazione di account e autorizzazioni per gli utenti e i gruppi che accedono al sito Web.

  • Rafforzamento della protezione della metabase e dei file di registro IIS contro l'accesso da parte di utenti non autorizzati.

  • Configurazione di Secure Sockets Layer (SSL) nel server Web.

    IMPORTANTE: tutte le procedure dettagliate incluse in questo documento sono state formulate in base al menu di avvio che viene visualizzato per impostazione predefinita quando si installa il sistema operativo. Se il menu di avvio è stato modificato, la procedura potrebbe essere leggermente diversa.

Al completamento delle operazioni descritte in questo documento, il server Web sarà comunque protetto in modo significativo dai tipi di attacchi elencati di seguito, che a volte minacciano i server Internet:

  • Attacchi di tipo profiling, mirati alla raccolta di informazioni relative al sito Web, che possono essere limitati bloccando le porte inutilizzate e disattivando i protocolli non necessari.

  • Attacchi di tipo "Denial of Service" (DoS) che inondano il server di richieste e che possono essere neutralizzati applicando patch di protezione e aggiornamenti software.

  • Accesso non autorizzato da parte di utenti privi delle corrette autorizzazioni, che spesso può essere sventato configurando le autorizzazioni Web e NTFS.

  • Esecuzione arbitraria di codice dannoso nel server Web, che può essere ridotta al minimo impedendo l'accesso ai comandi e agli strumenti di sistema.

  • Acquisizione di privilegi più elevati, che consente a un utente malintenzionato di utilizzare un account con privilegi elevati per eseguire programmi. È possibile contenere i danni adottando il principio del privilegio minimo per account utente e di servizio.

  • Danni dovuti a virus, worm e cavalli di Troia, che possono essere limitati disabilitando le funzionalità non necessarie, utilizzando account con privilegi minimi e applicando immediatamente le patch di protezione più recenti.

Nota: poiché la protezione di un server Web è un processo complesso e continuo, non è possibile garantire una protezione completa.

Prima di iniziare

In questa sezione sono descritti i requisiti di sistema e le caratteristiche del server Web utilizzato come esempio nel presente documento.

Requisiti di sistema

I requisiti di sistema del server Web utilizzato come esempio in questo documento sono i seguenti:

  • Il sistema operativo è installato in una partizione NTFS. Per informazioni su NTFS, cercare l'acronimo "NTFS" nella Guida in linea e supporto tecnico di Windows Server 2003.

  • Al server sono state applicate le patch e gli aggiornamenti per Windows 2000 Server o Windows XP.

  • Nel server è in esecuzione Windows 2000 Server con il Service Pack 4 installato, o Windows XP con il Service Pack 1 installato.

    IMPORTANTE: se il Service Pack 1 o il Service Pack 4 non è installato in un determinato computer o non si conosce la posizione in cui è installato, visitare la pagina Windows Update nel sito Web Microsoft disponibile all'indirizzo https://go.microsoft.com/fwlink/?LinkID=22630 (in inglese) e ricercare gli aggiornamenti disponibili nel computer mediante Windows Update. Se il Service Pack 1 o il Service Pack 4 è disponibile come aggiornamento, installare quello richiesto prima di intraprendere le procedure descritte in questo documento.

Le informazioni contenute nel presente documento consentono di adottare le prime misure necessarie per la configurazione di un server Web più protetto. Ma per fornire al server Web la massima protezione possibile è indispensabile comprendere il funzionamento delle applicazioni che vi vengono eseguite. In questo documento non verranno fornite informazioni sulla configurazione di specifiche applicazioni per la protezione.

Caratteristiche del server Web

Le caratteristiche del server Web utilizzato come esempio in questo documento sono le seguenti:

  • Esegue IIS 5.0 (per Windows 2000 Server) o IIS 5.1 (per Windows XP).

  • Ospita un sito Web Internet.

  • È un server Web dedicato.

  • È protetto da un firewall che consente il passaggio del traffico solo sulla porta HTTP 80 e sulla porta HTTPS 443.

  • Consente l'accesso anonimo al sito Web.

  • Funziona con pagine HTML e ASP.

  • Non supporta i protocolli FTP (caricamento e download di file), SMTP (posta elettronica) e NNTP (newsgroup).

  • Non utilizza Internet Security and Acceleration Server (ISA).

  • Richiede l'accesso locale dell'amministratore per le attività di amministrazione.

Oltre a quanto elencato, nell'esempio sussistono le condizioni seguenti:

  • Le estensioni del server di FrontPage® 2002 non sono configurate nel server Web.

  • Per le applicazioni del server Web non è richiesta la connettività di database.

Riduzione della superficie di attacco del server Web

Il primo passo per proteggere il server Web consiste nel ridurne la superficie di attacco, ad esempio abilitando soltanto i componenti, i servizi e le porte che sono strettamente necessari per il suo corretto funzionamento.

In questa sezione vengono riportate le seguenti procedure dettagliate per la riduzione della superficie di attacco del server Web:

  • Esecuzione dello strumento di blocco IIS.

  • Personalizzazione della configurazione UrlScan.

Esecuzione dello strumento di blocco IIS

Utilizzando lo strumento di blocco IIS, denominato IIS Lockdown Tool, è possibile scegliere uno specifico ruolo per il server Web, a seconda dei tipi di applicazioni che vi sono ospitati, per poi migliorare la protezione tramite modelli personalizzati che consentano di disabilitare o proteggere diverse funzionalità.

L'esecuzione dello strumento di blocco IIS consente di rendere automatica buona parte del processo di protezione del server Web. Va tuttavia ricordato che nessuno strumento è in grado di eliminare la necessità di installare tempestivamente Service Pack e correzioni.

Nota: prima di eseguire lo strumento di blocco IIS è consigliabile leggere la relativa documentazione.

Questa sezione fornisce le seguenti istruzioni dettagliate per l'esecuzione dello strumento di blocco IIS:

  • Installazione dello strumento di blocco IIS.

  • Accertamento dell'eventuale funzionamento del server Web con contenuto dinamico.

  • Accertamento dell'eventuale già avvenuta esecuzione dello strumento di blocco IIS nel server Web.

  • Esecuzione dello strumento di blocco IIS.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: strumento di blocco IIS, Gestione servizi Internet

  • Per installare lo strumento di blocco IIS

    1. Scaricare IIS Lockdown Tool dall'area download Microsoft, all'indirizzo https://go.microsoft.com/fwlink/?LinkId=22848 (in inglese).

    2. Scegliere Salva per salvare il file in una cartella locale del disco rigido, ad esempio C:\WINNT\system32\inetsrv.

    3. Fare clic su Start, scegliere Esegui, digitare cmd, quindi fare clic su OK.

    4. Nella finestra del prompt dei comandi passare alla cartella in cui è stato salvato il file dello strumento di blocco IIS, quindi digitare il comando seguente: iislockd.exe/q /c

      Verranno decompressi i file seguenti:

      • IISLockd.chm. Si tratta del file compilato della Guida per lo strumento di blocco IIS.

      • RunLockdUnattended.doc. Include istruzioni per l'esecuzione non presidiata dello strumento di blocco IIS.

      • UrlScan.exe e file associati. Si tratta dei file per l'installazione di UrlScan. Per impostazione predefinita, vengono decompressi in C:\WINNT\system32\inetsrv\urlscan. Per ulteriori informazioni su UrlScan, vedere più avanti la sezione "Personalizzazione della configurazione UrlScan".

  • Per stabilire se il server Web funziona con contenuto dinamico

    1. Dal desktop fare clic con il pulsante destro del mouse su Computer locale, scegliere Esplora e selezionare la directory in cui è archiviato il contenuto del server Web.

    2. Cercare le estensioni file seguenti:

      asp

      ida

      idq

      htw

      shtml

      shtm

      stm

      idc

      htr

      cgi

      dll

      exe

      Se la ricerca restituisce risultati vuol dire che il server Web funziona con contenuto dinamico. Il server Web utilizzato come riferimento in questo capitolo, ad esempio, funziona con file .asp, per cui una ricerca darebbe come risultato file con questa estensione.

  • Per stabilire se lo strumento di blocco IIS è già stato eseguito nel server Web

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, scegliere Esplora, quindi selezionare la cartella C:\WINNT\system32\inetsrv e individuare il file Oblt-rep.log.

    2. Selezionare la cartella C:\WINNT|System32\Inetsrv\MetaBack e cercare i file Oblt-once.md0 e Oblt-mb.md0.
      Se non esistono, è probabile che lo strumento di blocco IIS non sia mai stato eseguito nel server Web. Procedere all'operazione successiva: l'esecuzione dello strumento di blocco IIS.

    3. Per eseguire nuovamente lo strumento di blocco IIS, ignorando le precedenti installazioni, eliminare i file suddetti o spostarli in un'altra posizione.

Se lo strumento di blocco IIS è già stato eseguito nel server Web, ignorare le altre procedure descritte in questa sezione e passare direttamente alla sezione "Personalizzazione della configurazione UrlScan".

Nota: è consigliabile esaminare le rimanenti sezioni di questo documento per assicurarsi che le impostazioni dello strumento di blocco IIS nel server Web forniscano il livello di protezione desiderato.

  • Per eseguire lo strumento di blocco IIS

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, scegliere Esplora, quindi selezionare la directory in cui sono stati archiviati i file dello strumento di blocco IIS Lockdown Tool, ad esempio C:\WINNT\system32\inetsrv.

    2. Fare doppio clic su IISlockd.exe, scegliere Next, leggere il Contratto di Licenza con l'utente finale (EULA), fare clic su I agree e scegliere Next.

    3. Nella pagina Select Server Template fare clic su Dynamic Web Server (ASP enabled), selezionare la casella di controllo View template settings e scegliere Avanti.

      Nota: le schermate contenute in questo documento riflettono un ambiente di prova e le informazioni riportate potrebbero essere diverse da quelle visualizzate sullo schermo.

      IIS Lockdown Wizard

    4. Nella pagina Internet Services selezionare la casella di controllo Remove unselected services, scegliere Yes in risposta al messaggio di avviso, quindi fare clic su Avanti.

      IIS Lockdown Wizard2

    5. Nella pagina Script Maps verificare che la casella di controllo Active Server Pages sia deselezionata, quindi scegliere Avanti.

      IIS Lockdown Wizard3

    6. Nella pagina Additional Security controllare che tutte le caselle di controllo siano selezionate e scegliere Avanti.

      IIS Lockdown Wizard4

    7. Nella pagina UrlScan selezionare la casella di controllo Install UrlScan filter on the server e scegliere Avanti.

      IIS Lockdown Wizard5

    8. Nella pagina Ready to Apply Settings riesaminare le modifiche effettuate, quindi scegliere Next.

      Nota: se non si è soddisfatti delle opzioni selezionate, scegliere Back e apportare le modifiche desiderate. Lo strumento di blocco IIS aggiornerà la configurazione del server in base alle opzioni specificate.

    9. Nella pagina Applying Security Settings fare clic su View Report per visualizzare un elenco delle modifiche effettuate mediante IIS Lockdown Tool, quindi scegliere Next.

    10. Fare clic su Finish.

Verifica delle nuove impostazioni

Verificare che al computer locale siano state applicate le impostazioni di protezione appropriate per lo strumento di blocco IIS.

  • Per verificare le modifiche effettuate mediante lo strumento di blocco IIS

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, scegliere Esplora, quindi selezionare la directory C:\WINNT\System32\inetsrv.

    2. Fare doppio clic sul file oblt-log.log per visualizzare le modifiche.

Nella tabella che segue sono illustrate le modifiche effettuate dallo strumento di blocco IIS sulla base delle opzioni selezionate e le vulnerabilità che il blocco di tali elementi ha permesso di limitare.

Modifiche effettuate con IIS Lockdown Tool per ridurre i problemi di protezione

Pagina

Azione

Problema di protezione ridotto

Internet Services

Disabilitazione dei servizi FTP, SMTP e NNTP

Tutti i servizi in esecuzione rappresentano un potenziale punto di attacco. Questi servizi sono particolarmente vulnerabili.

Script Maps

Disabilitazione delle seguenti estensioni di file, eseguendone il mapping a 404.dll:
Servizio di indicizzazione (idq, htw, ida)
Inclusioni sul lato server (shtml, shtm, stm)
Internet Data Connector (idc).
script HTR (.htr)stampa Internet (printer)

idq, ida: l'overflow del buffer potrebbe consentire a un aggressore di ottenere il controllo completo del server.
htw: un utente potrebbe inavvertitamente aprire un collegamento ostile tramite un browser o un client di posta elettronica compatibile con HTML.
shtml, shtm, stm: per il problema di protezione ssiinc.dll può essere restituito al browser qualsiasi contenuto del server Web che un aggressore abbia specificato.
idc: il problema di protezione degli script tra siti può restituire un intero URL in una pagina di errore, consentendo agli aggressori di eseguire codice di script arbitrario nel server.
htr: individuazione del codice sorgente dei file ASP.
printer: fornisce a un aggressore una console remota sul sistema IIS bersaglio.

Additional Security

Rimozione delle directory virtuali seguenti:
IIS Samples
MSADC
IISHelp
Scripts
IISAdmin
directory Stampanti per stampa Internet

Eliminazione del sito Web IISAdmin

Limitazione dell'accesso anonimo agli strumenti di sistema

Limitazione della scrittura nelle directory con contenuto Web da parte di utenti anonimi.

Creazione di due gruppi locali denominati Web Anonymous Users e Web Applications e aggiunta di voci di controllo dell'accesso (ACE) di tipo Nega accesso per questi gruppi all'elenco di controllo di accesso (ACL) sui principali strumenti e directory.

Aggiunta dell'account utente Internet anonimo predefinito,
IUSR_NomeComputer, a Web Anonymous Users.

Aggiunta dell'identità applicazione Web predefinita, IWAM_NomeComputer, a Web Applications.

Disabilitazione di WebDAV (Distributed Authoring and Versioning).
Installazione del filtro ISAPI UrlScan.

  

  • Per verificare che la configurazione dello strumento blocco IIS sia attiva sul server Web

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, scegliere Esplora, quindi selezionare la directory C:\WINNT\system32\inetsrv.

    2. Individuare i file oblt-undo.log e oblt-undone.log.

Se i file di registro sono assenti o se sono presenti ma riportano una data e un'ora antecedenti a quelli del file oblt-log.log, la configurazione dello strumento di blocco IIS è attiva nel server Web.

Dopo aver eseguito lo strumento di blocco IIS è possibile riattivare le estensioni manualmente. Questa opzione è preferibile rispetto a dover rieseguire lo strumento di blocco IIS per rimuoverne la configurazione.

  • Per rieseguire manualmente il mapping delle estensioni di file dopo aver eseguito lo strumento di blocco IIS

    1. Fare clic su Start, scegliere Programmi, Strumenti di amministrazione, quindi Gestione servizi Internet.

    2. Fare clic con il pulsante destro del mouse sul sito Web, quindi scegliere Proprietà.

    3. Fare clic sulla scheda Home directory, quindi scegliere Configurazione.

      Configurazione delle applicazioni

    4. Identificare l'estensione del nome file di cui si desidera rieseguire il mapping.

    5. Fare doppio clic sul file, quindi modificare il percorso da 404.dll a C:\WINNT\system32\inetsrv\nome file.dll, dove nome file è l'estensione di cui si desidera rieseguire il mapping. Ad esempio: idq.dll.

Personalizzazione della configurazione UrlScan

UrlScan viene installato al momento dell'esecuzione dello strumento di blocco IIS. UrlScan è un filtro ISAPI (Internet Services Application Programming Interface) che protegge i server Web dagli attacchi filtrando e rifiutando le richieste HTTP in base a un insieme di regole. Le regole si applicano a tutti i siti ospitati dal server Web. Se correttamente installato, UrlScan viene eseguito automaticamente ad ogni avvio di IIS.

È possibile modificare le regole di UrlScan modificando il file UrlScan.ini. Il file deve essere residente nella stessa directory del file UrlScan.dll, che è il file che esegue UrlScan.

In questa sezione vengono riportate le seguenti procedure dettagliate per la personalizzazione della configurazione di UrlScan:

  • Personalizzazione della configurazione UrlScan.

  • Verifica delle nuove impostazioni di UrlScan.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Computer locale, file UrlScan.ini, Blocco note, comando iisreset

  • Per personalizzare la configurazione UrlScan

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, scegliere Esplora, quindi selezionare la directory C:\WINNT\system32\inetsrv\urlscan.

    2. Fare doppio clic sul file UrlScan.ini per aprirlo nel Blocco note. Apportare le modifiche, salvare e chiudere il file.

      Nella tabella che segue sono illustrate le sezioni del file UrlScan.ini.

      Sezioni del file UrlScan.ini

      Sezione

      Descrizione

      [Opzioni]

      Opzioni generali UrlScan. Gli attacchi di attraversamento delle directory, ad esempio, hanno spesso sfruttato i nomi percorso dei progetti che contengono più punti ("."). Se alcuni dei nomi cartella contengono più punti, è necessario impostare il valore AllowDotInPath=1 in UrlScan.ini. Altri caratteri che vengono rifiutati da UrlScan sono la virgola (,) e il segno del cancelletto (#).

      [AllowVerbs] e [DenyVerbs]

      Verbi (definiti anche metodi HTTP, ad esempio GET e POST) ammessi da UrlScan.

      [DenyHeaders]

      Intestazioni HTTP che non sono ammesse in una richiesta HTTP. Se una richiesta HTTP contiene una delle intestazioni non ammesse, UrlScan rifiuta la richiesta.

      [AllowExtensions] e [DenyExtensions]

      Estensioni ammesse in UrlScan, ad esempio exe, dll, cgi.

      [DenyURLSequences]

      Stringhe non consentite nelle richieste HTTP. UrlScan rifiuta le richieste HTTP che contengono stringhe elencate in questa sezione.

    3. Aprire un prompt dei comandi e digitare iisreset per arrestare e riavviare IIS e accettare le modifiche effettuate nel file UrlScan.ini.

Verifica delle nuove impostazioni

Verificare che al computer locale siano state applicate le impostazioni di protezione appropriate per la configurazione UrlScan.

  • Per verificare la configurazione UrlScan

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, scegliere Esplora, quindi selezionare la directory C:\WINNT\system32\inetsrv\urlscan.

    2. Per visualizzare il record delle modifiche, fare doppio clic sul file UrlScandata.log per aprirlo nel Blocco note.

Disattivazione dei protocolli non necessari

Impedendo l'utilizzo dei protocolli non necessari si riducono i potenziali attacchi.

In questa sezione vengono riportate le seguenti procedure dettagliate per la disattivazione dei protocolli non necessari:

  • Disabilitazione di SMB in una connessione Internet.

  • Disabilitazione di NetBIOS su TCP/IP.

Disabilitazione di SMB e NetBIOS

Negli attacchi di enumerazione host viene esplorata la rete per determinare l'indirizzo IP di potenziali bersagli. Per ridurre il rischio di attacchi di enumerazione host alle porte Internet nel server Web, disabilitare tutti i protocolli di rete ad eccezione di TCP (Transmission Control Protocol). Per i server Web non sono richiesti i protocolli SMB (Server Message Block) o NetBIOS nelle schede di rete.

Nota: quando si disabilitano SMB e NetBIOS, il server non può funzionare come file server o server di stampa e non è possibile esplorare la rete o gestire il server Web in modo remoto. Nel caso di un server Web dedicato che richiede l'accesso locale degli amministratori, in genere queste limitazioni non influiscono sul funzionamento del server.

SMB utilizza le seguenti porte:

  • Porta TCP 139

  • Porta TCP e UDP 445 (SMB Direct Host)

NetBIOS utilizza le seguenti porte:

  • Porta TCP e UDP (User Datagram Protocol) 137 (servizio nomi NetBIOS)

  • Porta TCP e UDP 138 (servizio datagrammi NetBIOS)

  • Porta TCP e UDP 139 (servizio sessioni NetBIOS)

La sola disabilitazione di NetBIOS non è sufficiente a impedire le comunicazioni SMB perché se non è disponibile una porta NetBIOS standard, SMB utilizza la porta TCP 445, nota come SMB Direct Host. È necessario disabilitare separatamente NetBIOS e SMB.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Computer locale, Utilità di sistema, Gestione periferiche

  • Per disabilitare SMB in una connessione Internet

    1. Fare clic su Start, scegliere Impostazioni, quindi Rete e connessioni remote.

    2. Fare clic con il pulsante destro del mouse sulla connessione Internet, quindi scegliere Proprietà.

    3. Deselezionare la casella di controllo Client per reti Microsoft.

    4. Deselezionare la casella di controllo Condivisione file e stampanti per reti Microsoft, quindi fare clic su OK.

  • Per disabilitare NetBIOS su TCP/IP

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Gestione.

    2. Espandere Utilità di sistema, quindi selezionare Gestione periferiche.

    3. Fare clic con il pulsante destro del mouse su Gestione periferiche, scegliere Visualizza, quindi Mostra periferiche nascoste.

    4. Espandere Driver non Plug and Play.

    5. Fare clic con il pulsante destro del mouse su NetBios su Tcpip, scegliere Disabilita, quindi fare clic su .

      Gestione computer

      Mediante la procedura descritta vengono disattivati sia il listener SMB gestito direttamente sulle porte TCP 445 e UDP 445 che il driver Nbt.sys. Al termine, è necessario riavviare il sistema.

      Al riavvio del sistema potrebbero essere visualizzati messaggi di errore di Gestione controllo servizi, che sono la normale conseguenza della disattivazione di NetBIOS.

Verifica delle nuove impostazioni

Verificare che al server Web siano state applicate le impostazioni di protezione appropriate.

  • Per verificare se SMB è disabilitato

    1. Fare clic su Start, scegliere Impostazioni, quindi Rete e connessioni remote.

    2. Fare clic con il pulsante destro del mouse sulla connessione Internet, quindi scegliere Proprietà.

    3. Verificare che le caselle di controllo Client per reti Microsoft e Condivisione file e stampanti per reti Microsoft siano entrambe deselezionate, quindi fare clic su OK.

  • Per verificare se NetBIOS è disabilitato

    1. Fare clic su Start, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Gestione.

    2. Fare doppio clic su Utilità di sistema, quindi selezionare Gestione periferiche.

    3. Fare clic con il pulsante destro del mouse su Gestione periferiche, scegliere Visualizza, quindi Mostra periferiche nascoste.

    4. Fare doppio clic su Driver non Plug and Play, quindi fare clic con il pulsante destro del mouse su NetBios su Tcpip.

      Ora il menu di scelta rapida conterrà l'opzione Abilita e questo indica che NetBIOS su TCP/IP è attualmente disabilitato.

    5. Fare clic su OK per chiudere Gestione periferiche.

Disabilitazione delle sessioni Null per impedire gli accessi anonimi

Per impedire gli accessi anonimi è necessario disabilitare le sessioni Null. Si tratta di sessioni non autenticate o anonime stabilite tra due computer. Se le sessioni Null non sono disabilitate, un aggressore può connettersi al server in forma anonima senza essere autenticato.

Stabilendo una sessione Null un pirata informatico ha a disposizione una serie di possibili attacchi, ivi comprese le tecniche di enumerazione utilizzate per raccogliere dal computer aggredito informazioni relative al sistema e che potranno agevolare successivi attacchi. Le informazioni che possono essere restituite in una sessione Null includono dettagli su domini e trust, condivisioni, informazioni sugli utenti, compresi diritti utente e gruppi, e chiavi del Registro di sistema.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Criteri di protezione locali

  • Per disabilitare le sessioni Null

    1. Fare clic su Start, scegliere Programmi, Strumenti di amministrazione, quindi Criteri di protezione locale.

    2. In Impostazioni protezione fare doppio clic su Criteri locali, quindi scegliere Opzioni di protezione.

    3. Fare doppio clic su Restrizioni addizionali per connessioni anonime e selezionare Non consentire l'accesso senza autorizzazioni anonime esplicite in Impostazioni criterio locale.

      Impostazioni protezione locale

    4. Riavviare il server Web per rendere effettiva la modifica.

Verifica delle nuove impostazioni

Verificare che al computer locale siano state applicate le impostazioni di protezione appropriate per la disabilitazione delle sessioni Null.

  • Per verificare che le sessioni Null siano disabilitate ******

    1. Da un computer remoto fare clic su Start, scegliere Esegui, digitare cmd, quindi fare clic su OK.

    2. Al prompt dei comandi, digitare il seguente comando: net use\\ <IP address of your Web server>
      Viene visualizzato il seguente messaggio:

      Errore di sistema 5.
      Accesso negato.

Configurazione degli account

Gli account inutilizzati dovrebbero essere rimossi, perché un aggressore potrebbe individuarli e utilizzarli. È necessario utilizzare sempre password complesse: in caso contrario aumenta il rischio che un attacco di tipo "brute force" o del dizionario possa andare a segno. Utilizzare account con il privilegio minimo. Questa precauzione consente di evitare che un aggressore possa utilizzare un account dotato di privilegi elevati per accedere a risorse non autorizzate.

In questa sezione vengono riportate le seguenti procedure dettagliate per la configurazione degli account:

  • Disabilitazione degli account inutilizzati

  • Disabilitazione delle sessioni Null per impedire l'accesso anonimo

Disabilitazione degli account inutilizzati

Gli account inutilizzati e i relativi privilegi possono essere utilizzati da un pirata informatico per ottenere l'accesso a un server. È consigliabile controllare periodicamente gli account locali nel server e disabilitare gli eventuali account inutilizzati. Disabilitare gli account in un server di prova prima di disabilitarli in un server di produzione per assicurare che l'operazione non influisca negativamente sul funzionamento dell'applicazione. Se la disabilitazione dell'account non causa problemi nel server di prova, è possibile disabilitare l'account nel server di produzione.

Nota: se si sceglie di configurare un account inutilizzato anziché disabilitarlo, tenere presente che non è possibile ripristinare un account eliminato o eliminare gli account Administrator e Guest. È consigliabile inoltre eliminare l'account in un server di prova prima di eliminarlo nel server di produzione.

In questa sezione vengono riportate le seguenti procedure dettagliate per la disabilitazione degli account inutilizzati:

  • Disabilitazione dell'account Guest

  • Ridenominazione dell'account Administrator

  • Disabilitazione dell'account IUSR_NomeComputer

Disabilitazione dell'account Guest

Per le connessioni anonime al server viene utilizzato l'account Guest incorporato. Disabilitandolo, è possibile limitare le connessioni anonime al computer. In Windows 2000 l'account Guest è disabilitato per impostazione predefinita.

Nota: nei controller di dominio l'account Guest non può essere disabilitato.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Computer locale

  • Per disabilitare l'account Guest

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Gestione.

    2. Espandere Utenti e gruppi locali, quindi fare doppio clic sulla cartella Users. Sull'icona dell'account Guest dovrebbe essere visualizzata una X rossa, ad indicare che l'account è disabilitato. In caso contrario, procedere con il Passaggio 3 per disabilitarlo.

      Gestione computer 2

    3. Fare clic con il pulsante destro del mouse sull'account Guest, quindi scegliere Proprietà.

    4. Fare clic sulla scheda Generale, selezionare la casella di controllo Account disabilitato, quindi scegliere OK.
      Ora sull'icona dell'account Guest dovrebbe essere visualizzata una X rossa.

Ridenominazione dell'account Administrator

L'account locale predefinito Administrator è un bersaglio per i malintenzionati a causa dei privilegi elevati di cui dispone. Per migliorare la protezione, rinominare l'account Administrator predefinito e assegnare ad esso una password complessa.

Nota: nei controller di dominio non è possibile rinominare l'account locale Administrator.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Computer locale

  • Per rinominare l'account Administrator e assegnare una password complessa

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Gestione.

    2. Espandere Utenti e gruppi locali, quindi fare doppio clic sulla cartella Users.

    3. Fare clic con il pulsante destro del mouse sull'account Administrators, quindi scegliere Rinomina.

    4. Digitare un nome nell'apposito campo e premere Invio.

    5. Fare clic con il pulsante destro del mouse sull'account Administrators, quindi scegliere Imposta password.

    6. Digitare una nuova password nel campo Nuova password.

    7. Digitare nuovamente la stessa password nella casella Conferma password e scegliere OK.

Ridenominazione dell'account IUSR_ComputerName

L'account utente Internet anonimo predefinito, IUSR_NomeComputer, viene creato durante l'installazione di IIS. NomeComputer corrisponde al nome NetBIOS del server al momento dell'installazione di IIS.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Computer locale

  • Per rinominare l'account IUSR

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Gestione.

    2. Espandere Utenti e gruppi locali, quindi fare doppio clic sulla cartella Users.

    3. Fare clic con il pulsante destro del mouse sull'account IUSR_NomeComputer, quindi scegliere Rinomina.

    4. Digitare un nuovo nome nella casella di testo, quindi fare clic all'esterno della casella.

Verifica delle nuove impostazioni

Verificare che al computer locale siano state applicate le impostazioni di protezione appropriate.

  • Per verificare se un account è disabilitato ******

    1. Premere CTRL+ALT+CANC, quindi scegliere Disconnetti per disconnettere il server Web.

    2. Nella casella Nome utente della finestra di dialogo Accesso a Windows digitare il nome dell'account disabilitato, digitare la relativa password e scegliere OK.
      Viene visualizzato il seguente messaggio:

      L'account è stato disabilitato. Rivolgersi all'amministratore di sistema.

  • Per verificare se un account è stato rinominato

    1. Premere CTRL+ALT+CANC, quindi scegliere Disconnetti per disconnettere il server Web.

    2. Nella casella Nome utente della finestra di dialogo Accesso a Windows digitare il nome precedente dell'account rinominato, digitare la relativa password e scegliere OK.
      Verrà visualizzato il messaggio seguente:

      Impossibile accedere. Assicurarsi che il nome utente e il dominio siano corretti, quindi digitare nuovamente la password rispettando i caratteri maiuscoli o minuscoli.

    3. Scegliere OK, quindi digitare il nuovo nome dell'account rinominato nella casella Nome utente.

    4. Digitare la password dell'account rinominato e scegliere OK.
      Dovrebbe essere possibile accedere al computer con l'account rinominato.

Protezione di file e directory

Per proteggere file e directory riservati è necessario utilizzare controlli di accesso avanzati. Nella maggior parte delle situazioni, l'approccio più efficace non consiste nel negare l'accesso a specifici account, ma nel consentirlo solo a specifici account. Se possibile, impostare l'accesso a livello di directory. Poiché i file aggiunti alla cartella ne erediteranno le autorizzazioni, non saranno necessarie ulteriori impostazioni.

In questa sezione vengono riportate le seguenti istruzioni dettagliate per la protezione di file e directory:

  • Riallocazione e impostazione delle autorizzazioni per i file di registro IIS.

  • Configurazione delle autorizzazioni della metabase IIS.

Riallocazione e impostazione delle autorizzazioni per i file di registro IIS

Per aumentare la protezione dei file di registro IIS è opportuno rilocarli in un'unità non di sistema, formattata per utilizzare il file system NTFS. La nuova posizione deve essere diversa da quella del contenuto del sito Web.

In questa sezione vengono riportate le seguenti istruzioni dettagliate per la rilocazione e l'impostazione delle autorizzazioni per i file di registro IIS:

  • Spostamento dei file di registro IIS in una partizione non di sistema.

  • Impostazione di ACL per i file di registro IIS.

  • Verifica delle nuove impostazioni.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Computer locale, Gestione servizi Internet

  • Per spostare i file di registro IIS in una partizione non di sistema

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Esplora.

    2. Selezionare la posizione in cui si desidera riallocare i file di registro IIS.

    3. Fare clic con il pulsante destro del mouse sulla directory superiore di un livello rispetto alla posizione in cui si desidera riallocare i file di registro IIS, scegliere Nuovo, quindi Cartella.

    4. Assegnare un nome alla cartella, ad esempio LogIISContoso, e premere Invio.

    5. Fare clic su Start, scegliere Programmi, Strumenti di amministrazione, quindi Gestione servizi Internet.

    6. Fare clic con il pulsante destro del mouse sul sito Web, quindi scegliere Proprietà.

    7. Fare clic sulla scheda Sito Web, quindi scegliere Proprietà nel riquadro Consenti registrazione attività.

    8. Nella scheda Proprietà generali scegliere Sfoglia e selezionare la cartella appena creata per archiviare i file di registro IIS.

    9. Scegliere OK per due volte.

Nota: se nel percorso originale C:\WINNT\System32\logfiles sono già presenti file di registro IIS, sarà necessario spostarli manualmente nella nuova posizione. IIS non sposta automaticamente tali file.

  • Per impostare gli ACL nei file di registro IIS

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Esplora.

    2. Selezionare la directory che contiene i file di registro IIS.

    3. Fare clic con il pulsante destro del mouse sulla cartella, scegliere Proprietà, quindi selezionare la scheda Protezione.

    4. Nel riquadro in alto selezionare Administrators e controllare che le autorizzazioni nel riquadro in basso siano impostate su Controllo completo.

    5. Nel riquadro in alto selezionare Sistema e controllare che le autorizzazioni nel riquadro in basso siano impostate su Controllo completo.

    6. Nel riquadro in alto selezionare Everyone scegliere Rimuovi, quindi fare clic su OK.

Verifica delle nuove impostazioni

Verificare che al computer locale siano state applicate le impostazioni di protezione appropriate.

  • Per verificare che i file di registro siano stati spostati e protetti ******

    1. Fare clic su Start, scegliere Cerca, quindi File o cartelle.

    2. Nella casella Cerca file denominati digitare un nome file o parte di esso, selezionare un percorso nella casella Cerca in, quindi scegliere Cerca ora.
      La ricerca dovrebbe restituire la nuova posizione dei file di registro.

    3. Premere CTRL+ALT+CANC, quindi fare clic su Disconnetti.

    4. Accedere al server Web tramite un account che non include l'autorizzazione per l'accesso ai file di registro.

    5. Fare clic con il pulsante destro del mouse su Computer locale, scegliere Esplora e selezionare la posizione dei file di registro protetti.

    6. Fare clic con il pulsante destro del mouse sul file di registro e scegliere Apri.
      Verrà visualizzato il messaggio seguente:

      Accesso negato.

Configurazione delle autorizzazioni della metabase IIS

La metabase IIS è un file binario che contiene la maggior parte delle informazioni di configurazione IIS. Solo ai membri del gruppo Administrators e all'account LocalSystem dovrebbe essere consentito l'accesso con Controllo completo alla metabase. È importante controllare tutti i tentativi di accesso alla metabase da parte del gruppo Everyone.

In questa sezione vengono riportate le seguenti istruzioni dettagliate per la configurazione delle autorizzazioni per la metabase IIS:

  • Limitazione dell'accesso al file MetaBase.bin

  • Controllo dell'accesso al file MetaBase.bin

  • Disabilitazione del componente File System Object

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Computer locale

  • Per limitare l'accesso al file MetaBase.bin

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Esplora.

    2. Selezionare il file C:\WINNT\system32\inetsrv\MetaBase.bin, fare clic con il pulsante destro del mouse sul file, quindi scegliere Proprietà.

    3. Nella scheda Protezione rimuovere tutte le autorizzazioni file per la metabase e assegnare Controllo completo solo ad Administrators e LocalSystem.

  • Per controllare l'accesso al file MetaBase.bin

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Esplora.

    2. Selezionare il file C:\WINNT\system32\inetsrv\MetaBase.bin, fare clic con il pulsante destro del mouse sul file, quindi scegliere Proprietà.

    3. Fare clic sulla scheda Protezione, scegliere Avanzate, Controllo e infine Aggiungi.

    4. Selezionare Everyone, quindi scegliere Aggiungi e infine OK.

    5. Selezionare Riuscito e Non riuscito per i tipi di accesso elencati di seguito, quindi scegliere OK.

      • Visita cartelle/Esecuzione file

      • Visualizzazione contenuto cartella / Lettura dati

      • Creazione file/Scrittura dati

      Voci di controllo per MetaBase.bin

Verifica delle nuove impostazioni

Verificare che al computer locale siano state applicate le impostazioni di protezione appropriate per il controllo e la limitazione dell'accesso al file MetaBase.bin.

  • Per verificare che l'accesso al file MetaBase.bin sia stato limitato ******

    1. Premere CTRL+ALT+CANC, quindi fare clic su Disconnetti.

    2. Accedere al server Web con un account che non dispone dell'autorizzazione per l'accesso al file MetaBase.bin.

    3. Fare clic con il pulsante destro del mouse su Computer locale, scegliere Esplora e selezionare la posizione del file MetaBase.bin.

    4. Fare clic con il pulsante destro del mouse sul file MetaBase.bin e scegliere Apri.
      Verrà visualizzato il messaggio seguente:

      Accesso negato.

Disabilitazione del componente File System Object

ASP, Windows Script Host e altre applicazioni di scripting utilizzano il componente File System Object (FSO) per creare, eliminare e ottenere le relative informazioni, nonché per modificare unità, cartelle e file. Se si intende disabilitare il componente FSO, tenere tuttavia presente che in tal caso verrà rimosso anche l'oggetto Dictionary. Verificare inoltre che questo componente non sia necessario per altri programmi.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: prompt dei comandi

  • Per disabilitare il componente File System Object

    1. Fare clic su Start, scegliere Esegui, digitare cmd nella casella Apri, quindi fare clic su OK.

    2. Passare alla directory C:\WINNT\system32.

    3. Al prompt dei comandi, digitare regsvr32 scrrun.dll /u, quindi premere INVIO.
      Verrà visualizzato il messaggio seguente:

      DllUnregisterServer in scrrun.dll riuscito.

    4. Scegliere OK.

    5. Al prompt dei comandi, digitare exit per chiudere la finestra del prompt.

Protezione di siti Web e directory virtuali

Come misura di protezione contro gli attacchi di attraversamento delle directory, che consentono a un aggressore di eseguire programmi e strumenti del sistema operativo, è possibile spostare le directory Web principali e virtuali in una partizione non di sistema. Poiché non è possibile attraversare le unità, la riallocazione del contenuto del sito Web in un'altra unità offre una protezione aggiuntiva da questi attacchi.

In questa sezione viene riportata la seguente procedura dettagliata per la protezione di siti Web e directory virtuali:

  • Spostamento del sito Web in un'unità non di sistema.

  • Disattivazione dell'impostazione dei percorsi principali.

  • Configurazione delle autorizzazioni del sito Web.

Spostamento del sito Web in un'unità non di sistema

Il contenuto del sito Web non deve essere collocato nella directory predefinita \inetpub\wwwroot. Se ad esempio il sistema è installato nell'unità C:, è possibile spostare il sito e la directory con il relativo contenuto nell'unità D: per ridurre i rischi associati agli attacchi di attraversamento delle directory, in cui un pirata informatico tenta di esplorare la struttura di directory di un server Web.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Gestione servizi Internet, prompt dei comandi

  • Per spostare il sito Web in un'unità non di sistema

    1. Fare clic su Start, scegliere Programmi, Strumenti di amministrazione, quindi Gestione servizi Internet.

    2. Fare clic con il pulsante destro del mouse sul sito Web il cui contenuto si desidera spostare, quindi scegliere Arresta.

    3. Nella barra delle applicazioni fare clic su Start, scegliere Esegui, digitare cmd, quindi fare clic su OK.

    4. Al prompt dei comandi, digitare il seguente comando:

      xcopy c:\inetpub\wwwroot\<site name>
      <drive>:\wwwroot\<site name> /s /i /o

    5. Tornare allo snap-in Gestione servizi Internet.

    6. Fare clic con il pulsante destro del mouse sul sito Web, quindi scegliere Proprietà.

    7. Fare clic sulla scheda Home Directory, scegliere Sfoglia e selezionare la nuova posizione della directory in cui sono stati appena copiati i file.

    8. Fare clic con il pulsante destro del mouse sul sito Web, quindi scegliere Avvia.

Verifica delle nuove impostazioni

Verificare che al computer locale siano state applicate le impostazioni di protezione appropriate.

  • Per verificare che il contenuto del sito Web sia stato spostato in un'unità o una cartella non di sistema ******

    1. Fare clic su Start, scegliere Programmi, Strumenti di amministrazione, quindi Gestione servizi Internet.

    2. Fare clic con il pulsante destro del mouse sul sito Web il cui contenuto è stato spostato, quindi scegliere Proprietà.

    3. Fare clic sulla scheda Home Directory, verificare che la casella Percorso locale contenga la nuova posizione dei file, quindi scegliere OK.

Disattivazione dell'impostazione dei percorsi principali

Questa impostazione della metabase IIS impedisce l'utilizzo di percorsi principali nelle chiamate di script e applicazioni. La disabilitazione dei percorsi principali rappresenta una protezione contro gli attacchi di attraversamento delle directory. Nell'esempio che segue è riportato un percorso principale in un file ASP:

<!--#include file="../<filename.ext>"-->

Quando i percorsi principali sono disabilitati, nelle istruzioni dei file ASP i percorsi avranno il formato seguente:

<!--#include virtual="/<virtual path>/<filename.ext>"-->

dove <virtual path> è il nome della directory virtuale che contiene il file nel server Web.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Gestione servizi Internet

  • Per disattivare i percorsi principali

    1. Fare clic su Start, scegliere Programmi, Strumenti di amministrazione, quindi Gestione servizi Internet.

    2. Fare clic con il pulsante destro del mouse sulla directory principale del sito Web, quindi scegliere Proprietà.

    3. Fare clic sulla scheda Home directory, quindi scegliere Configurazione.

    4. Fare clic sulla scheda Opzioni applicazione e deselezionare la casella di controllo Abilita percorsi principali.

      Configurazione delle applicazioni

Verifica delle nuove impostazioni

Verificare che al computer locale siano state applicate le impostazioni di protezione appropriate.

  • Per verificare che i percorsi principali siano disabilitati ******

    1. Fare clic su Start, scegliere Programmi, Strumenti di amministrazione, quindi Gestione servizi Internet.

    2. Fare clic con il pulsante destro del mouse sulla directory principale del sito Web, quindi scegliere Proprietà.

    3. Fare clic sulla scheda Home directory, quindi scegliere Configurazione.

    4. Fare clic sulla scheda Opzioni applicazione, controllare che la casella di controllo Abilita percorsi principali sia deselezionata e scegliere OK.

Configurazione delle autorizzazioni del sito Web

È possibile configurare le autorizzazioni di accesso al server Web per siti, directory e file specifici. Queste autorizzazioni si applicano a tutti gli utenti, indipendentemente dai relativi diritti di accesso specifici.

Configurazione delle autorizzazioni nelle directory del file system

Internet Information Services si basa sulle autorizzazioni NTFS per la protezione di singoli file e directory da accessi non autorizzati. Diversamente dalle autorizzazioni per i siti Web, che si applicano a tutti gli utenti, le autorizzazioni NTFS possono essere utilizzate per definire con precisione quali utenti possono accedere al contenuto e in che modo sono autorizzati a manipolarlo.

Gli elenchi di controllo di accesso (ACL) indicano gli utenti o i gruppi in possesso dell'autorizzazione per l'accesso o la modifica di un file specifico. Invece di impostare ACL per ciascun file, è possibile creare nuove directory per ogni tipo di file e per ciascuna di esse impostare gli ACL, che verranno ereditati dai file.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Computer locale

  • Per copiare il contenuto del sito Web in una cartella separata

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Esplora.

    2. Selezionare la cartella in cui si trova il contenuto del sito Web.

    3. Selezionare la cartella principale del contenuto del sito Web.

    4. Scegliere Nuovo, Cartella dal menu File.

    5. Assegnare un nome alla cartella e premere Invio.

    6. Tenendo premuto il tasto CTRL selezionare tutte le pagine che si desidera copiare.

    7. Fare clic con il pulsante destro del mouse sulle pagine, quindi scegliere Copia.

    8. Fare clic con il pulsante destro del mouse sulla nuova cartella, quindi scegliere Incolla.

      Nota: eventuali collegamenti ipertestuali alle pagine devono essere aggiornati per riflettere la nuova posizione delle pagine.

  • Per impostare autorizzazioni sulle directory fisiche

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Esplora.

    2. Fare clic sulla cartella che contiene le pagine da proteggere.

    3. Fare clic con il pulsante destro del mouse sulla cartella, scegliere Proprietà, quindi selezionare la scheda Protezione.

    4. Rimuovere il gruppo Everyone dall'elenco di nomi nel riquadro superiore, quindi scegliere Aggiungi.

    5. Digitare i nomi degli utenti o gruppi a cui si desidera concedere l'accesso al contenuto, quindi scegliere OK.

      Nota: tali utenti e gruppi devono far parte del dominio in cui risiede il server. Se non ne fanno già parte,prima di procedere è necessario aggiungerli al dominio.

    6. Nel riquadro superiore selezionare l'utente o il gruppo appena aggiunto e quindi, nel riquadro inferiore, le autorizzazioni che si desidera assegnare, quindi scegliere OK.
      Per la maggior parte degli utenti sarà sufficiente l'autorizzazione Lettura/Esecuzione, ma in alcuni casi specifici potrebbe essere necessario assegnare l'autorizzazione Scrittura o Controllo completo.

Configurazione delle autorizzazioni nelle directory virtuali

Per la maggior parte degli utenti non è necessario poter accedere a tutto il contenuto presente nel server Web. Per proteggere tale contenuto è necessario configurare autorizzazioni di accesso appropriate nelle directory virtuali del server Web.

  • Per impostare autorizzazioni sulle directory virtuali

    1. Fare clic su Start, scegliere Programmi, Strumenti di amministrazione, quindi Gestione servizi Internet.

    2. Fare clic con il pulsante destro del mouse sul sito Web per cui si desidera impostare le autorizzazioni nelle directory virtuali, scegliere Tutte le attività, quindi Impostazione guidata autorizzazioni.

    3. Seguire i passaggi della procedura guidata.

Verifica delle nuove impostazioni

Verificare che al computer locale siano state applicate le impostazioni di protezione appropriate.

  • Per verificare che sia negato l'accesso in scrittura alle directory fisiche e virtuali ******

    1. Premere CTRL+ALT+CANC, quindi fare clic su Disconnetti.

    2. Accedere al server Web utilizzando un account dotato dell'autorizzazione Lettura/Esecuzione per la directory fisica o virtuale.

    3. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, scegliere Esplora e selezionare la posizione di un file da copiare nella directory fisica o virtuale.

    4. Fare clic con il pulsante destro del mouse sul file, quindi scegliere Copia.

    5. Selezionare la posizione della directory fisica o virtuale e fare clic con il pulsante destro del mouse su di essa. Nel menu di scelta rapida non dovrebbe essere disponibile l'opzione Incolla. Questo significa che non si dispone dell'accesso in scrittura alla directory.

Configurazione di Secure Sockets Layer (SSL) nel server Web

Configurare la funzionalità di protezione Secure Sockets Layer (SSL) nel server Web per verificare l'integrità del contenuto e l'identità degli utenti, nonché per crittografare le trasmissioni di rete. La protezione SSL è basata su un certificato server che consente agli utenti di autenticare il sito Web prima di trasmettere informazioni personali, ad esempio il numero della carta di credito.

In questa sezione vengono riportate le seguenti istruzioni dettagliate per la configurazione di SSL nel server Web:

  • Come ottenere e installare un certificato server.

  • Applicazione e abilitazione delle connessioni SSL nel server Web.

Come ottenere e installare un certificato server

I certificati vengono rilasciati da organizzazioni non Microsoft denominate Autorità di certificazione (CA). Normalmente il certificato server è associato allo specifico server Web e in particolare al sito Web in cui è stato configurato SSL. È necessario generare una richiesta di certificato, inviarla all'Autorità di certificazione e quindi installare il certificato dopo averlo ricevuto dalla CA.

I certificati richiedono una coppia di chiavi di crittografia, una pubblica e una privata, per garantire la protezione. Generando una richiesta di certificato server viene in effetti generata la chiave privata. Il certificato server ricevuto dalla CA contiene la chiave pubblica.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Gestione servizi Internet, Gestione guidata certificati server Web

  • Per generare una richiesta di certificato server

    1. Nel desktop, fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Gestione.

    2. Espandere la sezione Servizi e applicazioni, quindi la sezione Internet Information Services.

    3. Fare clic con il pulsante destro del mouse sul sito Web in cui si desidera installare un certificato server, quindi scegliere Proprietà.

    4. Nella sezione Comunicazioni protette della scheda Protezione directory, scegliere Certificato server per avviare la Gestione guidata certificati server Web, quindi fare clic su Avanti.

    5. Selezionare Crea nuovo certificato, quindi scegliere Avanti.

    6. Selezionare Preparare la richiesta per l'invio posticipato, quindi scegliere Avanti.

    7. Nel campo Nome, immettere un nome che sia facile da ricordare. Per impostazione predefinita, nel campo viene inserito il nome del sito Web per cui si sta generando la richiesta di certificato, ad esempio https://www.contoso.com.

    8. Specificare una lunghezza in bit e scegliere Avanti.
      La complessità della crittografia sarà direttamente proporzionale alla lunghezza in bit specificata per la chiave di crittografia. Per la maggior parte delle CA non Microsoft è preferibile scegliere un minimo di 1024 bit.

    9. Nella sezione Organizzazione immettere le informazioni sull'organizzazione e sull'unità organizzativa. Controllare che le informazioni immesse siano corrette e scegliere Avanti.

    10. Nella sezione Nome comune del sito immettere il nome del computer host con il nome dominio, quindi scegliere Avanti.

    11. Immettere i dati geografici e scegliere Avanti.

    12. Salvare il file con estensione txt. Il nome e la posizione predefiniti per il file sono C:\certreq.txt.
      Nell'esempio che segue viene mostrato l'aspetto di un file di richiesta certificato.

      -----BEGIN NEW CERTIFICATE REQUEST----- MIIDATCCAmoCAQAwbDEOMAwGA1UEAxMFcGxhbjgxDDAKBgNVBAsTA1BTUzESMBAG A1UEChMJTWljcm9zb2Z0MRIwEAYDVQQHEwlDaGFybG90dGUxFzAVBgNVBAgTDk5v cnRoIENhcm9saW5hMQswCQYDVQQGEwJVUzCBnzANBgkqhkiG9w0BAQEFAAOBjQAw gYkCgYEAtW1koGfdt+EoJbKdxUZ+5vE7TF1ZuT+xaK9jEWHESfw11zoRKrHzHN0f IASnwg3vZ0ACteQy5SiWmFaJeJ4k7YaKUb6chZXG3GqL4YiSKFaLpJX+YRiKMtmI JzFzict5GVVGHsa1lY0BDYDO2XOAlstGlHCtENHOKpzdYdANRg0CAwEAAaCCAVMw GgYKKwYBBAGCNw0CAzEMFgo1LjAuMjE5NS4yMDUGCisGAQQBgjcCAQ4xJzAlMA4G A1UdDwEB/wQEAwIE8DATBgNVHSUEDDAKBggrBgEFBQcDATCB/QYKKwYBBAGCNw0C AjGB7jCB6wIBAR5aAE0AaQBjAHIAbwBzAG8AZgB0ACAAUgBTAEEAIABTAEMAaABh AG4AbgBlAGwAIABDAHIAeQBwAHQAbwBnAHIAYQBwAGgAaQBjACAAUAByAG8AdgBp AGQAZQByA4GJAGKa0jzBn8fkxScrWsdnU2eUJOMUK5Ms87Q+fjP1/pWN3PJnH7x8 MBc5isFCjww6YnIjD8c3OfYfjkmWc048ZuGoH7ZoD6YNfv/SfAvQmr90eGmKOFFi TD+hl1hM08gu2oxFU7mCvfTQ/2IbXP7KYFGEqaJ6wn0Z5yLOByPqblQZAAAAAAAA AAAwDQYJKoZIhvcNAQEFBQADgYEAhpzNy+aMNHAmGUXQT6PKxWpaxDSjf4nBmo7o MhfC7CIvR0McCQ+CBwuLzD+UJxl+kjgb+qwcOUkGX2PCZ7tOWzcXWNmn/4YHQl0M GEXu0w67sVc2R9DlsHDNzeXLIOmjUl935qy1uoIR4V5C48YNsF4ejlgjeCFsbCoj Jb9/2RM=
      -----END NEW CERTIFICATE REQUEST-----

    13. Confermare i dettagli della richiesta e scegliere Avanti.

  • Per inviare una richiesta di certificato server

    1. Contattare la CA in questione per informarsi sui requisiti previsti per l'inoltro delle richieste.

    2. Copiare nel formato richiesto dalla CA il contenuto del file con estensione txt creato nella procedura precedente.

    3. Inviare la richiesta alla CA.

Quando si riceve il certificato dalla CA, è possibile installarlo nel server Web.

  • Per installare un certificato server

    1. Copiare il testo della chiave del certificato ricevuta dalla CA e incollarla in un file con estensione txt.

    2. Salvare il file con il nome Cert.txt.

    3. Fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Gestione.

    4. Espandere la sezione Servizi e applicazioni, quindi la sezione Internet Information Services.

    5. Fare clic con il pulsante destro del mouse sul sito Web in cui si desidera installare un certificato server, quindi scegliere Proprietà.

    6. Nella sezione Comunicazioni protette della scheda Protezione directory, scegliere Certificato server per avviare la Gestione guidata certificati server Web, quindi fare clic su Avanti.

    7. Selezionare Elabora la richiesta in sospeso e installa il certificato, quindi scegliere Avanti.

    8. Selezionare il file di testo salvato nel passaggio 1. Scegliere Avanti per due volte, quindi fare clic su Fine.

Verifica delle nuove impostazioni

Verificare che al computer locale siano state applicate le impostazioni di protezione appropriate.

  • Per verificare se un certificato è installato in un server Web

    1. Fare clic su Start, scegliere Programmi, Strumenti di amministrazione, quindi Gestione servizi Internet.

    2. Fare clic con il pulsante destro del mouse sul sito Web contenente un certificato che si desidera visualizzare, quindi scegliere Proprietà.

    3. Nella sezione Comunicazioni protette della scheda Protezione directory scegliere Visualizza certificato, controllare il certificato, quindi scegliere OK per due volte.

Abilitazione e applicazione delle connessioni SSL nel server Web

Dopo aver installato il certificato server è necessario abilitare le connessioni SSL nel server Web. Successivamente, le connessioni SSL devono essere applicate.

Requisiti

  • Credenziali: è necessario accedere al server Web come membro del gruppo Administrators

  • Strumenti: Snap-in MMC Gestione servizi Internet

  • Per abilitare connessioni SSL nel server Web

    1. Fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Gestione.

    2. Espandere la sezione Servizi e applicazioni, quindi la sezione Internet Information Services.

    3. Fare clic con il pulsante destro del mouse sul sito Web in cui si desidera installare un certificato server, quindi scegliere Proprietà.

    4. Nella sezione Identificazione sito Web della scheda Sito Web verificare che nel campo Porta SSL sia presente il valore numerico 443, quindi scegliere Avanzate.
      Verranno visualizzati due campi e la porta e l'indirizzo IP del sito Web saranno riportati nel campo Identità multiple per questo sito Web.

    5. Se la porta 443 non è già elencata nel campo Identità SSL multiple per questo sito Web scegliere Aggungi.

    6. Selezionare l'indirizzo IP del server, digitare il valore numerico 443 nel campo Porta SSL, quindi scegliere OK.

  • Per applicare connessioni SSL

    1. Fare clic con il pulsante destro del mouse su Computer locale, quindi scegliere Gestione.

    2. Espandere la sezione Servizi e applicazioni, quindi la sezione Internet Information Services.

    3. Fare clic con il pulsante destro del mouse sul sito Web in cui si desidera installare un certificato server, quindi scegliere Proprietà.

    4. Fare clic sulla scheda Protezione directory. Nella sezione Comunicazioni protette, fare clic su Modifica.

    5. Selezionare Richiedi un canale protetto (SSL), scegliere un livello di complessità per la crittografia, quindi fare clic su OK.

      Nota: se viene specificata la crittografia a 128 bit, gli utenti che utilizzano browser con crittografia a 40 o 56 bit non potranno comunicare con il sito, a meno che non impostino una complessità maggiore.

Verifica delle nuove impostazioni

Verificare che al computer locale siano state applicate le impostazioni di protezione appropriate.

  • Per verificare connessioni SSL nel server Web

    1. Aprire il browser e provare a connettersi al server Web tramite il protocollo http:// standard. Nella casella Indirizzo digitare, ad esempio: https://www.contoso.com
      Se SSL è applicato, verrà visualizzato il seguente messaggio di errore:

      La pagina deve essere visualizzata su un canale protetto.
      La pagina che si sta tentando di visualizzare richiede l'uso di "https" nell'indirizzo.

    2. Riprovare a connettersi alla pagina digitando l'indirizzo nel modo seguente: https://www.contoso.com
      Verrà visualizzata la pagina predefinita per il server Web in uso.

Informazioni correlate

Per ulteriori informazioni sulla protezione di IIS 5.0 e IIS 5.1, consultare la documentazione seguente:

Per ulteriori informazioni su IIS 5.0 e IIS 5.1, consultare la documentazione seguente: