Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Manual de IIS
Manual de IIS
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Gua de seguridad para Internet Information Services 6.0 La informacin en este documento incluyendo URLs y otras referencias a sitios web de Internet estn sujetas a cambio sin noticias previas. A menos que sea explcitamente informado, las compaas, organizaciones, productos, nombres de dominio, direcciones de mail, logotipos, persona, lugares, y eventos de ejemplo utilizados aqu, son ficticios y no existe ningn tipo de asociacin con ninguna compaa, organizacin, productos, nombre de dominio, direccin de mail, logotipo, persona, lugar o eventos reales. Es responsabilidad del usuario cumplir con todas las leyes de derecho de autor aplicables. Sin limitar los alcances de los derechos de autor, ninguna parte de este documento puede ser reproducida, almacenada introducida en ningn sistema o trasmitida de ninguna forma o por cualquier medio (electrnico, mecnico, fotocopiado, grabado, etc.) para ningn propsito, sin el expreso permiso escrito de Microsoft Corporation. Microsoft puede tener patentes en trmite, marcas registradas, derecho de autor y otros derechos de propiedad intelectual cubriendo los productos objeto de este documento. Excepto que sea proporcionado expresamente por medio de una licencia escrita por Microsoft, el contenido de este documento no le da a usted ninguna licencia a estas patentes, derecho de autor u otras propiedades intelectuales. La informacin en este documento y cualquier otro documento referenciado aqu es provisto con propsitos informativos solamente y no puede ser interpretado como sustitucin o reemplazo de servicios de informacin diseada por Microsoft Corporation para un usuario particular en un ambiente particular. La confianza depositada en este documento y cualquier otro documento referenciado aqu es a riesgo del propio lector. Microsoft Corporation no proporciona garanta ni confirma que la informacin proporcionada es apropiada para ninguna situacin y por tanto Microsoft Corporation no es ni ser responsable por ningn reclamo o dao de ningn tipo que el usuario de este documento o cualquier otro documento referenciado aqu pueda sufrir. Si usted no acepta estos trminos y condiciones, Microsoft Corporation no le proporcionar a usted ningn derecho a usar ninguna parte de este documento o ningn documento referenciado aqu. Microsoft, Windows, Active Directory, Internet Information Services, son todas marcas registradas de Microsoft Corporation en Estados Unidos y/o otros pases. 2006 Microsoft Corporation. Los nombres de compaas y productos mencionados aqu pueden ser marcas registradas de sus respectivos dueos. Se recomienda leer esta Gua en forma completa antes de comenzar con la puesta en prctica de sus recomendaciones.
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
ndice
ndice....................................................................................................................................3 Captulo 1: Introduccin a la Gua de Seguridad para Internet Information Services 6.0...5 Sumario ejecutivo............................................................................................................5 Los desafos ambientales.............................................................................................5 Internet Information Services.......................................................................................5 Visin general de la Gua.............................................................................................5 Quien debera leer esta gua?.....................................................................................6 Alcance de esta gua.....................................................................................................6 Capitulo 2: Configuracin del servidor fsico......................................................................7 La seguridad del servidor.................................................................................................7 Firmware......................................................................................................................7 BIOS............................................................................................................................7 Controladores de dispositivos......................................................................................7 Configuracin del BIOS...............................................................................................8 Configuracin Externa del servidor.............................................................................8 Consideraciones Generales..........................................................................................8 Capitulo 3: Configuracin del sistema operativo.................................................................9 Windows Server 2003......................................................................................................9 Instalacin....................................................................................................................9 Actualizaciones de seguridad a la instalacin de Windows Server...........................10 Instalacin del Componente Internet Information Services 6.0.................................12 Revisar el estado de actualizaciones..........................................................................13 Asistente para configuracin de seguridad................................................................13 Servicios.....................................................................................................................33 Polticas locales..........................................................................................................35 Permisos NTFS..........................................................................................................37 Configuracin del protocolo TCP/IP.........................................................................38 Consideraciones Generales........................................................................................39 Capitulo 4: Configuracin del servicio WEB de Internet Information Services 6.0.........40 Configuracin de sitios Web..........................................................................................40 Sitio Web...................................................................................................................40 Extensiones................................................................................................................41 Grupo de Aplicaciones...............................................................................................42 URLScan 2.5..............................................................................................................43 Consideraciones Generales........................................................................................44 Capitulo 5: Configuracin del servicio FTP de Internet Information Services 6.0...........45 Configuracin de sitios FTP..........................................................................................45 Sitio FTP....................................................................................................................45 Consideraciones Generales........................................................................................49 Capitulo 6: Conclusiones finales........................................................................................50 Resumen.........................................................................................................................50 Conclusin de la Gua................................................................................................50 Apndice 1: Instalacin de Internet Information Services de manera automtica. ...........51 Instalacin desatendida..................................................................................................51 3
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
efectos de la aplicacin de estas configuraciones. De hecho muchas de las configuraciones aqu descriptas son incompatibles para servidores pertenecientes a dominios Active Directory. Esta gua est pensada para servidores web independientes, por lo tanto no siempre ser oportuno debido a factores econmicos, funcionales o de interoperabilidad, la aplicacin de todos los puntos descriptos. Esta gua no es traduccin de ningn documento escrito anteriormente por Microsoft en idioma ingls y est basada en conocimientos prcticos y tericos del autor, obtenidos a lo largo de la participacin en diversos proyectos donde la seguridad de IIS era un asunto crtico.
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Firmware
El Firmware es software especfico para una determinada clase de hardware. Los discos rgidos por ejemplo, tienen dentro su propio firmware que al igual que el BIOS es susceptible de cambios y mejoras. Consulte con el proveedor de hardware la disponibilidad y procedimientos de actualizacin de dicho software.
BIOS
El BIOS (Basic Input Output System) es el primer software que ejecutar el servidor al iniciarse y como todo software es susceptible de fallas, vulnerabilidades e incompatibilidades. Los fabricantes de servidores lanzan peridicamente nuevas versiones de BIOS que incorporan cambios y mejoras de manera tal de aprovechar mejor los componentes del servidor. Por lo tanto es esencial que actualice el mismo siguiendo los procedimientos informados por el fabricante.
Controladores de dispositivos
Conocidos tambin como Drivers son piezas de software que permiten abstraer el hardware permitiendo interoperar al sistema operativo con los componentes del servidor como las placas de red, la tarjeta de video, etc. Normalmente el fabricante proporciona los drivers junto con el envo de las piezas de hardware, pero a lo largo del tiempo va haciendo nuevos lanzamientos que mejoran diversos aspectos de la relacin entre el sistema operativo y el hardware como el rendimiento, la performance e incluso la 7
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
seguridad. Por eso es de vital importancia poseer las ltimas versiones de estos controladores a fin de evitar un mal, pobre o inseguro funcionamiento del servidor (por usar controladores viejos).
Consideraciones Generales
Muchas de las acciones arriba descriptas pueden necesitar ayuda o soporte del proveedor del equipo, tenga a mano los datos de soporte o manuales especficos a la hora de efectuar los cambios. Un cambio mal realizado puede acarrear efectos adversos.
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Adicionalmente dentro de las propiedades TCP/IP, aleta WINS deber activarse Deshabilitar NETBIOS sobre TCP/IP tal como muestra la siguiente figura.
Y que se uni al servidor al grupo de trabajo GRUPO_TRABAJO, ya que un webserver crtico debera estar aislado concluyendo entonces el proceso de instalacin. Es imprescindible adems, renombrar las cuentas de administrador e invitado (mas adelante en esta gua se mostrara como hacerlo a travs de polticas locales) y configurar contraseas para ambos de al menos 10 dgitos, para reducir al mnimo la exposicin a rotura por fuerza bruta. Una buena prctica puede ser copiar la cuenta administrador y deshabilitar la cuenta built-in Elimine todos los componentes adicionales, vaya a panel de control, agregar/remover programas, luego a agregar o quitar componentes de Windows y asegrese que no haya ningn tilde.
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
lapso de tiempo en el cual el mismo es conectado a la red y la instalacin efectiva de las ltimas actualizaciones de seguridad desde Windows Update. PSSU es una interfaz de usuario (Fig. 3) que aparece la primera vez que el administrador inicia sesin y proporciona enlaces para la aplicacin de las actualizaciones en su servidor y configurar la descarga e instalacin de las prximas actualizaciones. PSSU informa al administrador que todas las conexiones entrantes al servidor, distintas a aquellas especificadas durante la instalacin o aquellas configuradas a travs de grupos de polticas (GPO), estn bloqueadas.
Para aplicar todas las actualizaciones disponibles utilizar la opcin: Actualizar este servidor. Mediante este procedimiento y utilizando el servicio de Windows Update, utilice la informacin presentada por los asistentes para actualizar el servidor Una vez actualizado, utilice la opcin: Configurar la actualizacin automtica de este servidor, para determinar cuando sern descargadas e instaladas las subsiguientes actualizaciones.
11
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Por ultimo ejecute Finalizar lo cual dar por terminado el proceso y pondr al servidor operativo.
Nota: Los componentes iis_asp y AspNet sern necesarias en la medida que el webserver aloje aplicaciones asp o asp.net. Utilice las variables PathFTPRoot y PathWWWRoot para indicar la ubicacin del contenido de ambos servicios segn la letra de unidad de su sistema. Inicie el proceso de instalacin: Inicio/Ejecutar y escriba:
Sysocmgr /u:c:\iis6.txt /i:%windir%\inf\sysoc.inf
Complete el proceso de instalacin proporcionando los archivos necesarios cuando le sea requerido. Revise que la instalacin se ha efectuado exitosamente ejecutando la consola de Internet Information Services 6.0 desde Herramientas Administrativas y constate que no existe ninguna condicin de error.
12
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
13
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Una vez instalado, vaya a Herramientras administrativas y ejecute el asistente para configuracin de seguridad. Ejecute Siguiente en la pantalla de bienvenida, y elija crear una nueva directiva de seguridad.
14
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Elija el servidor local en el cual est aplicando estas acciones, Tenga en cuenta la informacin de la pantalla en cuanto a los privilegios necesarios para aplicar estas configuraciones.
15
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
16
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En configuracin del servidor basado en funciones haga clic en Siguiente. En seleccionar funciones de servidor escoja Todas las funciones en la lista desplegable Ver. Quite la tilde a todas las funciones y asegrese de tildar Servidor Web y Servidor FTP.
17
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En seleccionar caractersticas de cliente quite la tilde a todas las opciones y haga clic en Siguiente
18
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En Seleccionar Opciones de administracin y otras seleccione: Configuracin y Anlisis remoto del asistente para configuracin de seguridad Copia de Seguridad (NT o Terceros) Copia de seguridad en hardware local Entorno de controlador de modo de usuario de Windows Firewall de Windows Informe de errores Instalaciones de aplicaciones locales Recopilacin de datos de rendimiento
19
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En Seleccionar servicios adicionales deje solamente runtimes de .net ofrecidas solo si el assembly de la aplicacin .net lo necesita, de otra manera qutele la tilde a todo En Tratamiento de servicios sin especificar elija: deshabilitar el servicio
20
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En Confirmar Cambios de Servicio revise que la lista de servicios y modo de inicio de directiva de los mismos concuerde con la seleccin hecha previamente.
21
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En Seguridad de Red haga clic en Siguiente. En Abrir puertos y aprobar aplicaciones deje solamente tildado puerto 20, 21, 80 y 443, destilde cualquier otra opcin. Haga click en Siguiente.
22
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En configuracin de registro, click en Siguiente. Requerir firmas de seguridad SMB: El servidor no tendr SMB habilitado, con lo cual las configuraciones siguientes no tendrn efecto, pero es una buena prctica dejar tildadas ambas.
23
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
24
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
25
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En resumen de configuracin de registro revise que el resultado mostrado coincida con su seleccin anterior.
26
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En Directiva de auditoria haga click en Siguiente Seleccione Auditar Acciones correctas y no correctas
27
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Revise el Resumen de Directivas de Auditoria de tal manera de asegurarse que coincida con su seleccin.
28
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En Servicios de Internet Information Services haga click en Siguiente. En caso de necesitar soporte para aplicaciones ASP o ASP.NET, deje marcadas las casillas correspondientes. De otra manera deje todo desmarcado.
29
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En la pgina de directorios virtuales deje todo desmarcado, los mismos sern eliminados de la configuracin del IIS.
30
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
31
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Revise que el detalle mostrado a continuacin coincida con sus selecciones anteriores.
32
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Contine con el proceso de guardar el template para futuras aplicaciones y proceda a aplicar las configuraciones en el servidor en cuestin usando la opcin aplicar ahora.
Servicios
Una de las acciones ms efectivas para la reduccin de la superficie de ataque es la deshabilitar servicios innecesarios. Dependiendo de la cantidad de servicios instalados y de las configuraciones realizadas por le SCW, revise qu servicios estn en modo automtico y deshabiltelos conforme aparecen en la siguiente lista. Nota importante: La cantidad de servicios puede variar en funcin de las aplicaciones instaladas como por ejemplo antivirus, antispywares, etc. Adicionalmente servicios no listados aqu pueden depender de los servicios listados. Revise cuidadosamente las dependencias antes de deshabilitar los servicios.
33
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Desde herramientas administrativas utilice el Administrador de Servicios para revisar el estado y eventualmente deshabilitarlos:
Acceso a dispositivo de interfaz humana Administracin de Aplicaciones Administrador de conexin automtica de acceso remoto Administrador de conexin de acceso remoto Administrador de sesin de ayuda de escritorio remoto Adquisicin de Imgenes de Windows (WIA) Aplicacin del sistema COM+ Audio de Windows Ayuda de NETBOS sobre TCP/IP Ayuda y Soporte tcnico Ayudante de la consola de administracin especial Centro de distribucin de claves kerberos Cliente de seguimiento de vnculos distribuidos Cliente DHCP Cliente DNS Cliente Web Cola de Impresin Configuracin Inalmbrica Conjunto resultante de proveedor de directivas Coordinador de transacciones distribuidas de Microsoft DDE de red Director de sesiones de Terminal Server DSDM de DDE de red Enrutamiento y Acceso Remoto Escritorio remoto compartido de Netmeeting Estacin de Trabajo Examinador de equipos Extensiones de controlador de instrumental de administracin de Windows Horario de Windows Inicio de sesin en red Inicio de sesin secundario Localizador de llamadas a procedimientos remotos (RPC) Mensajera Interna Messenger NLA (Network Location Awareness) Notificacin de sucesos de sistema Portafolios Programador de tareas Registro de Licencias Registro remoto Replicacin de Archivos Servicio COM de grabacin de CD de IMAPI
34
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Servicio de Alerta Servicio de aprovisionamiento de red Servicio de bsqueda sobre experiencia con aplicaciones Servicio de descubrimiento automtico de Proxy WinHTTP Servicio de Index Server Servicio de puerta de enlace de capa de aplicacin Servicios de Terminal Server Servicios de IPSEC Servidor Servidor de seguimiento de vnculos distribuidos Sistema de archivos distribuidos Telefona Telnet Temas
Polticas locales
Las polticas locales configuradas en un equipo son las nicas polticas que aplican sobre el mismo cuando ste es un servidor independiente no perteneciente a un dominio. En caso de formar parte de un dominio las polticas locales son sobrescritas por las polticas de sitios, dominios y unidades organizativas conforme stas se contradicen. Ejecutar gpedit.msc para abrir la consola de configuracin de polticas locales. Abra Configuracin del equipo, Configuracin de Seguridad, Directivas de cuentas, luego Configuracin de Windows, abra Directivas de contraseas y configure las directivas de acuerdo a la siguiente figura:
35
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
En Configuracin del equipo, Configuracin de Windows, Directivas Locales, Directiva de auditorias, controle que el Asistente para configuracin de Seguridad haya configurado la auditoria tal como muestra la siguiente figura:
En Asignacin de derechos de usuario, configurar: Apagar el sistema: Administradores (remover Usuarios Avanzados, Operadores) Cargar y descargar controladores de dispositivos: quitar administradores, agregar administrador Denegar inicio de sesin a travs de Servicios de Terminal Server: agregar todos Denegar el inicio de sesin localmente: agregar anonymous logon Forzar el apagado desde un sistema remoto: nadie (quitar Administradores) Restaurar archivos y directorios: Administradores (remover Operadores de Copia) Permitir Inicio de sesin a travs de Servicios de Terminal Server: nadie (Quitar Administradores y Usuarios de escritorio remoto) Restaurar Archivos y Directorios: Quitar Operadores de Copia Tener Acceso a este equipo desde la red: quitar todos En Opciones de seguridad: Acceso a redes: no permitir el almacenamiento de credenciales o .NET passports para la autenticacin de dominio: habilitado Acceso a redes: no permitir enumeraciones annimas de cuentas y recursos compartidos SAM: habilitado. Acceso de red: recursos compartidos accesibles annimamente, quitar todo Acceso de red: rutas de registro accesibles remotamente, quitar todo 36
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Acceso de red: rutas y sub rutas de registro accesibles remotamente, quitar todo Apagado: borrar el archivo de pginas de la memoria virtual, habilitado Cuentas: cambiar el nombre de la cuenta de invitado, cambiar a nombre no adivinable Cuentas: cambiar el nombre de la cuenta administrador, cambiar a nombre no adivinable Dispositivos: comportamiento de instalacin de controlador no firmado, cambiar a no permitir la instalacin Inicio de sesin interactivo: num de inicios de sesin previos en la cache, 0 Inicio de sesin interactivo: no mostrar el ultimo nombre de usuario, habilitada Seguridad de red: no almacenar valor de hash de LAN manager en el prximo cambio de contrasea: habilitada Seguridad de redes: Nivel de autenticacin de LAN Manager, Enviar solo respuesta NT Lan Manager versin 2 rechazar LAN Manager y NT LAN Manager
Permisos NTFS
Los permisos NTFS controlan el usuario y el tipo de acceso a carpetas y a archivos, la incorrecta configuracin de permisos puede acarrear graves consecuencias ya que permisos mal puestos pueden permitir crear, modificar o borrar archivos esenciales para el normal funcionamiento de los sistemas. En esta gua se sugiri usar dos discos distintos para el sistema operativo en s mismo y para la instalacin de Internet Information Services. Eso d la posibilidad de tratar de diferente manera ambas unidades. Remueva el grupo especial Todos en el disco C:\ Raz y en opciones avanzadas marque: Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluidas aqu y que sean relativas a los objetos secundarios. Otorgue Denegar Control Total al grupo Usuarios annimos de Web en las carpetas C:\Windows y C:\Windows\System32 Acepte todas las advertencias que el sistema operativo le muestre. Acepte la advertencia que no puede cambiarse el permiso en el archivo Pagefile.sys.
37
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
http://support.microsoft.com/default.aspx?scid=kb;enus;324270#XSLTH3123121122120121120120
Consideraciones Generales
Las operaciones antes descriptas configuran y preparan el sistema operativo para realizar las operaciones de webserver. Recuerde analizar y probar concienzudamente cada configuracin en un ambiente de prueba antes de aplicarlas en el ambiente de produccin.
39
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Cree un sitio nuevo haciendo click derecho en el nodo Sitios Web, elija nuevo, y luego Sitio Web, para iniciar el asistente de creacin de sitios. Haga click en Siguiente para pasar la pantalla de bienvenida. Escriba un nombre suficientemente identificatorio y haga click en Siguiente. Luego elija una direccin IP en Escriba la direccin IP para este sitio Web. No deje nunca (Ninguna Asignada). Elija el puerto, tpicamente puerto 80 y Asigne el Encabezado host en la caja de texto Encabezado de host para este sitio web (predeterminado ninguno), por el cual el sitio responder (Ej.:
40
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
www.dominio.com) no deje nunca en blanco este campo para evitar ataques automatizados por direccin IP, haga click en Siguiente. Elija la ruta de acceso donde el contenido del sitio reside (recuerde que esta gua sugiere al menos dos particiones, no use la particin de sistema como directorio raz de WEB) y deje tildado Permitir accesos annimos a este sitio web si no va a exigir autenticacin y va a ser un sitio pblico, haga click en Siguiente. En la pantalla Permisos de acceso al sitio web elija solo Leer si el contenido ser solo esttico (html). Elija opcionalmente Ejecutar secuencias de comandos (por ejemplo ASP). Evale con el desarrollador de la aplicacin la necesidad de marcar el permiso Ejecutar (por ejemplo aplicaciones ISAPI, CGI), pero hgalo slo si es esencial para el funcionamiento del mismo. No marque ningn otro permiso. Haga click en Siguiente y luego en Finalizar.
Extensiones
En su instalacin por omisin, IIS reduce al mximo la superficie de ataque el no ofrecer extensiones para contenido dinmico. Es necesario evaluar junto a los desarrolladores la necesidad de publicar contenido dinmico ya sea ASP o ASP.NET, y permitirlo en consecuencia. Durante el proceso de instalacin desatendida de IIS mostrado ms arriba en esta gua, se decidi habilitar ASP y ASP.NET mediante los modificadores:
iis_asp = on AspNet = on
41
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Abra la consola de Administracin de IIS y navegue hasta Extensiones del servidor, revise que slo las extensiones que va a utilizar se encuentran en estado permitido.
Grupo de Aplicaciones
A menos que el contenido del sitio web deba ser accedido va red, cambie el contexto de seguridad de los grupos de aplicaciones a Servicio Local.
42
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
URLScan 2.5
Si bien IIS 6 incluye varias caractersticas de URLScan ya incorporadas, es conveniente utilizar la versin separada proporcionada por Microsoft de manera de tener un control mucho mas preciso del comportamiento del IIS. Puede descargar URLScan 2.5 desde: http://www.microsoft.com/technet/security/tools/urlscan.mspx La instalacin es bastante sencilla y no ofrece demasiadas opciones. Una vez instalado es necesario editar el archivo urlscan.ini situado en %windir%\system32\inetsrv\urlscan y modificar algunos de sus parmetros. Importante: las siguientes configuraciones pueden ser incompatibles con ciertas aplicaciones web, consulte la documentacin de las aplicaciones y revise los logs del IIS para detectar problemas de funcionamiento. UseAllowVerbs=1 ; Esto nos permitir usar secciones donde permitir o denegar verbos tales como POST, PUT, DELETE, etc.
43
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
UseAllowExtensions=1 ; Esto nos permitir definir qu extensiones permitir o denegar MaxAllowedContentLenght=1024 este valor depende de si se permiten verbos PUT o POST y define el tamao mximo de contenido que alguien puede enviar mediante PUT o POST al server. El tamao por omisin es de 3GB. MaxQueryString=0 ; Define si se permite enviar parmetros y el largo de la URL donde estos se pasan. Normalmente estos parmetros suelen pasarse por POST, consulte al desarrollador el mtodo utilizado. [AllowVerbs] GET HEAD POST ; En caso de usar contenido dinmico y que se pasen parmetros por POST [AllowExtensions] .htm .html .jpg .jpeg .gif .png .asp ; En caso de utilizar contenido dinmico .aspx ; En caso de utilizar contenido dinmico
Consideraciones Generales
Las configuraciones de IIS 6 arriba descriptas son dependientes de las aplicaciones a colocar en el servidor web. En servidores donde la seguridad es un tema crtico deben ajustarse los parmetros de la manera ms segura posible, y luego probar la aplicacin y revisar los logs para ir encontrando qu configuracin intercede con el normal funcionamiento de la misma y evaluar la relajacin o no de dicha configuracin. Este tipo de operaciones pueden resultar tediosas pero es necesario entender que no pueden ofrecerse ventajas de ningn tipo a la hora de exponer un servicio en ambientes no controlados.
44
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
45
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Cree un nuevo sitio FTP haciendo click derecho en Sitios FTP, elija Nuevo y luego Sitio FTP, haga click en Siguiente para aceptar la pantalla de bienvenida. Escriba una descripcin que identifique claramente al sitio y haga click en Siguiente. Asigne una direccin IP (necesitar una direccin IP por cada sitio FTP que necesite crear) y deje el puerto 21 si desea publicarlo en el puerto estndar. Haga click en Siguiente. Elija la opcin Aislar Usuarios para permitir que cada usuario deje el contenido en su propio directorio y no pueda acceder a ningn otro y haga click en Siguiente. Elija la ruta del directorio raz (recuerde que esta gua sugiere al menos dos particiones, no use la particin de sistema como directorio raz de FTP). Haga click en Siguiente y elija lectura y escritura. Haga click en Siguiente y luego en Finalizar. Haga Click derecho en el sitio recientemente creado y elija propiedades. Vaya a la aleta Cuentas de Seguridad y destilde Permitir conexiones annimas, acepte la advertencia y haga click en OK.
46
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
. Cree un usuario por cada sitio web para el cual se cargar contenido. En este ejemplo crearemos dos usuarios. Abra una consola de comandos y ejecute: C:\> net user SitioWeb1 P@ssw0rdC0mpleX /add C:\> net user SitioWeb2 Pa$$w0rdCompl3X /add Vaya al directorio raz que indic en la creacin del sitio FTP (en nuestro ejemplo D:\>FTP) y cree una subcarpeta llamada LocalUser. Dentro de LocalUser cree una carpeta por cada usuario de cada sitio web autorizado a subir contenido. En nuestro ejemplo crearemos las carpetas sitioweb1 y sitioweb2.
47
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Haga click derecho en cada carpeta y en la aleta Seguridad asigne permisos de lectura y escritura nicamente al usuario creado anteriormente, y que coincida con el nombre de la carpeta.
Verifique que ningn otro usuario tenga permisos en esa carpeta a excepcin de Administradores, System y Creator Owner.
48
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Testee el procedimiento iniciando una sesin ftp con uno de los usuarios creados recientemente. Suba un archivo de prueba y verifique que el archivo est en la carpeta que coincide con el nombre de la cuenta con la cual inici sesin en el FTP.
Consideraciones Generales
La caracterstica que permite el aislamiento de usuarios es un complemento ideal para la carga y descarga de archivos de un servidor que no posee los mecanismos tradicionales encontrados normalmente en los servidores Microsoft. Adems resulta uno de los protocolos que mejor performance ofrecen, al momento de manejar transferencias con gran cantidad de informacin.
49
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
50
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Winnt.sif
Ac le presentamos como ejemplo, un archivo de respuesta modelo para instalacin de IIS:
;SetupMgrTag [Data] AutoPartition=1 MsDosInitiated="0" UnattendedInstall="Yes" [Unattended] UnattendMode=FullUnattended OemSkipEula=Yes OemPreinstall=No TargetPath=so\www [GuiUnattended] AdminPassword=P@ssw0rd EncryptedAdminPassword=No AutoLogon=Yes
51
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
AutoLogonCount=2 OEMSkipRegional=1 TimeZone=70 OemSkipWelcome=1 [UserData] ProductKey=AAAAA-BBBBB-CCCCC-DDDDD-EEEEE FullName="Admin" OrgName="Compania" ComputerName=wwwsrv [LicenseFilePrintData] AutoMode=PerSeat [TapiLocation] CountryCode=54 AreaCode=11 [RegionalSettings] LanguageGroup=1 Language=00002c0a [GuiRunOnce] Command0=a:\services.vbs [Identification] JoinWorkgroup=WORKGROUP [Networking] InstallDefaultComponents=No [NetAdapters] Adapter1=params.Adapter1 [params.Adapter1] INFID=* [NetProtocols] MS_TCPIP=params.MS_TCPIP [params.MS_TCPIP] DNS=No UseDomainNameDevolution=No EnableLMHosts=Yes AdapterSections=params.MS_TCPIP.Adapter1 [NetBindings] Disable = "MS_Server MS_NetBeui Adapter1" Disable = "MS_MSClient MS_NetBeui Adapter1" Disable = "ms_msclient ms_netbt ms_tcpip Adapter1"
52
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Disable = "ms_msclient ms_netbeui Adapter1" Disable = "ms_msclient ms_nwnb" Disable = "MS_Server, MS_NetBt, MS_TCPIP, Adapter1"
[params.MS_TCPIP.Adapter1] SpecificTo=Adapter1 DHCP=No IPAddress=192.168.1.2 SubnetMask=255.255.255.0 DefaultGateway=192.168.1.1 WINS=No NetBIOSOptions=2 [Components] iis_common = on iis_ftp = on iis_inetmer = on iis_asp = on AspNet = on iis_www = on Accessopt = Off RootAutoUpdate = off Calc = off CharMap = off ClipBook = off DeskPaper = off Paint = off MSWordpad = off Chat = off IEHardenAdmin = off IEHardenUser = off SCW=on [InternetServer] PathFTPRoot = c:\srv\iis\ftps PathWWWRoot = c:\srv\iis\webs
Services.vbs
Este script le permite desactivar los servicios contenidos en Array(), Edite Array() segn sus necesidades On Error Resume Next
53
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
strComputer = "." arrTargetSvcs = Array("AeLookupSvc","Clipsrv","Browser","Alerter", "appmgmt", "DCOMLaunch", "DHCP", "DFS", "Helpsvc", "SamSS", "Seclogon", "lanmanServer", "lanmanWorkstation") Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colServices = objWMIService.ExecQuery("SELECT * FROM Win32_Service") Wscript.Echo "Checking for target services ..." For Each objService in colServices For Each strTargetSvc In arrTargetSvcs If LCase(objService.Name) = LCase(strTargetSvc) Then WScript.Echo VbCrLf & "Service Name: " & objService.Name WScript.Echo " Status: " & objService.State Wscript.Echo " Startup Type: " & objService.StartMode WScript.Echo " Time: " & Now If objService.State = "Stopped" Then WScript.Echo " Already stopped" Else intStop = objService.StopService If intStop = 0 Then WScript.Echo " Stopped service" Else WScript.Echo " Unable to stop service" End If End If If objService.StartMode = "Disabled" Then WScript.Echo " Already disabled" Else intDisable = objService.ChangeStartMode("Disabled") If intDisable = 0 Then WScript.Echo " Disabled service" Else WScript.Echo " Unable to disable service" End If End If End If Next 54
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Next
55
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
56