Manual de IIS

Gua de Seguridad para Internet Information Services 6.
0 2006 Microsoft Corporation
Soluciones Microsoft para Profesionales IT
Gua de Seguridad para Internet Information Services 6.0

Autor: Alejandro Adrin Ponicke MCSA, MCSE, MCT
Gua de Seguridad para Internet Information Services 6.0 2006 Microsoft Corporation
Gua de seguridad para Internet Information Services 6.0 La informacin en este documento incluyendo URLs y otras referencias a sitios web de Internet estn sujetas a cambio sin noticias previas. A menos que sea explcitamente informado, las compaas, organizaciones, productos, nombres de dominio, direcciones de mail, logotipos, persona, lugares, y eventos de ejemplo utilizados aqu, son ficticios y no existe ningn tipo de asociacin con ninguna compaa, organizacin, productos, nombre de dominio, direccin de mail, logotipo, persona, lugar o eventos reales. Es responsabilidad del usuario cumplir con todas las leyes de derecho de autor aplicables. Sin limitar los alcances de los derechos de autor, ninguna parte de este documento puede ser reproducida, almacenada introducida en ningn sistema o trasmitida de ninguna forma o por cualquier medio (electrnico, mecnico, fotocopiado, grabado, etc.) para ningn propsito, sin el expreso permiso escrito de Microsoft Corporation. Microsoft puede tener patentes en trmite, marcas registradas, derecho de autor y otros derechos de propiedad intelectual cubriendo los productos objeto de este documento. Excepto que sea proporcionado expresamente por medio de una licencia escrita por Microsoft, el contenido de este documento no le da a usted ninguna licencia a estas patentes, derecho de autor u otras propiedades intelectuales. La informacin en este documento y cualquier otro documento referenciado aqu es provisto con propsitos informativos solamente y no puede ser interpretado como sustitucin o reemplazo de servicios de informacin diseada por Microsoft Corporation para un usuario particular en un ambiente particular. La confianza depositada en este documento y cualquier otro documento referenciado aqu es a riesgo del propio lector. Microsoft Corporation no proporciona garanta ni confirma que la informacin proporcionada es apropiada para ninguna situacin y por tanto Microsoft Corporation no es ni ser responsable por ningn reclamo o dao de ningn tipo que el usuario de este documento o cualquier otro documento referenciado aqu pueda sufrir. Si usted no acepta estos trminos y condiciones, Microsoft Corporation no le proporcionar a usted ningn derecho a usar ninguna parte de este documento o ningn documento referenciado aqu. Microsoft, Windows, Active Directory, Internet Information Services, son todas marcas registradas de Microsoft Corporation en Estados Unidos y/o otros pases. 2006 Microsoft Corporation. Los nombres de compaas y productos mencionados aqu pueden ser marcas registradas de sus respectivos dueos. Se recomienda leer esta Gua en forma completa antes de comenzar con la puesta en prctica de sus recomendaciones.
ndice
ndice....................................................................................................................................3 Captulo 1: Introduccin a la Gua de Seguridad para Internet Information Services 6.0...5 Sumario ejecutivo............................................................................................................5 Los desafos ambientales.............................................................................................5 Internet Information Services.......................................................................................5 Visin general de la Gua.............................................................................................5 Quien debera leer esta gua?.....................................................................................6 Alcance de esta gua.....................................................................................................6 Capitulo 2: Configuracin del servidor fsico......................................................................7 La seguridad del servidor.................................................................................................7 Firmware......................................................................................................................7 BIOS............................................................................................................................7 Controladores de dispositivos......................................................................................7 Configuracin del BIOS...............................................................................................8 Configuracin Externa del servidor.............................................................................8 Consideraciones Generales..........................................................................................8 Capitulo 3: Configuracin del sistema operativo.................................................................9 Windows Server 2003......................................................................................................9 Instalacin....................................................................................................................9 Actualizaciones de seguridad a la instalacin de Windows Server...........................10 Instalacin del Componente Internet Information Services 6.0.................................12 Revisar el estado de actualizaciones..........................................................................13 Asistente para configuracin de seguridad................................................................13 Servicios.....................................................................................................................33 Polticas locales..........................................................................................................35 Permisos NTFS..........................................................................................................37 Configuracin del protocolo TCP/IP.........................................................................38 Consideraciones Generales........................................................................................39 Capitulo 4: Configuracin del servicio WEB de Internet Information Services 6.0.........40 Configuracin de sitios Web..........................................................................................40 Sitio Web...................................................................................................................40 Extensiones................................................................................................................41 Grupo de Aplicaciones...............................................................................................42 URLScan 2.5..............................................................................................................43 Consideraciones Generales........................................................................................44 Capitulo 5: Configuracin del servicio FTP de Internet Information Services 6.0...........45 Configuracin de sitios FTP..........................................................................................45 Sitio FTP....................................................................................................................45 Consideraciones Generales........................................................................................49 Capitulo 6: Conclusiones finales........................................................................................50 Resumen.........................................................................................................................50 Conclusin de la Gua................................................................................................50 Apndice 1: Instalacin de Internet Information Services de manera automtica. ...........51 Instalacin desatendida..................................................................................................51 3
Setup Manager...........................................................................................................51 Winnt.sif.....................................................................................................................51 Services.vbs................................................................................................................53
Captulo 1: Introduccin a la Gua de Seguridad para Internet Information Services 6.0

Sumario ejecutivo
Los desafos ambientales

La mayora de las organizaciones reconocen el rol crtico que la tecnologa de la informacin (TI) juega en el soporte de sus objetivos comerciales. Hoy las infraestructuras de TI existentes estn conectadas a ambientes que se vuelven cada da ms hostiles, los ataques son ejecutados cada vez con ms frecuencia y estn demandando tiempos de reaccin aun ms cortos. Muchas veces las organizaciones no pueden reaccionar a las nuevas amenazas de seguridad antes de que sus negocios sean impactados de alguna u otra manera. Manejar la seguridad de sus infraestructuras y el valor comercial que esas infraestructuras entregan, se ha convertido en una preocupacin esencial para los departamentos de TI.
Internet Information Services

Internet Information Services (IIS 6.0) es un poderoso servidor web que proporciona una infraestructura completamente administrable y escalable para aplicaciones web en todas las versiones de Windows Server 2003. IIS ayuda a las organizaciones a incrementar la disponibilidad de sitios web y aplicaciones al tiempo que reducen los costos de administracin y sistema. IIS 6.0 soporta la iniciativa de sistemas dinmicos (DSI) con automatizacin de salud, monitoreo, aislamiento de procesos, y capacidades de administracin mejoradas.
Visin general de la Gua

Este documento lo guiar en el proceso de instalacin, configuracin y proteccin de IIS 6.0. Este proceso de proteccin podr variar en funcin de las necesidades del profesional a cargo. Es l quien en base a un anlisis de riesgo decidir si aplicar esta gua en su totalidad o en partes. Esta gua asume el no de los niveles de mximo riesgo esperable, reduciendo la superficie de ataque de manera drstica, tenga en cuenta que la aplicacin de todas o varias de las configuraciones de esta Gua puede causar problemas de incompatibilidad con otras aplicaciones y servicios, es recomendable siempre trabajar en un ambiente de laboratorio antes, para analizar los 5
efectos de la aplicacin de estas configuraciones. De hecho muchas de las configuraciones aqu descriptas son incompatibles para servidores pertenecientes a dominios Active Directory. Esta gua est pensada para servidores web independientes, por lo tanto no siempre ser oportuno debido a factores econmicos, funcionales o de interoperabilidad, la aplicacin de todos los puntos descriptos. Esta gua no es traduccin de ningn documento escrito anteriormente por Microsoft en idioma ingls y est basada en conocimientos prcticos y tericos del autor, obtenidos a lo largo de la participacin en diversos proyectos donde la seguridad de IIS era un asunto crtico.
Quien debera leer esta gua?

Esta gua est enfocada principalmente a consultores, especialistas de seguridad, arquitectos de sistemas y profesionales de TI, que son responsables del planeamiento implementacin de infraestructuras de servidores web. Estos roles pueden incluir las siguientes descripciones: Los Arquitectos responsables de conducir los trabajos de arquitectura en sus organizaciones Miembros de los equipos de seguridad que estn enfocados en proporcionar seguridad en plataformas dentro de una organizacin. Auditores de TI y seguridad, los cuales son responsables de asegurar que sus organizaciones tomen precauciones razonables para proteger sus activos comerciales. Consultores y socios que necesitan herramientas de transferencia de conocimiento para clientes corporativos y clientes en general.
Alcance de esta gua

Esta gua est enfocada en cmo asegurar un servidor Windows 2003 Server, en cualquiera de sus ediciones, con IIS 6.0. La misma asume que ya se cuenta con un sistema operativo 2003 Server con service pack 1 incluido recin instalado con sus configuraciones predeterminadas.
Capitulo 2: Configuracin del servidor fsico

La seguridad del servidor
La seguridad de un sistema informtico debe construirse siempre desde la base. Es equivocado pensar que asegurando la parte visible de un sistema ser suficiente para obtener grados aceptables de seguridad. Es necesario entonces empezar a pensar desde el mismo momento de encender por primera vez el servidor, la manera de asegurar todos los elementos involucrados en el sistema. Por lo tanto el hardware es un componente principal en este proceso.
Firmware
El Firmware es software especfico para una determinada clase de hardware. Los discos rgidos por ejemplo, tienen dentro su propio firmware que al igual que el BIOS es susceptible de cambios y mejoras. Consulte con el proveedor de hardware la disponibilidad y procedimientos de actualizacin de dicho software.
BIOS
El BIOS (Basic Input Output System) es el primer software que ejecutar el servidor al iniciarse y como todo software es susceptible de fallas, vulnerabilidades e incompatibilidades. Los fabricantes de servidores lanzan peridicamente nuevas versiones de BIOS que incorporan cambios y mejoras de manera tal de aprovechar mejor los componentes del servidor. Por lo tanto es esencial que actualice el mismo siguiendo los procedimientos informados por el fabricante.
Controladores de dispositivos
Conocidos tambin como Drivers son piezas de software que permiten abstraer el hardware permitiendo interoperar al sistema operativo con los componentes del servidor como las placas de red, la tarjeta de video, etc. Normalmente el fabricante proporciona los drivers junto con el envo de las piezas de hardware, pero a lo largo del tiempo va haciendo nuevos lanzamientos que mejoran diversos aspectos de la relacin entre el sistema operativo y el hardware como el rendimiento, la performance e incluso la 7
seguridad. Por eso es de vital importancia poseer las ltimas versiones de estos controladores a fin de evitar un mal, pobre o inseguro funcionamiento del servidor (por usar controladores viejos).
Configuracin del BIOS

Adems de las configuraciones funcionales del BIOS tal como especifica el fabricante del hardware (consulte al soporte tcnico o manuales del mismo para mas informacin), es necesario configurar determinadas caractersticas que ayudarn a prevenir ataques si alguien logra un furtivo acceso local al servidor. Las medidas a tomar en esta parte de la configuracin son: Configure un password largo y complejo. Esto evitar que cambien configuraciones que afecten el inicio del servidor. Establezca el inicio (Boot) solo desde disco rgido. Esta medida previene que el servidor pueda ser iniciado usando Discos Compactos conteniendo otros sistemas operativos o discos flexibles con drivers para leer sistemas de archivos NTFS. Incluso esto puede evitar que el servidor sea iniciado con herramientas que permitan resetear la password de administrador del sistema operativo y lograr as acceso no autorizado al mismo. Desactive todos los puertos y dispositivos que no use. Desactive puertos seriales, USB, paralelos, Lectoras de discos compactos y disqueteras (estos dos debern ser desactivados luego de finalizar la instalacin del sistema operativo).
Configuracin Externa del servidor

De contar con el servidor en su gabinete, cierre el mismo con llave. Gurdela en un lugar seguro y precinte el servidor de tal manera que pueda darse cuenta fcilmente si el mismo ha sido violado de alguna forma.
Consideraciones Generales
Muchas de las acciones arriba descriptas pueden necesitar ayuda o soporte del proveedor del equipo, tenga a mano los datos de soporte o manuales especficos a la hora de efectuar los cambios. Un cambio mal realizado puede acarrear efectos adversos.
Capitulo 3: Configuracin del sistema operativo

Windows Server 2003
Instalacin
Si bien este documento no cubre el proceso de instalacin del sistema operativo, asume que el lector cuenta con un servidor con Windows 2003 Server Ediciones Estndar, Enterprise o Datacenter con Service Pack 1 incorporado con sus configuraciones predeterminadas segn determina el proceso de instalacin en un servidor con al menos dos particiones. Habiendo instalado el sistema operativo en una particin y dejando la otra particin disponible para la instalacin del IIS 6.0, un direccionamiento IP fijo acorde con la red fsica, y que fueron desactivados tanto Clientes para redes Microsoft como Compartir archivos e impresoras segn se observa en la siguiente figura.
Adicionalmente dentro de las propiedades TCP/IP, aleta WINS deber activarse Deshabilitar NETBIOS sobre TCP/IP tal como muestra la siguiente figura.
Y que se uni al servidor al grupo de trabajo GRUPO_TRABAJO, ya que un webserver crtico debera estar aislado concluyendo entonces el proceso de instalacin. Es imprescindible adems, renombrar las cuentas de administrador e invitado (mas adelante en esta gua se mostrara como hacerlo a travs de polticas locales) y configurar contraseas para ambos de al menos 10 dgitos, para reducir al mnimo la exposicin a rotura por fuerza bruta. Una buena prctica puede ser copiar la cuenta administrador y deshabilitar la cuenta built-in Elimine todos los componentes adicionales, vaya a panel de control, agregar/remover programas, luego a agregar o quitar componentes de Windows y asegrese que no haya ningn tilde.
Actualizaciones de seguridad a la instalacin de Windows Server

Tambin conocido por sus siglas en ingles PSSU, est diseado para proteger a los servidores recin instalados del riesgo de infeccin entre el 10
lapso de tiempo en el cual el mismo es conectado a la red y la instalacin efectiva de las ltimas actualizaciones de seguridad desde Windows Update. PSSU es una interfaz de usuario (Fig. 3) que aparece la primera vez que el administrador inicia sesin y proporciona enlaces para la aplicacin de las actualizaciones en su servidor y configurar la descarga e instalacin de las prximas actualizaciones. PSSU informa al administrador que todas las conexiones entrantes al servidor, distintas a aquellas especificadas durante la instalacin o aquellas configuradas a travs de grupos de polticas (GPO), estn bloqueadas.
fig3: Pantalla de Inicio de Actualizaciones de seguridad a la instalacin de Windows Server
Para aplicar todas las actualizaciones disponibles utilizar la opcin: Actualizar este servidor. Mediante este procedimiento y utilizando el servicio de Windows Update, utilice la informacin presentada por los asistentes para actualizar el servidor Una vez actualizado, utilice la opcin: Configurar la actualizacin automtica de este servidor, para determinar cuando sern descargadas e instaladas las subsiguientes actualizaciones.
11
Por ultimo ejecute Finalizar lo cual dar por terminado el proceso y pondr al servidor operativo.
Instalacin del Componente Internet Information Services 6.0.

Dado que esta gua est diseada para ser usada en Windows Server 2003 ediciones Estndar, Enterprise y Datacenter, es necesario agregar manualmente Internet Information Services 6.0. Durante el proceso de instalacin del sistema operativo se reserv una particin diferente a la particin del sistema operativo para alojar a Internet Information Services 6.0 El procedimiento a seguir para realizar tal operacin es tal como se describe a continuacin: Cree un archivo .txt, en este ejemplo lo llamaremos c:\iis6.txt y coloque el siguiente contenido dentro:
[Components] iis_common = on iis_inetmgr = on iis_www = on iis_ftp = on iis_asp = on AspNet = on [InternetServer] PathFTPRoot=D:\Ftp PathWWWRoot=D:\Www
Nota: Los componentes iis_asp y AspNet sern necesarias en la medida que el webserver aloje aplicaciones asp o asp.net. Utilice las variables PathFTPRoot y PathWWWRoot para indicar la ubicacin del contenido de ambos servicios segn la letra de unidad de su sistema. Inicie el proceso de instalacin: Inicio/Ejecutar y escriba:
Sysocmgr /u:c:\iis6.txt /i:%windir%\inf\sysoc.inf
Complete el proceso de instalacin proporcionando los archivos necesarios cuando le sea requerido. Revise que la instalacin se ha efectuado exitosamente ejecutando la consola de Internet Information Services 6.0 desde Herramientas Administrativas y constate que no existe ninguna condicin de error.
12
Revisar el estado de actualizaciones

Una vez que el proceso de PSSU est finalizado y que todos los componentes necesarios han sido agregados, es preciso utilizar Microsoft Baseline Security Analizer (MBSA) para revisar el estado de actualizacin. Asegrese de utilizar el ltimo mssecure.xml el cual puede ser descargado del sitio de Microsoft. Descargue y aplique todas las actualizaciones que MBSA le indique como faltantes y siga las dems recomendaciones que le indique, entre ellas la cantidad de cuentas con privilegios de administrador. Mas informacin acerca de MBSA en www.microsoft.com/mbsa
Asistente para configuracin de seguridad

Conocido por sus siglas en ingls SCW (Security Configuration Wizard), es una herramienta que permite reducir la superficie de ataque de los servidores en base a los roles que ste brinda. Est disponible a partir de Service Pack 1 de Windows 2003. Vaya a panel de control, agregar/remover programas, luego a agregar o quitar componentes de Windows y tildar el componente Asistente para configuracin de seguridad.
13
Una vez instalado, vaya a Herramientras administrativas y ejecute el asistente para configuracin de seguridad. Ejecute Siguiente en la pantalla de bienvenida, y elija crear una nueva directiva de seguridad.
14
Elija el servidor local en el cual est aplicando estas acciones, Tenga en cuenta la informacin de la pantalla en cuanto a los privilegios necesarios para aplicar estas configuraciones.
15
En la pantalla de Procesar la base de datos de configuracin de seguridad haga clic en Siguiente.
16
En configuracin del servidor basado en funciones haga clic en Siguiente. En seleccionar funciones de servidor escoja Todas las funciones en la lista desplegable Ver. Quite la tilde a todas las funciones y asegrese de tildar Servidor Web y Servidor FTP.
17
En seleccionar caractersticas de cliente quite la tilde a todas las opciones y haga clic en Siguiente
18
En Seleccionar Opciones de administracin y otras seleccione: Configuracin y Anlisis remoto del asistente para configuracin de seguridad Copia de Seguridad (NT o Terceros) Copia de seguridad en hardware local Entorno de controlador de modo de usuario de Windows Firewall de Windows Informe de errores Instalaciones de aplicaciones locales Recopilacin de datos de rendimiento
19
En Seleccionar servicios adicionales deje solamente runtimes de .net ofrecidas solo si el assembly de la aplicacin .net lo necesita, de otra manera qutele la tilde a todo En Tratamiento de servicios sin especificar elija: deshabilitar el servicio
20
En Confirmar Cambios de Servicio revise que la lista de servicios y modo de inicio de directiva de los mismos concuerde con la seleccin hecha previamente.
21
En Seguridad de Red haga clic en Siguiente. En Abrir puertos y aprobar aplicaciones deje solamente tildado puerto 20, 21, 80 y 443, destilde cualquier otra opcin. Haga click en Siguiente.
22
En configuracin de registro, click en Siguiente. Requerir firmas de seguridad SMB: El servidor no tendr SMB habilitado, con lo cual las configuraciones siguientes no tendrn efecto, pero es una buena prctica dejar tildadas ambas.
23
En Mtodos de autenticacin de salida asegrese de no tener tildado ninguna opcin.
24
En Mtodos de autenticacin de entrada asegrese de no tener tildado ninguna opcin
25
En resumen de configuracin de registro revise que el resultado mostrado coincida con su seleccin anterior.
26
En Directiva de auditoria haga click en Siguiente Seleccione Auditar Acciones correctas y no correctas
27
Revise el Resumen de Directivas de Auditoria de tal manera de asegurarse que coincida con su seleccin.
28
En Servicios de Internet Information Services haga click en Siguiente. En caso de necesitar soporte para aplicaciones ASP o ASP.NET, deje marcadas las casillas correspondientes. De otra manera deje todo desmarcado.
29
En la pgina de directorios virtuales deje todo desmarcado, los mismos sern eliminados de la configuracin del IIS.
30
Configure la denegacin a escritura en los directorios de contenido a los usuarios annimos.
31
Revise que el detalle mostrado a continuacin coincida con sus selecciones anteriores.
32
Contine con el proceso de guardar el template para futuras aplicaciones y proceda a aplicar las configuraciones en el servidor en cuestin usando la opcin aplicar ahora.
Servicios
Una de las acciones ms efectivas para la reduccin de la superficie de ataque es la deshabilitar servicios innecesarios. Dependiendo de la cantidad de servicios instalados y de las configuraciones realizadas por le SCW, revise qu servicios estn en modo automtico y deshabiltelos conforme aparecen en la siguiente lista. Nota importante: La cantidad de servicios puede variar en funcin de las aplicaciones instaladas como por ejemplo antivirus, antispywares, etc. Adicionalmente servicios no listados aqu pueden depender de los servicios listados. Revise cuidadosamente las dependencias antes de deshabilitar los servicios.
33
Desde herramientas administrativas utilice el Administrador de Servicios para revisar el estado y eventualmente deshabilitarlos:
Acceso a dispositivo de interfaz humana Administracin de Aplicaciones Administrador de conexin automtica de acceso remoto Administrador de conexin de acceso remoto Administrador de sesin de ayuda de escritorio remoto Adquisicin de Imgenes de Windows (WIA) Aplicacin del sistema COM+ Audio de Windows Ayuda de NETBOS sobre TCP/IP Ayuda y Soporte tcnico Ayudante de la consola de administracin especial Centro de distribucin de claves kerberos Cliente de seguimiento de vnculos distribuidos Cliente DHCP Cliente DNS Cliente Web Cola de Impresin Configuracin Inalmbrica Conjunto resultante de proveedor de directivas Coordinador de transacciones distribuidas de Microsoft DDE de red Director de sesiones de Terminal Server DSDM de DDE de red Enrutamiento y Acceso Remoto Escritorio remoto compartido de Netmeeting Estacin de Trabajo Examinador de equipos Extensiones de controlador de instrumental de administracin de Windows Horario de Windows Inicio de sesin en red Inicio de sesin secundario Localizador de llamadas a procedimientos remotos (RPC) Mensajera Interna Messenger NLA (Network Location Awareness) Notificacin de sucesos de sistema Portafolios Programador de tareas Registro de Licencias Registro remoto Replicacin de Archivos Servicio COM de grabacin de CD de IMAPI
34
Servicio de Alerta Servicio de aprovisionamiento de red Servicio de bsqueda sobre experiencia con aplicaciones Servicio de descubrimiento automtico de Proxy WinHTTP Servicio de Index Server Servicio de puerta de enlace de capa de aplicacin Servicios de Terminal Server Servicios de IPSEC Servidor Servidor de seguimiento de vnculos distribuidos Sistema de archivos distribuidos Telefona Telnet Temas
Polticas locales
Las polticas locales configuradas en un equipo son las nicas polticas que aplican sobre el mismo cuando ste es un servidor independiente no perteneciente a un dominio. En caso de formar parte de un dominio las polticas locales son sobrescritas por las polticas de sitios, dominios y unidades organizativas conforme stas se contradicen. Ejecutar gpedit.msc para abrir la consola de configuracin de polticas locales. Abra Configuracin del equipo, Configuracin de Seguridad, Directivas de cuentas, luego Configuracin de Windows, abra Directivas de contraseas y configure las directivas de acuerdo a la siguiente figura:
Vaya a Directiva de bloqueo de cuentas y configure de acuerdo a la siguiente figura:
35
En Configuracin del equipo, Configuracin de Windows, Directivas Locales, Directiva de auditorias, controle que el Asistente para configuracin de Seguridad haya configurado la auditoria tal como muestra la siguiente figura:
En Asignacin de derechos de usuario, configurar: Apagar el sistema: Administradores (remover Usuarios Avanzados, Operadores) Cargar y descargar controladores de dispositivos: quitar administradores, agregar administrador Denegar inicio de sesin a travs de Servicios de Terminal Server: agregar todos Denegar el inicio de sesin localmente: agregar anonymous logon Forzar el apagado desde un sistema remoto: nadie (quitar Administradores) Restaurar archivos y directorios: Administradores (remover Operadores de Copia) Permitir Inicio de sesin a travs de Servicios de Terminal Server: nadie (Quitar Administradores y Usuarios de escritorio remoto) Restaurar Archivos y Directorios: Quitar Operadores de Copia Tener Acceso a este equipo desde la red: quitar todos En Opciones de seguridad: Acceso a redes: no permitir el almacenamiento de credenciales o .NET passports para la autenticacin de dominio: habilitado Acceso a redes: no permitir enumeraciones annimas de cuentas y recursos compartidos SAM: habilitado. Acceso de red: recursos compartidos accesibles annimamente, quitar todo Acceso de red: rutas de registro accesibles remotamente, quitar todo 36
Acceso de red: rutas y sub rutas de registro accesibles remotamente, quitar todo Apagado: borrar el archivo de pginas de la memoria virtual, habilitado Cuentas: cambiar el nombre de la cuenta de invitado, cambiar a nombre no adivinable Cuentas: cambiar el nombre de la cuenta administrador, cambiar a nombre no adivinable Dispositivos: comportamiento de instalacin de controlador no firmado, cambiar a no permitir la instalacin Inicio de sesin interactivo: num de inicios de sesin previos en la cache, 0 Inicio de sesin interactivo: no mostrar el ultimo nombre de usuario, habilitada Seguridad de red: no almacenar valor de hash de LAN manager en el prximo cambio de contrasea: habilitada Seguridad de redes: Nivel de autenticacin de LAN Manager, Enviar solo respuesta NT Lan Manager versin 2 rechazar LAN Manager y NT LAN Manager
Permisos NTFS
Los permisos NTFS controlan el usuario y el tipo de acceso a carpetas y a archivos, la incorrecta configuracin de permisos puede acarrear graves consecuencias ya que permisos mal puestos pueden permitir crear, modificar o borrar archivos esenciales para el normal funcionamiento de los sistemas. En esta gua se sugiri usar dos discos distintos para el sistema operativo en s mismo y para la instalacin de Internet Information Services. Eso d la posibilidad de tratar de diferente manera ambas unidades. Remueva el grupo especial Todos en el disco C:\ Raz y en opciones avanzadas marque: Reemplazar las entradas de permisos en todos los objetos secundarios con aquellas entradas incluidas aqu y que sean relativas a los objetos secundarios. Otorgue Denegar Control Total al grupo Usuarios annimos de Web en las carpetas C:\Windows y C:\Windows\System32 Acepte todas las advertencias que el sistema operativo le muestre. Acepte la advertencia que no puede cambiarse el permiso en el archivo Pagefile.sys.
37
Configuracin del protocolo TCP/IP

Los ataques por denegacin de servicio son ataques de red que apuntan a que un servicio o computadora en particular se vuelva no disponible para los usuarios que lo/la acceden. Los Ataques por denegacin de servicio son muchas veces los ms proclives y de ms difciles controles. Como esta gua est enfocada a servidores conectados a Internet se detallan ac los pasos necesarios para adaptar la pila de protocolos TCP/IP que por omisin viene optimizada para una intranet para ser usada en Internet. La siguiente lista explica cmo configurar los valores de registry que deben ser modificados para adaptar el protocolo TCP/IP en mquinas conectadas directamente a Internet. Nota Importante: Todos los valores estn expresados en hexadecimal a menos que se indique lo contrario. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services Nombre: SynAttackProtect Clave: Tcpip\Parameters Tipo: REG_DWORD Valor:1 Nombre: EnableDeadGWDetect Clave: Tcpip\Parameters Tipo: REG_DWORD Valor: 0 Nombre: EnablePMTUDiscovery Clave: Tcpip\Parameters Tipo: REG_DWORD Valor: 0 Nombre: KeepAliveTime Clave: Tcpip\Parameters Tipo: REG_DWORD-Tiempo en milisegundos Default: 300000 (5 minutos) Nombre: NoNameReleaseOnDemand Clave: Netbt\Parameters Tipo: REG_DWORD Valor: 1 Para mayor informacin acerca de las configuraciones arriba enunciadas por favor visite: 38
http://support.microsoft.com/default.aspx?scid=kb;enus;324270#XSLTH3123121122120121120120
Las operaciones antes descriptas configuran y preparan el sistema operativo para realizar las operaciones de webserver. Recuerde analizar y probar concienzudamente cada configuracin en un ambiente de prueba antes de aplicarlas en el ambiente de produccin.
39
Capitulo 4: Configuracin del servicio WEB de Internet Information Services 6.0

Configuracin de sitios Web
Sitio Web
Elimine el sitio web llamado Sitio Web predeterminado. No es una buena prctica mantenerlo. Haga click derecho sobre l y elija eliminar.
Cree un sitio nuevo haciendo click derecho en el nodo Sitios Web, elija nuevo, y luego Sitio Web, para iniciar el asistente de creacin de sitios. Haga click en Siguiente para pasar la pantalla de bienvenida. Escriba un nombre suficientemente identificatorio y haga click en Siguiente. Luego elija una direccin IP en Escriba la direccin IP para este sitio Web. No deje nunca (Ninguna Asignada). Elija el puerto, tpicamente puerto 80 y Asigne el Encabezado host en la caja de texto Encabezado de host para este sitio web (predeterminado ninguno), por el cual el sitio responder (Ej.:
40
www.dominio.com) no deje nunca en blanco este campo para evitar ataques automatizados por direccin IP, haga click en Siguiente. Elija la ruta de acceso donde el contenido del sitio reside (recuerde que esta gua sugiere al menos dos particiones, no use la particin de sistema como directorio raz de WEB) y deje tildado Permitir accesos annimos a este sitio web si no va a exigir autenticacin y va a ser un sitio pblico, haga click en Siguiente. En la pantalla Permisos de acceso al sitio web elija solo Leer si el contenido ser solo esttico (html). Elija opcionalmente Ejecutar secuencias de comandos (por ejemplo ASP). Evale con el desarrollador de la aplicacin la necesidad de marcar el permiso Ejecutar (por ejemplo aplicaciones ISAPI, CGI), pero hgalo slo si es esencial para el funcionamiento del mismo. No marque ningn otro permiso. Haga click en Siguiente y luego en Finalizar.
Extensiones
En su instalacin por omisin, IIS reduce al mximo la superficie de ataque el no ofrecer extensiones para contenido dinmico. Es necesario evaluar junto a los desarrolladores la necesidad de publicar contenido dinmico ya sea ASP o ASP.NET, y permitirlo en consecuencia. Durante el proceso de instalacin desatendida de IIS mostrado ms arriba en esta gua, se decidi habilitar ASP y ASP.NET mediante los modificadores:
iis_asp = on AspNet = on
Se puede revertir esta decisin en cualquier momento, prohibiendo la Extensin correspondiente.
41
Abra la consola de Administracin de IIS y navegue hasta Extensiones del servidor, revise que slo las extensiones que va a utilizar se encuentran en estado permitido.
Grupo de Aplicaciones
A menos que el contenido del sitio web deba ser accedido va red, cambie el contexto de seguridad de los grupos de aplicaciones a Servicio Local.
42
URLScan 2.5
Si bien IIS 6 incluye varias caractersticas de URLScan ya incorporadas, es conveniente utilizar la versin separada proporcionada por Microsoft de manera de tener un control mucho mas preciso del comportamiento del IIS. Puede descargar URLScan 2.5 desde: http://www.microsoft.com/technet/security/tools/urlscan.mspx La instalacin es bastante sencilla y no ofrece demasiadas opciones. Una vez instalado es necesario editar el archivo urlscan.ini situado en %windir%\system32\inetsrv\urlscan y modificar algunos de sus parmetros. Importante: las siguientes configuraciones pueden ser incompatibles con ciertas aplicaciones web, consulte la documentacin de las aplicaciones y revise los logs del IIS para detectar problemas de funcionamiento. UseAllowVerbs=1 ; Esto nos permitir usar secciones donde permitir o denegar verbos tales como POST, PUT, DELETE, etc.
43
UseAllowExtensions=1 ; Esto nos permitir definir qu extensiones permitir o denegar MaxAllowedContentLenght=1024 este valor depende de si se permiten verbos PUT o POST y define el tamao mximo de contenido que alguien puede enviar mediante PUT o POST al server. El tamao por omisin es de 3GB. MaxQueryString=0 ; Define si se permite enviar parmetros y el largo de la URL donde estos se pasan. Normalmente estos parmetros suelen pasarse por POST, consulte al desarrollador el mtodo utilizado. [AllowVerbs] GET HEAD POST ; En caso de usar contenido dinmico y que se pasen parmetros por POST [AllowExtensions] .htm .html .jpg .jpeg .gif .png .asp ; En caso de utilizar contenido dinmico .aspx ; En caso de utilizar contenido dinmico
Las configuraciones de IIS 6 arriba descriptas son dependientes de las aplicaciones a colocar en el servidor web. En servidores donde la seguridad es un tema crtico deben ajustarse los parmetros de la manera ms segura posible, y luego probar la aplicacin y revisar los logs para ir encontrando qu configuracin intercede con el normal funcionamiento de la misma y evaluar la relajacin o no de dicha configuracin. Este tipo de operaciones pueden resultar tediosas pero es necesario entender que no pueden ofrecerse ventajas de ningn tipo a la hora de exponer un servicio en ambientes no controlados.
44
Capitulo 5: Configuracin del servicio FTP de Internet Information Services 6.0

Configuracin de sitios FTP
Sitio FTP
Este documento va a utilizar la caracterstica que incorpora IIS6 denominada Aislar Usuarios. Este modo autentica a los usuarios contra cuentas locales o de dominio antes de permitirles el acceso al directorio particular correspondiente a su nombre de usuario. Todos los directorios principales de los usuarios se encuentran en un mismo directorio raz FTP, en el que cada usuario nicamente puede obtener acceso y esta restringido a su directorio particular. Dado que en la configuracin del sistema operativo fueron desactivadas las opciones Clientes para redes Microsoft y Compartir archivos e impresoras el servidor, no ser encontrado en Entorno de red, ni podr ser accedido usando UNC (\\server\recurso), ni el propio server podr acceder otros recursos en la red mediante estos mtodos. Por lo tanto ser necesario habilitar el servicio FTP como medio para subir el contenido web a publicar. Borre el sitio FTP predeterminado, expanda Sitios FTP, haga click derecho en Sitio FTP predeterminado y elija Eliminar.
45
Cree un nuevo sitio FTP haciendo click derecho en Sitios FTP, elija Nuevo y luego Sitio FTP, haga click en Siguiente para aceptar la pantalla de bienvenida. Escriba una descripcin que identifique claramente al sitio y haga click en Siguiente. Asigne una direccin IP (necesitar una direccin IP por cada sitio FTP que necesite crear) y deje el puerto 21 si desea publicarlo en el puerto estndar. Haga click en Siguiente. Elija la opcin Aislar Usuarios para permitir que cada usuario deje el contenido en su propio directorio y no pueda acceder a ningn otro y haga click en Siguiente. Elija la ruta del directorio raz (recuerde que esta gua sugiere al menos dos particiones, no use la particin de sistema como directorio raz de FTP). Haga click en Siguiente y elija lectura y escritura. Haga click en Siguiente y luego en Finalizar. Haga Click derecho en el sitio recientemente creado y elija propiedades. Vaya a la aleta Cuentas de Seguridad y destilde Permitir conexiones annimas, acepte la advertencia y haga click en OK.
46
. Cree un usuario por cada sitio web para el cual se cargar contenido. En este ejemplo crearemos dos usuarios. Abra una consola de comandos y ejecute: C:\> net user SitioWeb1 P@ssw0rdC0mpleX /add C:\> net user SitioWeb2 Pa$$w0rdCompl3X /add Vaya al directorio raz que indic en la creacin del sitio FTP (en nuestro ejemplo D:\>FTP) y cree una subcarpeta llamada LocalUser. Dentro de LocalUser cree una carpeta por cada usuario de cada sitio web autorizado a subir contenido. En nuestro ejemplo crearemos las carpetas sitioweb1 y sitioweb2.
47
Haga click derecho en cada carpeta y en la aleta Seguridad asigne permisos de lectura y escritura nicamente al usuario creado anteriormente, y que coincida con el nombre de la carpeta.
Verifique que ningn otro usuario tenga permisos en esa carpeta a excepcin de Administradores, System y Creator Owner.
48
Testee el procedimiento iniciando una sesin ftp con uno de los usuarios creados recientemente. Suba un archivo de prueba y verifique que el archivo est en la carpeta que coincide con el nombre de la cuenta con la cual inici sesin en el FTP.
La caracterstica que permite el aislamiento de usuarios es un complemento ideal para la carga y descarga de archivos de un servidor que no posee los mecanismos tradicionales encontrados normalmente en los servidores Microsoft. Adems resulta uno de los protocolos que mejor performance ofrecen, al momento de manejar transferencias con gran cantidad de informacin.
49
Capitulo 6: Conclusiones finales

Resumen
Conclusin de la Gua
Esta gua ha presentado la manera en que Microsoft recomienda la instalacin, configuracin y ajuste de Internet Information Services 6 para implementaciones crticas en cuanto a seguridad. Las configuraciones aqu descriptas pueden asistir a organizaciones de todos los tamaos a obtener respuestas a los riesgos de seguridad a los que puedan verse enfrentados al publicar contenido va web usando IIS. La decisin de la aplicacin de esta gua debe basarse en un anlisis de riesgo que sobrepase el nivel definido como aceptable. La definicin de riesgo aceptable y la manera de administrarlo vara de organizacin en organizacin y por lo tanto no existe una regla fija que aplique a todos los casos. Una correcta administracin de riesgos determinar si conviene aplicar la gua en su totalidad o en partes. Esta gua est sujeta a cambios, en la medida en que nuevas pruebas, situaciones y conocimientos acerca de los desafos ambientales en los que las aplicaciones web se desarrollan, sean adquiridos. Ahora que ya ha ledo esta gua en su totalidad, puede comenzar a configurar servidores web comenzando por el Captulo 2.
50
Apndice 1: Instalacin de Internet Information Services de manera automtica.

Instalacin desatendida
Setup Manager
Esta herramienta permite crear archivos de respuesta que automatizan la instalacin de servidores. setupmgr.exe se encuentra dentro del archivo deploy.cab que se encuentra en el CD de instalacin de Windows 2003 Server \Support\Tools\deploy.cab. Al ejecutarlo se debe elegir hacer un nuevo archivo para Windows 2003 Server, instalacin desde CD, y recorrer el Wizard respondiendo las opciones que se presentan. Luego debe guardarse ese archivo como winnt.sif e introducirlo en la disquetera del servidor acompaando al CD de instalacin. El CD sacar las respuestas del archivo winnt.sif. Puede editar rpidamente el archivo y cambiar el nombre de servidor y direccionamiento IP para cada servidor que instale. No puede usar archivos UDF cuando instala desde CD.
Winnt.sif
Ac le presentamos como ejemplo, un archivo de respuesta modelo para instalacin de IIS:
;SetupMgrTag [Data] AutoPartition=1 MsDosInitiated="0" UnattendedInstall="Yes" [Unattended] UnattendMode=FullUnattended OemSkipEula=Yes OemPreinstall=No TargetPath=so\www [GuiUnattended] AdminPassword=P@ssw0rd EncryptedAdminPassword=No AutoLogon=Yes
51
AutoLogonCount=2 OEMSkipRegional=1 TimeZone=70 OemSkipWelcome=1 [UserData] ProductKey=AAAAA-BBBBB-CCCCC-DDDDD-EEEEE FullName="Admin" OrgName="Compania" ComputerName=wwwsrv [LicenseFilePrintData] AutoMode=PerSeat [TapiLocation] CountryCode=54 AreaCode=11 [RegionalSettings] LanguageGroup=1 Language=00002c0a [GuiRunOnce] Command0=a:\services.vbs [Identification] JoinWorkgroup=WORKGROUP [Networking] InstallDefaultComponents=No [NetAdapters] Adapter1=params.Adapter1 [params.Adapter1] INFID=* [NetProtocols] MS_TCPIP=params.MS_TCPIP [params.MS_TCPIP] DNS=No UseDomainNameDevolution=No EnableLMHosts=Yes AdapterSections=params.MS_TCPIP.Adapter1 [NetBindings] Disable = "MS_Server MS_NetBeui Adapter1" Disable = "MS_MSClient MS_NetBeui Adapter1" Disable = "ms_msclient ms_netbt ms_tcpip Adapter1"
52
Disable = "ms_msclient ms_netbeui Adapter1" Disable = "ms_msclient ms_nwnb" Disable = "MS_Server, MS_NetBt, MS_TCPIP, Adapter1"
[params.MS_TCPIP.Adapter1] SpecificTo=Adapter1 DHCP=No IPAddress=192.168.1.2 SubnetMask=255.255.255.0 DefaultGateway=192.168.1.1 WINS=No NetBIOSOptions=2 [Components] iis_common = on iis_ftp = on iis_inetmer = on iis_asp = on AspNet = on iis_www = on Accessopt = Off RootAutoUpdate = off Calc = off CharMap = off ClipBook = off DeskPaper = off Paint = off MSWordpad = off Chat = off IEHardenAdmin = off IEHardenUser = off SCW=on [InternetServer] PathFTPRoot = c:\srv\iis\ftps PathWWWRoot = c:\srv\iis\webs
Services.vbs
Este script le permite desactivar los servicios contenidos en Array(), Edite Array() segn sus necesidades On Error Resume Next
53
strComputer = "." arrTargetSvcs = Array("AeLookupSvc","Clipsrv","Browser","Alerter", "appmgmt", "DCOMLaunch", "DHCP", "DFS", "Helpsvc", "SamSS", "Seclogon", "lanmanServer", "lanmanWorkstation") Set objWMIService = GetObject("winmgmts:" _ & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2") Set colServices = objWMIService.ExecQuery("SELECT * FROM Win32_Service") Wscript.Echo "Checking for target services ..." For Each objService in colServices For Each strTargetSvc In arrTargetSvcs If LCase(objService.Name) = LCase(strTargetSvc) Then WScript.Echo VbCrLf & "Service Name: " & objService.Name WScript.Echo " Status: " & objService.State Wscript.Echo " Startup Type: " & objService.StartMode WScript.Echo " Time: " & Now If objService.State = "Stopped" Then WScript.Echo " Already stopped" Else intStop = objService.StopService If intStop = 0 Then WScript.Echo " Stopped service" Else WScript.Echo " Unable to stop service" End If End If If objService.StartMode = "Disabled" Then WScript.Echo " Already disabled" Else intDisable = objService.ChangeStartMode("Disabled") If intDisable = 0 Then WScript.Echo " Disabled service" Else WScript.Echo " Unable to disable service" End If End If End If Next 54
Next
55
56

Manual de IIS

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual de IIS

Cargado por

Copyright:

Formatos disponibles

Gua de Seguridad para Internet Information Services 6.

0 2006 Microsoft Corporation

Soluciones Microsoft para Profesionales IT

Gua de Seguridad para Internet Information Services 6.0

Captulo 1: Introduccin a la Gua de Seguridad para Internet Information Services 6.0

Los desafos ambientales

Internet Information Services

Visin general de la Gua

Quien debera leer esta gua?

Alcance de esta gua

Capitulo 2: Configuracin del servidor fsico

Configuracin del BIOS

Configuracin Externa del servidor

Capitulo 3: Configuracin del sistema operativo

Actualizaciones de seguridad a la instalacin de Windows Server

fig3: Pantalla de Inicio de Actualizaciones de seguridad a la instalacin de Windows Server

Instalacin del Componente Internet Information Services 6.0.

Revisar el estado de actualizaciones

Asistente para configuracin de seguridad

En la pantalla de Procesar la base de datos de configuracin de seguridad haga clic en Siguiente.

En Mtodos de autenticacin de salida asegrese de no tener tildado ninguna opcin.

En Mtodos de autenticacin de entrada asegrese de no tener tildado ninguna opcin

Configure la denegacin a escritura en los directorios de contenido a los usuarios annimos.

Vaya a Directiva de bloqueo de cuentas y configure de acuerdo a la siguiente figura:

Configuracin del protocolo TCP/IP

Capitulo 4: Configuracin del servicio WEB de Internet Information Services 6.0

Se puede revertir esta decisin en cualquier momento, prohibiendo la Extensin correspondiente.

Capitulo 5: Configuracin del servicio FTP de Internet Information Services 6.0

Capitulo 6: Conclusiones finales

Apndice 1: Instalacin de Internet Information Services de manera automtica.

También podría gustarte