Pablo Weyne – IIS – Windows – Microsoft

Olá pessoal,

Notei que várias pessoas possuem dúvidas na configuração do IIS no Windows 7. Nesse post irei explicar como efetuar a instalação do WordPress de forma automatizada utilizando o Web Platform Installer.

Leia mais…

Pessoal,

Muita gente instala servidores Web e não se importa em configurar a segurança do servidor. Nesses mais de 3 anos de existência desse blog, escrevi algumas dicas que ainda funcionam e bem. Como vejo que muita gente ainda usa o IIS 6 e ele é bem mais vulnerável que o IIS 7 e 7.5 irei ajudar com algumas dicas.

No Windows Server 2003 R2 existe uma ferramenta chamada Security Configuration Wizard que ajuda a configurar o firewall da máquina, além disse, ajuda a proteger o IIS, desabilitando recursos que você não irá utilizar. A configuração dele é muito intuitiva, ele simplesmente pergunta o que você vai utilizar no servidor e começa a desabilitar os serviços e portas que não será utilizado. No exemplo abaixo irei mostrar como funciona, o servidor que estou testando possui IIS e DNS configurados. Ah, uma dica bem importante, só utilize essa ferramenta após configurar todo o servidor. Por exemplo, se vai utilizar PHP, ASP.NET, SMTP, etc., configure primeiro tudo antes de utilizá-la, pois esses softwares irá verificar o que está instalado e para que você possa habilitar. Leia mais…

Pessoal,

Muita gente pediu e foi lançado no Codeplex o PHP Manager. Com essa ferramenta você pode gerenciar uma ou mais versões de PHP, mas só é compatível com o IIS 7 e 7.5. Segue abaixo mais informações da ferramenta:

• Registrar o PHP no IIS;
• Rodar várias versões de PHP em sites diferentes e até mesmo em um único site;
• Verifica o que está rodando no PHP utilizando a função phpinfo;
• Configurar várias opções do PHP;
• Você pode ativar e desativar extensões do PHP;
• Gerenciar remotamente a configuração do PHP no arquivo php.ini. Leia mais…

Pessoal,

Dia 20 de setembro publiquei em meu blog uma falha do ASP.NET. Hoje, a Microsoft disponibilizou os patches de segurança para essas falhas. É de extrema importância que quem utiliza o IIS, faça essa atualização. O link para efetuar os downloads de correção é: http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx.

Volto a repetir que é de extrema importância que efetue essa atualização. Lembrando que toda atualização de segurança de ASP.NET, para o serviço do IIS, mas não é preciso reiniciar o servidor.

Amigos,

No ciclo de atualizações desse mês saíram três correções de vulnerabilidades para o IIS. As falhas foram no ASP Clássico (famoso asp), FastCgi (o PHP usa ele!) e de autenticação.

No link http://www.microsoft.com/technet/security/bulletin/MS10-065.mspx mostra as três falhas, explicando como funciona e como resolver. Para resolver, basta instalar os updates de Setembro, se ainda não o fez, corra!

Qualquer dúvida, pode entrar em contato comigo.

Amigos,

Semana passada foi divulgado uma vulnerabilidade no ASP.NET que pode comprometer o site. o ASP.NET usa criptografia para ocultar as informações confidenciais para proteger contra alguma violação. E a falha que surgiu trabalha justamente nisso, onde permite que o invasor consiga desencriptar e manipular esses dados.

Mas o que o invasor pode fazer com esse recurso? Parte da resposta depende do aplicativo ASP.NET que está sendo atacado. Por exemplo, se o aplicativo ASP.NET armazena informações confidenciais, como senhas ou strings de conexão do banco de dados no objeto ViewState, os dados podem ficar comprometidos. O objeto ViewState é criptografado e enviado para o cliente em uma variável de formulário oculto, portanto, é um destino possível para este ataque.

Existe um patch para isso? A resposta é não. Mas há como se proteger, ativando o Custom Errors do ASP.NET. Com essa opção habilitada, o erro que será apresentado na tela do cliente é um erro padrão ou você pode customizar. Portanto, habilite essa opção o quanto antes no IIS e/ou no web.config da sua aplicação.

Oi Pessoal,

O Event ID 5188, pode acontecer quando a pasta “appHost” for deletada ou as permissões forem alteradas, gerando o erro abaixo:

The directory specified for the temporary application pool config files is either missing or is not accessible by the Windows Process Activation Service. Please specify an existing directory and/or ensure that it has proper access flags. The data field contains the error number.

Para atrapalhar o troubleshooting ainda gera alguns outros eventos. Para contornar, siga o procedimento:

Iniciar > executar > digite: C:\inetpub\temp > OK

* Se a pasta appPools não estiver criada:

- Crie uma nova pasta com o nome de “appPools”

- Clique com o botão direito em cima da pasta > propriedades > security > Adicionar os usuários System e IIS_IUSRS com permissão FULL.

Iniciar > executar > cmd > Digite: iisreset

** Se caso a pasta estiver criada verifique as permissões na aba security para os usuários citados acima.

Abraços,

Oi Pessoal,

Uma dúvida comum é como verificar as requisições que são feitas para um site hospedado no IIS 7. Nesse post vamos ensinar como fazer.

Execute o prompt em modo elevado, navegue até a pasta c:\windows\system32\inetsrv

Digite:

appcmd.exe list request /site.name”seusite.com.br”

ou

appcmd.exe list request /apppool.name:seusite.com.br
Estão vendo como é simples? Qualquer dúvida, entrem no fórum da Microsoft que estamos ajudando por lá.

Abraços.

Olá pessoal,

Nesse post quero dar dicas para ter um servidor de FTP mais seguro, são dicas simples, que você já pode fazer a partir de agora, depois faço um mais avançado.

• Nunca deixe o FTP anônimo habilitado, a não ser que a finalidade do seu FTP seja distribuir arquivos dessa maneira. Se for, e você tiver um outro FTP com acesso restrito, crie dois FTP’s, um anônimo e outro mais seguro;
• Nunca esqueça de renomear o login de administrador do servidor, é algo óbvio, mas quase ninguém faz. É uma segurança não somente de FTP, mas para todos os tipos de ataques que utilizam brute force. Assim que instalar o servidor, troque o nome do usuário e reinicie o servidor (é necessário reiniciar, se não vai ficar apresentando erros);
• Monitore sempre os FTP’s criados no servidor, e remove os que não estão mais em uso. Se o FTP é somente para a rede interna, e você utiliza AD, faça o proveito disso, e configure o FTP para utilizar o AD, se algum colaborador deixar a equipe, basta desabilitar o usuário;
• Sempre configure o usuário do FTP para conectar apenas no diretório que ele precisa, já vi alguns FTP’s onde o usuário logava, listava dezenas de diretórios em vez de apenas o que ele tinha permissão.

Por enquanto as dicas são essas, se eu for lembrando de mais algumas irei postando aqui. Se você tem dicas, post no comentário que irei publicar aqui. Até mais!

A Microsoft continuam trabalhando forte para que aplicações de terceiros funcionem cada vez melhor rodando no IIS. Ontem ela divulgou o lançamento da versão 2.0 do Driver do PHP para o SQL Server, para que a conexão com o banco de dados funcione sem problemas.

Um grande destaque deste lançamento foi a introdução de drivers PDO para SQL Server. Isso significa que o desenvolvedor de aplicações PHP agora não precisa se preocupar com o banco de dados, mas sim focar o código do aplicativo.

Para fazer o download, utilize o Microsoft Web Platform. Se você possui a versão anterior, é necessário remover para instalar a nova versão. E se você está utilizando o driver nativo do PHP, é indicado trocar por esse, já que foi desenvolvido pela Microsoft em parceria com a equipe de desenvolvimento do PHP.

Quer saber mais, visite o site:

http://blogs.msdn.com/b/sqlphp/archive/2010/08/04/microsoft-drivers-for-php-for-sql-server-2-0-released.aspx