Pablo Weyne – IIS – Windows – Microsoft

No IIS7 o ASP.NET padrão é o 2.0. Para instalar a versão do ASP.NET 2.0 no IIS7, é necessário ir na instalação do IIS7 e selecionar o ASP.NET:

Feito isso, o ASP.NET estará instalado no seu servidor, e para instalar a versão 3.0 e 3.5 é fácil, pois usam o mesmo CLR 2.0. Basta ir no site da Microsoft baixar e instalar, ou pelo Windows Update.

Para instalar a versão ASP.NET 1.1 no IIS7, é mais complicado, pois não é padrão do IIS7. É necesserário fazer o donwload e instalar manualmente.

Para o ASP.NET 1.1 funcionar, temos que instalar o pacote de compatibilidade do Metabase (“IIS 6 Metabase Compatibility”). Para instalar, é necessário também ir na instalação do IIS7 e selecionar a opção abaixo:

Depois de instalar o módulo de compatibilidade, é necessário fazer o donwload dos arquivos abaixo e instalar:

• .NET Framework Version 1.1 Redistributable Package – ASP.NET 1.1
• .NET Framework Version 1.1 Service Pack 1 – SP1 do ASP.NET 1.1
• ASP.NET Security Update for .NET Framework 1.1 SP1 – Update de segurança

Depois de instalar, o Windows vai pedir para ser reiniciado. Faça um Windows Update após esse procecimento, para instalar outros patchs de segurança do ASP.NET.

Após a instalação e a atualização dos componentes do ASP.NET 1.1, vamos habilitar no IIS 7.

Após a instalar dos programas e feito o Windows update, já é permitido utilizar o ASP.NET 1.1 no IIS 7. Se tiver como Now Allowed, só clicar e ativar.

Para configurar um site para utilizar o ASP.NET 1.1:

appcmd set app "www.site.com.br/" /applicationPool:"ASP.NET 1.1"

Para criar um novo Application Pool usando utilizar o framework do ASP.NET 1.1:
appcmd add apppool /name:"Nome_aplicacao"  /managedRuntimeVersion:"v1.1"

Espero ter ajudado!

No boletim abaixo, a Microsoft explica e oferece dicas relacionados ao SQL Injection:

http://www.microsoft.com/technet/security/advisory/954462.mspx

Desenvolvedores e administradores de servidores, leiam com muita atenção e apliquem as dicas.

Hoje navegando em alguns blog da Microsoft, achei outro post falando sobre SQL Injection, que é o assunto mais falado nos blogs da Microsoft por conta da quantidade de acesso e ferramentas e dicas disponibilizadas para se proteger.

A pedido da Microsoft, a HP disponibilizou uma ferramenta chamada Scrawlr, onde você o instala na sua máquina (não precisa ser no servidor, como o SQLInjectionFinder), adiciona uma URL e faz uma busca em todo o site (até 1500 páginas) atrás de falhas de SQL Injection.

O link do programa é: https://h30406.www3.hp.com/campaigns/2008/wwcampaign/1-57C4K/index.php

É necessário se cadastrar para fazer o download, mas o programa é gratuito.

A Microsoft lançou a versão 3.0 do UrlScan. É uma ferramenta muito boa para proteger o IIS. Nessa nova versão estão focando muito em SQL Injection, portando, se não você acha que seu servidor não é seguro, instale e configire o UrlScan, que você terá mais segurança. Essa versão pode ser instalada a partir da versão 5.1 do IIS, incluindo o IIS 7.

Mais informações: http://www.iis.net/downloads/default.aspx?tabid=34&g=6&i=1697

Com a crescente preocupação com SQL Injection no IIS e SQL Server como já postei no fórum, você deve redobrar a atenção. Olhando alguns sites sobre SQL Injection, acabei achando uma indicação muito boa.

SQLInjectionFinder

É um programa que analisa os logs do IIS e expurga o resultado em um arquivo. Ele basicamente usa o logparser para analisar os logs do IIS com algumas palavras chaves e te mostra isso. Muito bom para rodar e verificar se estão tentando hackear algum site. Comigo acabei encontrando. E você?

Li um post muito legal no blog do Danilo Bordini. São uma série de procedimentos de como fazer no IIS6. Como configurar Application Pools, configurar FTP, Criar Web Site, etc.

O link é:

http://www.microsoft.com/technet/prodtechnol/WindowsServer2003/Library/IIS/07c24cb2-f033-4e6a-9b7b-0b35f807df56.mspx?mfr=true