Notei que várias pessoas possuem dúvidas na configuração do IIS no Windows 7. Nesse post irei explicar como efetuar a instalação do WordPress de forma automatizada utilizando o Web Platform Installer.

Primeiro, é necessário instalar o Web Platform Installer (WPI) no link – http://www.microsoft.com/web/downloads/platform.aspx

Após efetuar o download e abrir o arquivo, o WPI efetuará o download do software completo.

A primeira tela após a instalação é:

Clique em adicionar no WordPress PT Brasil. O WPI selecionará no IIS os componentes necessário para o funcionamento do WordPress, inclusive o MySql. Na próxima tela deve-se selecionar Instalar no meu computador ou use um servidor remoto, no caso de se for utilizar um MySql externo.

Após selecionar a opção do MySql, o WPI irá exibir um resumo dos componentes que serão necessários para seu funcionamento, inclusive o MySql, o IIS 7.5 Express, PHP, etc. como apresenta a imagem abaixo:

O próximo passo será configurar o MySql, sendo necessário colocar a senha de administrador.

Depois de adicionar a senha, o WPI efetuará o download dos componentes. A medida que o componente for sendo baixado, ele é instalado, não sendo necessário esperar o download de todos os componentes.

Após a instalação dos componentes, será exibido a tela de configuração do banco de dados, por exemplo: login de administrador do banco, senha, usuário do banco, etc. Segue a tela baixo:

A próxima dela exibe o resumo de quais componentes foram instalados e informa que a instalação deu certo.

O WordPress está instalado, agora deve-se configurá-lo de acordo com a necessidade preenchendo as informações abaixo:

Muita gente instala servidores Web e não se importa em configurar a segurança do servidor. Nesses mais de 3 anos de existência desse blog, escrevi algumas dicas que ainda funcionam e bem. Como vejo que muita gente ainda usa o IIS 6 e ele é bem mais vulnerável que o IIS 7 e 7.5 irei ajudar com algumas dicas.

No Windows Server 2003 R2 existe uma ferramenta chamada Security Configuration Wizard que ajuda a configurar o firewall da máquina, além disse, ajuda a proteger o IIS, desabilitando recursos que você não irá utilizar. A configuração dele é muito intuitiva, ele simplesmente pergunta o que você vai utilizar no servidor e começa a desabilitar os serviços e portas que não será utilizado. No exemplo abaixo irei mostrar como funciona, o servidor que estou testando possui IIS e DNS configurados. Ah, uma dica bem importante, só utilize essa ferramenta após configurar todo o servidor. Por exemplo, se vai utilizar PHP, ASP.NET, SMTP, etc., configure primeiro tudo antes de utilizá-la, pois esses softwares irá verificar o que está instalado e para que você possa habilitar.

Para instalar Security Configuration Wizard você precisa ir no Adicionar e Remover programas do Windows e clique em Add/Remove Windows Components (mesmo local você instalar o IIS, DNS, SNMP, entre outros) e selecione Security Configuration Wizard como na tela baixo.

Após isso, o Windows vai solicitar os CDS do Windows Server 2003 para instalar esse componente.

Depois de instalado, vá em ???Administrative Tools e clique em Security Configuration Wizard. Ele vai apresentar a tela abaixo:

Clique em Next e vamos começa a instalar. A próxima tela é:

Nessa tela você observa que você pode criar, editar, aplicar ou voltar uma política. Se a instalação do servidor for padrão, você só precisa configurar no primeiro servidor, no final da configuração ele pede para salvar a regra, com ela você salva em outro servidor e basta aplicar usando o Apply an existing security policy evitando ter que configurar tudo de novo. Como nesse caso estamos criando do zero, clique em Next para apresentar a tela abaixo:

Ele vai encontrar o servidor local, ou você pode fazer remotamente, colocando o nome NetBios ou o IP do servidor. CONTOSO é o nome do meu servidor local, então podemos avançar.

Na primeira tela acima, o SCW só está coletando as informações do servidor e na segunda tela é um alerta que se você não selecionar corretamente o que vai precisar, ele vai desabilitar o que você não selecionar.

Pronto, agora chegou a parte boa, colocar a mão na massa e começar a selecionar o que você vai precisar no servidor. Como falei no começo, esse servidor será um Servidor Web e DNS. Segue abaixo o que precisa ter liberado para funcionar corretamente:

• Application server
• ASP.NET session state server (se você for utilizar ASP.NET)
• DNS server
• File Server
• FTP server
• SMTP Server
• Web Server

Pronto, depois de selecionar as opções acima, clique em Next e vamos a próxima tela:

Nessa próxima tela, você precisa deixar habilitado:

• Automatic update client (para atualização do servidor);
• DHCP client (se o IP for setado, não marque);
• DNS client;
• DNS registration client;
• Domain member (somente se o servidor estiver dentro de um domínio);
• FTP Client (eu deixo para testar FTP interno da máquina);
• Microsoft networking client (somente se o servidor estiver dentro de um domínio);

Pronto, depois de selecionar clique em Next para irmos a próxima tela:

Nessa próxima tela, você precisa deixar habilitado:

• Error reporting;
• Help and support;
• Local Application Installation;
• Performance data collection;
• Remote desktop administration (se você gerencia o servidor remotamente);
• Windows Firewall;

Pronto, se você precisar do software de Backup, pode habilitar, depende sempre do que você vai precisar. Vamos a próxima tela:

Nessa tela vamos selecionar os serviços adicionais no servidor, nessa tela vai aparecer os programas que você tem instalado no servidor, e você habilita somente o que for precisar. Essa tela é bem particular de cada servidor, se for um servidor somente com IIS instalado sem nada adicional, ele vai apresentar apenas o ASP.NET como mostra acima, portanto, marque-os, e se precisar habilitar outro programa, pode habilitar também.

A próxima tela é:

Nessa tela ele pergunta se você quer manter os serviços como estão ou desabilite os que não foram especificados. Selecione Disable the service, com isso ele vai desabilitar todos os serviços que você não vai utilizar.

Vamos a próxima tela:

Nessa tela irá mostrar como os serviços estavam e como vão ficar após aplicar as regras, vale a pena verificar um a um para que não desabilite nenhum serviço que você tenha esquecido de verificar. Se tiver esquecido, será necessário clicar em Back e consertar, se estiver tudo certo, clique em Next.

As próximas telas vamos configurar as portas que serão habilitados no servidor.

Como é um servidor Web e DNS vamos deixar habilitado: 20, 21, 25, 53, 80, 443, 3389 (Remote Desktop e TS) e habilite  Ports used by FTP data channel (passive-mode) (inetinfo.exe), esse último é para funcionar o passive mode do FTP. Depois clique em Next. Nessa próxima tela ele irá mostrar o resumo das portas:

Nas próximas telas vamos configurar os protocolos de comunicação por outros computadores. Dessa vez não irei comentar tela por tela, basta deixar como está nas imagens abaixo:

Pronto, a imagem acima é um resumo de como ficou.

Nas telas abaixo, vamos configurar a auditoria. Basta deixar como estão nas imagens:

Pronto, auditoria configurada. As próximas telas vamos configurar o IIS.

Na tela acima marque o que for utilizar e também selecione a opção de baixo para proibir todas as outras extensões que não estão listadas para aumentar a segurança.

No exemplo acima, habilitei o ASP, ASP.NET e o FastCgi para o PHP.

.

Nessa tela cima não marque nenhuma opção, pois são os diretórios virtuais padrão do IIS, portanto, não precisamos deles.

Nessa tela marque a opção acima para não permitir os usuários anônimos de escrever.

Chegamos a última tela de configuração, que é o resumo da segurança do IIS.

As próximas três telas são as finais, que é para salvar as configurações que fizemos, e podemos aplicar em outros servidores.

Pronto, escolha o local que quer salvar as regras e clique em Next.

Pronto, agora é só aplicar!

Espero que tenha ajudado!

Abraços!

Muita gente pediu e foi lançado no Codeplex o PHP Manager. Com essa ferramenta você pode gerenciar uma ou mais versões de PHP, mas só é compatível com o IIS 7 e 7.5. Segue abaixo mais informações da ferramenta:

• Registrar o PHP no IIS;
• Rodar várias versões de PHP em sites diferentes e até mesmo em um único site;
• Verifica o que está rodando no PHP utilizando a função phpinfo;
• Configurar várias opções do PHP;
• Você pode ativar e desativar extensões do PHP;
• Gerenciar remotamente a configuração do PHP no arquivo php.ini.

Para instalar, faça o download do arquivo em http://phpmanager.codeplex.com e instale normalmente (NEXT, NEXT e FINISH)

No IIS, irá mostrar um novo ícone como a imagem abaixo.

Se aparecer o ícone PHP Manager que está em destaque, é porque a instalação deu certo. Clique no ícone PHP Manager para efetuar a configuração.

A tela acima é a principal, sem nada configurado. Note que ele alerta que não há PHP habilitado nesse servidor.

Primeiro temos que efetuar o download do PHP, vá no link http://windows.php.net/download/ e faça o download da última versão do PHP. Nesse tutorial estou utilizando a versão 5.3.3 (VC9 x86 Non Thread Safe), lembre que a Non Thread Safe é a indica, pois funciona com o FastCgi.

Descompacte o arquivo e renomeie o diretório para C:\PHP\PHP5.3.3, para ficar melhor organizado. O próximo passo é voltar no IIS e clicar em Register new PHP version e selecione o arquivo php-cgi.exe que fica no diretório do PHP. Pronto, após isso irá apresentar a tela abaixo:

Na imagem acima, note que ele mostra a versão do PHP, onde fica localizado o php.ini, já configura os erros para um arquivo de log, quantas extensões estão habilitadas e quantas não estão, enfim, uma tela bem amigável com as informações mais importantes que o administrador precisa saber. Quando você registra uma versão de PHP, todos os sites passarão a utilizar esse PHP por padrão.

Além disso você pode registrar mais de uma versão de PHP, faça o download da versão desejada e faça o mesmo procedimento de registrar uma nova versão de PHP, após isso ele mostrará duas ou mais versões que você instalou como mostra no gráfico abaixo. Com isso, você pode alternar as versões de PHP em vários sites. Para isso, entre em algum site configurado no IIS, e clique em Change PHP version.

Além disso você pode efetuar as configurações do php.ini sem ter que editar o arquivo, tudo através do PHP Manager como mostra as imagens abaixo:

Note que na imagem PHP Erro Reporting você escolhe se o site está em produção ou em desenvolvimento, se o site estiver em desenvolvimento, o PHP Manager vai habilitar os erros detalhados em tela, debugs, warnings, etc. Quando você tiver corrigido tudo, habilite o modo produção, que se algum dia aparecer algum erro será apresentado uma erro amigável, e escreverá os erros no arquivo de log.

Na extensões, basta você clicar com o botão direito e habilitar ou desabilitar. Sobre a configuração do PHP, merece um post com umas dicas, que me comprometo em fazer.

Espero que façam bom proveito dessa excelente ferramenta que faltava para ajudar na administração do PHP no IIS.

Um abraço a todos!

Dia 20 de setembro publiquei em meu blog uma falha do ASP.NET. Hoje, a Microsoft disponibilizou os patches de segurança para essas falhas. É de extrema importância que quem utiliza o IIS, faça essa atualização. O link para efetuar os downloads de correção é: http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx.

Volto a repetir que é de extrema importância que efetue essa atualização. Lembrando que toda atualização de segurança de ASP.NET, para o serviço do IIS, mas não é preciso reiniciar o servidor.

No ciclo de atualizações desse mês saíram três correções de vulnerabilidades para o IIS. As falhas foram no ASP Clássico (famoso asp), FastCgi (o PHP usa ele!) e de autenticação.

No link http://www.microsoft.com/technet/security/bulletin/MS10-065.mspx mostra as três falhas, explicando como funciona e como resolver. Para resolver, basta instalar os updates de Setembro, se ainda não o fez, corra!

Qualquer dúvida, pode entrar em contato comigo.

Semana passada foi divulgado uma vulnerabilidade no ASP.NET que pode comprometer o site. o ASP.NET usa criptografia para ocultar as informações confidenciais para proteger contra alguma violação. E a falha que surgiu trabalha justamente nisso, onde permite que o invasor consiga desencriptar e manipular esses dados.

Mas o que o invasor pode fazer com esse recurso? Parte da resposta depende do aplicativo ASP.NET que está sendo atacado. Por exemplo, se o aplicativo ASP.NET armazena informações confidenciais, como senhas ou strings de conexão do banco de dados no objeto ViewState, os dados podem ficar comprometidos. O objeto ViewState é criptografado e enviado para o cliente em uma variável de formulário oculto, portanto, é um destino possível para este ataque.

Existe um patch para isso? A resposta é não. Mas há como se proteger, ativando o Custom Errors do ASP.NET. Com essa opção habilitada, o erro que será apresentado na tela do cliente é um erro padrão ou você pode customizar. Portanto, habilite essa opção o quanto antes no IIS e/ou no web.config da sua aplicação.

O Event ID 5188, pode acontecer quando a pasta “appHost” for deletada ou as permissões forem alteradas, gerando o erro abaixo:

The directory specified for the temporary application pool config files is either missing or is not accessible by the Windows Process Activation Service. Please specify an existing directory and/or ensure that it has proper access flags. The data field contains the error number.

Para atrapalhar o troubleshooting ainda gera alguns outros eventos. Para contornar, siga o procedimento:

Iniciar > executar > digite: C:\inetpub\temp > OK

* Se a pasta appPools não estiver criada:

- Crie uma nova pasta com o nome de “appPools”

- Clique com o botão direito em cima da pasta > propriedades > security > Adicionar os usuários System e IIS_IUSRS com permissão FULL.

Iniciar > executar > cmd > Digite: iisreset

** Se caso a pasta estiver criada verifique as permissões na aba security para os usuários citados acima.

Abraços,

Uma dúvida comum é como verificar as requisições que são feitas para um site hospedado no IIS 7. Nesse post vamos ensinar como fazer.

Execute o prompt em modo elevado, navegue até a pasta c:\windows\system32\inetsrv

Digite:

appcmd.exe list request /site.name”seusite.com.br”

ou

appcmd.exe list request /apppool.name:seusite.com.br
Estão vendo como é simples? Qualquer dúvida, entrem no fórum da Microsoft que estamos ajudando por lá.

Abraços.

Nesse post quero dar dicas para ter um servidor de FTP mais seguro, são dicas simples, que você já pode fazer a partir de agora, depois faço um mais avançado.

• Nunca deixe o FTP anônimo habilitado, a não ser que a finalidade do seu FTP seja distribuir arquivos dessa maneira. Se for, e você tiver um outro FTP com acesso restrito, crie dois FTP’s, um anônimo e outro mais seguro;
• Nunca esqueça de renomear o login de administrador do servidor, é algo óbvio, mas quase ninguém faz. É uma segurança não somente de FTP, mas para todos os tipos de ataques que utilizam brute force. Assim que instalar o servidor, troque o nome do usuário e reinicie o servidor (é necessário reiniciar, se não vai ficar apresentando erros);
• Monitore sempre os FTP’s criados no servidor, e remove os que não estão mais em uso. Se o FTP é somente para a rede interna, e você utiliza AD, faça o proveito disso, e configure o FTP para utilizar o AD, se algum colaborador deixar a equipe, basta desabilitar o usuário;
• Sempre configure o usuário do FTP para conectar apenas no diretório que ele precisa, já vi alguns FTP’s onde o usuário logava, listava dezenas de diretórios em vez de apenas o que ele tinha permissão.

Por enquanto as dicas são essas, se eu for lembrando de mais algumas irei postando aqui. Se você tem dicas, post no comentário que irei publicar aqui. Até mais!

Um grande destaque deste lançamento foi a introdução de drivers PDO para SQL Server. Isso significa que o desenvolvedor de aplicações PHP agora não precisa se preocupar com o banco de dados, mas sim focar o código do aplicativo.

Para fazer o download, utilize o Microsoft Web Platform. Se você possui a versão anterior, é necessário remover para instalar a nova versão. E se você está utilizando o driver nativo do PHP, é indicado trocar por esse, já que foi desenvolvido pela Microsoft em parceria com a equipe de desenvolvimento do PHP.

Quer saber mais, visite o site:

http://blogs.msdn.com/b/sqlphp/archive/2010/08/04/microsoft-drivers-for-php-for-sql-server-2-0-released.aspx