Pablo Weyne – IIS – Windows – Microsoft

No post anterior expliquei como aplicar segurança em aplicações ASP.NET no IIS 6, nesse novo post irei mostrar como fazer no IIS 7 e 7.5, que é bem mais simples.

Abra o IIS e vá na opção .NET Trust Levels, conforme gráfico abaixo:

Selecione a opção Medium, se preferir pode selecionar Low, e verificar se todos os componentes ASP.NET funcionarão, tive problemas, e mantive Medium.

A vantagem do IIS 7, é que é mais simples. Você pode fazer essa configuração por site ou em todo o IIS. Existe a mesma opção se você for na aba de cada site. Sugiro fazer em todos o servidor, e se algum site apresentar problema, você pode colocar High ou liberar somente um componente específico.

Blog do site porta 25, Roberto Pradro escreveu um post falando de um novo aplicativo. Segundo Roberto Prado, esse aplicativo ajudará desenvolvedores PHP a criarem um aplicativo CRUD (Create, Read, Update, Delete) simples, capaz de rodar tanto no Microsoft SQL Server, quanto no SQL Azure e no Windows Azure Storage.

Essa aplicativo pode ser instalado no Windows e suporta navegação, paginação, busca e customização de dados através de um simples CSS. Prado informa que você precisa de um servidor PHP, uma conexão à internet e o SQL Server 2005 ou superior.

Maiores informações sobre esse aplicativo, visite o blog Interoperability@Microsoft.

Um usuário postou no fórum Technet Brasil uma dúvida que realmente é importante ser divulgada. Como aumentar a segurança das aplicações ASP.NET 6.0 protegendo contra scripts maliciosos, que existem vários na internet. Esses scripts conseguem listar os sites, subir privilégios, executar comandos CMD, editar o registro e várias outras coisas. Irei ensinar agora como se proteger de scripts que utilizam ASP.NET, existem em ASP e PHP, onde irei postar depois.

Como aplicar a segurança no ASP.NET 1.1:

Edite o arquivo machine.config (C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CONFIG). Na linha 171, altere para:

<trust level=”Medium” originUrl=”" />

Como aplicar a segurança no ASP.NET 2.0 (inclui todas acima de 2.0, como 3.0 e 3.5):

Edite o arquivo web.config (C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG) Na linha 21, altere para:

<trust level=”Medium” originUrl=”"/>

O padrão é FULL, e você deve reduzir para uma melhor segurança.

Para entender melhor sobre a segurança do ASP.NET, o que significa os níveis de segurança Full, High, Medium, Low e Minimal visite o site: http://www.devmedia.com.br/articles/viewcomp.asp?comp=845

O site Secunia divulgou uma falha no IIS descoberta por Soroush Dalili que pode ser explorado por pessoas maliciosas para potencialmente ignorar certas restrições de segurança e comprometer um sistema vulnerável.

A vulnerabilidade é causada devido ao servidor web interpretar de forma incorreta a execução de scripts em ASP. Por exemplo, incluindo em um arquivo com várias extensões separadas por “;”, mas executando como se fosse “. Asp” (por exemplo “file.asp;.Jpg”). Essa falha pode ser explorada em sites que permite o envio de imagens, onde você envia uma foto foto.asp;.jpg, e se o explorador conhecer o caminho das imagens, consegue executar um script ASP malicioso (existem vários na internet), por exemplo: http://www.site.com.br/foto.asp;.jpg. O IIS irá executar o .jpg usando a DLL do ASP (asp.dll).

Existem maneiras de se proteger que Soroush Dalili sugere:

• Remover o “Executar” do diretório das imagens;
• Usar sequência aleatória no nomes dos arquivos que são feitos upload e definir sua extensão pelo próprio aplicativo Web (utilizando switch‐case ou select‐case) e nunca aceitar que o usuário defina o nome do arquivo;
• Restringir o upload de arquivos para os usuários confiáveis.

A Microsoft ainda não se pronunciou, assim que sair algum patch ou informação eu posto aqui.

No boletim de segurança de dezembro, que são as atualizações mensal para aplicar nos servidores e estações, uma das atualizações (MS09-071) está relacionado ao IIS . Esta atualização de segurança resolve duas vulnerabilidades relatadas no Windows. O mais grave é que essas vulnerabilidades podem permitir a execução remota de código se as mensagens recebidas pelo servidor Internet Authentication Service se forem copiadas incorretamente na memória. Portanto, atualize o quanto antes o servidor.

Segundo o blog do Nazim, alguns clientes estão reclamando que o Application Pool do Windows 2003 não sobem após a atualização. O suporte da Microsoft lançou o KB 2009746, explicando como resolver o problema, que consiste em  reinstalar o service pack 2 para substituir as DLL’s que ficaram do SP1.

Em toda palestra que vou, encontro pessoas sem saber como aprender sobre os produtos da Microsoft, e decidi postar no meu blog a minha opinião. Desde 2002 vou para palestras da Microsoft, e acabei me apaixonando por alguns produtos. Na época a gente encontrava dificuldade de encontrar material, não tinha o VirtualPC, se não soubesse inglês o aprendizado ficava mais difícil.

Hoje em dias todas essas dificuldades foram sanadas graças a funcionários Microsoft e colaboradores das comunidades. A Microsoft possui 2 portais, o TechNet para infra estrutura e o MSDN para desenvolvimento. Onde existem muito material, MUITO mesmo! As fontes que você pode aprender:

• Webcasts ao vivo;
• Webcasts gravados, onde pode ser feito o download do vídeo e pdf para você assistir;
• Tutoriais;
• Fóruns Microsoft;
• Laboratórios virtuais;
• Profissional cinco estrelas;
• TechNet Experience;

O profissional cinco estrelas o Experience são os meus favoritos. O programa Profissional 5 Estrelas tem por objetivo identificar o nível de conhecimento dos participantes da comunidade TechNet através de estrelas adquiridas dentro do site e lhe ajudar, como material de apoio, para a preparação de um exame oficial de certificação Microsoft. A cada etapa o profissional tem a capacidade de adquirir uma nova estrela e passar para um novo nível. Um ranking público conterá a lista dos profissionais em cada um dos níveis, permitindo a você utilizar em seu currículo o seu nível de estrelas no programa. No profissional cinco estrelas existem os treinamentos atuais de:

• SQL Server 2005;
• Active Directory;
• Windows Server 2008;
• Exchange Server 2007;
• Windows Vista
• SharePoint Services 3.0;
• ISA Server 2004;
• Windows Server 2003 para ambiente de hosting (eu fiz esse, tirei minhas cinco estrelas!)

O TechNet Experience  On-Line é o canal onde todo o conhecimento técnico específico é demonstrado na prática. Um espaço onde você ganha experiência sobre os mais variados temas, com o conhecimento aplicado na prática. Além da participação on-line, você pode fazer o download dos vídeos e assistir, em casa ou no escritório, no horário mais conveniente para você. Confira os cursos ofertados em: http://technet.microsoft.com/pt-br/events/cc716281.aspx.

É muito conteúdo. Aproveite o que a comunidade disponibilizou e aprenda os produtos Microsoft, será um grande diferencial no mercado de trabalho.

A Microsoft anunciou o Windows Cache Extension 1.0 para o PHP. Quando a Microsoft publicou o FastCgi, as aplicações em PHP melhoraram drasticamente rodando no IIS. O WinCache melhora ainda mais. Esse lançamento é muito importante para a Microsoft, pois é a primeira grande constribuição de um código aberto para a comunidade, onde eu imagino que virão muito mais.

A Microsoft está realmente preocupada de rodar aplicações em PHP no IIS, pois existem diversas aplicações de código aberto que estão sendo bastante utilizadas, como o Wordpress e Drupal. Se uma aplicação em PHP for instalada utilizando o Microsoft Web Platform, ele seleciona o WinCache automaticamente na instalação.

Segue abaixo dois links de exemplos de melhora na performance utilizando o Wincache:

http://techportal.ibuildings.com/2009/11/19/php-on-windows-the-wincache-1-0-benchmark/

http://blog.calevans.com/2009/09/06/wincache/

Downloads:

WinCache 1.0 for PHP 5.2 – x86
WinCache 1.0 for PHP 5.3 – x86

ou

Fonte e mais informações:

http://blogs.iis.net/mailant/archive/2009/11/19/windows-cache-extension-for-php-aka-wincache-1-0-general-availability-today.aspx

Prezados,

Nos dias 25 e 26 de novembro os grupos de usuários ITProBrasil, IISHelp, MSFor, Ceará.Net e OfficeCE irão realizar com apoio da  Microsoft através da sua comunidades técnicas Technet (Profissionais de TI) e MSDN(Desenvolvedores), o maior evento Microsoft deste ano no Ceará, o Microsoft Community Day. Esse evento irá proporcionar uma oportunidade única de compartilhar conhecimentos entre grandes profissionais de mercado do Brasil e a comunidade técnica do Ceará. O evento busca disseminar novos conhecimentos através do temas inovadores e atuais. Abaixo segue folder com programação.

Convidem seus amigos, colegas de trabalho e faculdades, postem no seu blog e twitter. Afinal, uma oportunidade dessas, não é todo dia aparece.
VAGAS LIMITADAS

Informações: http://itprobr.ning.com/events/microsoft-community-day-1

http://itprobr.ning.com/events/microsoft-community-day-2

Link para Inscrições do dia 25/11: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032433776&Culture=pt-BR

Link para Inscrições do dia 26/11: http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032433780&Culture=pt-BR

Antivírus combina com servidores que roda IIS? Sim. Pois além de proteger contra os vírus,trojans, etc., evita scripts maliciosos em PHP, ASP, ASP.NET, etc. Antivirus depende do gosto de cada um, você só precisa ter alguns cuidados em configurar o antivírus. Minhas dicas são:

• Desative o real scan no diretório dos sites. Servidor Web requer muita leitura e escrita em disco, o que elevaria o processamento do antivírus, deixando o servidor com lentidão.
• Desabilite scans de arquivos de imagens e textos.
• Como o Real Scan estará desabilitado, agende um horário de madrugada para passar o antivírus nos diretórios dos sites.

Se o real scan não for desativado, o IIS pode parar o serviço, pois se ele tenta acessar um arquivo 3x e ele está travado (pois o antivírus está lend0), o serviço é interrompido.

Espero que tenha ajudado! Um abraço!