Segurança no IIS 6
Pessoal,
Â
Tenho um bom conhecimento de IIS 6, e gostaria de
compartilhar um pouco minha experiência para tentar melhorar o quanto mais a
segurança do IIS, e também para incentivar o uso maior desse excelente aplicativo. Espero também receber dicas de segurança para sempre melhorar e tentar manter o servidor mais seguro possÃvel.
Minhas dicas são para servidores exclusivos para o IIS. Portanto, se tiver outras aplicações, permissões NTFS para vários usuários, cuidado com o que vai fazer.
4 – Renomear o usuário de administrador do servidor.
5 – Se o FTP e o site forem somente para uso da rede interna (ou poucos usuários), utilizar o bloqueio no IIS para os IP’s que precisam ter acesso.
6 – Instalar um antivÃrus no servidor que não fique pesado, como os antivirus corporativos que o ficam instalados no servidor central e os client instalados nos servidores. Se não tiver antivirus corporativos, será necessário instalar um bom antivirus (por favor, não pensem em instalar AVG ou outro gratuito que existem por aÃ, que não funciona bem). Qual o melhor antivÃrus? Não sei. Depende da cada ambiente. Instala a versão trial e verifica como o servidor se comporta.
7 РRetirar o acesso an̫nimo do FTP.
8 – Criar usuário para acesso anônimo para os sites do IIS. Se IIS tiver mais de um site, configurar logins diferentes, aplicando as permissões NTFS em cada diretório. Por exemplo, se o site for abc.com.br, cria o diretório abc.com.br e o login abcftp, e coloca ele como usuário anônimo e aplica a permissão NTFS do login abcftp no diretório abc.com.br.
9 РSe o site for em PHP, aconselho utilizar o Zend Core, que ̩ um software gratuito, o que ̩ pago ̩ somente o suporte. At̩ agora ṇo precisei utilizar o suporte deles.
compartilhar um pouco minha experiência para tentar melhorar o quanto mais a
segurança do IIS, e também para incentivar o uso maior desse excelente aplicativo. Espero também receber dicas de segurança para sempre melhorar e tentar manter o servidor mais seguro possÃvel.
Minhas dicas são para servidores exclusivos para o IIS. Portanto, se tiver outras aplicações, permissões NTFS para vários usuários, cuidado com o que vai fazer.
1 РSempre manter o Windows atualizado com o ̼ltimo Service Pack.
2 – Remover de todas as unidades todos o logins, exceto o grupo de administradores e SYSTEM. Não é preciso sobrescrever as permissões, basta remover os usuários e grupos e clicar em aplicar. Se sobrescrever, será removido permissões importantes do diretório windows, gerando um grande problema.
4 – Renomear o usuário de administrador do servidor.
5 – Se o FTP e o site forem somente para uso da rede interna (ou poucos usuários), utilizar o bloqueio no IIS para os IP’s que precisam ter acesso.
6 – Instalar um antivÃrus no servidor que não fique pesado, como os antivirus corporativos que o ficam instalados no servidor central e os client instalados nos servidores. Se não tiver antivirus corporativos, será necessário instalar um bom antivirus (por favor, não pensem em instalar AVG ou outro gratuito que existem por aÃ, que não funciona bem). Qual o melhor antivÃrus? Não sei. Depende da cada ambiente. Instala a versão trial e verifica como o servidor se comporta.
7 РRetirar o acesso an̫nimo do FTP.
8 – Criar usuário para acesso anônimo para os sites do IIS. Se IIS tiver mais de um site, configurar logins diferentes, aplicando as permissões NTFS em cada diretório. Por exemplo, se o site for abc.com.br, cria o diretório abc.com.br e o login abcftp, e coloca ele como usuário anônimo e aplica a permissão NTFS do login abcftp no diretório abc.com.br.
9 РSe o site for em PHP, aconselho utilizar o Zend Core, que ̩ um software gratuito, o que ̩ pago ̩ somente o suporte. At̩ agora ṇo precisei utilizar o suporte deles.
Por enquanto é isso. Espero que essas dicas possam ajudá-los. Depois explico como instalar o ASP.NET 2 com segurança, pois se for instalar normalmente, existem falhas de segurança.
Se alguém puder acrescentar algo nas minhas dicas, peço que me comunique para que eu divulgue aqui.
Categories: IIS
O modo isolamento de usuário é mais seguro , entretanto mais limitado, dificil de criar dois usuarios para o mesmo diretorio por exemplo
Crie os usuarios normalmente , incluindo eles no grupo e crie um diretório virtual no FTP com o mesmo nome do usuario .. este sim , com direito de gravação.
Se alguem cair no diretório RAIZ não grava nada , e ao listar não vê os diretórios virtuais, precisaria dar cd para o mesmo …
se bem que não conseguiria ir para outro cliente , pois o NTFS não deixaria faze-lo
Edison,
Boas dicas, o FTP raramente tem falhas, o problema são as aplicações rodando no IIS. Depois eu posto como deixar o IIS mais seguro.