helldanger1
GForum VIP
- Entrou
- Ago 1, 2007
- Mensagens
- 29,631
- Gostos Recebidos
- 1
Práticas recomendadas gerais
Faça logon com as credenciais mínimas. Faça logon no computador usando uma conta que não esteja no grupo Administradores e use o comando Executar como para executar o Gerenciador do IIS como administrador.
Reduza a superfície de ataque. Desative todos os serviços de que você não precisa, incluindo os serviços IIS, como FTP, NNTP ou SMTP. Se um recurso ou serviço não estiver habilitado, não há necessidade de protegê-lo.
Não baixe ou execute programas de fontes não confiáveis. Tais programas podem conter instruções para violar a segurança de várias maneiras, incluindo o roubo de dados, negação de serviço e destruição de dados.
Mantenha o antivírus atualizado. Os antivírus normalmente identificam arquivos infectados procurando uma assinatura que é um componente conhecido de um vírus anteriormente identificado. Os antivírus mantêm essas assinaturas de vírus em um arquivo de assinaturas, que está normalmente armazenado no disco rígido local. Como novos vírus são freqüentemente descobertos, esse arquivo também deve ser freqüentemente atualizado para que o antivírus identifique facilmente todos os vírus atuais.
Siga todas as atualizações de software. As atualizações de software fornecem soluções para problemas de segurança conhecidos. Verifique periodicamente os sites dos fornecedores dos softwares para ver se existem novas atualizações disponíveis para os softwares usados na sua organização.
O novo modelo de processo do IIS 6.0 inclui a reciclagem do processo, que significa que um administrador pode instalar facilmente a maioria das atualizações do IIS e a maioria das novas DLLs de processo de trabalho sem nenhuma interrupção do serviço.
O Auto Update versão 1.0 fornece três opções aos clientes: notificação da disponibilidade de atualizações no momento em que elas estiverem disponíveis, download das atualizações e notificação de que o download foi efetuado, além de instalação programada. Para obter mais informações, consulte "Atualizações Automáticas do Windows" no Centro de Ajuda e Suporte do Windows Server 2003.
Use o NTFS. O sistema de arquivos NTFS é mais seguro que o sistema de arquivos FAT ou FAT32.
Atribua permissões NTFS de alta segurança para os recursos.
Tenha cuidado com os controladores de domínio. Se você usar um controlador de domínio como um servidor de aplicativo, saiba que, se a segurança for comprometida no controlador de domínio, ela será comprometido em todo o domínio.
Práticas recomendadas do IIS
Restrinja as permissões de acesso de gravação para a conta IUSR_nome_do_computador. Esse procedimento ajuda a limitar o acesso de usuários anônimos ao seu computador.
Armazene os arquivos executáveis em um diretório separado. Esse procedimento facilita para os administradores a atribuição de permissões de acesso e a auditoria.
Crie um grupo para todas as contas de usuários anônimos. Você pode negar permissões de acesso a recursos com base na participação nesse grupo.
Negue permissões de execução para usuários anônimos a todos os executáveis dos diretórios e subdiretórios do Windows.
Use a restrição de endereço IP se o IIS estiver sendo administrado remotamente. Para obter mais informações, consulte Protegendo sites com restrições de endereço IP.
Atribua as permissões mais restritas possíveis. Por exemplo, se seu site for usado somente para exibir informações, atribua as permissões somente Leitura. Se um diretório ou site contiver aplicativos, atribua as permissões Somente Scripts em vez das permissões Scripts e Executáveis. Para obter mais informações, consulte Protegendo sites com permissões do site.
Não atribua permissões de Gravação e de Acesso ao código-fonte do script ou permissões de scripts e Executáveis. Use essa combinação com extremo cuidado. Ela pode permitir que um usuário carregue arquivos executáveis potencialmente perigosos para o seu servidor e os execute. Para obter mais informações, consulte Protegendo sites com permissões do site.
Habilite a criptografia de dados em todos os scripts de administração remota baseados em WMI. Para obter mais informações, consulte Criptografando dados ao executar scripts de administração remota baseados em WMI.
Verifique se a autoridade de certificação raiz intermediária VeriSign no servidor está atualizada. Verifique a data de vencimento e atualize essa autoridade de certificação, se necessário. A nova autoridade de certificação raiz intermediária da VeriSign tem as seguintes propriedades:
Copiar CódigoIssued to: www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
Issued by: Class 3 Public Primary Certification Authority
Valid from: 4/16/97 to 10/24/11Para obter informações sobre como verificar a data de validade, consulte Determinando a versão da autoridade de certificação de raiz intermediária em um servidor Web. Para obter informações sobre a atualização da autoridade de certificação raiz intermediária, consulte o site de suporte da VeriSign.
Faça logon com as credenciais mínimas. Faça logon no computador usando uma conta que não esteja no grupo Administradores e use o comando Executar como para executar o Gerenciador do IIS como administrador.
Reduza a superfície de ataque. Desative todos os serviços de que você não precisa, incluindo os serviços IIS, como FTP, NNTP ou SMTP. Se um recurso ou serviço não estiver habilitado, não há necessidade de protegê-lo.
Não baixe ou execute programas de fontes não confiáveis. Tais programas podem conter instruções para violar a segurança de várias maneiras, incluindo o roubo de dados, negação de serviço e destruição de dados.
Mantenha o antivírus atualizado. Os antivírus normalmente identificam arquivos infectados procurando uma assinatura que é um componente conhecido de um vírus anteriormente identificado. Os antivírus mantêm essas assinaturas de vírus em um arquivo de assinaturas, que está normalmente armazenado no disco rígido local. Como novos vírus são freqüentemente descobertos, esse arquivo também deve ser freqüentemente atualizado para que o antivírus identifique facilmente todos os vírus atuais.
Siga todas as atualizações de software. As atualizações de software fornecem soluções para problemas de segurança conhecidos. Verifique periodicamente os sites dos fornecedores dos softwares para ver se existem novas atualizações disponíveis para os softwares usados na sua organização.
O novo modelo de processo do IIS 6.0 inclui a reciclagem do processo, que significa que um administrador pode instalar facilmente a maioria das atualizações do IIS e a maioria das novas DLLs de processo de trabalho sem nenhuma interrupção do serviço.
O Auto Update versão 1.0 fornece três opções aos clientes: notificação da disponibilidade de atualizações no momento em que elas estiverem disponíveis, download das atualizações e notificação de que o download foi efetuado, além de instalação programada. Para obter mais informações, consulte "Atualizações Automáticas do Windows" no Centro de Ajuda e Suporte do Windows Server 2003.
Use o NTFS. O sistema de arquivos NTFS é mais seguro que o sistema de arquivos FAT ou FAT32.
Atribua permissões NTFS de alta segurança para os recursos.
Tenha cuidado com os controladores de domínio. Se você usar um controlador de domínio como um servidor de aplicativo, saiba que, se a segurança for comprometida no controlador de domínio, ela será comprometido em todo o domínio.
Práticas recomendadas do IIS
Restrinja as permissões de acesso de gravação para a conta IUSR_nome_do_computador. Esse procedimento ajuda a limitar o acesso de usuários anônimos ao seu computador.
Armazene os arquivos executáveis em um diretório separado. Esse procedimento facilita para os administradores a atribuição de permissões de acesso e a auditoria.
Crie um grupo para todas as contas de usuários anônimos. Você pode negar permissões de acesso a recursos com base na participação nesse grupo.
Negue permissões de execução para usuários anônimos a todos os executáveis dos diretórios e subdiretórios do Windows.
Use a restrição de endereço IP se o IIS estiver sendo administrado remotamente. Para obter mais informações, consulte Protegendo sites com restrições de endereço IP.
Atribua as permissões mais restritas possíveis. Por exemplo, se seu site for usado somente para exibir informações, atribua as permissões somente Leitura. Se um diretório ou site contiver aplicativos, atribua as permissões Somente Scripts em vez das permissões Scripts e Executáveis. Para obter mais informações, consulte Protegendo sites com permissões do site.
Não atribua permissões de Gravação e de Acesso ao código-fonte do script ou permissões de scripts e Executáveis. Use essa combinação com extremo cuidado. Ela pode permitir que um usuário carregue arquivos executáveis potencialmente perigosos para o seu servidor e os execute. Para obter mais informações, consulte Protegendo sites com permissões do site.
Habilite a criptografia de dados em todos os scripts de administração remota baseados em WMI. Para obter mais informações, consulte Criptografando dados ao executar scripts de administração remota baseados em WMI.
Verifique se a autoridade de certificação raiz intermediária VeriSign no servidor está atualizada. Verifique a data de vencimento e atualize essa autoridade de certificação, se necessário. A nova autoridade de certificação raiz intermediária da VeriSign tem as seguintes propriedades:
Copiar CódigoIssued to: www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD.(c)97 VeriSign
Issued by: Class 3 Public Primary Certification Authority
Valid from: 4/16/97 to 10/24/11Para obter informações sobre como verificar a data de validade, consulte Determinando a versão da autoridade de certificação de raiz intermediária em um servidor Web. Para obter informações sobre a atualização da autoridade de certificação raiz intermediária, consulte o site de suporte da VeriSign.