Hardening de servidores com IIS 7.0 e 7.5

1) Utilize uma conta sem privilégios para administração, caso necessite de permissão de Administrador utilize o RunAS

2) Renomeie a conta de Administrador

3) Altere o caminho padrão de armazenamento dos arquivos

4) Rode o Pool de Aplicativos com o usuário (ApplicationPoolIdentity)

5) Execute cada site com um Pool de Aplicativos diferente

6) Remova qualquer modulo que não esteja sendo utilizado

7) Não habilite o Remote Desktop, caso seja necessário certifique-se que seja acessado a partir de uma VPN.

8) Não é recomendado instalar o serviço de FTP e SMTP no mesmo servidor.

9) Habilite o Firewall do Windows, bloqueie todas as portas com excessão das 80, 443 e 3389.

10) Mantenha o servidor atualizado com os últimos paths e Service Packs

11) Rode aplicações ASP.NET com o nível MEDIUM ou abaixo

https://iisbrasil.wordpress.com/2011/04/26/net-trust-levels-page/

12) Habilite a auditoria local de segurança

13) Utilize anti-virus

14) Habilite Custom Errors para não exibir erros remotamente

http://learn.iis.net/page.aspx/267/how-to-use-http-detailed-errors-in-iis/

15) Desabilitar modulo de autenticação anonima

appcmd set config /section:anonymousAuthentication /enabled:false

15) Microsoft Web Application Configuration Analyzer v2.0

https://iisbrasil.wordpress.com/2012/01/02/microsoft-web-application-configuration-analyzer-v2-0-waca/

16) DynamicIPRestrictions

http://www.iis.net/download/DynamicIPRestrictions

17) Bloqueando SQL Injection com URL Rewrite

https://iisbrasil.wordpress.com/2011/02/03/bloqueando-sql-injection-com-url-rewrite/

18) Boas práticas de segurança com o PHP.INI

https://iisbrasil.wordpress.com/2011/04/13/boas-praticas-de-seguranca-com-o-php-ini/

19) IIS Lockdown Tool

http://technet.microsoft.com/en-us/library/dd450372%28WS.10%29.aspx

20) Improving Web Application Security: Threats and Countermeasures

Improving Web Application Security: Threats and Countermeasures

21) ISAPI/CGI Restrictions

http://www.iis.net/ConfigReference/system.webServer/security/isapiCgiRestriction

 

Erick Albuquerque

MVP, MCTS, MCITP SA, MCITP EA

Boas práticas de segurança com o php.ini

Introdução

Utilizar boas praticas de segurança para impedir ataques de SQL Injection, RFI, LFI e outros.

Pratica

Normalmente o php.ini esta armazenado em “C:\Program Files (x86)\php\php.ini”, mas pode variar o local de armazenamento.

Pode ser que em algumas ocasiões as variáveis abaixo estejam habilitadas. Como uma pratica de segurança e’ necessários que essas variáveis estejam desabilitadas (Off), lembrando que ao desabilitar essas variáveis não impacta de forma alguma em seu ambiente. Portanto DESABILITE.

#VARIAVEIS

# Impede ataques de RFI e LFI ( Remote e Local File Inclusion )
allow_url_fopen = Off

# Impede que mensagens de erros sejam exibidas no browser
display_errors = Off

# Impede a execução de caracteres especiais digitados em campos de formulário convertendo-os em barra invertida. Protege contra ataques de SQL injection
magic_quotes_gpc = Off

# Impede o acesso a arquivos remotos através dos parâmetros include ou require, evitando injeção de código malicioso.
allow_url_include = Off

# Impede a exibição das informações sobre o PHP no browser
expose_php = Off

# Impede a execução de strings maliciosas devido as falhas no desenvolvimento da aplicação.
register_globals = Off

Referencias

http://www.php.net/
http://alexos.org

Erick Albuquerque | Moderator at Technet Brasil
https://iisbrasil.wordpress.com/ | http://erickalbuquerque.com.br/