Hardening de servidores com IIS 7.0 e 7.5


1) Utilize uma conta sem privilégios para administração, caso necessite de permissão de Administrador utilize o RunAS

2) Renomeie a conta de Administrador

3) Altere o caminho padrão de armazenamento dos arquivos

4) Rode o Pool de Aplicativos com o usuário (ApplicationPoolIdentity)

5) Execute cada site com um Pool de Aplicativos diferente

6) Remova qualquer modulo que não esteja sendo utilizado

7) Não habilite o Remote Desktop, caso seja necessário certifique-se que seja acessado a partir de uma VPN.

8) Não é recomendado instalar o serviço de FTP e SMTP no mesmo servidor.

9) Habilite o Firewall do Windows, bloqueie todas as portas com excessão das 80, 443 e 3389.

10) Mantenha o servidor atualizado com os últimos paths e Service Packs

11) Rode aplicações ASP.NET com o nível MEDIUM ou abaixo

https://iisbrasil.wordpress.com/2011/04/26/net-trust-levels-page/

12) Habilite a auditoria local de segurança

13) Utilize anti-virus

14) Habilite Custom Errors para não exibir erros remotamente

http://learn.iis.net/page.aspx/267/how-to-use-http-detailed-errors-in-iis/

15) Desabilitar modulo de autenticação anonima

appcmd set config /section:anonymousAuthentication /enabled:false

15) Microsoft Web Application Configuration Analyzer v2.0

https://iisbrasil.wordpress.com/2012/01/02/microsoft-web-application-configuration-analyzer-v2-0-waca/

16) DynamicIPRestrictions

http://www.iis.net/download/DynamicIPRestrictions

17) Bloqueando SQL Injection com URL Rewrite

https://iisbrasil.wordpress.com/2011/02/03/bloqueando-sql-injection-com-url-rewrite/

18) Boas práticas de segurança com o PHP.INI

https://iisbrasil.wordpress.com/2011/04/13/boas-praticas-de-seguranca-com-o-php-ini/

19) IIS Lockdown Tool

http://technet.microsoft.com/en-us/library/dd450372%28WS.10%29.aspx

20) Improving Web Application Security: Threats and Countermeasures

Improving Web Application Security: Threats and Countermeasures

21) ISAPI/CGI Restrictions

http://www.iis.net/ConfigReference/system.webServer/security/isapiCgiRestriction

 

Erick Albuquerque

MVP, MCTS, MCITP SA, MCITP EA

Anúncios

Microsoft Web Application Configuration Analyzer v2.0 (WACA)


Visão Geral

É uma ferramenta que verifica um conjunto de boas práticas para um servidor antes de entrar em produção, baseado em uma lista das melhores práticas de segurança a serem seguidas. Não é necessário ter nenhum agente instalado no servidor destino, basta ter privilégios administrativo ou alguma instância SQL no servidor.

Pré-requisitos

  • Sistemas operacionais suportados: Windows 7, Windows Server 2003, Windows Server 2003 R2 (32-Bit x86), Windows Server 2003 R2 x64 editions, Windows Server 2008
  • Sistemas operacionais suportados para instalação: Windows XP, Windows Vista, Windows Server 2003, Windows Server 2008 R1/R2Support Operating Systems for scanning: Windows Server 2003, Windows Server 2008 R1/R2
  • Softwares: .NET Framework v4.0, Microsoft Office Excel (Optional)

Link para download: Clique aqui

Instalação

A instalação é bem simples, veja:

Clique em Next.

Leia e aceite os termos “I Agree”, em seguida clique em Next

Neste item pode ser alterado o local de instalação do aplicativo, caso não seje de seu interesse a alteração, clique em Next.

Confirme a instalação clicando em Next.

A instalação foi finalizada, é recomendo que inicie o Windows Update para atualização do .NET Framework

Configuração/Scan

Clique em Start > All Programs > Microsoft Information Security > Selecione “Web Application Configuration Analyser”.

Tela inicial.

Em rules temos regras pré-configuradas para começarmos o “scan”, seja no servidor local ou remoto.

Para iniciarmos o scan, clique em Scan machines em Quick Actions ou acesse pelo menu File > Scan Machines.

Em target digite o FQDN (Full qualify Domain Name) em seguida clique em SCAN, quando terminar a análise será exibida um mensagem na tela, clique em OK.

Para visualizar o resultado, selecione File > View Scan Results, em Group Name, selecione Untitled (Grupo default para armazenamento do SCAN), verifique o ultimo horário que foi executado o SCAN em Timestamp, ao selecione o horário/data, logo abaixo será exibido um relatório completo, veja:

 

 

 

 

 

 

O relatório é muito interessante, mostra em porcetagem o que passou no teste de segurança e o que falhou, mais abaixo dividos por blocos (IIS, Application e SQL), é listado todos os testes executados e ainda dicas de como corrigir os que falharam, após serem feitas as correções, execute o SCAN novamente e faça um “merge” do relatório anterior.

 

Erick Albuquerque

MVP, MCTS, MCITP SA, MCTIP EA