DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 325864 - Última revisão: segunda-feira, 23 de Abril de 2007 - Revisão: 4.7

 
Recomendamos vivamente que todos os utilizadores actualizem para Microsoft (IIS) 6.0 em execução no Microsoft Windows Server 2003. O IIS 6.0 aumenta significativamente a Web infra-estrutura de segurança. Para mais informações sobre tópicos relacionados com a segurança do IIS, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx (http://www.microsoft.com/technet/security/prodtech/IIS.mspx)

Nesta página

Sumário

Este artigo passo a passo explica como proteger um servidor Web utilizando o Assistente de bloqueio de serviços de informação Internet (IIS). Também inclui informações sobre como resolver problemas que ocorrem depois de executar o assistente.

Preparar para executar o Assistente de bloqueio do IIS

Com o IIS Lockdown Wizard, pode desactivar várias funcionalidades opcionais do IIS para proteger o servidor IIS contra o ataque. Antes de executar o assistente, leia o ficheiro de ajuda para se familiarizar com as opções que o assistente apresenta. Para aceder ao ficheiro de ajuda:
  1. Transferir o IIS Lockdown Wizard. Para transferir o assistente, visite o seguinte Web site da Microsoft:
    http://www.microsoft.com/Downloads/details.aspx?displaylang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC (http://www.microsoft.com/Downloads/details.aspx?displaylang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC)
  2. Extrai os ficheiros do Assistente de bloqueio do ficheiro executável.
  3. Localize a pasta que especificou quando extraiu os ficheiros e, em seguida, faça duplo clique no ficheiro Iislockd.chm.
Tenha em atenção que o Assistente de bloqueio de segurança permite-lhe desactivar determinadas funcionalidades opcionais do IIS que são necessário para o funcionamento correcto de outras aplicações, como o Exchange e o FrontPage. Se não seleccionar as opções correctas quando executa o Assistente de bloqueio, poderá quebrar a funcionalidade destas aplicações. Para minimizar problemas, reveja os cuidadosamente os artigos da base de dados de conhecimento da Microsoft que são apropriados para o sistema configuração antes de que executar o Assistente de bloqueio de segurança:
  • Exchange e Outlook Web Access (OWA):
    309508  (http://support.microsoft.com/kb/309508/ ) Configurações do IIS Lockdown e URLscan num ambiente do Exchange
  • O Microsoft Mobile Information Server:
    311595  (http://support.microsoft.com/kb/311595/ ) Como instalar e configurar o Microsoft Security Tool Kit no Microsoft Mobile Information Server
  • Microsoft Small Business Server:
    311862  (http://support.microsoft.com/kb/311862/ ) Como utilizar a ferramenta IIS Lockdown A com o Small Business Server
  • Microsoft Project, o Project Server e o Project Web Access:
    321357  (http://support.microsoft.com/kb/321357/ ) Mensagens de erro quando visualiza uma página do Microsoft Project Web Access com grelhas
    316398  (http://support.microsoft.com/kb/316398/ ) Como configurar a ferramenta de bloqueio do IIS e a ferramenta de segurança URLScan num computador que está a executar o Microsoft Project Server ou Microsoft Project Central
  • Microsoft SharePoint Portal Server:
    309675  (http://support.microsoft.com/kb/309675/ ) Ferramenta IIS Lockdown afecta o SharePoint Portal Server
    319633  (http://support.microsoft.com/kb/319633/ ) ' Erro de execução de script: erro de execução INVOKE ' mensagem de erro depois de instalar o IIS Lockdown Wizard
  • Microsoft Visual Studio .NET:
    310588  (http://support.microsoft.com/kb/310588/ ) PROBLEMA: O Toolkit de segurança quebras de depuração de ASP.NET no Visual Studio .NET
    315904  (http://support.microsoft.com/kb/315904/ ) Erro: "ExternalException: não é possível executar um programa" mensagem de erro ao chamar WebServices a partir de uma página .aspx
  • O Microsoft FrontPage:
    317390  (http://support.microsoft.com/kb/317390/ ) Mensagem de erro "HTTP/1.1 404 não encontrado objecto" ocorre quando um utilizador da página Web efectua uma procura
    307976  (http://support.microsoft.com/kb/307976/ ) Mensagem de erro quando utiliza o FrontPage com o URLScan
  • Microsoft Proxy Server:
    311675  (http://support.microsoft.com/kb/311675/ ) Não é possível procurar Proxy Server 2.0 ajuda online depois de instalar o IIS Lockdown Wizard
  • 888936  (http://support.microsoft.com/kb/888936/ ) Não é possível instalar o cliente do SMS 2003 avançadas

Transfira e instale o IIS Lockdown Wizard

  1. Duplo clique no executável ficheiro que transferiu no Prepare to run the IIS Lockdown Wizard secção para iniciar o assistente.
  2. Na página ' Bem-vindo ao ', leia o texto explicativo e, em seguida, clique em seguinte .
  3. Na página Contrato de licença, leia o contrato de licença, clique em Concordo e, em seguida, clique em seguinte .
  4. Na página Seleccionar modelo de servidor, seleccione o modelo que mais se aproxime a função deste servidor e, em seguida, clique para seleccionar Definições de modelo da vista . As páginas que siga esta ter opções seleccionadas já consoante a função de servidor que seleccionou anteriormente na página anterior, para que possa utilizar todas as selecções predefinidas.

    Se o servidor tiver várias funções (por exemplo, um dinâmico Web servidor que também seja um servidor proxy), clique para seleccionar outro (Server que não corresponde a nenhuma das funções listadas) e certifique-se que avalie cuidadosamente todas as opções que são apresentadas nas páginas seguintes, uma vez que as selecções predefinidas podem não ser apropriadas para o servidor. Quando tiver seleccionado as definições apropriadas, clique em seguinte .
  5. Na página dos serviços de Internet, seleccione os serviços que pretende que o servidor para fornecer. A maior parte dos servidores necessitam que o serviço Web. Se não pretender o servidor para fornecer serviços de protocolo de transferência de ficheiros (FTP) ou SMTP (Simple Mail Transfer Protocol) (ou seja, correio electrónico ou transferência de serviços de ficheiros), pode clicar para desmarcar estas opções. Note que tem de deixar SMTP seleccionado se estiver a executar o Exchange ou o Small Business Server.

    Os serviços que não seleccione nesta página são definidos como desactivado e não é possível iniciar. Se tiver o Assistente de bloqueio no IIS 5.0, também pode clicar para seleccionar a remover serviços não seleccionados , que remove totalmente os serviços que não tenham sido seleccionados do sistema. Quando tiver seleccionado as definições apropriadas, clique em seguinte .
  6. Na página mapeamentos de scripts, clique para desmarcar a caixa de verificação junto a qualquer tipo de ficheiro ou tipos de ficheiro que pretende que o servidor para fornecer. Se não tiver a certeza que desactivar, pode procurar os directórios de conteúdo para saber se existem as extensões de ficheiros. Tenha em atenção que a maior parte dos servidores requerem o Active Server Pages (.asp), pelo que deve clicar para desmarcar essa caixa de verificação, a menos que seja-se de que o servidor não servir páginas ASP. Clique em seguinte .
  7. Na página segurança adicional, seleccione os directórios virtuais que pretende remover deste servidor. Por predefinição, estes directórios virtuais são instalados por predefinição com o IIS, pelo que são conhecidos alvos para intrusos e poderá pretender remover estes directórios virtuais ou mudar os respectivos nomes nos computadores de produção. Remover estes directórios virtuais do IIS não remove os directórios físicos correspondentes no disco, pelo que não perde quaisquer dados seleccionando esta opção.
  8. Na página segurança adicionais, clique para seleccionar com utilitários de sistema se pretende negar direitos em ficheiros executáveis no directório do Windows para a conta de convidado da Internet (por predefinição, IUSR_ <computername >). Esta opção deve ser seleccionada na maior parte dos sistemas.
  9. Na página segurança adicionais, clique para seleccionar escrita a conteúdo directórios se pretende recusar menos direitos de convidado Internet conta nos directórios que contêm a Web conteúdos. Certifique-se de que deixe esta opção desmarcada se estiver a utilizar as extensões de servidor do FrontPage neste servidor ou se este servidor funciona como um servidor proxy.
  10. Na página segurança adicionais, clique para seleccionar Desactivar Web Distributed Authoring and Versioning (WebDAV) se não estiver a utilizar WebDAV para criar e implementar o conteúdo da Web neste servidor. Se este servidor é executado o Outlook Web Access (OWA) para o Exchange 2000, certifique-se de que deixe esta opção desmarcada.
    Nota : Se seleccionar esta opção, os conjuntos de Assistente de bloqueio direitos de DLL que implementa a funcionalidade de WebDAV (Httpext.dll) para negar permissão de execução. Isto pode ainda permitir determinados pedidos de WebDAV para executar. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    307934  (http://support.microsoft.com/kb/307934/ ) Bloquear WebDAV através de ACL, Access Control List continua a permitir pedidos PUT e DELETE
  11. Clique em seguinte .
  12. Na página URLScan, seleccione a opção para instalar URLScan, se pretender utilizar o URLScan para filtrar pedidos baseados num conjunto de regras. Se um cliente tentar efectuar um pedido não é válido com base nas regras URLScan, o IIS responde com um erro de ficheiro não encontrado 404 e regista o pedido no ficheiro de registo URLScan. Por predefinição, este ficheiro está localizado em % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Nota Se deixar o WebDAV activado a página de segurança adicionais mas optar por instalar URLScan, tenha em atenção que o URLScan bloqueia pedidos WebDAV por predefinição. Se pretender utilizar WebDAV com URLScan tem de modificar o ficheiro URLScan.ini.
  13. No pronto para aplicar definições de página, reveja as alterações que vão ser efectuadas e, em seguida, clique em seguinte .
  14. O Assistente de bloqueio efectua uma cópia a metabase de segurança e efectua as alterações seleccionadas. Quando este estiver concluído, clique em Ver relatório para ver um relatório que descreve as alterações que efectuou o assistente. Clique em seguinte para continuar.

    Nota Pode ver o relatório de instalação abrindo %WINDIR%\System32\Inetsrv\Oblt-rep.log no bloco de notas.
  15. Clique em Concluir para fechar o Assistente de bloqueio do IIS.
  16. Teste completamente todas as funcionalidades do servidor. Este passo é muito importante. Se descobrir que desactivaram acidentalmente funcionalidade requerida do servidor, imediatamente reverter as alterações efectuado no Assistente de bloqueio e, em seguida, volte a executar o Assistente para seleccionar as opções correctas.Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    317052  (http://support.microsoft.com/kb/317052/ ) Como anular alterações efectuadas pelo Assistente de bloqueio do IIS

Configurar o URLScan

Quando executa o IIS Lockdown Wizard, pode instalar URLScan. O URLScan é um filtro ISAPI que bloqueia pedidos HTTP baseados num conjunto de regras configurável. Por exemplo, pode configurar o URLScan para bloquear todos os pedidos de uma determinada extensão de nome de ficheiro, para bloquear determinados verbos de HTTP (tal como GET ou POST) ou para bloquear pedidos que contêm caracteres que são frequentemente incluídos no ataques em servidores Web.

Para configurar o URLScan, utilize um editor de texto, tal como o bloco de notas para editar o ficheiro %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Este ficheiro contém muitos comentários que explicam cada opção de configuração. Quando tiver terminado de editar o ficheiro .ini, guardá-lo e reiniciar o IIS.

Para obter informações adicionais sobre como configurar o URLScan, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
312376  (http://support.microsoft.com/kb/312376/ ) Como configurar o URLScan para permitir pedidos com uma extensão de nulo no IIS
326444  (http://support.microsoft.com/kb/326444/ ) Como configurar a ferramenta URLScan

Resolução de problemas depois de executar o IIS Lockdown Wizard

O problema mais comum depois de executar o Assistente de bloqueio do IIS está a receber inesperadas mensagens de erro de ficheiro não encontrado 404 quando abre o site bloqueado. Poderá receber estas mensagens de erro mesmo para os ficheiros existentes. Isto ocorre quando um cliente pede um ficheiro que tenha sido bloqueado pelo Assistente de bloqueio ou URLScan. Neste caso, o IIS indica que o ficheiro não existe para fins de segurança. Se um utilizador mal intencionado sabe que um serviço vulnerável existe no servidor, mas está a ser bloqueado, o utilizador pode encontrar uma forma de contornar o bloco e explorar a vulnerabilidade; no entanto, se o utilizador considera que o serviço não está instalado, o utilizador não tentará explorá-lo.

Se receber uma mensagem de 404 erro depois de executar o Assistente de bloqueio do IIS, siga estes passos para resolver o problema:
  1. Verifique se o ficheiro que está a pedir existe no servidor. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    248033  (http://support.microsoft.com/kb/248033/ ) Como os administradores de sistema podem resolver uma "HTTP 404 - ficheiro não encontrado" mensagem de erro num servidor que está a executar o IIS
  2. Examine o ficheiro de registo URLScan para verificar se o URLScan está a bloquear os pedidos. Este ficheiro está localizado em %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (em que MMDDAA é a data para o registo). Se descobrir que o URLScan está a bloquear os pedidos, consulte a secção Configure URLScan para configurar o URLScan para permite estes pedidos.
  3. Se está a pedir um ficheiro que não sejam em HTML, tal como uma página ASP ou um lado activados incluir ficheiro de servidor, verifique se o mapeamento de aplicação para o tipo de ficheiro no Gerenciador de serviços Internet:
    1. Clique com o botão direito do rato o Web site e, em seguida, clique em Propriedades .
    2. No separador Directório raiz , clique em configuração .
    3. Clique no separador Mapeamentos de aplicações .
    4. Clique na linha que corresponde à extensão do ficheiro que está a tentar aceder.
    5. Se o Caminho executável é definido para % WINDIR%\System32\Inetsrv\404.dll, clique em Editar e defina o Caminho executável para o caminho executável predefinição dessa extensão de ficheiro. Se não tiver a certeza do predefinido, abra o ficheiro %WINDIR%\System32\Inetsrv\oblt-log.log, que foi criado quando executou o Assistente de bloqueio. Procure uma linha que começa com SMAP seguido pela extensão nome de ficheiro. Esta linha contém também o caminho de executável predefinido para esse tipo de ficheiro.
Se tiver problemas com um serviço que depende do IIS, como o Exchange ou o SharePoint, consulte os artigos da base de dados de conhecimento da Microsoft listados na secção Prepare to run the IIS Lockdown Wizard.

Pode também encontrar esse FTP ou SMTP não funcionam depois de executar o IIS Lockdown Wizard. Isto ocorre se desactivar ou remover estes serviços. Se tiver desactivado os serviços, siga estes passos para activá-las:
  1. Abra o painel de controlo.
  2. No Windows NT 4.0, abra a aplicação de Serviços . No Windows 2000 ou Windows XP, abra a pasta Ferramentas administrativas e, em seguida, abra a aplicação de Serviços .
  3. Faça duplo clique publicação de FTP ou Simple Mail Transfer protocolo (SMTP) .
  4. Para tipo de arranque , clique para seleccionar automáticas .
  5. Clique em Iniciar se pretender que o serviço para iniciar imediatamente.
Se removido completamente um ou ambos estes serviços, seleccionando remover serviços desnecessários quando executou o Assistente de bloqueio do IIS no IIS 5.0, siga estes passos para os reinstalar:
  1. Abra o painel de controlo.
  2. Abra a aplicação Adicionar/remover programas e, em seguida, clique em Adicionar/remover componentes do Windows no painel esquerdo.
  3. Seleccione Serviços de informação Internet (IIS) e, em seguida, clique em Detalhes .
  4. Clique para seleccionar o serviço de protocolo de transferência de ficheiros (FTP, File Transfer Protocol) ou o Serviço SMTP .
  5. Clique em OK e, em seguida, clique em seguinte . O serviço seleccionado ou serviços serão instalados. Poderá ser-lhe solicitado que insira o Windows CD-ROM.
  6. Certifique-se de que, aplique novamente o service pack mais recente do Windows e correcções que tiver instalada.
Se nenhum destes métodos funcionar, pode ver o ficheiro de relatório a ver todas as alterações efectuadas a ferramenta IIS Lockdown Wizard. Isto pode ajudar a determinar a alterações causa problemas que ocorrerem. Este ficheiro de relatório é guardado em % WINDIR\System32\Inetsrv\Oblt-rep.log.

Para obter informações adicionais sobre como anular as alterações que efectuou o IIS Lockdown Wizard, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
317052  (http://support.microsoft.com/kb/317052/ ) Como anular alterações efectuadas pelo Assistente de bloqueio do IIS

Referências

Para obter informações adicionais sobre o IIS Lockdown Wizard e como proteger o servidor de IIS, clique números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
310725  (http://support.microsoft.com/kb/310725/ ) Como executar o Assistente de bloqueio do IIS automática no IIS
311350  (http://support.microsoft.com/kb/311350/ ) Como criar um tipo de servidor personalizados para utilização com o IIS Lockdown Wizard
282060  (http://support.microsoft.com/kb/282060/ ) Recursos de segurança dos serviços de informação Internet

A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Server 4.0
Palavras-chave: 
kbmt kbhowtomaster KB325864 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 325864  (http://support.microsoft.com/kb/325864/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft