Protector de seguridad de Windows IIS 6 - Raiders de autorización de URL

  
                              

IIS para el sistema operativo Windows es uno de los servidores web más populares para todos. IIS es potente y fácil de usar, pero también es vulnerable a ataques maliciosos. Su seguridad siempre ha sido el tema central de la discusión. Para mejorar la seguridad del servidor web, se han agregado muchas características de seguridad a IIS6 del sistema operativo Windows Server 2003. "Autorización de URL" es uno de ellos. Esta característica puede hacer que IIS6 funcione de manera más segura y constante. Este artículo le presentará el conocimiento relevante sobre la autorización de URL.

Primero, por qué usar la autorización de URL
El sitio web de IIS para facilitar el trabajo de los usuarios, pero su seguridad siempre ha sido el tema de mayor preocupación para los administradores. Como todos sabemos, hay algunas vulnerabilidades en el componente del servidor IIS, y muchos "delincuentes" usan estas vulnerabilidades para atacar sitios web. Aunque la instalación oportuna de los parches de IIS puede solucionar estas vulnerabilidades, continuarán surgiendo nuevas vulnerabilidades. Muchos administradores utilizan el método de cancelar el acceso anónimo para controlar el rango de usuarios que acceden al sitio web, pero aún existen algunos riesgos de seguridad de esta manera. Para mejorar la seguridad de IIS, la función de autorización de URL se proporciona en el sistema Windows Server 2003, que puede controlar estrictamente a los usuarios que navegan en el sitio web a través del administrador de autorizaciones. Si desea que una cuenta de usuario acceda a un directorio virtual con la autorización de URL habilitada, la cuenta de usuario primero debe ser una cuenta válida en el sistema Windows Server 2003. Además, la cuenta se agregará a la asignación de funciones del Administrador de autorización.

En segundo lugar, configure la función de autorización de URL
IIS6 no habilita la función de autorización de URL de forma predeterminada, debe configurarlo manualmente con el administrador de autorizaciones. A continuación voy a presentar cómo lograr paso a paso.

1. Deshabilite el acceso anónimo
En el sistema Windows Server 2003, IIS6 permite a los usuarios acceder de forma anónima por defecto. Para usar la autorización de URL, primero debe deshabilitar el acceso anónimo. Haga clic en "Inicio → Ejecutar" e ingrese el comando "% systemroot% \\ System32 \\ InetSrv \\ IIS.msc" en el cuadro de diálogo de ejecución (donde "% systemroot%" indica el directorio donde se encuentra el sistema operativo). Después del retorno de carro, aparece la ventana "Administrador de servicios de información de Internet (IIS)" y luego se expande "Equipo local → Sitio web → Sitio web predeterminado". El siguiente ejemplo utiliza el directorio virtual en línea del sitio web predeterminado como ejemplo para describir cómo configurar la función de autorización de URL.

Haga clic con el botón derecho en la opción "Carpeta en línea" y seleccione "Propiedades" en el menú emergente. En el cuadro de diálogo emergente de Propiedades en línea, cambie a la pestaña "Directorio virtual" y haga clic en el botón "Crear". Haga clic en el botón "Editar" en la barra de Autenticación y control de acceso de la pestaña "Seguridad del directorio". En el cuadro de diálogo emergente Método de autenticación, desmarque la casilla de verificación "Habilitar acceso anónimo" para garantizar la "Autenticación integrada de Windows". Se selecciona la opción (Figura 1), luego haga clic dos veces en el botón "Aceptar".


2. Configure la asignación de la aplicación de comodines
Después de que la función de acceso anónimo esté deshabilitada, comenzamos la configuración oficialmente. Primero configure la asignación de la aplicación de comodines para la función de autorización de URL. En la pestaña Directorio virtual del cuadro de diálogo Propiedades en línea, haga clic en el botón "Configurar", aparecerá el cuadro de diálogo "Aplicaciones", haga clic en el botón "Insertar" en la columna "Asignación de aplicación de comodines" (Figura 2), en "Agregar /Haga clic en el botón "Examinar" en el cuadro de diálogo Editar asignación de extensión de la aplicación, vaya al directorio "% systemroot% \\ System32 \\ InetSrv", busque el archivo urlauth.dll, haga clic en el botón "Abrir" y finalmente haga clic en el botón "Aceptar".
extensión de servicio Web 3. Agregar
A continuación, añadir una URL para ser autorizado como una extensión de servicio Web en IIS 6 en. En la ventana Administrador de Internet Information Services (IIS), expanda Computadora local → Sitio web → Extensión de servicio web. Haga clic en el enlace Agregar una nueva extensión de servicio WEB en el cuadro Extensión de servicio WEB a la derecha para abrir la nueva WEB. Diálogo de extensión de servicio (Figura 3). Ingrese "Autorización de URL" en el campo "Extensión", luego haga clic en el botón "Agregar", haga clic en "Examinar" en el cuadro de diálogo Agregar, busque el archivo urlauth.dll en el directorio "% systemroot% \\ System32 \\ InetSrv", ábralo. Haga clic en el botón "Aceptar". Luego seleccione la opción "Establecer el estado de extensión para permitir" en el cuadro de diálogo Nueva extensión de servicio WEB y finalmente haga clic en el botón "Aceptar".


4. Nuevo almacén de autorización
Para habilitar la función de autorización de URL, debe usarse con el Administrador de autorización, que se utiliza para administrar la cuenta de usuario que accede al sitio web de IIS. Tiene que ser gestionado y configurado. Primero crea un archivo para que almacene la información de autorización. Ingrese el comando "Azman.msc" en el cuadro de diálogo Ejecutar, presione el botón Entrar para abrir la ventana del Administrador de Autorizaciones, haga clic derecho en la opción "Administrador de Autorizaciones", seleccione "Opciones" en el menú emergente, luego seleccione "Desarrollo" en el cuadro de diálogo Opciones. Después del modo, haga clic en el botón "Aceptar". A continuación, creamos un nuevo archivo de almacenamiento de autorización, haga clic con el botón derecho en la opción "administrador de autorización", seleccione la opción "nuevo almacenamiento de autorización", abra el cuadro de diálogo de almacenamiento de autorización (Figura 4), seleccione la opción única "archivo XML", en el "nombre de almacenamiento" Después de ingresar "C: \\ MyStore.xml" en el campo, haga clic en el botón "Aceptar".


Luego, en la ventana del Administrador de autorización, haga clic derecho en el elemento MyStore.xml. En el menú emergente, seleccione "Nueva aplicación", ingrese "Autorización de URL de IIS6" en la barra de nombres y haga clic en el botón "Aceptar". Luego, en la ventana Administrador de autorización, expanda Autorización de URL de IIS6 → Definir, haga clic con el botón derecho en Definición de operación y seleccione Nueva definición de operación en el menú emergente. Luego ingrese "AccessURL" en el campo "Nombre", ingrese "1" en el campo del número de operación, y finalmente haga clic en el botón "OK".

5. Configure Scope
A continuación, configure el alcance para la aplicación creada recientemente IIS6 URL Authorization. Haga clic con el botón derecho en la opción "Autorización de URL de IIS6", seleccione "Nuevo alcance" en el menú emergente, ingrese "Aplicación web" en la barra de nombres y haga clic en el botón "Aceptar". Luego expanda "Autorización de URL de IIS6 → Definición", haga clic con el botón derecho en la opción "Definición de rol" y seleccione "Nueva definición de rol" en el menú emergente. A continuación, cree un ámbito en la definición de rol, ingrese "Visor" en la barra de nombres y haga clic en el botón "Aceptar". Luego haga clic en la opción "definición de rol", haga clic con el botón derecho en la opción Visor en el marco derecho, abra el menú de acceso directo, seleccione la opción "Propiedades", cambie a la pestaña "Definición", haga clic en el botón "Agregar", cambie a la pestaña "Operación" Página, después de seleccionar la opción "AccessURL" en el cuadro de lista de definición de acción, haga clic en el botón "Aceptar" dos veces seguidas.

Luego expanda "Autorización de URL de IIS6 → Aplicación web", haga clic con el botón derecho en la opción "Asignación de roles" y seleccione "Asignar roles" en el menú emergente. Después de seleccionar la opción "Visor" en el cuadro de diálogo Agregar rol, haga clic en el botón "Aceptar". Luego, haga clic con el botón derecho en la opción "Visor" en el cuadro de la derecha, seleccione la opción "Asignar usuarios y grupos de Windows", abra el cuadro de diálogo Seleccionar usuario o grupo (Figura 5), ​​ingrese el sitio de acceso en el campo "Ingresar nombre de objeto a seleccionar". La cuenta de usuario requerida para la página, luego haga clic en el botón "Aceptar".


6. Configure la función de lector
De forma predeterminada, IIS6 se ejecuta como una cuenta de servicio de red. La siguiente es la configuración de la cuenta utilizada por el lector. Haga clic con el botón derecho en el elemento "MyStore.xml", seleccione "Propiedades" en el menú emergente, cambie a la pestaña "Seguridad", seleccione "Lector" en la lista "Función de usuario del administrador de autorización" y luego haga clic en "Agregar" ", ingrese la cuenta" Servicio de red "en el campo" Ingresar nombre de objeto para seleccionar ", y luego haga clic en el botón" Aceptar "dos veces.
7. Configure el archivo de la metabase de IIS
Después de completar el proceso de configuración anterior, la función de autorización de URL aún no está habilitada, debe modificar los parámetros del archivo de la metabase de IIS. A continuación utilizamos el script vbs para modificar el archivo de la metabase de IIS. Vaya al directorio "C: \\ Inetpub \\ AdminScripts" y cree un nuevo archivo de script llamado "SetUrlAuth.vbs". Después de abrir este archivo, copie lo siguiente en el archivo de script y finalmente guarde el archivo.

El contenido del script es el siguiente:
'SetUrlAuth.vbs Contenido
Set objArgs = WScript.Arguments
Si objArgs.count < 4 entonces
wscript.echo " Uso: SetUrlAuth VDirPath AzScopeName AzStoreName AzEnable
[ImpersonationLevel] "
wscript.echo " "
wscript.echo " Ejemplo: "
wscript.echo " SetUrlAuth w3svc /1 /root /MyApp MyApp
msxml: //d: \\ inetpub \\ wwwroot \\ AzStore.xml True 1 "
wscript.echo " "
wscript.echo " Ejecute el comando 'cscript' en cmd.exe para evitar Msgboxes "
Otro
wscript.echo objargs (0)
DIM iis
set iis = GetObject (" IIS: //localhost /" &objArgs (0)
iis. AzScopeName = objArgs (1)
iis.AzStoreName = objArgs (2)
iis.AzEnable = objArgs (3)
Si objArgs.count > 4 entonces
iis.AzImpersonationLevel = objArgs (4)
Finalizar si
iis.SetInfo
Finalizar si

Luego haga clic en “Inicio → Ejecutar” e ingrese el comando “Cmd.exe” en el cuadro de diálogo Ejecutar para abrir la ventana del símbolo del sistema. Cambie al directorio "C: \\ Inetpub \\ AdminScripts" y ejecute el comando "Cscript SetUrlAuth.vbs W3svc \\ 1 \\ Root \\ WebApp msxml: //C: \\ MyStore.xml true 1" para completar la modificación del parámetro Metabase.

Esto habilita la función de autorización de URL. Solo la cuenta de usuario especificada en el rol Visor del Administrador de autorización puede acceder a las páginas del directorio virtual en línea de su sitio web.

Copyright © Conocimiento de Windows All Rights Reserved