Harden Windows Server 2003 IIS Server

  

Descripción general

Este módulo se centra en las instrucciones y los pasos necesarios para fortalecer su servidor IIS en su entorno. Para proporcionar una protección de seguridad completa para los servidores web y las aplicaciones en la intranet corporativa de su organización, debe proteger a cada servidor de Microsoft Internet Information Services (IIS) y cada sitio web y aplicación que se ejecute en esos servidores para que no se conecten a ellos. Infracción del equipo cliente. Además, los sitios web y las aplicaciones que se ejecutan en todos estos servidores IIS deben protegerse de los sitios web y las aplicaciones que se ejecutan en otros servidores IIS en la intranet corporativa.

Para tomar la iniciativa de resistir a usuarios malintencionados y atacantes, de forma predeterminada, IIS no está instalado en la familia de productos Windows Server 2003. IIS se instaló originalmente en un modo altamente seguro " locked ". Por ejemplo, de forma predeterminada, IIS inicialmente solo proporciona contenido estático. ¿Por ejemplo, las páginas Active Server (ASP), ASP.NET, Server Side Include (SSI), la publicación distribuida y la creación de versiones en la Web (WebDAV) y Microsoft FrontPage? Las características como las Extensiones de servidor solo funcionan si el administrador las ha habilitado. Estas funciones y servicios se pueden habilitar a través del nodo de Extensiones de servicio web en el Administrador de servicios de información de Internet (Administrador de IIS).

IIS Manager tiene una interfaz gráfica de usuario (GUI) para facilitar la administración de IIS. Incluye recursos para la administración de archivos y directorios, la capacidad de configurar grupos de aplicaciones y muchas características en términos de seguridad, rendimiento y confiabilidad.

Las siguientes secciones de este capítulo detallan las diversas configuraciones de refuerzo de la seguridad que se pueden aplicar para mejorar la seguridad del servidor IIS que contiene contenido HTML en la intranet de la compañía. Sin embargo, para asegurarse de que el servidor IIS esté siempre en un estado seguro, también debe realizar los pasos de supervisión, detección y respuesta de seguridad.

Configuración de la directiva de auditoría

En los tres entornos definidos en esta guía, la configuración de la directiva de auditoría para el servidor IIS se configura a través de MSBP. Para obtener más información sobre MSBP, consulte Módulos que crean una línea de base de servidor miembro para servidores de Windows Server 2003. La configuración de MSBP garantiza que toda la información de auditoría de seguridad relevante se registra en todos los servidores IIS.

Asignación de derechos de usuario

La mayoría de las asignaciones de derechos de usuario para servidores IIS en los tres entornos definidos en esta guía se configuran a través de MSBP. Para obtener más información sobre MSBP, consulte Módulos que crean una línea de base de servidor miembro para servidores de Windows Server 2003. Las diferencias entre MSBP y la Política de grupo incremental de IIS se explican en la siguiente sección.

Denegación de acceso a la computadora a través de la red

El servidor miembro omite la seguridad alta del cliente empresarial del cliente antiguo

SUPPORT_388945a0

Inicio de sesión anónimo; administrador integrado Cuenta; Support_388945a0; Invitado; todas las cuentas de servicio que no sean del SO

Inicio de sesión anónimo; cuenta de administrador integrada; Support_388945a0; Invitado; todas las cuentas de servicio que no sean del SO »

Inicio de sesión anónimo; cuenta de administrador incorporada; Support_388945a0; Invitado; Todas las cuentas de servicio que no sean del SO

Nota: los inicios de sesión anónimos, las cuentas de administrador integradas, Support_388945a0, el Invitado y todas las cuentas de servicio que no sean del SO no están incluidas en la plantilla de seguridad. Estas cuentas y grupos tienen un identificador de seguridad único (SID) para cada dominio de la organización. Por lo tanto, debe agregarlos manualmente.

" Denegar el acceso a esta computadora a través de la red > La configuración determina qué usuarios no pueden acceder a la computadora a través de la red. . Esta configuración rechazará un gran número de protocolos de red, incluido el protocolo de Bloque de mensajes del servidor (SMB), el Sistema básico de entrada /salida de red (NetBIOS), el Sistema de archivos de Internet común (CIFS), el Protocolo de transferencia de hipertexto (HTTP) y el Modelo de objetos componentes (COM +). . Esta configuración anula la configuración "Permitir acceso a este equipo a través de la red" cuando la cuenta de usuario aplica ambas políticas. Al configurar este derecho de usuario para otros grupos, puede limitar la capacidad de los usuarios para realizar tareas administrativas delegadas en su entorno.

En la línea de base del servidor de módulos para la creación de módulos de servidores de Windows Server 2003, esta guía recomienda incluir el grupo Invitados en la lista de usuarios y grupos a los que se asigna este privilegio para brindar la mayor seguridad posible. Sin embargo, la cuenta IUSR utilizada para el acceso anónimo a IIS es, de forma predeterminada, un miembro del grupo Invitados. Esta guía recomienda eliminar el grupo de Invitados de la Política de Grupo de IIS incremental para garantizar que el acceso anónimo al servidor de IIS se pueda configurar, si es necesario. Por lo tanto, en los tres entornos definidos en esta guía, "negaremos el acceso a esta computadora a través de la red" para los servidores IIS. Las configuraciones están configuradas para incluir: inicio de sesión anónimo, administrador integrado, Support_388945a0, Invitado y todos los servicios del sistema no operativo. Cuenta

Opciones de seguridad

En los tres entornos definidos en esta guía, las opciones de seguridad para el servidor IIS se configuran a través de MSBP. Para obtener más información sobre MSBP, consulte Módulos que crean una línea de base de servidor miembro para servidores de Windows Server 2003. La configuración de MSBP garantiza que la configuración correcta del registro de eventos se configure de manera uniforme en el servidor IIS de la empresa.

Copyright © Conocimiento de Windows All Rights Reserved