Como: usar o IISLockdown.exe
Nesta página
 | Objetivos |
| Aplicação |
| Como usar este módulo |
| Resumo |
| O que o IISLockdown faz? |
| Instalando o IISLockdown |
| Executando o IISLockdown |
| Arquivos de log |
| Desfazendo alterações do IISLockdown |
| Execução autônoma |
| Armadilhas |
Objetivos
Use este módulo para:
| • | Usar o IISLockdown a fim de proteger um servidor Web do IIS que execute o ASP.NET. |
Aplicação
Este módulo aplica-se aos produtos e às tecnologias a seguir:
| • | Microsoft® Windows® 2000 Server |
| • | Serviços de informações da Internet |
Como usar este módulo
Para aproveitar ao máximo este módulo:
| • | Você deve ter experiência na administração dos Serviços de informações da Internet. |
| • | O .NET Framework deve estar instalado no servidor Web do IIS. |
| • | Leia o módulo relacionado, "Como: usar o URLScan". Este módulo descreve como usar o filtro ISAPI URLScan instalado como parte do IISLockdown. |
Resumo
É possível automatizar em grande parte o processo de proteção do servidor Web ao executar a ferramenta IISLockdown. Ela permite que você escolha um tipo específico de função do servidor e, em seguida, aperfeiçoa a segurança deste servidor com modelos personalizados que desativam ou protegem diversos recursos.
Este módulo explica como usar a ferramenta IISLockdown para proteger um servidor IIS (Serviços de Informações da Internet) que sirva páginas ASP.NET.
O que o IISLockdown faz?
Para um computador com Windows 2000 que sirva páginas ASP.NET, selecione o modelo Dynamic Web server (ASP enabled) ao executar o IISLockdown. Quando este modelo é usado, o IIS Lockdown executa as seguintes ações:
| • | Ele desativa os seguintes serviços da Internet:
| ||||||||||
| • | Ele mapeia os seguintes scripts para 404.dll:
| ||||||||||
| • | Ele remove os seguintes diretórios virtuais:
| ||||||||||
| • | Ele restringe o acesso anônimo a utilitários do sistema e a capacidade de gravar em diretórios de conteúdo da Web. Para isso, o IISLockdown cria dois novos grupos locais chamados Web Anonymous Users e Web Applications e, em seguida, adiciona ACEs (Entradas de Controle de Acesso) de negação desses grupos à ACL (Lista de Controle de Acesso) nos principais utilitários e diretórios. Em seguida, o IISLockdown adiciona a conta de usuário da Internet anônima padrão (IUSR_MACHINE) a Web Anonymous Users e a conta IWAM_MACHINE a Web Applications. Observação: se você criar contas de usuários da Internet anônimas personalizadas, adicione-as ao grupo Web Anonymous Users. | ||||||||||
| • | Ele desativa o WebDav (Web Distributed Authoring and Versioning). | ||||||||||
| • | Ele instala o filtro ISAPI URLScan. |
Instalando o IISLockdown
Para instalar o IISLockdown, faça o download do site da Microsoft em http://download.microsoft.com/download/iis50/Utility/2.1/NT45XP/EN-US/iislockd.exe.
Você pode salvá-lo em disco ou executá-lo diretamente clicando em Abrir quando solicitado. Se o IISLockd.exe for salvo, será possível descompactar arquivos úteis executando o seguinte comando:
iislockd.exe /q /c
Este comando descompacta os seguintes arquivos:
| • | IISLockd.chm, que é o arquivo de ajuda compilado para a ferramenta IISLockdown. |
| • | RunLockdUnattended.doc, que inclui instruções para a execução autônoma do IISLockdown. |
| • | UrlScan.exe e arquivos associados.Eles instalam o URLScan sem executar o IISLockdown.exe. |
Executando o IISLockdown
O IISLockdown detecta o Microsoft .NET Framework e toma medidas para proteger os arquivos .NET Framework. Instale o .NET Framework no servidor Web antes de executar o IISLockdown.
IISLockd.exe não é um programa de instalação. Quando você inicia IISLockd.exe, ele executa o Assistente de bloqueio do IIS.
| • | Para executar o IISLockdown
|
Arquivos de log
Um arquivo de log detalhando as alterações feitas pelo IISLockdown é gravado em \WINNT\System32\inetsrv\oblt-log.log. Quando você executa o IISLockdown outra vez, ele desfaz todas as alterações feitas com base nesse log. Você pode exibir o arquivo de log usando qualquer editor de texto para ver as alterações exatas feitas pelo IISLockdown.
Desfazendo alterações do IISLockdown
Para desfazer as alterações feitas pelo IISLockdown, execute o IISlockd.exe novamente e escolha desfazer as alterações. A operação de desfazer restaura as configurações do sistema que estavam em vigor logo antes de você executar o IISLockdown. Esses detalhes estão contidos no arquivo de log \WINNT\System32\inetsrv\0blt-log. Assim, é importante que você teste o sistema logo após executar o IISLockdown. Se for necessário desfazer, faça isso imediatamente.
Observação: o filtro ISAPI URLScan que é instalado como parte do Bloqueio do IIS não é removido como parte do processo de desfazer. Você pode removê-lo manualmente usando a guia Filtros ISAPI no nível do servidor no Gerenciador de serviços de Internet.
Execução autônoma
As etapas a seguir são do arquivo RunLockdUnattended.doc, que fica disponível caso você descompacte arquivos executando o IISLockd.exe com os argumentos /q e /c.
| • | Para configurar o IISLockdown para a execução autônoma
|
Armadilhas
Esteja ciente das seguintes armadilhas potenciais ao trabalhar com o IISLockdown:
| • | O IISLockdown configura permissões NTFS usando o novo grupo Web Anonymous Users. Por padrão, ele contém a conta IUSR_MACHINE. Se você criar novas contas anônimas, deverá adicioná-las manualmente ao grupo Web Anonymous Users. |
| • | Se as páginas ASP.NET forem depuradas com uso do Microsoft Visual Studio® .NET, o funcionamento da depuração será interrompido. Isto ocorre porque o IISLockdown instala o URLScan, que bloqueia o verbo DEBUG. Para obter mais informações sobre como usar o IISLockdown em estações de trabalho de desenvolvedores, consulte "Como: proteger sua estação de trabalho do desenvolvedor" neste guia. |