Manual de IIS

Guía de Seguridad para Internet Information Services 6.
0
2006© Microsoft Corporation
Soluciones Microsoft para Profesionales IT
Guía de Seguridad para

Internet Information
Services 6.0
Autor:
Alejandro Adrián Ponicke
MCSA, MCSE, MCT
Guía de Seguridad para Internet Information Services 6.0
Guía de seguridad para Internet Information Services 6.0
La información en este documento incluyendo URLs y otras referencias a sitios web de Internet están sujetas a
cambio sin noticias previas.
A menos que sea explícitamente informado, las compañías, organizaciones, productos, nombres de dominio,
direcciones de mail, logotipos, persona, lugares, y eventos de ejemplo utilizados aquí, son ficticios y no existe
ningún tipo de asociación con ninguna compañía, organización, productos, nombre de dominio, dirección de mail,
logotipo, persona, lugar o eventos reales. Es responsabilidad del usuario cumplir con todas las leyes de derecho de
autor aplicables. Sin limitar los alcances de los derechos de autor, ninguna parte de este documento puede ser
reproducida, almacenada ó introducida en ningún sistema o trasmitida de ninguna forma o por cualquier medio
(electrónico, mecánico, fotocopiado, grabado, etc.) para ningún propósito, sin el expreso permiso escrito de
Microsoft Corporation.
Microsoft puede tener patentes en trámite, marcas registradas, derecho de autor y otros derechos de propiedad
intelectual cubriendo los productos objeto de este documento.
Excepto que sea proporcionado expresamente por medio de una licencia escrita por Microsoft, el contenido de este
documento no le da a usted ninguna licencia a estas patentes, derecho de autor u otras propiedades intelectuales.
La información en este documento y cualquier otro documento referenciado aquí es provisto con propósitos
informativos solamente y no puede ser interpretado como sustitución o reemplazo de servicios de información
diseñada por Microsoft Corporation para un usuario particular en un ambiente particular.
La confianza depositada en este documento y cualquier otro documento referenciado aquí es a riesgo del propio
lector. Microsoft Corporation no proporciona garantía ni confirma que la información proporcionada es apropiada
para ninguna situación y por tanto Microsoft Corporation no es ni será responsable por ningún reclamo o daño de
ningún tipo que el usuario de este documento o cualquier otro documento referenciado aquí pueda sufrir. Si usted
no acepta estos términos y condiciones, Microsoft Corporation no le proporcionará a usted ningún derecho a usar
ninguna parte de este documento o ningún documento referenciado aquí.
Microsoft, Windows, Active Directory, Internet Information Services, son todas marcas registradas de Microsoft
Corporation en Estados Unidos y/o otros países. 2006© Microsoft Corporation.
Los nombres de compañías y productos mencionados aquí pueden ser marcas registradas de sus respectivos
dueños.
Se recomienda leer esta Guía en forma completa antes de comenzar con la puesta en práctica de sus
recomendaciones.
2
Índice
Índice....................................................................................................................................3
Capítulo 1: Introducción a la Guía de Seguridad para Internet Information Services 6.0...5
Sumario ejecutivo............................................................................................................5
Los desafíos ambientales.............................................................................................5
Internet Information Services.......................................................................................5
Visión general de la Guía.............................................................................................5
¿Quien debería leer esta guía?.....................................................................................6
Alcance de esta guía.....................................................................................................6
Capitulo 2: Configuración del servidor físico......................................................................7
La seguridad del servidor.................................................................................................7
Firmware......................................................................................................................7
BIOS............................................................................................................................7
Controladores de dispositivos......................................................................................7
Configuración del BIOS...............................................................................................8
Configuración Externa del servidor.............................................................................8
Consideraciones Generales..........................................................................................8
Capitulo 3: Configuración del sistema operativo.................................................................9
Windows Server 2003......................................................................................................9
Instalación....................................................................................................................9
Actualizaciones de seguridad a la instalación de Windows Server...........................10
Instalación del Componente Internet Information Services 6.0.................................12
Revisar el estado de actualizaciones..........................................................................13
Asistente para configuración de seguridad................................................................13
Servicios.....................................................................................................................33
Políticas locales..........................................................................................................35
Permisos NTFS..........................................................................................................37
Configuración del protocolo TCP/IP.........................................................................38
Consideraciones Generales........................................................................................39
Capitulo 4: Configuración del servicio WEB de Internet Information Services 6.0.........40
Configuración de sitios Web..........................................................................................40
Sitio Web...................................................................................................................40
Extensiones................................................................................................................41
Grupo de Aplicaciones...............................................................................................42
URLScan 2.5..............................................................................................................43
Capitulo 5: Configuración del servicio FTP de Internet Information Services 6.0...........45
Configuración de sitios FTP..........................................................................................45
Sitio FTP....................................................................................................................45
Capitulo 6: Conclusiones finales........................................................................................50
Resumen.........................................................................................................................50
Conclusión de la Guía................................................................................................50
Apéndice 1: Instalación de Internet Information Services de manera automática. ...........51
Instalación desatendida..................................................................................................51
3
Setup Manager...........................................................................................................51
Winnt.sif.....................................................................................................................51
Services.vbs................................................................................................................53
4
Capítulo 1: Introducción a la Guía de Seguridad para

Internet Information Services 6.0
Sumario ejecutivo
Los desafíos ambientales

La mayoría de las organizaciones reconocen el rol crítico que la tecnología
de la información (TI) juega en el soporte de sus objetivos comerciales. Hoy
las infraestructuras de TI existentes están conectadas a ambientes que se
vuelven cada día más hostiles, los ataques son ejecutados cada vez con más
frecuencia y están demandando tiempos de reacción aun más cortos.
Muchas veces las organizaciones no pueden reaccionar a las nuevas
amenazas de seguridad antes de que sus negocios sean impactados de
alguna u otra manera. Manejar la seguridad de sus infraestructuras y el valor
comercial que esas infraestructuras entregan, se ha convertido en una
preocupación esencial para los departamentos de TI.
Internet Information Services

Internet Information Services (IIS 6.0) es un poderoso servidor web que
proporciona una infraestructura completamente administrable y escalable
para aplicaciones web en todas las versiones de Windows Server 2003. IIS
ayuda a las organizaciones a incrementar la disponibilidad de sitios web y
aplicaciones al tiempo que reducen los costos de administración y sistema.
IIS 6.0 soporta la iniciativa de sistemas dinámicos (DSI) con automatización
de salud, monitoreo, aislamiento de procesos, y capacidades de
administración mejoradas.
Visión general de la Guía

Este documento lo guiará en el proceso de instalación, configuración y
protección de IIS 6.0.
Este proceso de protección podrá variar en función de las necesidades del

profesional a cargo. Es él quien en base a un análisis de riesgo decidirá si
aplicará esta guía en su totalidad o en partes. Esta guía asume el no de los
niveles de máximo riesgo esperable, reduciendo la superficie de ataque de
manera drástica, tenga en cuenta que la aplicación de todas o varias de
las configuraciones de esta Guía puede causar problemas de
incompatibilidad con otras aplicaciones y servicios, es recomendable
siempre trabajar en un ambiente de laboratorio antes, para analizar los
5
efectos de la aplicación de estas configuraciones. De hecho muchas de

las configuraciones aquí descriptas son incompatibles para servidores
pertenecientes a dominios Active Directory. Esta guía está pensada
para servidores web independientes, por lo tanto no siempre será oportuno
debido a factores económicos, funcionales o de interoperabilidad, la
aplicación de todos los puntos descriptos.
Esta guía no es traducción de ningún documento escrito anteriormente por

Microsoft en idioma inglés y está basada en conocimientos prácticos y
teóricos del autor, obtenidos a lo largo de la participación en diversos
proyectos donde la seguridad de IIS era un asunto crítico.
¿Quien debería leer esta guía?

Esta guía está enfocada principalmente a consultores, especialistas de
seguridad, arquitectos de sistemas y profesionales de TI, que son
responsables del planeamiento ó implementación de infraestructuras de
servidores web. Estos roles pueden incluir las siguientes descripciones:
• Los Arquitectos responsables de conducir los trabajos de
arquitectura en sus organizaciones
• Miembros de los equipos de seguridad que están enfocados en
proporcionar seguridad en plataformas dentro de una organización.
• Auditores de TI y seguridad, los cuales son responsables de
asegurar que sus organizaciones tomen precauciones razonables
para proteger sus activos comerciales.
• Consultores y socios que necesitan herramientas de transferencia
de conocimiento para clientes corporativos y clientes en general.
Alcance de esta guía

Esta guía está enfocada en cómo asegurar un servidor Windows 2003
Server, en cualquiera de sus ediciones, con IIS 6.0. La misma asume que ya
se cuenta con un sistema operativo 2003 Server con service pack 1 incluido
recién instalado con sus configuraciones predeterminadas.
6
Capitulo 2: Configuración del servidor físico
La seguridad del servidor
La seguridad de un sistema informático debe construirse siempre desde la

base. Es equivocado pensar que asegurando la parte visible de un sistema
será suficiente para obtener grados aceptables de seguridad.
Es necesario entonces empezar a pensar desde el mismo momento de

encender por primera vez el servidor, la manera de asegurar todos los
elementos involucrados en el sistema. Por lo tanto el hardware es un
componente principal en este proceso.
Firmware
El Firmware es software específico para una determinada clase de hardware.
Los discos rígidos por ejemplo, tienen dentro su propio firmware que al igual
que el BIOS es susceptible de cambios y mejoras. Consulte con el proveedor
de hardware la disponibilidad y procedimientos de actualización de dicho
software.
BIOS
El BIOS (Basic Input Output System) es el primer software que ejecutará el
servidor al iniciarse y como todo software es susceptible de fallas,
vulnerabilidades e incompatibilidades. Los fabricantes de servidores lanzan
periódicamente nuevas versiones de BIOS que incorporan cambios y mejoras
de manera tal de aprovechar mejor los componentes del servidor. Por lo tanto
es esencial que actualice el mismo siguiendo los procedimientos informados
por el fabricante.
Controladores de dispositivos
Conocidos también como Drivers son piezas de software que permiten
abstraer el hardware permitiendo interoperar al sistema operativo con los
componentes del servidor como las placas de red, la tarjeta de video, etc.
Normalmente el fabricante proporciona los drivers junto con el envío de las

piezas de hardware, pero a lo largo del tiempo va haciendo nuevos
lanzamientos que mejoran diversos aspectos de la relación entre el sistema
operativo y el hardware como el rendimiento, la performance e incluso la
7
seguridad. Por eso es de vital importancia poseer las últimas versiones de

estos controladores a fin de evitar un mal, pobre o inseguro funcionamiento
del servidor (por usar controladores viejos).
Configuración del BIOS

Además de las configuraciones funcionales del BIOS tal como especifica el
fabricante del hardware (consulte al soporte técnico o manuales del mismo
para mas información), es necesario configurar determinadas características
que ayudarán a prevenir ataques si alguien logra un furtivo acceso local al
servidor. Las medidas a tomar en esta parte de la configuración son:
Configure un password largo y complejo. Esto evitará que cambien

configuraciones que afecten el inicio del servidor.
Establezca el inicio (Boot) solo desde disco rígido. Esta medida
previene que el servidor pueda ser iniciado usando Discos Compactos
conteniendo otros sistemas operativos o discos flexibles con drivers para
leer sistemas de archivos NTFS. Incluso esto puede evitar que el servidor
sea iniciado con herramientas que permitan resetear la password de
administrador del sistema operativo y lograr así acceso no autorizado al
mismo.
Desactive todos los puertos y dispositivos que no use. Desactive
puertos seriales, USB, paralelos, Lectoras de discos compactos y
disqueteras (estos dos deberán ser desactivados luego de finalizar la
instalación del sistema operativo).
Configuración Externa del servidor

De contar con el servidor en su gabinete, cierre el mismo con llave.
Guárdela en un lugar seguro y precinte el servidor de tal manera que
pueda darse cuenta fácilmente si el mismo ha sido violado de alguna
forma.
Consideraciones Generales
Muchas de las acciones arriba descriptas pueden necesitar ayuda o
soporte del proveedor del equipo, tenga a mano los datos de soporte o
manuales específicos a la hora de efectuar los cambios. Un cambio mal
realizado puede acarrear efectos adversos.
8
Capitulo 3: Configuración del sistema operativo
Windows Server 2003
Instalación
Si bien este documento no cubre el proceso de instalación del sistema
operativo, asume que el lector cuenta con un servidor con Windows 2003
Server Ediciones Estándar, Enterprise o Datacenter con Service Pack 1
incorporado con sus configuraciones predeterminadas según determina el
proceso de instalación en un servidor con al menos dos particiones.
Habiendo instalado el sistema operativo en una partición y dejando la otra
partición disponible para la instalación del IIS 6.0, un direccionamiento IP fijo
acorde con la red física, y que fueron desactivados tanto Clientes para redes
Microsoft como Compartir archivos e impresoras según se observa en la
siguiente figura.
9
Adicionalmente dentro de las propiedades TCP/IP, aleta WINS deberá

activarse Deshabilitar NETBIOS sobre TCP/IP tal como muestra la siguiente
figura.
Y que se unió al servidor al grupo de trabajo GRUPO_TRABAJO, ya que un

webserver crítico debería estar aislado concluyendo entonces el proceso de
instalación.
Es imprescindible además, renombrar las cuentas de administrador e invitado

(mas adelante en esta guía se mostrara como hacerlo a través de políticas
locales) y configurar contraseñas para ambos de al menos 10 dígitos, para
reducir al mínimo la exposición a rotura por fuerza bruta. Una buena práctica
puede ser copiar la cuenta administrador y deshabilitar la cuenta built-in
Elimine todos los componentes adicionales, vaya a panel de control,

agregar/remover programas, luego a agregar o quitar componentes de
Windows y asegúrese que no haya ningún tilde.
Actualizaciones de seguridad a la instalación de Windows Server

También conocido por sus siglas en ingles PSSU, está diseñado para
proteger a los servidores recién instalados del riesgo de infección entre el
10
lapso de tiempo en el cual el mismo es conectado a la red y la instalación

efectiva de las últimas actualizaciones de seguridad desde Windows Update.
PSSU es una interfaz de usuario (Fig. 3) que aparece la primera vez que el
administrador inicia sesión y proporciona enlaces para la aplicación de las
actualizaciones en su servidor y configurar la descarga e instalación de las
próximas actualizaciones. PSSU informa al administrador que todas las
conexiones entrantes al servidor, distintas a aquellas especificadas durante
la instalación o aquellas configuradas a través de grupos de políticas (GPO),
están bloqueadas.
fig3: Pantalla de Inicio de Actualizaciones de seguridad a la instalación de Windows Server
Para aplicar todas las actualizaciones disponibles utilizar la opción: Actualizar

este servidor. Mediante este procedimiento y utilizando el servicio de Windows
Update, utilice la información presentada por los asistentes para actualizar el
servidor
Una vez actualizado, utilice la opción: Configurar la actualización automática de

este servidor, para determinar cuando serán descargadas e instaladas las
subsiguientes actualizaciones.
11
Por ultimo ejecute Finalizar lo cual dará por terminado el proceso y pondrá al
servidor operativo.
Instalación del Componente Internet Information Services 6.0.

Dado que esta guía está diseñada para ser usada en Windows Server 2003
ediciones Estándar, Enterprise y Datacenter, es necesario agregar
manualmente Internet Information Services 6.0.
Durante el proceso de instalación del sistema operativo se reservó una

partición diferente a la partición del sistema operativo para alojar a Internet
Information Services 6.0
El procedimiento a seguir para realizar tal operación es tal como se describe

a continuación:
Cree un archivo .txt, en este ejemplo lo llamaremos c:\iis6.txt y coloque el
siguiente contenido dentro:
[Components]
iis_common = on
iis_inetmgr = on
iis_www = on
iis_ftp = on
iis_asp = on
AspNet = on
[InternetServer]
PathFTPRoot=D:\Ftp
PathWWWRoot=D:\Www
Nota: Los componentes iis_asp y AspNet serán necesarias en la medida que

el webserver aloje aplicaciones asp o asp.net.
Utilice las variables PathFTPRoot y PathWWWRoot para indicar la ubicación

del contenido de ambos servicios según la letra de unidad de su sistema.
Inicie el proceso de instalación: Inicio/Ejecutar y escriba:
Sysocmgr /u:c:\iis6.txt /i:%windir%\inf\sysoc.inf
Complete el proceso de instalación proporcionando los archivos necesarios

cuando le sea requerido.
Revise que la instalación se ha efectuado exitosamente ejecutando la

consola de Internet Information Services 6.0 desde Herramientas
Administrativas y constate que no existe ninguna condición de error.
12
Revisar el estado de actualizaciones

Una vez que el proceso de PSSU está finalizado y que todos los
componentes necesarios han sido agregados, es preciso utilizar Microsoft
Baseline Security Analizer (MBSA) para revisar el estado de actualización.
Asegúrese de utilizar el último mssecure.xml el cual puede ser descargado
del sitio de Microsoft.
Descargue y aplique todas las actualizaciones que MBSA le indique como

faltantes y siga las demás recomendaciones que le indique, entre ellas la
cantidad de cuentas con privilegios de administrador.
Mas información acerca de MBSA en www.microsoft.com/mbsa
Asistente para configuración de seguridad

Conocido por sus siglas en inglés SCW (Security Configuration Wizard), es
una herramienta que permite reducir la superficie de ataque de los servidores
en base a los roles que éste brinda. Está disponible a partir de Service Pack
1 de Windows 2003.
Vaya a panel de control, agregar/remover programas, luego a agregar o

quitar componentes de Windows y tildar el componente Asistente para
configuración de seguridad.
13
Una vez instalado, vaya a Herramientras administrativas y ejecute el

asistente para configuración de seguridad. Ejecute Siguiente en la pantalla de
bienvenida, y elija crear una nueva directiva de seguridad.
14
Elija el servidor local en el cual está aplicando estas acciones, Tenga en

cuenta la información de la pantalla en cuanto a los privilegios necesarios
para aplicar estas configuraciones.
15
En la pantalla de Procesar la base de datos de configuración de seguridad

haga clic en Siguiente.
16
En configuración del servidor basado en funciones haga clic en Siguiente.
En seleccionar funciones de servidor escoja Todas las funciones en la lista

desplegable Ver.
Quite la tilde a todas las funciones y asegúrese de tildar Servidor Web y

Servidor FTP.
17
En seleccionar características de cliente quite la tilde a todas las opciones y

haga clic en Siguiente
18
En Seleccionar Opciones de administración y otras seleccione:
• Configuración y Análisis remoto del asistente para configuración de

seguridad
• Copia de Seguridad (NT o Terceros)
• Copia de seguridad en hardware local
• Entorno de controlador de modo de usuario de Windows
• Firewall de Windows
• Informe de errores
• Instalaciones de aplicaciones locales
• Recopilación de datos de rendimiento
19
En Seleccionar servicios adicionales deje solamente runtimes de .net ofrecidas

solo si el assembly de la aplicación .net lo necesita, de otra manera quítele la
tilde a todo
En Tratamiento de servicios sin especificar elija: deshabilitar el servicio
20
En Confirmar Cambios de Servicio revise que la lista de servicios y modo de

inicio de directiva de los mismos concuerde con la selección hecha
previamente.
21
En Seguridad de Red haga clic en Siguiente.
En Abrir puertos y aprobar aplicaciones deje solamente tildado puerto 20, 21, 80
y 443, destilde cualquier otra opción. Haga click en Siguiente.
22
En configuración de registro, click en Siguiente.
Requerir firmas de seguridad SMB: El servidor no tendrá SMB habilitado, con lo

cual las configuraciones siguientes no tendrán efecto, pero es una buena
práctica dejar tildadas ambas.
23
En Métodos de autenticación de salida asegúrese de no tener tildado ninguna

opción.
24
En Métodos de autenticación de entrada asegúrese de no tener tildado ninguna

opción
25
En resumen de configuración de registro revise que el resultado mostrado

coincida con su selección anterior.
26
En Directiva de auditoria haga click en Siguiente
Seleccione Auditar Acciones correctas y no correctas
27
Revise el Resumen de Directivas de Auditoria de tal manera de asegurarse que

coincida con su selección.
28
En Servicios de Internet Information Services haga click en Siguiente.
En caso de necesitar soporte para aplicaciones ASP o ASP.NET, deje

marcadas las casillas correspondientes. De otra manera deje todo
desmarcado.
29
En la página de directorios virtuales deje todo desmarcado, los mismos serán

eliminados de la configuración del IIS.
30
Configure la denegación a escritura en los directorios de contenido a los

usuarios anónimos.
31
Revise que el detalle mostrado a continuación coincida con sus selecciones

anteriores.
32
Continúe con el proceso de guardar el template para futuras aplicaciones y

proceda a aplicar las configuraciones en el servidor en cuestión usando la
opción aplicar ahora.
Servicios
Una de las acciones más efectivas para la reducción de la superficie de
ataque es la deshabilitar servicios innecesarios. Dependiendo de la cantidad
de servicios instalados y de las configuraciones realizadas por le SCW, revise
qué servicios están en modo automático y deshabilítelos conforme aparecen
en la siguiente lista.
Nota importante: La cantidad de servicios puede variar en función de las

aplicaciones instaladas como por ejemplo antivirus, antispywares, etc.
Adicionalmente servicios no listados aquí pueden depender de los servicios
listados. Revise cuidadosamente las dependencias antes de deshabilitar los
servicios.
33
Desde herramientas administrativas utilice el Administrador de Servicios para

revisar el estado y eventualmente deshabilitarlos:
• Acceso a dispositivo de interfaz humana

• Administración de Aplicaciones
• Administrador de conexión automática de acceso remoto
• Administrador de conexión de acceso remoto
• Administrador de sesión de ayuda de escritorio remoto
• Adquisición de Imágenes de Windows (WIA)
• Aplicación del sistema COM+
• Audio de Windows
• Ayuda de NETBOS sobre TCP/IP
• Ayuda y Soporte técnico
• Ayudante de la consola de administración especial
• Centro de distribución de claves kerberos
• Cliente de seguimiento de vínculos distribuidos
• Cliente DHCP
• Cliente DNS
• Cliente Web
• Cola de Impresión
• Configuración Inalámbrica
• Conjunto resultante de proveedor de directivas
• Coordinador de transacciones distribuidas de Microsoft
• DDE de red
• Director de sesiones de Terminal Server
• DSDM de DDE de red
• Enrutamiento y Acceso Remoto
• Escritorio remoto compartido de Netmeeting
• Estación de Trabajo
• Examinador de equipos
• Extensiones de controlador de instrumental de administración de Windows
• Horario de Windows
• Inicio de sesión en red
• Inicio de sesión secundario
• Localizador de llamadas a procedimientos remotos (RPC)
• Mensajería Interna
• Messenger
• NLA (Network Location Awareness)
• Notificación de sucesos de sistema
• Portafolios
• Programador de tareas
• Registro de Licencias
• Registro remoto
• Replicación de Archivos
• Servicio COM de grabación de CD de IMAPI
34
• Servicio de Alerta
• Servicio de aprovisionamiento de red
• Servicio de búsqueda sobre experiencia con aplicaciones
• Servicio de descubrimiento automático de Proxy WinHTTP
• Servicio de Index Server
• Servicio de puerta de enlace de capa de aplicación
• Servicios de Terminal Server
• Servicios de IPSEC
• Servidor
• Servidor de seguimiento de vínculos distribuidos
• Sistema de archivos distribuidos
• Telefonía
• Telnet
• Temas
Políticas locales
Las políticas locales configuradas en un equipo son las únicas políticas que
aplican sobre el mismo cuando éste es un servidor independiente no
perteneciente a un dominio. En caso de formar parte de un dominio las
políticas locales son sobrescritas por las políticas de sitios, dominios y
unidades organizativas conforme éstas se contradicen.
Ejecutar gpedit.msc para abrir la consola de configuración de políticas

locales.
Abra Configuración del equipo, Configuración de Seguridad, Directivas de cuentas,

luego Configuración de Windows, abra Directivas de contraseñas y configure las
directivas de acuerdo a la siguiente figura:
Vaya a Directiva de bloqueo de cuentas y configure de acuerdo a la siguiente

figura:
35
En Configuración del equipo, Configuración de Windows, Directivas Locales,

Directiva de auditorias, controle que el Asistente para configuración de Seguridad
haya configurado la auditoria tal como muestra la siguiente figura:
En Asignación de derechos de usuario, configurar:
Apagar el sistema: Administradores (remover Usuarios Avanzados,

Operadores)
Cargar y descargar controladores de dispositivos: quitar administradores,
agregar administrador
Denegar inicio de sesión a través de Servicios de Terminal Server: agregar
todos
Denegar el inicio de sesión localmente: agregar anonymous logon
Forzar el apagado desde un sistema remoto: nadie (quitar Administradores)
Restaurar archivos y directorios: Administradores (remover Operadores de
Copia)
Permitir Inicio de sesión a través de Servicios de Terminal Server: nadie
(Quitar Administradores y Usuarios de escritorio remoto)
Restaurar Archivos y Directorios: Quitar Operadores de Copia
Tener Acceso a este equipo desde la red: quitar todos
En Opciones de seguridad:
Acceso a redes: no permitir el almacenamiento de credenciales o .NET

passports para la autenticación de dominio: habilitado
Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos
compartidos SAM: habilitado.
Acceso de red: recursos compartidos accesibles anónimamente, quitar todo
Acceso de red: rutas de registro accesibles remotamente, quitar todo
36
Acceso de red: rutas y sub rutas de registro accesibles remotamente, quitar

todo
Apagado: borrar el archivo de páginas de la memoria virtual, habilitado
Cuentas: cambiar el nombre de la cuenta de invitado, cambiar a nombre no
adivinable
Cuentas: cambiar el nombre de la cuenta administrador, cambiar a nombre
no adivinable
Dispositivos: comportamiento de instalación de controlador no firmado,
cambiar a no permitir la instalación
Inicio de sesión interactivo: num de inicios de sesión previos en la cache, 0
Inicio de sesión interactivo: no mostrar el ultimo nombre de usuario,
habilitada
Seguridad de red: no almacenar valor de hash de LAN manager en el
próximo cambio de contraseña: habilitada
Seguridad de redes: Nivel de autenticación de LAN Manager, Enviar solo
respuesta NT Lan Manager versión 2 rechazar LAN Manager y NT LAN
Manager
Permisos NTFS
Los permisos NTFS controlan el usuario y el tipo de acceso a carpetas y a
archivos, la incorrecta configuración de permisos puede acarrear graves
consecuencias ya que permisos mal puestos pueden permitir crear, modificar
o borrar archivos esenciales para el normal funcionamiento de los sistemas.
En esta guía se sugirió usar dos discos distintos para el sistema operativo en
sí mismo y para la instalación de Internet Information Services. Eso dá la
posibilidad de tratar de diferente manera ambas unidades.
Remueva el grupo especial Todos en el disco C:\ Raíz y en opciones

avanzadas marque: Reemplazar las entradas de permisos en todos los objetos
secundarios con aquellas entradas incluidas aquí y que sean relativas a los objetos
secundarios.
Otorgue Denegar Control Total al grupo Usuarios anónimos de Web en las

carpetas C:\Windows y C:\Windows\System32
Acepte todas las advertencias que el sistema operativo le muestre.
Acepte la advertencia que no puede cambiarse el permiso en el archivo

Pagefile.sys.
37
Configuración del protocolo TCP/IP

Los ataques por denegación de servicio son ataques de red que apuntan a
que un servicio o computadora en particular se vuelva no disponible para los
usuarios que lo/la acceden. Los Ataques por denegación de servicio son
muchas veces los más proclives y de más difíciles controles. Como esta guía
está enfocada a servidores conectados a Internet se detallan acá los pasos
necesarios para adaptar la pila de protocolos TCP/IP que por omisión viene
optimizada para una intranet para ser usada en Internet.
La siguiente lista explica cómo configurar los valores de registry que deben
ser modificados para adaptar el protocolo TCP/IP en máquinas conectadas
directamente a Internet.
Nota Importante: Todos los valores están expresados en hexadecimal a

menos que se indique lo contrario.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Nombre: SynAttackProtect
Clave: Tcpip\Parameters
Tipo: REG_DWORD
Valor:1
Nombre: EnableDeadGWDetect
Tipo: REG_DWORD
Valor: 0
Nombre: EnablePMTUDiscovery
Tipo: REG_DWORD
Valor: 0
Nombre: KeepAliveTime
Tipo: REG_DWORD-Tiempo en milisegundos
Default: 300000 (5 minutos)
Nombre: NoNameReleaseOnDemand
Clave: Netbt\Parameters
Tipo: REG_DWORD
Valor: 1
Para mayor información acerca de las configuraciones arriba enunciadas por

favor visite:
38
http://support.microsoft.com/default.aspx?scid=kb;en-
us;324270#XSLTH3123121122120121120120
Las operaciones antes descriptas configuran y preparan el sistema operativo
para realizar las operaciones de webserver. Recuerde analizar y probar
concienzudamente cada configuración en un ambiente de prueba antes de
aplicarlas en el ambiente de producción.
39
Capitulo 4: Configuración del servicio WEB de Internet

Configuración de sitios Web
Sitio Web
Elimine el sitio web llamado Sitio Web predeterminado. No es una buena
práctica mantenerlo. Haga click derecho sobre él y elija eliminar.
Cree un sitio nuevo haciendo click derecho en el nodo Sitios Web, elija
nuevo, y luego Sitio Web, para iniciar el asistente de creación de sitios.
Haga click en Siguiente para pasar la pantalla de bienvenida. Escriba un
nombre suficientemente identificatorio y haga click en Siguiente. Luego
elija una dirección IP en Escriba la dirección IP para este sitio Web. No deje
nunca (Ninguna Asignada). Elija el puerto, típicamente puerto 80 y Asigne
el Encabezado host en la caja de texto Encabezado de host para este sitio
web (predeterminado ninguno), por el cual el sitio responderá (Ej.:
40
www.dominio.com) no deje nunca en blanco este campo para evitar

ataques automatizados por dirección IP, haga click en Siguiente.
Elija la ruta de acceso donde el contenido del sitio reside (recuerde que
esta guía sugiere al menos dos particiones, no use la partición de sistema
como directorio raíz de WEB) y deje tildado Permitir accesos anónimos a
este sitio web si no va a exigir autenticación y va a ser un sitio público,
haga click en Siguiente.
En la pantalla Permisos de acceso al sitio web elija solo Leer si el contenido

será solo estático (html). Elija opcionalmente Ejecutar secuencias de
comandos (por ejemplo ASP). Evalúe con el desarrollador de la aplicación
la necesidad de marcar el permiso Ejecutar (por ejemplo aplicaciones
ISAPI, CGI), pero hágalo sólo si es esencial para el funcionamiento del
mismo. No marque ningún otro permiso. Haga click en Siguiente y
luego en Finalizar.
Extensiones
En su instalación por omisión, IIS reduce al máximo la superficie de
ataque el no ofrecer extensiones para contenido dinámico.
Es necesario evaluar junto a los desarrolladores la necesidad de publicar

contenido dinámico ya sea ASP o ASP.NET, y permitirlo en consecuencia.
Durante el proceso de instalación desatendida de IIS mostrado más arriba

en esta guía, se decidió habilitar ASP y ASP.NET mediante los
modificadores:
iis_asp = on
AspNet = on
Se puede revertir esta decisión en cualquier momento, prohibiendo la

Extensión correspondiente.
41
Abra la consola de Administración de IIS y navegue hasta Extensiones del

servidor, revise que sólo las extensiones que va a utilizar se encuentran
en estado permitido.
Grupo de Aplicaciones
A menos que el contenido del sitio web deba ser accedido vía red, cambie
el contexto de seguridad de los grupos de aplicaciones a Servicio Local.
42
URLScan 2.5
Si bien IIS 6 incluye varias características de URLScan ya incorporadas,
es conveniente utilizar la versión separada proporcionada por Microsoft de
manera de tener un control mucho mas preciso del comportamiento del
IIS.
Puede descargar URLScan 2.5 desde:
http://www.microsoft.com/technet/security/tools/urlscan.mspx
La instalación es bastante sencilla y no ofrece demasiadas opciones.
Una vez instalado es necesario editar el archivo urlscan.ini situado en

%windir%\system32\inetsrv\urlscan y modificar algunos de sus
parámetros.
Importante: las siguientes configuraciones pueden ser incompatibles con

ciertas aplicaciones web, consulte la documentación de las aplicaciones y
revise los logs del IIS para detectar problemas de funcionamiento.
UseAllowVerbs=1 ; Esto nos permitirá usar secciones donde permitir o

denegar verbos tales como POST, PUT, DELETE, etc.
43
UseAllowExtensions=1 ; Esto nos permitirá definir qué extensiones

permitir o denegar
MaxAllowedContentLenght=1024 ‘ este valor depende de si se permiten

verbos PUT o POST y define el tamaño máximo de contenido que alguien
puede enviar mediante PUT o POST al server. El tamaño por omisión es
de 3GB.
MaxQueryString=0 ; Define si se permite enviar parámetros y el largo de

la URL donde estos se pasan. Normalmente estos parámetros suelen
pasarse por POST, consulte al desarrollador el método utilizado.
[AllowVerbs]
GET
HEAD
POST ; En caso de usar contenido dinámico y que se pasen parámetros
por POST
[AllowExtensions]
.htm
.html
.jpg
.jpeg
.gif
.png
.asp ; En caso de utilizar contenido dinámico
.aspx ; En caso de utilizar contenido dinámico
Las configuraciones de IIS 6 arriba descriptas son dependientes de las
aplicaciones a colocar en el servidor web. En servidores donde la seguridad es un
tema crítico deben ajustarse los parámetros de la manera más segura posible, y
luego probar la aplicación y revisar los logs para ir encontrando qué configuración
intercede con el normal funcionamiento de la misma y evaluar la relajación o no
de dicha configuración. Este tipo de operaciones pueden resultar tediosas pero es
necesario entender que no pueden ofrecerse ventajas de ningún tipo a la hora de
exponer un servicio en ambientes no controlados.
44
Capitulo 5: Configuración del servicio FTP de Internet

Configuración de sitios FTP
Sitio FTP
Este documento va a utilizar la característica que incorpora IIS6
denominada Aislar Usuarios. Este modo autentica a los usuarios contra
cuentas locales o de dominio antes de permitirles el acceso al directorio
particular correspondiente a su nombre de usuario. Todos los directorios
principales de los usuarios se encuentran en un mismo directorio raíz
FTP, en el que cada usuario únicamente puede obtener acceso y esta
restringido a su directorio particular.
Dado que en la configuración del sistema operativo fueron desactivadas

las opciones Clientes para redes Microsoft y Compartir archivos e
impresoras el servidor, no será encontrado en Entorno de red, ni podrá
ser accedido usando UNC (\\server\recurso), ni el propio server podrá
acceder otros recursos en la red mediante estos métodos. Por lo tanto
será necesario habilitar el servicio FTP como medio para subir el
contenido web a publicar.
Borre el sitio FTP predeterminado, expanda Sitios FTP, haga click

derecho en Sitio FTP predeterminado y elija Eliminar.
45
Cree un nuevo sitio FTP haciendo click derecho en Sitios FTP, elija
Nuevo y luego Sitio FTP, haga click en Siguiente para aceptar la pantalla
de bienvenida. Escriba una descripción que identifique claramente al sitio
y haga click en Siguiente. Asigne una dirección IP (necesitará una
dirección IP por cada sitio FTP que necesite crear) y deje el puerto 21 si
desea publicarlo en el puerto estándar. Haga click en Siguiente. Elija la
opción Aislar Usuarios para permitir que cada usuario deje el contenido en
su propio directorio y no pueda acceder a ningún otro y haga click en
Siguiente. Elija la ruta del directorio raíz (recuerde que esta guía sugiere
al menos dos particiones, no use la partición de sistema como directorio
raíz de FTP). Haga click en Siguiente y elija lectura y escritura. Haga click
en Siguiente y luego en Finalizar.
Haga Click derecho en el sitio recientemente creado y elija propiedades.

Vaya a la aleta “Cuentas de Seguridad” y destilde “Permitir conexiones
anónimas”, acepte la advertencia y haga click en OK.
46
.
Cree un usuario por cada sitio web para el cual se cargará contenido. En
este ejemplo crearemos dos usuarios. Abra una consola de comandos y
ejecute:
C:\> net user SitioWeb1 P@ssw0rdC0mpleX /add
C:\> net user SitioWeb2 Pa$$w0rdCompl3X /add
Vaya al directorio raíz que indicó en la creación del sitio FTP (en nuestro
ejemplo D:\>FTP) y cree una subcarpeta llamada LocalUser.
Dentro de LocalUser cree una carpeta por cada usuario de cada sitio web
autorizado a subir contenido. En nuestro ejemplo crearemos las carpetas
sitioweb1 y sitioweb2.
47
Haga click derecho en cada carpeta y en la aleta Seguridad asigne

permisos de lectura y escritura únicamente al usuario creado
anteriormente, y que coincida con el nombre de la carpeta.
Verifique que ningún otro usuario tenga permisos en esa carpeta a

excepción de Administradores, System y Creator Owner.
48
Testee el procedimiento iniciando una sesión ftp con uno de los usuarios
creados recientemente. Suba un archivo de prueba y verifique que el
archivo esté en la carpeta que coincide con el nombre de la cuenta con la
cual inició sesión en el FTP.
La característica que permite el aislamiento de usuarios es un
complemento ideal para la carga y descarga de archivos de un servidor
que no posee los mecanismos tradicionales encontrados normalmente en
los servidores Microsoft. Además resulta uno de los protocolos que mejor
performance ofrecen, al momento de manejar transferencias con gran
cantidad de información.
49
Capitulo 6: Conclusiones finales
Resumen
Conclusión de la Guía
Esta guía ha presentado la manera en que Microsoft recomienda la
instalación, configuración y ajuste de Internet Information Services 6 para
implementaciones críticas en cuanto a seguridad. Las configuraciones
aquí descriptas pueden asistir a organizaciones de todos los tamaños a
obtener respuestas a los riesgos de seguridad a los que puedan verse
enfrentados al publicar contenido vía web usando IIS. La decisión de la
aplicación de esta guía debe basarse en un análisis de riesgo que
sobrepase el nivel definido como aceptable.
La definición de riesgo aceptable y la manera de administrarlo varía de

organización en organización y por lo tanto no existe una regla fija que
aplique a todos los casos. Una correcta administración de riesgos
determinará si conviene aplicar la guía en su totalidad o en partes.
Esta guía está sujeta a cambios, en la medida en que nuevas pruebas,

situaciones y conocimientos acerca de los desafíos ambientales en los
que las aplicaciones web se desarrollan, sean adquiridos.
Ahora que ya ha leído esta guía en su totalidad, puede comenzar a

configurar servidores web comenzando por el Capítulo 2.
50
Apéndice 1: Instalación de Internet Information Services

de manera automática.
Instalación desatendida
Setup Manager
Esta herramienta permite crear archivos de respuesta que automatizan la
instalación de servidores. setupmgr.exe se encuentra dentro del archivo
deploy.cab que se encuentra en el CD de instalación de Windows 2003
Server \Support\Tools\deploy.cab.
Al ejecutarlo se debe elegir hacer un nuevo archivo para Windows 2003

Server, instalación desde CD, y recorrer el Wizard respondiendo las opciones
que se presentan. Luego debe guardarse ese archivo como winnt.sif e
introducirlo en la disquetera del servidor acompañando al CD de instalación.
El CD sacará las respuestas del archivo winnt.sif.
Puede editar rápidamente el archivo y cambiar el nombre de servidor y

direccionamiento IP para cada servidor que instale. No puede usar archivos
UDF cuando instala desde CD.
Winnt.sif
Acá le presentamos como ejemplo, un archivo de respuesta modelo para

instalación de IIS:
;SetupMgrTag
[Data]
AutoPartition=1
MsDosInitiated="0"
UnattendedInstall="Yes"
[Unattended]
UnattendMode=FullUnattended
OemSkipEula=Yes
OemPreinstall=No
TargetPath=so\www
[GuiUnattended]
AdminPassword=P@ssw0rd
EncryptedAdminPassword=No
AutoLogon=Yes
51
AutoLogonCount=2
OEMSkipRegional=1
TimeZone=70
OemSkipWelcome=1
[UserData]
ProductKey=AAAAA-BBBBB-CCCCC-DDDDD-EEEEE
FullName="Admin"
OrgName="Compania"
ComputerName=wwwsrv
[LicenseFilePrintData]
AutoMode=PerSeat
[TapiLocation]
CountryCode=54
AreaCode=11
[RegionalSettings]
LanguageGroup=1
Language=00002c0a
[GuiRunOnce]
Command0=a:\services.vbs
[Identification]
JoinWorkgroup=WORKGROUP
[Networking]
InstallDefaultComponents=No
[NetAdapters]
Adapter1=params.Adapter1
[params.Adapter1]
INFID=*
[NetProtocols]
MS_TCPIP=params.MS_TCPIP
[params.MS_TCPIP]
DNS=No
UseDomainNameDevolution=No
EnableLMHosts=Yes
AdapterSections=params.MS_TCPIP.Adapter1
[NetBindings]
Disable = "MS_Server MS_NetBeui Adapter1"
Disable = "MS_MSClient MS_NetBeui Adapter1"
Disable = "ms_msclient ms_netbt ms_tcpip Adapter1"
52
Disable = "ms_msclient ms_netbeui Adapter1"

Disable = "ms_msclient ms_nwnb"
Disable = "MS_Server, MS_NetBt, MS_TCPIP, Adapter1"
[params.MS_TCPIP.Adapter1]
SpecificTo=Adapter1
DHCP=No
IPAddress=192.168.1.2
SubnetMask=255.255.255.0
DefaultGateway=192.168.1.1
WINS=No
NetBIOSOptions=2
[Components]
iis_common = on
iis_ftp = on
iis_inetmer = on
iis_asp = on
AspNet = on
iis_www = on
Accessopt = Off
RootAutoUpdate = off
Calc = off
CharMap = off
ClipBook = off
DeskPaper = off
Paint = off
MSWordpad = off
Chat = off
IEHardenAdmin = off
IEHardenUser = off
SCW=on
[InternetServer]
PathFTPRoot = c:\srv\iis\ftps
PathWWWRoot = c:\srv\iis\webs
Services.vbs
Este script le permite desactivar los servicios contenidos en Array(), Edite

Array() según sus necesidades
On Error Resume Next
53
strComputer = "."
arrTargetSvcs =
Array("AeLookupSvc","Clipsrv","Browser","Alerter",
"appmgmt", "DCOMLaunch", "DHCP", "DFS", "Helpsvc",
"SamSS", "Seclogon", "lanmanServer", "lanmanWorkstation")
Set objWMIService = GetObject("winmgmts:" _

& "{impersonationLevel=impersonate}!\\" & strComputer &
"\root\cimv2")
Set colServices = objWMIService.ExecQuery("SELECT * FROM
Win32_Service")
Wscript.Echo "Checking for target services ..."
For Each objService in colServices

For Each strTargetSvc In arrTargetSvcs
If LCase(objService.Name) = LCase(strTargetSvc) Then
WScript.Echo VbCrLf & "Service Name: " &
objService.Name
WScript.Echo " Status: " & objService.State
Wscript.Echo " Startup Type: " &
objService.StartMode
WScript.Echo " Time: " & Now
If objService.State = "Stopped" Then
WScript.Echo " Already stopped"
Else
intStop = objService.StopService
If intStop = 0 Then
WScript.Echo " Stopped service"
Else
WScript.Echo " Unable to stop service"
End If
End If
If objService.StartMode = "Disabled" Then
WScript.Echo " Already disabled"
Else
intDisable =
objService.ChangeStartMode("Disabled")
If intDisable = 0 Then
WScript.Echo " Disabled service"
Else
WScript.Echo " Unable to disable service"
End If
End If
End If
Next
54
Next
55
56

Manual de IIS

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Manual de IIS

Transféré par

Droits d'auteur :

Formats disponibles

Guía de Seguridad para Internet Information Services 6.

Soluciones Microsoft para Profesionales IT

Guía de Seguridad para

Guía de seguridad para Internet Information Services 6.0

Capítulo 1: Introducción a la Guía de Seguridad para

Los desafíos ambientales

Internet Information Services

Visión general de la Guía

Este proceso de protección podrá variar en función de las necesidades del

efectos de la aplicación de estas configuraciones. De hecho muchas de

Esta guía no es traducción de ningún documento escrito anteriormente por

¿Quien debería leer esta guía?

Alcance de esta guía

Capitulo 2: Configuración del servidor físico

La seguridad del servidor

La seguridad de un sistema informático debe construirse siempre desde la

Es necesario entonces empezar a pensar desde el mismo momento de

Normalmente el fabricante proporciona los drivers junto con el envío de las

seguridad. Por eso es de vital importancia poseer las últimas versiones de

Configuración del BIOS

Configure un password largo y complejo. Esto evitará que cambien

Configuración Externa del servidor

Capitulo 3: Configuración del sistema operativo

Windows Server 2003

Adicionalmente dentro de las propiedades TCP/IP, aleta WINS deberá

Y que se unió al servidor al grupo de trabajo GRUPO_TRABAJO, ya que un

Es imprescindible además, renombrar las cuentas de administrador e invitado

Elimine todos los componentes adicionales, vaya a panel de control,

Actualizaciones de seguridad a la instalación de Windows Server

lapso de tiempo en el cual el mismo es conectado a la red y la instalación

fig3: Pantalla de Inicio de Actualizaciones de seguridad a la instalación de Windows Server

Para aplicar todas las actualizaciones disponibles utilizar la opción: Actualizar

Una vez actualizado, utilice la opción: Configurar la actualización automática de

Instalación del Componente Internet Information Services 6.0.

Durante el proceso de instalación del sistema operativo se reservó una

El procedimiento a seguir para realizar tal operación es tal como se describe

Nota: Los componentes iis_asp y AspNet serán necesarias en la medida que

Utilice las variables PathFTPRoot y PathWWWRoot para indicar la ubicación

Inicie el proceso de instalación: Inicio/Ejecutar y escriba:

Sysocmgr /u:c:\iis6.txt /i:%windir%\inf\sysoc.inf

Complete el proceso de instalación proporcionando los archivos necesarios

Revise que la instalación se ha efectuado exitosamente ejecutando la

Revisar el estado de actualizaciones

Descargue y aplique todas las actualizaciones que MBSA le indique como

Mas información acerca de MBSA en www.microsoft.com/mbsa

Asistente para configuración de seguridad

Vaya a panel de control, agregar/remover programas, luego a agregar o

Una vez instalado, vaya a Herramientras administrativas y ejecute el

Elija el servidor local en el cual está aplicando estas acciones, Tenga en

En la pantalla de Procesar la base de datos de configuración de seguridad

En configuración del servidor basado en funciones haga clic en Siguiente.

En seleccionar funciones de servidor escoja Todas las funciones en la lista

Quite la tilde a todas las funciones y asegúrese de tildar Servidor Web y

En seleccionar características de cliente quite la tilde a todas las opciones y

En Seleccionar Opciones de administración y otras seleccione:

• Configuración y Análisis remoto del asistente para configuración de

En Seleccionar servicios adicionales deje solamente runtimes de .net ofrecidas

En Tratamiento de servicios sin especificar elija: deshabilitar el servicio

En Confirmar Cambios de Servicio revise que la lista de servicios y modo de

En Seguridad de Red haga clic en Siguiente.

En configuración de registro, click en Siguiente.

Requerir firmas de seguridad SMB: El servidor no tendrá SMB habilitado, con lo

En Métodos de autenticación de salida asegúrese de no tener tildado ninguna

En Métodos de autenticación de entrada asegúrese de no tener tildado ninguna