Cómo instalar y usar el Asistente de bloqueo de seguridad de IIS

Seleccione idioma Seleccione idioma
Id. de artículo: 325864 - Ver los productos a los que se aplica este artículo
Recomendamos encarecidamente que todos los usuarios se actualicen a la versión 6.0 de Servicios de Microsoft Internet Information Server (IIS) de Microsoft Windows Server 2003. IIS 6.0 aumenta considerablemente la seguridad de la infraestructura Web. Para obtener más información acerca de temas relacionados con la seguridad de IIS, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Expandir todo | Contraer todo

En esta página

Resumen

Este artículo paso a paso explica cómo proteger un servidor Web utilizando el Asistente de bloqueo de seguridad de los Servicios de información de Internet (IIS). También incluye información sobre cómo solucionar problemas que se presentan después de ejecutar el asistente.

Preparativos para la ejecución del Asistente de bloqueo de seguridad de IIS

Con el Asistente de bloqueo de seguridad de IIS, puede desactivar varias funciones opcionales de IIS para proteger un servidor IIS contra posibles ataques. Antes de ejecutar el asistente, lea el archivo de Ayuda para familiarizarse con las opciones del asistente. Para tener acceso al archivo de ayuda:
  1. Descargue el Asistente de bloqueo de seguridad de IIS. Para descargar el asistente, visite el siguiente sitio Web de Microsoft:
    http://www.microsoft.com/downloads/release.asp?ReleaseID=43955
  2. Extraiga los archivos del Asistente de bloqueo de seguridad del archivo ejecutable.
  3. Localice la carpeta que especificó cuando extrajo los archivos y haga doble clic en el archivo Iislockd.chm.
Observe que el Asistente de bloqueo de seguridad permite deshabilitar ciertas funciones opcionales de IIS necesarias para el funcionamiento correcto de otras aplicaciones, como Exchange y FrontPage. Si no selecciona las opciones correctas cuando ejecuta el Asistente de bloqueo de seguridad, es posible que interrumpa la funcionalidad de estas aplicaciones. Para minimizar los problemas, revise cuidadosamente los artículos de Microsoft Knowledge Base correspondientes a la configuración de su sistema antes de ejecutar el Asistente de bloqueo:
  • Exchange y Outlook Web Access (OWA):
    309508 Configuraciones del Bloqueo IIS y URLScan en un entorno de Exchange
  • Microsoft Internet Information Server:
    311595 Cómo instalar y configurar Microsoft Security Tool Kit en Microsoft Mobile Information Server
  • Microsoft Small Business Server:
    311862 Cómo usar el Asistente de bloqueo de seguridad de IIS con Small Business Server
  • Microsoft Project, Project Server y Project Web Access:
    321357 Aparecen mensajes de error al ver una página de acceso a Web de Microsoft Project que contiene cuadrículas
    316398 Cómo configurar el Asistente de bloqueo de seguridad de IIS y la herramienta de seguridad URLScan en un equipo en el que se ejecuta Microsoft Project Server o Microsoft Project Central
  • Microsoft SharePoint Portal Server:
    309675 El Asistente de bloqueo de seguridad de IIS afecta a SharePoint Portal Server
    319633 'Error de ejecución de guión: Error de ejecución INVOKE' después de instalar el Asistente de bloqueo de seguridad de IIS
  • Microsoft Visual Studio .NET:
    310588 PRB: Security Toolkit interrumpe la depuración de ASP.NET en Visual Studio .NET
    315904 ERROR: Mensaje de error "ExternalException: no se puede ejecutar un programa" al llamar a WebServices desde una página .aspx
  • Microsoft FrontPage:
    317390 Se produce el mensaje de error "HTTP/1.1 404 No se encuentra el objeto" cuando un usuario de la página Web realiza una búsqueda
    307976 Mensaje de error al usar FrontPage con URLScan
  • Microsoft Proxy Server:
    311675 No se puede buscar en la Ayuda en pantalla de Proxy Server 2.0 una vez instalado el Asistente de bloqueo de seguridad de IIS

Descargar e instalar el Asistente de bloqueo de seguridad de IIS

  1. Haga doble clic en el archivo ejecutable que descargó en la sección Preparativos para la ejecución del Asistente de bloqueo de seguridad de IIS para iniciar el asistente.
  2. En la página de bienvenida, lea el texto explicativo y, a continuación, haga clic en Siguiente.
  3. En la página Contrato de licencia, lea el contrato de licencia, haga clic en Acepto y, a continuación, haga clic en Siguiente.
  4. En la página Seleccionar plantilla de servidor, elija la plantilla que mejor se ajuste al papel de este servidor y haga clic para seleccionar Ver configuración de la plantilla. En las páginas siguientes encontrará opciones previamente seleccionadas en base al papel del servidor que haya elegido en la página anterior, por lo que puede usar todas las opciones seleccionadas de forma predeterminada.

    Si el servidor desempeña varias funciones (por ejemplo, actúa como servidor Web dinámico al tiempo que es un servidor proxy), seleccione Otro (Servidor que no coincide con ninguna de las funciones mostradas) y asegúrese de que ha revisado todas las opciones que aparecen en las páginas siguientes, ya que es posible que las selecciones predeterminadas no sean adecuadas para su servidor. Cuando haya seleccionado la configuración adecuada, haga clic en Siguiente.
  5. En la página Servicios de Internet, seleccione los servicios que desee que proporcione su servidor. La mayoría de los servidores requieren el servicio Web. Si no desea que su servidor proporcione servicios de Protocolo de transferencia de archivos (FTP) o el Protocolo simple de transferencia de correo (SMTP) (es decir, servicios de transferencia de archivos o de correo electrónico), puede hacer clic para borrar estas opciones. Tenga en cuenta que debe dejar seleccionado SMTP en el caso de que esté ejecutando Exchange o Small Business Server.

    Los servicios que no seleccione en esta página estarán configurados en la opción Desactivado y no podrán iniciarse. Si está ejecutando el Asistente de bloqueo de seguridad en IIS 5.0, también puede seleccionar Eliminar servicios no seleccionados, lo que hará que los servicios que no haya seleccionado se borren del sistema. Cuando haya seleccionado la configuración adecuada, haga clic en Siguiente.
  6. En la página Mapas de secuencia de comando, haga clic para desactivar la casilla de verificación que esté cerca de cualquier tipo de archivo o tipos de archivo que desee que su servidor proporcione. Si no está seguro de las casillas que le conviene desactivar, puede realizar búsquedas en sus directorios de contenido para establecer si las extensiones correspondientes a determinados tipos de archivo existen en su equipo. Observe que la mayoría de los servidores requieren páginas Active Server (.asp), de manera que deberá hacer clic para desactivar la casilla de verificación, a menos que esté seguro de que su servidor no sirve páginas ASP. Haga clic en Siguiente.
  7. En la página Seguridad adicional, seleccione los directorios virtuales que desee eliminar del servidor. De forma predeterminada, estos directorios virtuales se instalan con IIS, por lo que constituyen objetivos habituales de los hackers, por lo que resulta aconsejable que los elimine o que cambie su nombre en los equipos de producción. La eliminación de estos directorios virtuales del IIS no borra los directorios físicos correspondientes presentes en el disco, por lo que no perdería ningún dato si selecciona esta opción.
  8. En la página Seguridad adicional, seleccione Utilidades del sistema en ejecución si desea denegar derechos sobre archivos ejecutables en el directorio de Windows a la cuenta invitada de Internet (de forma predeterminada, IUSR_<NombreDeEquipo>). Esta opción debería estar seleccionada en la mayoría de los sistemas.
  9. En la página Seguridad adicional, seleccione Escritura en directorios de contenido, en el caso de que desee denegar a la cuenta invitada de Internet derechos de escritura sobre sus directorios de contenido Web. Asegúrese de que deja desactivada esta opción si está utilizando las Extensiones de servidor de FrontPage en el servidor, o si éste funciona como servidor proxy.
  10. En la página Seguridad adicional, seleccione Desactivar Creación y control de versiones distribuidas en Web (WebDAV) si no está usando WebDAV para crear e implementar contenido Web en este servidor. Si el servidor ejecuta Outlook Web Access (OWA) para Exchange 2000, asegúrese de que esta opción no esté seleccionada.
    NOTA
    Si selecciona esta opción, el Asistente de bloqueo de seguridad establecerá los derechos en la DLL que implementa la funcionalidad WebDAV (Httpext.dll) para denegar los permisos de ejecución. Esto podría admitir la ejecución de ciertas peticiones WebDAV. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    307934 El bloqueo de WebDAV a través de ACL sigue permitiendo solicitudes PUT y DELETE
  11. Haga clic en Siguiente.
  12. En la página URLScan, seleccione la opción que permite instalar URLScan, en el caso de que desee utilizar URLScan para filtrar solicitudes entrantes basadas en un conjunto de reglas. Si un cliente intenta realizar una solicitud no válida basada en las reglas de URLScan, IIS responde con un mensaje de error 404 Archivo no encontrado y registra la solicitud en el archivo de registro de URLScan. De forma predeterminada, este archivo se encuentra en %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Nota
    Si deja WebDAV activada en la página Seguridad adicional, pero decide instalar URLScan, observe que URLScan bloquea las solicitudes WebDAV de forma predeterminada. Debe modificar el archivo Urlscan.ini si desea utilizar WebDAV con URLScan.
  13. En la página Listo para aplicar configuración, revise los cambios que vaya a realizar y, a continuación, haga clic en Siguiente.
  14. El Asistente de bloqueo de seguridad efectúa una copia de seguridad de su metabase y realiza los cambios seleccionados. Una vez terminado el proceso, haga clic en Ver informe para ver el informe en el que se describen los cambios realizados por el asistente. Haga clic en Siguiente para continuar.

    Nota
    Puede ver el informe de instalación abriendo %WINDIR%\System32\Inetsrv\Oblt-rep.log en el Bloc de notas.
  15. Haga clic en Finalizar para cerrar el Asistente de bloqueo de seguridad de IIS.
  16. Realice una prueba exhaustiva de todas las funciones de su servidor. Este paso es muy importante. Si descubre que ha deshabilitado accidentalmente funciones necesarias para su servidor, deshaga los cambios efectuados por el Asistente de bloqueo de seguridad inmediatamente y, a continuación, vuelva a ejecutar el asistente para seleccionar las opciones correctas. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    317052 Cómo deshacer los cambios que efectúa IIS Lockdown Wizard

Configurar URLScan

Cuando ejecute el Asistente de bloqueo de seguridad de IIS, puede instalar URLScan. URLScan es un filtro ISAPI que bloquea solicitudes HTTP basadas en un conjunto de reglas susceptible de ser configurado. Por ejemplo, puede configurar URLScan para que bloquee todas las solicitudes efectuadas en relación con una determinada extensión de nombre de archivo, para que bloquee ciertos verbos HTTP (como GET o POST), o para que bloquee solicitudes que contengan caracteres frecuentemente incluidos en ataques a servidores Web.

Para configurar URLScan, utilice un editor de texto como el Bloc de notas para editar el archivo %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Este archivo contiene comentarios que explican todas las opciones de configuración. Una vez finalizada la edición del archivo .ini, guárdelo y reinicie el IIS.

Para obtener información adicional acerca de cómo configurar URLScan, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
312376 Cómo configurar URLScan para permitir solicitudes con una extensión NULL en IIS
326444 Cómo configurar la herramienta URLScan

Solucione problemas después de ejecutar el Asistente de bloqueo de seguridad de IIS

El problema más habitual después de ejecutar el Asistente de bloqueo de seguridad de IIS es la recepción inesperada de mensajes de error "404 Archivo no encontrado" cuando abre el sitio bloqueado. Puede recibir estos mensajes de error aun cuando los archivos existan. Esto tiene lugar cuando un cliente solicita un archivo que ha sido bloqueado por el Asistente de bloqueo o por URLScan. En este caso, por cuestiones de seguridad, IIS afirma que el archivo no existe. Si un usuario malintencionado sabe que el servidor aloja un servicio vulnerable, pero que está siendo bloqueado, puede encontrar la manera de saltarse el bloqueo y aprovechar la vulnerabilidad; sin embargo, si el usuario cree que el servicio no está instalado, no intentará sacar partido de esta situación.

Si recibe un mensaje de 404 error después de ejecutar el Asistente de bloqueo de seguridad de IIS, siga estos pasos para solucionar el problema:
  1. Compruebe que el archivo que está solicitando está presente en el servidor. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    248033 Causas y resolución típicas del mensaje de error 'HTTP 404 - No se encuentra el archivo'
  2. Examine el archivo de registro de URLScan para ver si URLScan está bloqueando las solicitudes. Este archivo está ubicado en %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (donde MMDDYY es la fecha del registro). Si descubre que URLScan está bloqueando las solicitudes, vea la sección Configurar URLScan para configurar URLScan de manera que admita estas solicitudes.
  3. Si solicita un archivo distinto de HTML, como una página ASP o un archivo de inclusión del servidor, compruebe las asignaciones de aplicación para el tipo de archivo en el Administrador de servicios de Internet:
    1. Haga clic con el botón secundario en el sitio Web y, a continuación, haga clic en Propiedades.
    2. En la ficha Directorio particular, haga clic en Configuración.
    3. Haga clic en la ficha App Mappings (Asignaciones de la aplicación).
    4. Haga clic en la línea que corresponde a la extensión del archivo al que está intentando tener acceso.
    5. Si Ruta de acceso de archivo ejecutable está configurado en %WINDIR%\System32\Inetsrv\404.dll, haga clic en Editar y configure Ruta de acceso de archivo ejecutable en la ruta ejecutable de forma predeterminada para la extensión de archivo en cuestión. Si no está seguro del valor predeterminado, abra el archivo %WINDIR%\System32\Inetsrv\oblt-log.log, que se creó cuando ejecutó el Asistente de bloqueo de seguridad. Busque una línea que empiece por SMAP seguida de la extensión del archivo. Esta línea también contiene la ruta predeterminada del archivo ejecutable para este tipo de archivo.
Si tiene dificultades con un servicio que depende de IIS, como Exchange o SharePoint, vea los artículos de Microsoft Knowledge Base que se muestran en la sección Preparativos de ejecución del Asistente de bloqueo de seguridad de IIS.

También es posible que el FTP o el SMTP no funcionen después de ejecutar el Asistente de bloqueo de seguridad de IIS. Esto tiene lugar si deshabilita o elimina estos servicios. Si deshabilitó los servicios, siga estos pasos para volverlos a activar:
  1. Abra el Panel de control.
  2. En Windows NT 4.0, abra el subprograma Servicios. En Windows 2000 o en Windows XP, abra la carpeta Herramientas administrativas y, a continuación, abra el subprograma Servicios.
  3. Haga doble clic en Publicación FTP o en Protocolo simple de transferencia de correo (SMTP).
  4. En cuanto al Tipo de inicio, seleccione Automático.
  5. Haga clic en Iniciar, si desea que el servicio se inicie de inmediato.
Si ha eliminado por completo uno o los dos servicios, seleccionando Eliminar servicios innecesarios cuando ejecutó en Asistente de bloqueo de seguridad en IIS 5.0, siga estos pasos para reinstalarlos:
  1. Abra el Panel de control.
  2. Abra el subprograma Agregar o quitar programas y haga clic en Agregar o quitar componentes de Windows en el panel izquierdo.
  3. Haga clic en Servicios de información de Internet (IIS) y en Detalles.
  4. Seleccione Servicio de Protocolo de transferencia de archivos (FTP) o Servicio SMTP.
  5. Haga clic en Aceptar y, luego, en Siguiente. Se instalará el servicio o los servicios seleccionados. El sistema puede pedirle que inserte el CD-ROM de Windows.
  6. Asegúrese de que vuelve a utilizar el último Service Pack de Windows y cualquier revisión que haya instalado.
Si ninguno de estos métodos funciona, puede ver el archivo de informe del Asistente de bloqueo de seguridad de IIS para ver todos los cambios que la herramienta ha realizado. Esto puede ayudarle a determinar qué cambios ocasionaron los problemas que está experimentando. Este archivo de informe está guardado en % WINDIR\System32\Inetsrv\Oblt -rep.log.

Para obtener información adicional sobre cómo deshacer los cambios realizados por el Asistente de bloqueo de seguridad de IIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
317052 Cómo deshacer los cambios efectuados por el Asistente de bloqueo de seguridad de IIS

Referencias

Para obtener información adicional sobre el Asistente de bloqueo de seguridad de IIS y sobre cómo proteger el servidor IIS, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
310725 Cómo ejecutar el Asistente de bloqueo de seguridad de IIS de forma desatendida en IIS
311350 Cómo crear un tipo de servidor personalizado para usarlo con el Asistente de bloqueo de seguridad de IIS
282060 Recursos para proteger los servicios de Internet Information Server

Propiedades

Id. de artículo: 325864 - Última revisión: martes, 30 de mayo de 2006 - Versión: 4.3
La información de este artículo se refiere a:
  • Servicios de Microsoft Internet Information Server 5.0
  • Servicios de Microsoft Internet Information Server 5.1
  • Microsoft Internet Information Server 4.0
Palabras clave: 
kbhowtomaster KB325864

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com