Como instalar e usar o Assistente de bloqueio do IIS

Traduções deste artigo Traduções deste artigo
ID do artigo: 325864 - Exibir os produtos aos quais esse artigo se aplica.
É altamente recomendável que todos os usuários atualizem para Microsoft (IIS) versão 6.0 em execução no Microsoft Windows Server 2003. O IIS 6.0 aumenta significativamente a segurança de infra-estrutura da Web. Para obter mais informações sobre tópicos relacionados à segurança do IIS, visite o seguinte site:
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Expandir tudo | Recolher tudo

Neste artigo

Sumário

Este artigo passo a passo explica como proteger um servidor Web usando o Internet Information Services (IIS) Lockdown Wizard. Ele também inclui informações sobre como solucionar problemas que ocorrem após você executar o assistente.

Preparar para executar o Assistente de bloqueio do IIS

Com o Assistente de bloqueio IIS, você pode desativar vários recursos opcionais do IIS para proteger seu servidor IIS contra ataques. Antes de executar o assistente, ler o arquivo de Ajuda para se familiarizar com as opções que o Assistente apresenta. Para acessar o arquivo de Ajuda:
  1. Baixe o Assistente de bloqueio do IIS. Para baixar o assistente, visite o seguinte site da Microsoft:
    http://www.microsoft.com/Downloads/details.aspx?displaylang=en&FamilyID=DDE9EFC0-BB30-47EB-9A61-FD755D23CDEC
  2. Extrai os arquivos do Assistente de bloqueio do arquivo executável.
  3. Localize a pasta que você especificou quando os arquivos foram extraídos e clique duas vezes no arquivo Iislockd.chm.
Observe que o Assistente de bloqueio permite desabilitar certos recursos opcionais do IIS que são necessário para a operação correta de outros aplicativos, como o Exchange e o FrontPage. Se você não selecionar as opções corretas quando você executa o Assistente de bloqueio, você pode interromper a funcionalidade desses aplicativos. Para minimizar problemas, revise cuidadosamente os artigos da Base de dados de Conhecimento Microsoft que estão apropriados para seu sistema de configuração antes de que executar o Assistente de bloqueio:
  • Exchange e Outlook Web Access (OWA):
    309508Configurações de IIS Lockdown e URLscan em um ambiente do Exchange
  • Microsoft Mobile Information Server:
    311595Como instalar e configurar o Microsoft Security Tool Kit em um Microsoft Mobile Information Server
  • Microsoft Small Business Server:
    311862Como usar O IIS Lockdown ferramenta com o Small Business Server
  • Microsoft Project, o Project Server e o Project Web Access:
    321357Mensagens de erro quando você exibir uma página Microsoft Project Web Access que contém grades
    316398Como configurar a ferramenta de bloqueio do IIS e a ferramenta de segurança URLScan em um computador que esteja executando o Microsoft Project Server ou Microsoft Project Central
  • Microsoft SharePoint Portal Server:
    309675A ferramenta afeta o SharePoint Portal Server
    319633' Erro de execução de script: erro executando INVOKE ' mensagem de erro após instalar o IIS Lockdown Wizard
  • Microsoft Visual Studio .NET:
    310588PROBLEMA: O Security Toolkit quebras de depuração do ASP.NET no Visual Studio .NET
    315904Erro: "ExternalException: não é possível executar um programa" mensagem de erro quando você chamar WebServices a partir de página .aspx
  • Microsoft FrontPage:
    317390Mensagem de erro "HTTP/1.1 404 objeto não encontrado" ocorre quando um usuário da página da Web executa uma pesquisa
    307976Mensagem de erro ao usar o FrontPage com o URLScan
  • Microsoft Proxy Server:
    311675Não é possível pesquisar Proxy Server 2.0 ajuda online depois que o Assistente de bloqueio do IIS for instalado
  • 888936Não é possível instalar o SMS 2003 Advanced Client

Baixar e instalar o IIS Lockdown Wizard

  1. Clique duas vezes o arquivo executável que você baixou na Prepare to run the IIS Lockdown Wizard seção para iniciar o assistente.
  2. Na página Bem-vindo, leia o texto explicativo e em seguida, clique em Avançar .
  3. Na página Contrato de licença, leia o contrato de licença, clique em Concordo e em seguida, clique em Avançar .
  4. Na página Select Server Template, selecione o modelo mais parecida com a função do servidor e, em seguida, clique para selecionar Configurações de modelo de exibição . As páginas que siga isso ter opções já selecionadas com base na função do servidor que você selecionou anteriormente na página anterior, para que poder usar todas as seleções padrão.

    Se o servidor tiver várias funções (por exemplo, um dinâmico servidor Web que também é um servidor proxy), clique para selecionar outro servidor (que não coincide com qualquer uma das funções listadas) e certifique-se de que você considere cuidadosamente todas as opções que são apresentadas nas páginas seguintes, porque as seleções padrão podem não ser adequadas para o servidor. Quando você tiver selecionado as configurações apropriadas, clique em Avançar .
  5. Na página Internet Services, selecione os serviços que deseja que o servidor para fornecer. A maioria dos servidores exigem que o serviço da Web. Se você não desejar que seu servidor para fornecer serviços de protocolo de transferência de arquivo (FTP) ou SMTP (Simple Mail Transfer Protocol) (ou seja, transferência ou email serviços de arquivo), você pode clicar para desmarcar estas opções. Observe que você deve deixar SMTP selecionado se você estiver executando o Exchange ou o Small Business Server.

    Os serviços que você não selecionar nesta página são definidos para desativado e não pode ser iniciado. Se você estiver executando o Assistente de bloqueio no IIS 5.0, você também pode clicar para selecionar remover serviços desmarcados , que remove completamente os serviços que você não selecionou do seu sistema. Quando você tiver selecionado as configurações apropriadas, clique em Avançar .
  6. Na página Script Maps, clique para desmarcar a caixa de seleção ao lado de qualquer tipo de arquivo ou tipos de arquivo que deseja que o servidor para fornecer. Se você não tiver certeza que desativar, você pode pesquisar os diretórios de conteúdo para descobrir se as extensões de nome de arquivo existem. Observe que a maioria dos servidores exigem Active Server Pages (.asp), portanto, você deve clicar para desmarcar essa caixa de seleção a menos que tenha certeza que o servidor não servir páginas ASP. Clique em Avançar .
  7. Na página Additional Security, selecione os diretórios virtuais que você deseja remover deste servidor. Por padrão, esses diretórios virtuais são instalados por padrão com o IIS, para que eles são conhecidos alvos para invasores e convém remover esses diretórios virtuais ou renomeá-los nos computadores de produção. Remover esses diretórios virtuais do IIS não remove os diretórios físicos correspondentes no disco, para que você não perca os dados selecionando essa opção.
  8. Na página Additional Security, clique para selecionar Executar utilitários do sistema se você deseja negar direitos em arquivos executáveis no diretório do Windows para a conta de convidado da Internet (por padrão, IUSR_ <computername >). Esta opção deve ser selecionada na maioria dos sistemas.
  9. Na página Additional Security, clique para selecionar texto em diretórios de conteúdo , se você deseja negar gravação direitos para o convidado da Internet conta nos diretórios que contêm o seu conteúdos. Certifique-se de que você deixar essa opção desmarcada se você estiver usando as extensões de servidor do FrontPage neste servidor ou se este servidor funciona como um servidor proxy.
  10. Na página Additional Security, clique para selecionar Desativar Web Distributed Authoring and Versioning (WebDAV) se você não estiver usando WebDAV para criar e implantar conteúdo da Web neste servidor. Se este servidor é executado o Outlook Web Access (OWA) para Exchange 2000, certifique-se de que você deixar essa opção desmarcada.
    Observação : se você selecionar esta opção, os conjuntos de Assistente de bloqueio os direitos na DLL que implementa a funcionalidade de WebDAV (Httpext.dll) para negar permissão de execução. Isso ainda pode permitir que determinadas solicitações WebDAV para executar. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    307934Bloquear o WebDAV por meio de ACL ainda permite que solicitações PUT e DELETE
  11. Clique em Avançar .
  12. Na página URLScan, selecione a opção para instalar o URLScan se você desejar usar o URLScan para filtrar solicitações de entrada com base em um conjunto de regras. Se um cliente tentar fazer uma solicitação que não é válida com base nas regras URLScan, o IIS responde com um erro 404 arquivo não encontrado e registra a solicitação no arquivo de log de URLScan. Por padrão, esse arquivo está localizado em % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Observação Se você deixar o WebDAV habilitada na página Additional Security, mas você decidir instalar o URLScan, observe que o URLScan bloqueia solicitações WebDAV por padrão. Você deve modificar o arquivo URLScan.ini, se você desejar usar o WebDAV com o URLScan.
  13. Na página Ready to Apply Settings, examine as alterações que serão feitas e, em seguida, clique em Avançar .
  14. O Assistente de bloqueio faz backup de sua metabase e faz as alterações selecionadas. Quando esse processo estiver concluído, clique em View Report para ver um relatório que descreve as alterações que fez o assistente. Clique em Avançar para continuar.

    Observação Você pode ver o relatório de instalação abrindo %WINDIR%\System32\Inetsrv\Oblt-rep.log no bloco de notas.
  15. Clique em Concluir para fechar o Assistente de bloqueio do IIS.
  16. Teste totalmente todas as funcionalidades do seu servidor. Essa etapa é muito importante. Se você descobrir que você tenha desativado acidentalmente a funcionalidade necessária do seu servidor, imediatamente reverter as alterações que fez o Assistente de bloqueio e execute novamente o Assistente para selecionar as opções corretas.Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    317052Como desfazer as alterações feitas pelo Assistente de bloqueio do IIS

Configurar o URLScan

Quando você executa o Assistente de bloqueio do IIS, você pode instalar o URLScan. O URLScan é um filtro ISAPI que bloqueia solicitações HTTP com base em um conjunto de regras configurável. Por exemplo, você pode configurar o URLScan para bloquear todas as solicitações de uma determinada extensão de nome de arquivo, para bloquear determinados verbos HTTP (como, por exemplo, GET ou POST), ou para bloquear solicitações que contêm caracteres que freqüentemente estão incluídos em ataques em servidores Web.

Para configurar o URLScan, utilize um editor de texto, como o bloco de notas para editar o arquivo %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Este arquivo contém abrangentes comentários que explicam cada opção de configuração. Quando terminar de editar o arquivo .ini, salvá-lo e reiniciar o IIS.

Para obter informações adicionais sobre como configurar o URLScan, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
312376Como configurar o URLScan para permitir solicitações com uma extensão nulo no IIS
326444Como configurar a ferramenta URLScan

Solucionar problemas depois de executar o Assistente de bloqueio do IIS

O problema mais comum depois de executar o Assistente de bloqueio do IIS está recebendo 404 arquivo não encontrado erro mensagens inesperadas quando você abrir o site bloqueado. Você pode receber essas mensagens de erro mesmo para arquivos que existem. Isso ocorre quando um cliente solicita um arquivo que foi bloqueado pelo Assistente de bloqueio ou URLScan. Nesse caso, o IIS diz que o arquivo não existe para fins de segurança. Se um usuário mal-intencionado sabe que um serviço vulnerável existe no servidor, mas está sendo bloqueado, o usuário ainda pode encontrar uma maneira de obter em torno do bloco e explorar a vulnerabilidade; no entanto, se o usuário acha que o serviço não está instalado, o usuário não tentará explorá-lo.

Se você receber uma mensagem de 404 erro depois de executar o Assistente de bloqueio do IIS, siga estas etapas para solucionar o problema:
  1. Verifique se o arquivo solicitado existe no servidor. Para obter mais informações, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
    248033Como os administradores de sistema podem solucionar "HTTP 404 - arquivo não encontrado" mensagem de erro em um servidor que está executando o IIS
  2. Examine o arquivo de log URLScan para ver se URLScan está bloqueando as solicitações. Este arquivo está localizado em %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (onde MMDDYY é a data para o log). Se você descobrir que o URLScan está bloqueando as solicitações, consulte a seção Configure URLScan para configurar o URLScan para que ele permite que essas solicitações.
  3. Se você estiver solicitando um arquivo de não-HTML, como uma página ASP ou um servidor lado habilitados para incluir arquivo, verifique se o mapeamento de aplicativo para o tipo de arquivo no Gerenciador de serviços de Internet:
    1. Clique com o botão direito do site da Web e, em seguida, clique em Propriedades .
    2. Na guia Diretório base , clique em configuração .
    3. Clique na guia Mapeamentos de aplicativos .
    4. Clique na linha que corresponde à extensão do arquivo que você está tentando acessar.
    5. Se Caminho executável for definido como % WINDIR%\System32\Inetsrv\404.dll, clique em Editar e, em seguida, defina Caminho executável para o caminho executável padrão essa extensão de arquivo. Se você não tiver certeza do padrão, abra o arquivo %WINDIR%\System32\Inetsrv\oblt-log.log, que foi criado quando você executou o Assistente de bloqueio. Procure uma linha que começa com SMAP seguido a extensão de nome de arquivo. Esta linha contém também o caminho executável padrão para esse tipo de arquivo.
Se você tiver problemas com um serviço que depende do IIS, como Exchange ou o SharePoint, consulte os artigos da Base de dados de Conhecimento da Microsoft listados na seção Prepare to run the IIS Lockdown Wizard.

Você também pode encontrar a FTP ou SMTP não funcionam depois de executar o Assistente de bloqueio do IIS. Isso ocorre se você desabilitar ou remover esses serviços. Se você desativou os serviços, siga estas etapas para reativá-las:
  1. Abra o painel de controle.
  2. No Windows NT 4.0, abra o miniaplicativo serviços . No Windows 2000 ou Windows XP, abra a pasta Ferramentas administrativas e, em seguida, abra o miniaplicativo serviços .
  3. Clique duas vezes a publicação de FTP ou Simple Mail Transfer Protocol (SMTP) .
  4. Para tipo de inicialização , clique para selecionar automático .
  5. Clique em Iniciar se desejar que o serviço para iniciar imediatamente.
Se você tiver removido completamente um ou ambos esses serviços, selecionando Remover os serviços desnecessários quando você executou o Assistente de bloqueio do IIS no IIS 5.0, execute essas etapas para reinstalá-los:
  1. Abra o painel de controle.
  2. Abra o miniaplicativo Adicionar ou remover programas e clique em Adicionar ou remover componentes do Windows no painel esquerdo.
  3. Selecione Internet Information Services (IIS) e, em seguida, clique em detalhes .
  4. Clique para selecionar o serviço de FTP (File Transfer Protocol) ou o Serviço SMTP .
  5. Clique em OK e, em seguida, clique em Avançar . O serviço selecionado ou serviços serão instalados. Você pode ser solicitado a inserir seu Windows CD-ROM.
  6. Certifique-se que você reaplica o service pack mais recente do Windows e os hotfixes que você instalou.
Se nenhum desses métodos funcionar, você pode exibir o arquivo de relatório do IIS Lockdown Wizard para ver todas as alterações que a ferramenta feita. Isso pode ajudar a determinar o que as alterações causaram problemas que você está enfrentando. Este arquivo de relatório é salvo em % WINDIR\System32\Inetsrv\Oblt-rep.log.

Para obter informações adicionais sobre como desfazer as alterações que fez o IIS Lockdown Wizard, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
317052Como desfazer as alterações feitas pelo Assistente de bloqueio do IIS

Referências

Para obter informações adicionais sobre o Assistente de bloqueio do IIS e como proteger seu servidor IIS, clique nos números abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:
310725Como executar o IIS Lockdown Wizard autônoma no IIS
311350Como criar um tipo de servidor personalizado para uso com o Assistente de bloqueio do IIS
282060Recursos para proteger o IIS

Propriedades

ID do artigo: 325864 - Última revisão: segunda-feira, 23 de abril de 2007 - Revisão: 4.7
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 5.0
  • Microsoft Internet Information Services version 5.1
  • Microsoft Internet Information Server 4.0
Palavras-chave: 
kbmt kbhowtomaster KB325864 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 325864

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com