Como configurar carregamentos para aplicações Web de IIS

Traduções de Artigos Traduções de Artigos
Artigo: 979124 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo descreve como configurar Serviços de Informação Internet (IIS) de forma a permitir carregamentos de ficheiros mais seguros através de uma aplicação Web. Várias aplicações Web como, por exemplo, a aplicação Sistemas de Gestão de Conteúdo, necessitam de suportar carregamentos de ficheiros para o servidor Web que utiliza a aplicação Web. Permitir que os ficheiros sejam carregados para o servidor Web que utiliza a aplicação Web implica ramificações de segurança para o servidor e o utilizador deve compreender todas as implicações deste processo. Este artigo orienta o utilizador sobre como manter os carregamentos para a aplicação Web seguros através da configuração de IIS. Se a aplicação Web tiver um programa de instalação automático, o utilizador pode incorporar a configuração descrita neste artigo no respectivo programa de instalação.

Nota Algumas aplicações Web utilizam bases de dados para gerir o conteúdo carregado. No entanto, este artigo concentra-se nas aplicações que utilizam o sistema de ficheiros.

Mais Informação

Criar uma pasta separada para o conteúdo carregado e alterar as permissões de ficheiros NTFS na pasta de carregamento

Ao proceder desta forma, é possível configurar o comportamento do conteúdo carregado de forma diferente do resto da aplicação Web. Conceda as permissões de leitura e de escrita da pasta de carregamento para a identidade do processo de trabalho IIS. Para o IIS 6.0 no Windows Server 2003, é possível utilizar o grupo de utilizadores IIS_WPG para este procedimento. Para o IIS 7.0 e versões posteriores, é possível utilizar o grupo de utilizadores IIS_IUSRS.

Para mais informações sobre IIS_WPG, visite a seguinte página Web da Microsoft:
Configurar a Identidade do Agrupamento de Aplicações no IIS 6.0
Para mais informações sobre IIS_ISURS, visite a seguinte página Web da Microsoft:
Compreender as Contas de Utilizador Incorporado e de Grupo no IIS 7.0
Para mais informações sobre como ajudar a manter os ficheiros protegidos com permissões de NTFS, visite a seguinte página Web da Microsoft:
Proteger Ficheiros com Permissões de NTFS
Nota Em alguns casos como, por exemplo quando é utilizada representação, será necessário conceder também acesso de escrita ao contexto de utilizador autenticado.

Não permitir as Permissões de Script na pasta de carregamento

O conteúdo carregado para a maioria de aplicações Web é estático como, por exemplo, imagens e documentos. Conteúdo carregado não significa que seja conteúdo que possa ser executado como, por exemplo, scripts ou ficheiros executáveis. Por este motivo, é importante não conceder Permissões de Script a esta pasta. Caso contrário, os utilizadores que podem carregar conteúdo podem executar scripts no contexto da respectiva identidade do processo de trabalho no servidor. Se a aplicação Web tem a lógica de limitar os carregamentos por extensões de nome dos ficheiro, o utilizador deve utilizar esta restrição como medida secundária. O utilizador deve continuar a assegurar-se de que o directório de carregamento da respectiva aplicação tem as permissões de script desactivadas.

Para desactivar as permissões de script na Interface de Utilizador do Gestor de IIS (inetmgr) no IIS 5.x e 6.0, siga estes passos:
  1. Clique em Iniciar e, em seguida, clique em Executar.
  2. Escreva inetmgr na caixa Abrir e, em seguida, clique em OK.
  3. Na vista de árvore no painel de navegação, seleccione o caminho do directório de carregamento da aplicação Web.
  4. Clique com o botão direito do rato neste caminho e, em seguida, clique em Propriedades.
  5. Clique no separador Directório e, em seguida, seleccione Nenhuma na lista Permissões de Execução.
Para obter mais informações sobre como definir permissões IIS para objectos específicos, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
324068 Como definir permissões IIS para objectos específicos
Em alternativa, é possível desactivar as permissões de script utilizando a configuração da metabase no IIS 6.0, definindo o sinalizador AccessScript da propriedade AccessFlags para Falso ao nível do directório de carregamento. Para mais informações e para obter scripts de exemplo que possam ser alterados para esta utilização, visite a página Web da Microsoft:
Propriedade AccessFlags da Metabase (IIS 6.0)
Para desactivar permissões de script na configuração do IIS 7.0 e versões posteriores, o utilizador deve definir o sinalizador accessPolicy na secção processadores de forma a não incluir o valor Script.

Para mais informação sobre como fazer esta operação no IIS 7.0 e em versões posteriores, visite a seguinte página Web da Microsoft:
Configurar Restrições do Pedido para um Mapeamento do Processador
Nota Certifique-se de que lê o valor de Script para os sinalizadores de acesso.

Para mais informações sobre como definir permissões, visite a seguinte página Web da Microsoft:
Proteger Sites com Permissões de Web Site

A aplicação Web deve limitar os carregamentos apenas a utilizadores autorizados e autenticados

Esta regra confere ao administrador do servidor a capacidade de efectuar uma auditoria aos carregamentos através da aplicação Web. No caso de um utilizador tentar actividades maliciosas, proporciona ao administrador do servidor um mecanismo fácil para manter a aplicação funcional enquanto bloqueia essas actividades maliciosas. Quando os utilizadores podem carregar e executar scripts através da aplicação Web, deve ser solicitada autenticação e a identidade do agrupamento de aplicações IIS que aloja a aplicação Web não deve ser uma conta Administrativa.

Para mais informações sobre como configurar identidades do agrupamento de aplicações, visite as seguintes páginas Web da Microsoft:
Configurar Identidades do Processo de Trabalho (para o IIS 6.0)

Seguir as melhores práticas de segurança para a aplicação Web

É importante seguir as melhores práticas de segurança para todas as partes da sua aplicação Web e não apenas a lógica de carregamento. Para mais informações sobre as melhores práticas, visite as seguintes páginas Web da Microsoft:
Guia de Recursos de Protecção do IIS 5.0
Melhores Práticas de Segurança do IIS 6.0
Configurar a Segurança para o IIS 7.0

Propriedades

Artigo: 979124 - Última revisão: 11 de janeiro de 2010 - Revisão: 2.2
A informação contida neste artigo aplica-se a:
  • Microsoft Internet Information Services 7.5 nas seguintes plataformas
    • Windows 7 Enterprise
    • Windows 7 Home Basic
    • Windows 7 Home Premium
    • Windows 7 Professional
    • Windows 7 Ultimate
    • Windows Server 2008 R2 Standard
    • Windows Server 2008 R2 Enterprise
    • Windows Server 2008 R2 Datacenter
  • Microsoft Internet Information Services 7.0 nas seguintes plataformas
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Internet Information Services 6.0 nas seguintes plataformas
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Serviços de informação Internet 5.1 da Microsoft nas seguintes plataformas
    • Microsoft Windows XP Professional Edition
  • Serviços de informação Internet 5.0 da Microsoft nas seguintes plataformas
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
Palavras-chave: 
kbhowto kbexpertiseinter kbsecurity kbsecvulnerability kbsurveynew KB979124

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com