Cómo instalar y utilizar al Asistente para bloqueo de IIS

Se recomienda encarecidamente que todos los usuarios actualizar a Microsoft Internet Information Services (IIS) versión 6.0 se ejecuta en Microsoft Windows Server 2003. IIS 6.0 aumenta considerablemente la seguridad de la infraestructura Web. Para obtener más información acerca de temas relacionados con la seguridad IIS, visite el siguiente sitio Web de Microsoft:

Resumen

En este artículo paso a paso explica cómo proteger un servidor Web utilizando el Asistente para bloqueo de servicios de Internet Information Server (IIS). También incluye información acerca de cómo solucionar problemas que se producen después de ejecutar al asistente.

Prepararse para ejecutar al Asistente para bloqueo de IIS

Con el Asistente para bloqueo de IIS, puede desactivar varias funciones opcionales de IIS para proteger un servidor IIS contra el ataque. Antes de ejecutar al asistente, lea el archivo de ayuda para familiarizarse con las opciones que presenta el asistente. Para tener acceso al archivo de ayuda:
  1. Descargar al Asistente para bloqueo IIS. Para descargar al asistente, visite el siguiente sitio Web de Microsoft:
  2. Extraiga los archivos del Asistente para bloqueo de seguridad del archivo ejecutable.
  3. Busque la carpeta que especificó cuando extrajo los archivos y, a continuación, haga doble clic en el archivo Iislockd.chm.
Tenga en cuenta que el Asistente para bloqueo de seguridad permite deshabilitar ciertas funciones opcionales de IIS necesarias para el correcto funcionamiento de otras aplicaciones, como Exchange y FrontPage. Si no selecciona las opciones correctas cuando ejecuta el Asistente para bloqueo de seguridad, se puede romper la funcionalidad de estas aplicaciones. Para minimizar los problemas, revise cuidadosamente los artículos de Microsoft Knowledge Base que sean adecuados para su sistema configuración antes de que ejecutar al Asistente de bloqueo de seguridad:
  • Exchange y Outlook Web Access (OWA):
    309508 configuraciones de IIS Lockdown y URLscan en un entorno de Exchange

  • Microsoft Mobile Information Server:
    311595 cómo instalar y configurar Microsoft Security Tool Kit en Microsoft Mobile Information Server

  • Microsoft Small Business Server:
    311862 cómo utilizar la herramienta IIS Lockdown con Small Business Server

  • Microsoft Project, Project Server y Project Web Access:
    321357 mensajes de error cuando ve una página de Microsoft Project Web Access que contiene cuadrículas

    316398 cómo configurar IIS Lockdown Tool y la herramienta de seguridad URLScan en un equipo que ejecuta Microsoft Project Server o Microsoft Project Central

  • Microsoft SharePoint Portal Server:
    309675 la herramienta IIS Lockdown afecta a SharePoint Portal Server

    319633 ' error de ejecución de secuencias de comandos: Error de ejecución INVOKE' mensaje de error después de instalar IIS Lockdown Wizard

  • Microsoft Visual Studio. NET:
    310588 PRB: Security Toolkit interrumpe la depuración de ASP.NET en Visual Studio .NET

    315904 de error: "ExternalException: no se puede ejecutar un programa" mensaje de error al llamar a WebServices desde una página .aspx

  • Microsoft FrontPage:
    317390 mensaje de error "HTTP/1.1 404 objeto no encontrado" se produce cuando un usuario de la página Web realiza una búsqueda

    307976 mensaje de error al usar FrontPage con URLScan

  • Microsoft Proxy Server:
    311675 no se puede buscar en la Ayuda en pantalla de Proxy Server 2.0 una vez instalado IIS Lockdown Wizard

  • 888936 no puede instalar el cliente avanzado de SMS 2003

Descargar e instalar al Asistente para bloqueo de IIS

  1. Haga doble clic en el archivo ejecutable que descargó en Preparación para ejecutar el Asistente para bloqueo de IIS para la sección para iniciar el asistente.
  2. En la página Bienvenida, lea el texto explicativo y, a continuación, haga clic en siguiente.
  3. En la página Contrato de licencia, lea el contrato de licencia, haga clic en aceptoy, a continuación, haga clic en siguiente.
  4. En la página Select Server Template, seleccione la plantilla que más se aproxime a la función de este servidor y, a continuación, haga clic para seleccionar Ver configuración de plantilla. Las páginas siguientes encontrará opciones previamente seleccionadas según la función del servidor que ha seleccionado anteriormente en la página anterior, para que pueda utilizar todas las selecciones predeterminadas.

    Si el servidor tiene varias funciones (por ejemplo, un dinámico servidor Web que es también un servidor proxy), haga clic para seleccionar otro (servidor que no coincide con ninguna de las funciones enumeradas)y asegúrese de que considere cuidadosamente todas las opciones que se presentan en las páginas siguientes, porque las selecciones predeterminadas pueden no ser adecuadas para su servidor. Cuando haya seleccionado la configuración adecuada, haga clic en siguiente.
  5. En la página Internet Services, seleccione los servicios que desea que su servidor proporcione. La mayoría de los servidores requieren el servicio Web. Si no desea que su servidor proporcione servicios de protocolo de transferencia de archivos (FTP) o el protocolo Simple de transferencia de correo (SMTP) (es decir, servicios de archivo transferencia o correo electrónico), puede hacer clic para desactivar estas opciones. Tenga en cuenta que debe dejar seleccionado si está ejecutando Exchange o Small Business Server SMTP.

    Los servicios que seleccione en esta página no se ha establecido en deshabilitado y no se pueden iniciar. Si está ejecutando al Asistente para bloqueo de IIS 5.0, también puede hacer clic para seleccionar quitar servicios no seleccionados, que elimina por completo los servicios que no ha seleccionado de su sistema. Cuando haya seleccionado la configuración adecuada, haga clic en siguiente.
  6. Haga clic en la página Script Maps, desactive la casilla de verificación situada junto a cualquier tipo de archivo o tipos de archivo que desea que su servidor proporcione. Si no está seguro de lo que se debe deshabilitar, puede buscar los directorios de contenido para averiguar si existen esas extensiones de nombre de archivo. Tenga en cuenta que la mayoría de los servidores requiere páginas Active Server (.asp), por lo que debe hacer clic para desactivar la casilla de verificación a menos que esté seguro de que su servidor sirve o no páginas ASP. Haga clic en Siguiente.
  7. En la página seguridad adicional, seleccione los directorios virtuales que desee quitar de este servidor. De forma predeterminada, estos directorios virtuales se instalan de forma predeterminada con IIS, por lo que son destinos conocidos para los atacantes y desea quitar estos directorios virtuales o cambiarles el nombre en los equipos de producción. Quitar estos directorios virtuales de IIS no quita los directorios físicos correspondientes presentes en el disco, por lo que no perderá ningún dato al seleccionar esta opción.
  8. En la página seguridad adicional, haga clic en Ejecutar utilidades de sistema si desea denegar derechos sobre archivos ejecutables en el directorio de Windows a la cuenta de invitado de Internet (de forma predeterminada, IUSR_ <nombre_equipo>). Esta opción debe seleccionarse en la mayoría de los sistemas.
  9. En la página seguridad adicional, haga clic para activar la escritura en directorios de contenido si desea denegar escritura cuenta de derechos para el invitado de Internet en los directorios que contienen su Web contenidos. Asegúrese de que deja esta opción sin seleccionar si utiliza extensiones de servidor de FrontPage en este servidor, o si éste funciona como un servidor proxy.
  10. En la página seguridad adicional, haga clic en Deshabilitar Web Distributed Authoring and Versioning (WebDAV) si no está usando WebDAV para crear e implementar contenido Web en este servidor. Si el servidor ejecuta Outlook Web Access (OWA) para Exchange 2000, asegúrese de que deja desactivada esta opción.
    Nota: Si selecciona esta opción, el Asistente para bloqueo de seguridad se establece los derechos en la DLL que implementa la funcionalidad WebDAV (Httpext.dll) para denegar el permiso de ejecución. Esto podría admitir la ejecución de ciertas peticiones WebDAV. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    307934 bloquear WebDAV a través de ACL sigue permitiendo solicitudes PUT y DELETE

  11. Haga clic en Siguiente.
  12. En la página URLScan, seleccione la opción de instalar URLScan, si desea utilizar URLScan para filtrar solicitudes entrantes basadas en un conjunto de reglas. Si un cliente intenta realizar una solicitud que no es válida según las reglas de URLScan, IIS responde con un error 404 archivo no encontrado y registra la solicitud en el archivo de registro de URLScan. De forma predeterminada, este archivo se encuentra en % WINDIR%\System32\Inetsrv\Urlscan\Urlscan.log.

    Nota: Si deja WebDAV habilitado en la página seguridad adicional, pero decide instalar URLScan, tenga en cuenta que bloquea URLScan solicitudes WebDAV de forma predeterminada. Debe modificar el archivo Urlscan.ini si desea utilizar WebDAV con URLScan.
  13. En la página Listo para aplicar configuración, revise los cambios que se realizarán y, a continuación, haga clic en siguiente.
  14. El Asistente para bloqueo de seguridad realiza una copia de seguridad de la metabase y realiza los cambios seleccionados. Cuando haya finalizado este proceso, haga clic en Ver informe para ver un informe que describe los cambios realizados por el asistente. Haga clic en siguiente para continuar.

    Nota: Puede ver el informe de la instalación, abra %WINDIR%\System32\Inetsrv\Oblt-rep.log en el Bloc de notas.
  15. Haga clic en Finalizar para cerrar al Asistente para bloqueo de IIS.
  16. Probar completamente todas las funciones del servidor. Este paso es muy importante. Si descubre que ha deshabilitado accidentalmente funciones necesarias para su servidor, inmediatamente deshacer los cambios realizados por el Asistente para bloqueo y, a continuación, vuelva a ejecutar el Asistente para seleccionar las opciones correctas. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    317052 cómo deshacer los cambios realizados por el Asistente para bloqueo de IIS

Configurar URLScan

Al ejecutar el Asistente para bloqueo de IIS, puede instalar URLScan. URLScan es un filtro ISAPI que bloquea solicitudes HTTP basadas en un conjunto de reglas configurable. Por ejemplo, puede configurar URLScan para que bloquee todas las solicitudes de una cierta extensión, para bloquear ciertos verbos HTTP (como GET o POST), o para bloquear las solicitudes que contengan caracteres frecuentemente incluidos en ataques a servidores Web.

Para configurar URLScan, utilice un editor de texto como el Bloc de notas para editar el archivo %WINDIR%\System32\Inetsrv\Urlscan\Urlscan.ini. Este archivo contiene comentarios que explican cada opción de configuración. Cuando haya terminado de editar el archivo. ini, guárdelo y reinicie IIS.

Para obtener información adicional acerca de cómo configurar URLScan, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

312376 cómo configurar URLScan para permitir solicitudes con una extensión Null en IIS

326444 cómo configurar la herramienta URLScan

Solucionar problemas después de ejecutar al Asistente para bloqueo de IIS

El problema más habitual después de ejecutar al Asistente para bloqueo de IIS está recibiendo 404 archivo no encontrado error mensajes inesperados cuando abre el sitio bloqueado. Puede recibir estos mensajes de error aun cuando los archivos que existen. Esto se produce cuando un cliente solicita un archivo que ha sido bloqueado por el Asistente de bloqueo o URLScan. En este caso, IIS afirma que el archivo no existe por motivos de seguridad. Si un usuario malintencionado sabe que un servicio vulnerable existe en el servidor pero está bloqueado, el usuario puede encontrar la manera de saltarse el bloqueo y aprovechar la vulnerabilidad; Sin embargo, si el usuario cree que el servicio no está instalado, el usuario no intentará aprovecharse de ello.

Si recibe un mensaje de 404 error después de ejecutar al Asistente para bloqueo de IIS, siga estos pasos para solucionar el problema:

  1. Compruebe que el archivo que está solicitando existe en el servidor. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    248033 cómo los administradores de sistema pueden solucionar problemas de un "HTTP 404 - archivo no encontrado" mensaje de error en un servidor que ejecuta IIS

  2. Examine el archivo de registro de URLScan para ver si URLScan está bloqueando las solicitudes. Este archivo se encuentra en %WINDIR%\System32\Inetsrv\Urlscan\UrlscanMMDDYY.log (donde MMDDYY es la fecha para el registro). Si descubre que URLScan está bloqueando las solicitudes, consulte la sección Configurar URLScan para configurar URLScan para que admita estas solicitudes.
  3. Si solicita un archivo distinto de HTML, como una página ASP o un archivo del servidor incluyen habilitado, compruebe las asignaciones de aplicación para el tipo de archivo en el Administrador de servicios Internet:
    1. Haga su sitio Web y, a continuación, haga clic en Propiedades.
    2. En la ficha Directorio principal , haga clic en configuración.
    3. Haga clic en la ficha Asignaciones para la aplicación .
    4. Haga clic en la línea que corresponde a la extensión del archivo que está intentando tener acceso.
    5. Si Ruta ejecutable se establece en % WINDIR%\System32\Inetsrv\404.dll, haga clic en Editary, a continuación, establezca la Ruta de acceso ejecutable a la ruta de acceso ejecutable predeterminado para esa extensión de archivo. Si no está seguro del valor predeterminado, abra el archivo %WINDIR%\System32\Inetsrv\oblt-log.log, que se creó cuando ejecutó el Asistente para bloqueo. Busque una línea que comienza con SMAP

      seguido de la extensión de nombre de archivo. Esta línea también contiene la ruta de acceso ejecutable predeterminado para ese tipo de archivo.
Si tiene problemas con un servicio que depende de IIS, como Exchange o SharePoint, vea los artículos de Knowledge Base de Microsoft que se enumeran en la sección Preparativos para la ejecución de IIS Lockdown Wizard .

También es posible que el FTP o SMTP no funcionan después de ejecutar el Asistente para bloqueo de IIS. Esto se produce si deshabilita o elimina estos servicios. Si deshabilitó los servicios, siga estos pasos para volverlos a activar:
  1. Abra el Panel de Control
  2. En Windows NT 4.0, abra el subprograma Servicios . En Windows 2000 o Windows XP, abra la carpeta Herramientas administrativas y, a continuación, abra el subprograma Servicios .
  3. Haga doble clic en publicación FTP o Simple Mail Transfer Protocol (SMTP).
  4. En tipo de inicio, haga clic en automático.
  5. Si desea iniciar inmediatamente el servicio, haga clic en Inicio .
Si ha eliminado por completo uno o ambos de estos servicios seleccionando quitar servicios innecesarios cuando ejecutó el Asistente para bloqueo de IIS en IIS 5.0, siga estos pasos para volver a instalarlos:

  1. Abra el Panel de Control
  2. Abra el subprograma Agregar o quitar programas y, a continuación, haga clic en Agregar o quitar componentes de Windows en el panel izquierdo.
  3. Seleccione Servicios de Internet Information Server (IIS)y, a continuación, haga clic en Detalles.
  4. Haga clic para seleccionar el servicio de protocolo de transferencia de archivos (FTP) o El servicio SMTP.
  5. Haga clic en Aceptary, a continuación, haga clic en siguiente. Se instalará el servicio seleccionado o servicios. Es podrán que deba insertar el CD-ROM de Windows.
  6. Asegúrese de que se vuelva a aplicar el service pack más reciente de Windows y cualquier hotfix que haya instalado.
Si ninguno de estos métodos funciona, puede ver el archivo de informe de IIS Lockdown Wizard para ver todos los cambios realizados por la herramienta. Esto puede ayudarle a determinar qué cambios ocasionaron los problemas que está experimentando. Este archivo de informe está guardado en % WINDIR\System32\Inetsrv\Oblt-rep.log.

Para obtener información adicional acerca de cómo deshacer los cambios realizados por el Asistente para bloqueo de IIS, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

317052 cómo deshacer los cambios realizados por el Asistente para bloqueo de IIS

Referencias

Para obtener información adicional sobre el Asistente para bloqueo de IIS y cómo proteger el servidor IIS, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:

310725 cómo ejecutar al Asistente para bloqueo de IIS desatendido en IIS

311350 cómo crear un tipo de servidor personalizado para su uso con el Asistente para bloqueo de IIS

282060 recursos para proteger servicios de Internet Information Server

Propiedades

Id. de artículo: 325864 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios